Opções de implantação do Self-Service Password Reset

Importante

Em setembro de 2022, a Microsoft anunciou a descontinuação do Azure Multi-Factor Authentication Server. A partir de 30 de setembro de 2024, as implantações do Servidor Azure Multi-Factor Authentication não atendem mais às solicitações de autenticação multifator (MFA). Os clientes do servidor de autenticação multifator do Azure devem migrar para usar provedores de MFA personalizados com o SSPR do MIM ou o SSPR do Microsoft Entra, ao invés do SSPR do MIM.

Para novos clientes com licença para Microsoft Entra ID P1 ou P2, recomendamos o uso da redefinição de palavra-passe de autoatendimento do Microsoft Entra para proporcionar a experiência ao utilizador final. A redefinição de senha de autoatendimento do Microsoft Entra fornece uma experiência baseada na Web e integrada ao Windows para um usuário redefinir sua própria senha e suporta muitos dos mesmos recursos do MIM, incluindo portas de email e perguntas e respostas alternativas. Ao implantar a redefinição de senha de autoatendimento do Microsoft Entra, você pode configurar o Microsoft Entra Connect para gravar de volta as novas senhas no AD DS, e o Serviço de Notificação de Alteração de Senha do MIM pode ser usado para encaminhar as senhas para outros sistemas, como o servidor de diretório de outro fornecedor. A implantação do MIM para gerenciamento de senhas não requer a implantação do Serviço MIM ou dos portais de redefinição de senha ou registro de autoatendimento do MIM. Em vez disso, você pode seguir estas etapas:

• Primeiro, se você precisar enviar senhas para diretórios diferentes do Microsoft Entra ID e do AD DS, implante o MIM Sync com conectores nos Serviços de Domínio Ative Directory e em quaisquer sistemas de destino adicionais, configure o MIM para gerenciamento de senhas e implante o Serviço de Notificação de Alteração de Senha.
• Em seguida, se você precisar enviar senhas para diretórios diferentes do Microsoft Entra ID, configure o Microsoft Entra Connect para gravar novamente as novas senhas no AD DS.
• Opcionalmente, pré-registre os usuários.
• Por fim, implemente a redefinição de senha de autosserviço do Microsoft Entra para os seus utilizadores finais.

Para clientes do Forefront Identity Manager (FIM) ou MIM licenciados para Microsoft Entra ID P1 ou P2, recomendamos que planeiem a transição para a redefinição de palavra-passe de autoatendimento do Microsoft Entra. Você pode fazer a transição dos usuários finais para a redefinição de senha de autoatendimento do Microsoft Entra sem precisar que eles se registrem novamente, sincronizando ou definindo por meio do PowerShell um endereço de email alternativo ou número de telefone celular do usuário. Depois que os usuários são registrados para a redefinição de senha de autoatendimento do Microsoft Entra, o portal de redefinição de senha do FIM pode ser desativado.

As implantações do MIM 2016 que utilizavam o Microsoft Entra MFA devem migrar para usar o MIM SSPR com um fornecedor de MFA personalizado ou o sistema de autoatendimento para redefinição de senha do Microsoft Entra. Novas implantações devem usar um provedor de MFA personalizado ou a redefinição de senha de autoatendimento do Microsoft Entra.

Implantando o Portal de Redefinição de Senha de Autoatendimento do MIM usando um provedor personalizado para autenticação multifator

A seção a seguir descreve como implantar o portal de redefinição de senha de autoatendimento do MIM, usando um provedor para autenticação multifator. Essas etapas são necessárias apenas para clientes que não estão usando a redefinição de senha de autoatendimento do Microsoft Entra para seus usuários.

Com o MFA, os utilizadores autenticam-se através do fornecedor externo para verificar a sua identidade enquanto tentam recuperar o acesso à sua conta e recursos. Pode efetuar a autenticação por SMS ou através de uma chamada telefónica. Quanto mais forte for a autenticação, maior será a segurança de que a pessoa que tenta obter acesso é, de facto, o utilizador verdadeiro ao qual pertence a identidade. Uma vez autenticado, o utilizador pode escolher uma nova palavra-passe para substituir a antiga.

Pré-requisitos para configurar o desbloqueio personalizado da conta e a reposição de palavra-passe através do MFA

Esta seção pressupõe que você tenha baixado e concluído a implantação dos componentes Microsoft Identity Manager 2016 MIM Sync, MIM Service e MIM Portal, incluindo os seguintes componentes e serviços:

• Um Controlador de Domínio Ative Directory com um domínio designado (um domínio 'corporativo')

• Uma Política de Grupo está definida para o Bloqueio da conta

• O Serviço de Sincronização do MIM 2016 (Sincronização) está instalado e em execução num servidor que está associado ao domínio do AD

• O MIM 2016 Service & Portal, incluindo o Portal de Registo SSPR e o Portal de Redefinição SSPR, está instalado e em execução num servidor (pode ser conjuntamente localizado com o Sync)

• O MIM Sync está configurado para a sincronização de identidades AD-MIM, incluindo:

  • Configurar o Agente de Gerenciamento do Ative Directory (ADMA) para conectividade com o AD DS e executar perfis para importar dados de identidade e exportá-los para o Ative Directory.

  • Configurar o Agente de Gerenciamento do MIM (MIM MA) para conectividade com o banco de dados do Serviço FIM e executar perfis para importar dados de identidade e exportá-los para o banco de dados FIM.

  • Configuração das Regras de Sincronização no Portal do MIM para permitir a sincronização dos dados do utilizador e facilitar as atividades baseadas na sincronização no Serviço MIM.

• MIM 2016 Add-ins & Extensões, incluindo o cliente integrado SSPR Windows Login, são implantados no servidor ou em um computador cliente separado.

Preparar o MIM para trabalhar com MFA

Configure o MIM Sync para Suportar a Redefinição de Palavra-passe e a Funcionalidade de Desbloqueio de Conta. Para obter mais informações, consulte Instalação dos suplementos e extensões do FIM, Instalação do FIM SSPR, Portas de autenticação SSPR e Guia do Laboratório de Testes do SSPR.

Configurar o Gateway de Telefone ou o Gateway de SMS para Palavra-passe Temporária

1. Inicie o Internet Explorer e navegue para o Portal do MIM, efetue a autenticação como o administrador do MIM e clique em Fluxos de Trabalho na barra de navegação esquerda.

   

2. Verifique o fluxo de trabalho AuthN de redefinição de senha.

   

3. Clique na aba Atividades e, em seguida, role para baixo até Adicionar Atividade.

4. Selecione Phone Gate ou One-Time Password SMS Gate, clique em Select (Selecionar) e, em seguida, OK.

   Nota

   Se estiver usando outro provedor que gere a própria senha de uso único, verifique se o campo de comprimento configurado é o mesmo comprimento que o gerado pelo provedor de MFA.

Os utilizadores na sua organização podem agora registar-se para a reposição de palavra-passe. Durante este processo, deverão introduzir o respetivo número de telefone do trabalho ou do telemóvel para que o sistema possa contactá-los (ou enviar mensagens SMS).

Registar utilizadores para a reposição de palavra-passe

1. Um usuário iniciará um navegador da Web e navegará até o Portal de Registro de Redefinição de Senha do MIM. (Geralmente, este portal será configurado com a autenticação do Windows.) No portal, os utilizadores deverão fornecer o nome de utilizador e a palavra-passe novamente para confirmar a identidade.

   Têm de aceder ao Portal de Registo de Palavra-passe e efetuar a autenticação através do respetivo nome de utilizador e palavra-passe.

2. No campo Número de Telefone ou Telemóvel, têm de introduzir um código de país, um espaço e o número de telefone e clicar em Seguinte.

   

   

Como é que funciona para os seus utilizadores?

Agora que está tudo configurado e em execução, deve querer saber o que os seus utilizadores terão de fazer quando repõem as palavras-passe antes das férias e, quando regressam, não conseguem lembrar-se delas.

Existem duas formas através das quais um utilizador pode utilizar a funcionalidade de desbloqueio da conta e de reposição de palavra-passe: a partir do ecrã de início de sessão do Windows ou do Portal Self-Service.

Ao instalar os Suplementos e as Extensões do MIM num computador associado a um domínio ligado através da rede organizacional ao Serviço MIM, os utilizadores podem recuperar uma palavra-passe esquecida na experiência de início de sessão do ambiente de trabalho. Os passos seguintes orientam-no ao longo do processo.

Reposição integrada de palavra-passe no início de sessão do ambiente de trabalho do Windows

1. Se o seu utilizador introduzir a palavra-passe errada várias vezes, no ecrã de início de sessão, terá a opção de clicar em Problemas ao iniciar sessão? .

   

   Ao clicar nesta ligação, o utilizador é reencaminhado para o ecrã Reposição de Palavra-passe do MIM, onde pode alterar a palavra-passe ou desbloquear a conta.

   

2. O utilizador será direcionado para a autenticação. Se o MFA tiver sido configurado, o utilizador irá receber uma chamada telefónica.

3. Em segundo plano, o que está acontecendo é que o provedor de MFA faz uma chamada telefônica para o número que o usuário deu quando esse usuário se inscreveu no serviço.

4. Quando um utilizador atende o telefone, ele pode ser solicitado a interagir, por exemplo, para pressionar a tecla cerquilha # no telefone. Em seguida, o utilizador clica em Seguinte no portal.

   Se também configurar outras portas, será pedido ao utilizador que forneça mais informações em ecrãs subsequentes.

   Nota

   Se o utilizador for impaciente e clicar em Seguinte antes de premir a tecla cardinal #, a autenticação falha.

5. Após a autenticação com êxito, o utilizador terá duas opções: desbloquear a conta e manter a palavra-passe atual ou definir uma nova.

6. Em seguida, o utilizador tem de introduzir uma nova palavra-passe duas vezes e a palavra-passe é reposta.

Aceder a partir do portal de autoatendimento

1. Os usuários podem abrir um navegador da Web, navegar até o Portal de Redefinição de Senha, inserir seu nome de usuário e clicar em Avançar.

   Se o MFA tiver sido configurado, o utilizador irá receber uma chamada telefónica. Em segundo plano, o que está acontecendo é que a autenticação multifator Microsoft Entra efetua uma chamada telefónica para o número fornecido pelo utilizador na altura da inscrição no serviço.

   Quando um utilizador atender o telefone, ser-lhe-á pedido que prima a tecla cardinal # no telefone. Em seguida, o utilizador clica em Seguinte no portal.

2. Se também configurar outras portas, será pedido ao utilizador que forneça mais informações em ecrãs subsequentes.

   Nota

   Se o utilizador for impaciente e clicar em Seguinte antes de premir a tecla cardinal #, a autenticação falha.

3. O usuário terá que escolher se deseja redefinir sua senha ou desbloquear sua conta. Se optarem por desbloquear a conta, a conta será desbloqueada.

   

4. Após a autenticação bem-sucedida, o usuário terá duas opções, ou manter sua senha atual ou definir uma nova senha.

5. 

6. Se o utilizador escolher repor a palavra-passe, terá de escrever uma nova palavra-passe duas vezes e clicar em Seguinte para alterar a palavra-passe.