Opções de implantação do Self-Service Password Reset

Importante

Em setembro de 2022, a Microsoft anunciou a descontinuação do Azure Multi-Factor Authentication Server. A partir de 30 de setembro de 2024, as implantações do Servidor Azure Multi-Factor Authentication não atendem mais às solicitações de autenticação multifator (MFA). Os clientes do Servidor Azure Multi-Factor Authentication devem passar a usar provedores de MFA personalizados com SSPR do MIM ou SSPR do Microsoft Entra em vez do SSPR do MIM.

Para novos clientes licenciados para o Microsoft Entra ID P1 ou P2, recomendamos o uso da redefinição de senha de autoatendimento do Microsoft Entra para fornecer a experiência do usuário final. A redefinição de senha de autoatendimento do Microsoft Entra fornece uma experiência baseada na Web e integrada ao Windows para um usuário redefinir sua própria senha e suporta muitos dos mesmos recursos do MIM, incluindo portas de email e perguntas e respostas alternativas. Ao implantar a redefinição de senha de autoatendimento do Microsoft Entra, você pode configurar o Microsoft Entra Connect para gravar de volta as novas senhas no AD DS, e o Serviço de Notificação de Alteração de Senha do MIM pode ser usado para encaminhar as senhas para outros sistemas, como o servidor de diretório de outro fornecedor. A implantação do MIM para gerenciamento de senhas não requer a implantação do Serviço MIM ou dos portais de redefinição de senha ou registro de autoatendimento do MIM. Em vez disso, você pode seguir estas etapas:

• Primeiro, se você precisar enviar senhas para diretórios diferentes do Microsoft Entra ID e do AD DS, implante o MIM Sync com conectores nos Serviços de Domínio Ative Directory e em quaisquer sistemas de destino adicionais, configure o MIM para gerenciamento de senhas e implante o Serviço de Notificação de Alteração de Senha.
• Em seguida, se você precisar enviar senhas para diretórios diferentes do Microsoft Entra ID, configure o Microsoft Entra Connect para gravar novamente as novas senhas no AD DS.
• Opcionalmente, pré-registre os usuários.
• Por fim, implemente a redefinição de senha de autoatendimento do Microsoft Entra para seus usuários finais.

Para clientes do Forefront Identity Manager (FIM) ou MIM licenciados para Microsoft Entra ID P1 ou P2, recomendamos planejar a transição para a redefinição de senha de autoatendimento do Microsoft Entra. Você pode fazer a transição dos usuários finais para a redefinição de senha de autoatendimento do Microsoft Entra sem precisar que eles se registrem novamente, sincronizando ou definindo por meio do PowerShell um endereço de email alternativo ou número de telefone celular do usuário. Depois que os usuários são registrados para a redefinição de senha de autoatendimento do Microsoft Entra, o portal de redefinição de senha do FIM pode ser desativado.

As implantações do MIM 2016 que estavam usando o Microsoft Entra MFA devem passar a usar o MIM SSPR com um provedor de MFA personalizado ou a redefinição de senha de autoatendimento do Microsoft Entra. Novas implantações devem usar um provedor de MFA personalizado ou a redefinição de senha de autoatendimento do Microsoft Entra.

Implantando o Portal de Redefinição de Senha de Autoatendimento do MIM usando um provedor personalizado para autenticação multifator

A seção a seguir descreve como implantar o portal de redefinição de senha de autoatendimento do MIM, usando um provedor para autenticação multifator. Essas etapas são necessárias apenas para clientes que não estão usando a redefinição de senha de autoatendimento do Microsoft Entra para seus usuários.

Com o MFA, os utilizadores autenticam-se através do fornecedor externo para verificar a sua identidade enquanto tentam recuperar o acesso à sua conta e recursos. Pode efetuar a autenticação por SMS ou através de uma chamada telefónica. Quanto mais forte for a autenticação, maior será a segurança de que a pessoa que tenta obter acesso é, de facto, o utilizador verdadeiro ao qual pertence a identidade. Uma vez autenticado, o utilizador pode escolher uma nova palavra-passe para substituir a antiga.

Pré-requisitos para configurar o desbloqueio personalizado da conta e a reposição de palavra-passe através do MFA

Esta seção pressupõe que você tenha baixado e concluído a implantação dos componentes Microsoft Identity Manager 2016 MIM Sync, MIM Service e MIM Portal, incluindo os seguintes componentes e serviços:

• Um Controlador de Domínio Ative Directory com um domínio designado (um domínio 'corporativo')

• Uma Política de Grupo está definida para o Bloqueio da conta

• O Serviço de Sincronização do MIM 2016 (Sincronização) está instalado e em execução num servidor que está associado ao domínio do AD

• O MIM 2016 Service & Portal, incluindo o Portal de Registro SSPR e o Portal de Redefinição SSPR, está instalado e em execução em um servidor (pode ser colocalizado com o Sync)

• A Sincronização do MIM está configurada para a sincronização de identidade AD-MIM, incluindo:

  • Configurar o Agente de Gerenciamento do Ative Directory (ADMA) para conectividade com o AD DS e executar perfis para importar dados de identidade e exportá-los para o Ative Directory.

  • Configurar o Agente de Gerenciamento do MIM (MIM MA) para conectividade com o banco de dados do Serviço FIM e executar perfis para importar dados de identidade e exportá-los para o banco de dados FIM.

  • Configuração das Regras de Sincronização no Portal do MIM para permitir a sincronização dos dados do utilizador e facilitar as atividades baseadas na sincronização no Serviço MIM.

• MIM 2016 Add-ins & Extensões, incluindo o cliente integrado SSPR Windows Login, são implantados no servidor ou em um computador cliente separado.

Preparar o MIM para trabalhar com MFA

Configure a Sincronização do MIM para Suportar a Reposição de Palavra-passe e a Funcionalidade de Desbloqueio de Conta. Para obter mais informações, consulte Instalando os suplementos e extensões do FIM, Instalando o FIM SSPR, Portas de autenticação SSPR e o Guia do laboratório de teste do SSPR.

Configurar a Porta de telefone ou a Porta de SMS para Palavra-passe Monouso

1. Inicie o Internet Explorer e navegue para o Portal do MIM, efetue a autenticação como o administrador do MIM e clique em Fluxos de Trabalho na barra de navegação esquerda.

   

2. Verifique o fluxo de trabalho AuthN de redefinição de senha.

   

3. Clique no separador Atividades e, em seguida, desloque-se para baixo até Adicionar Atividade.

4. Selecione Phone Gate ou One-Time Password SMS Gate, clique em Select (Selecionar) e, em seguida, OK.

   Nota

   Se estiver usando outro provedor que gere a própria senha de uso único, verifique se o campo de comprimento configurado é o mesmo comprimento que o gerado pelo provedor de MFA.

Os utilizadores na sua organização podem agora registar-se para a reposição de palavra-passe. Durante este processo, deverão introduzir o respetivo número de telefone do trabalho ou do telemóvel para que o sistema possa contactá-los (ou enviar mensagens SMS).

Registar utilizadores para a reposição de palavra-passe

1. Um usuário iniciará um navegador da Web e navegará até o Portal de Registro de Redefinição de Senha do MIM. (Geralmente, este portal será configurado com a autenticação do Windows.) No portal, os utilizadores deverão fornecer o nome de utilizador e a palavra-passe novamente para confirmar a identidade.

   Têm de aceder ao Portal de Registo de Palavra-passe e efetuar a autenticação através do respetivo nome de utilizador e palavra-passe.

2. No campo Número de Telefone ou Telemóvel, têm de introduzir um código de país, um espaço e o número de telefone e clicar em Seguinte.

   

   

Como é que funciona para os seus utilizadores?

Agora que está tudo configurado e em execução, deve querer saber o que os seus utilizadores terão de fazer quando repõem as palavras-passe antes das férias e, quando regressam, não conseguem lembrar-se delas.

Existem duas formas através das quais um utilizador pode utilizar a funcionalidade de desbloqueio da conta e de reposição de palavra-passe: a partir do ecrã de início de sessão do Windows ou do Portal Self-Service.

Ao instalar os Suplementos e as Extensões do MIM num computador associado a um domínio ligado através da rede organizacional ao Serviço MIM, os utilizadores podem recuperar uma palavra-passe esquecida na experiência de início de sessão do ambiente de trabalho. Os passos seguintes orientam-no ao longo do processo.

Reposição de palavra-passe integrada do início de sessão do ambiente de trabalho do Windows

1. Se o seu utilizador introduzir a palavra-passe errada várias vezes, no ecrã de início de sessão, terá a opção de clicar em Problemas ao iniciar sessão? .

   

   Ao clicar nesta ligação, o utilizador é reencaminhado para o ecrã Reposição de Palavra-passe do MIM, onde pode alterar a palavra-passe ou desbloquear a conta.

   

2. O utilizador será direcionado para a autenticação. Se o MFA tiver sido configurado, o utilizador irá receber uma chamada telefónica.

3. Em segundo plano, o que está acontecendo é que o provedor de MFA faz uma chamada telefônica para o número que o usuário deu quando esse usuário se inscreveu no serviço.

4. Quando um usuário atende o telefone, ele pode ser solicitado a interagir, por exemplo, para pressionar a tecla de libra # no telefone. Em seguida, o utilizador clica em Seguinte no portal.

   Se também configurar outras portas, será pedido ao utilizador que forneça mais informações em ecrãs subsequentes.

   Nota

   Se o utilizador for impaciente e clicar em Seguinte antes de premir a tecla cardinal #, a autenticação falha.

5. Após a autenticação com êxito, o utilizador terá duas opções: desbloquear a conta e manter a palavra-passe atual ou definir uma nova.

6. Em seguida, o utilizador tem de introduzir uma nova palavra-passe duas vezes e a palavra-passe é reposta.

Aceder a partir do Portal Self-Service

1. Os usuários podem abrir um navegador da Web, navegar até o Portal de Redefinição de Senha, inserir seu nome de usuário e clicar em Avançar.

   Se o MFA tiver sido configurado, o utilizador irá receber uma chamada telefónica. Em segundo plano, o que está acontecendo é que a autenticação multifator Microsoft Entra faz uma chamada telefônica para o número que o usuário deu quando se inscreveu no serviço.

   Quando um utilizador atender o telemóvel, ser-lhe-á pedido que prima a tecla cardinal # no telemóvel. Em seguida, o utilizador clica em Seguinte no portal.

2. Se também configurar outras portas, será pedido ao utilizador que forneça mais informações em ecrãs subsequentes.

   Nota

   Se o utilizador for impaciente e clicar em Seguinte antes de premir a tecla cardinal #, a autenticação falha.

3. O usuário terá que escolher se deseja redefinir sua senha ou desbloquear sua conta. Se optarem por desbloquear a conta, a conta será desbloqueada.

   

4. Após a autenticação bem-sucedida, o usuário terá duas opções, ou manter sua senha atual ou definir uma nova senha.

5. 

6. Se o utilizador escolher repor a palavra-passe, terá de escrever uma nova palavra-passe duas vezes e clicar em Seguinte para alterar a palavra-passe.