Tutorial: Permitir que os utilizadores desbloqueiem a conta ou reponham as palavras-passe com a reposição personalizada de palavra-passe do Microsoft Entra

A redefinição de senha de autoatendimento (SSPR) do Microsoft Entra oferece aos usuários a capacidade de alterar ou redefinir sua senha, sem envolvimento de administrador ou help desk. Se o Microsoft Entra ID bloquear a conta de um usuário ou ele esquecer sua senha, ele poderá seguir as instruções para se desbloquear e voltar ao trabalho. Essa capacidade reduz as chamadas de suporte técnico e a perda de produtividade quando um usuário não consegue entrar em seu dispositivo ou aplicativo. Recomendamos este vídeo sobre Como habilitar e configurar o SSPR no Microsoft Entra ID. Também temos um vídeo para administradores de TI sobre como resolver as seis mensagens de erro mais comuns do usuário final com SSPR.

Neste tutorial, ficará a saber como:

Tutorial de vídeo

Você também pode acompanhar em um vídeo relacionado: Como habilitar e configurar o SSPR no Microsoft Entra ID.

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

• Um locatário do Microsoft Entra em funcionamento com pelo menos uma licença gratuita ou de avaliação do Microsoft Entra ID habilitada. No nível Gratuito, o SSPR só funciona para usuários de nuvem no Microsoft Entra ID. A alteração de senha é suportada no nível Gratuito, mas a redefinição de senha não.
  • Para tutoriais posteriores nesta série, você precisará de uma ID P1 do Microsoft Entra ou uma licença de avaliação para write-back de senha local.
  • Se necessário, crie uma conta do Azure gratuitamente.
• Uma conta com privilégios de Administrador Global ou Administrador de Política de Autenticação .
• Um usuário não administrador com uma senha que você conhece, como testuser. Você testará a experiência SSPR do usuário final usando essa conta neste tutorial.
  • Se você precisar criar um usuário, consulte Guia de início rápido: adicionar novos usuários ao ID do Microsoft Entra.
• Um grupo do qual o usuário não administrador é membro, gosta do SSPR-Test-Group. Você habilitará o SSPR para este grupo neste tutorial.
  • Se você precisar criar um grupo, consulte Criar um grupo básico e adicionar membros usando a ID do Microsoft Entra.

Ativar a reposição de palavras-passe self-service

O Microsoft Entra ID permite habilitar o SSPR para Nenhum, Selecionado ou Todos os usuários. Essa capacidade granular permite escolher um subconjunto de usuários para testar o processo de registro e o fluxo de trabalho do SSPR. Quando você estiver confortável com o processo e o momento certo para comunicar os requisitos com um conjunto mais amplo de usuários, poderá selecionar um grupo de usuários para habilitar o SSPR. Ou, você pode habilitar o SSPR para todos no locatário do Microsoft Entra.

Neste tutorial, configure o SSPR para um conjunto de usuários em um grupo de teste. Use o SSPR-Test-Group e forneça seu próprio grupo do Microsoft Entra conforme necessário:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

2. Navegue até Redefinição de senha de proteção>no menu do lado esquerdo.

3. Na página Propriedades, na opção Redefinição de senha de autoatendimento habilitada, escolha Selecionado.

4. Se o seu grupo não estiver visível, escolha Nenhum grupo selecionado, procure e selecione seu grupo do Microsoft Entra, como SSPR-Test-Group, e escolha Selecionar.

   

5. Para habilitar o SSPR para os usuários selecionados, selecione Salvar.

Selecionar métodos de autenticação e opções de registro

Quando os usuários precisam desbloquear sua conta ou redefinir sua senha, eles são solicitados a fornecer outro método de confirmação. Esse fator de autenticação extra garante que o Microsoft Entra ID tenha concluído apenas eventos SSPR aprovados. Você pode escolher quais métodos de autenticação permitir, com base nas informações de registro fornecidas pelo usuário.

1. No menu do lado esquerdo da página Métodos de autenticação, defina o Número de métodos necessários para redefinir como 2.

   Para melhorar a segurança, você pode aumentar o número de métodos de autenticação necessários para SSPR.

2. Escolha os Métodos disponíveis para usuários que sua organização deseja permitir. Para este tutorial, marque as caixas para habilitar os seguintes métodos:

   • Notificação de aplicativo móvel
   • Código da aplicação móvel
   • Email
   • Telemóvel

   Você pode habilitar outros métodos de autenticação, como telefone do Office ou perguntas de segurança, conforme necessário para atender às suas necessidades de negócios.

3. Para aplicar os métodos de autenticação, selecione Salvar.

Antes que os usuários possam desbloquear sua conta ou redefinir uma senha, eles devem registrar suas informações de contato. O Microsoft Entra ID usa essas informações de contato para os diferentes métodos de autenticação configurados nas etapas anteriores.

Um administrador pode fornecer manualmente essas informações de contato ou os usuários podem ir a um portal de registro para fornecer as próprias informações. Neste tutorial, configure o Microsoft Entra ID para solicitar o registro dos usuários na próxima vez que entrarem.

1. No menu do lado esquerdo da página Registro , selecione Sim para Exigir que os usuários se registrem ao entrar.

2. Defina o Número de dias antes de ser pedido aos utilizadores que voltem a confirmar as informações de autenticação como 180.

   É importante manter as informações de contato atualizadas. Se existirem informações de contato desatualizadas quando um evento SSPR for iniciado, o usuário pode não conseguir desbloquear sua conta ou redefinir sua senha.

3. Para aplicar as configurações de registro, selecione Salvar.

Configurar notificações e personalizações

Para manter os usuários informados sobre a atividade da conta, você pode configurar o Microsoft Entra ID para enviar notificações por email quando um evento SSPR acontecer. Essas notificações podem abranger contas de usuários regulares e contas de administrador. Para contas de administrador, essa notificação fornece outra camada de reconhecimento quando uma senha de conta de administrador privilegiada é redefinida usando SSPR. O Microsoft Entra ID notificará todos os administradores globais quando alguém usar SSPR em uma conta de administrador.

1. No menu do lado esquerdo da página Notificações , configure as seguintes opções:

   • Defina a opção Notificar usuários sobre redefinições de senha? como Sim.
   • Defina Notificar todos os administradores quando outros administradores redefinirem suas senhas? como Sim.

2. Para aplicar as preferências de notificação, selecione Salvar.

Se os usuários precisarem de mais ajuda com o processo SSPR, você poderá personalizar o link "Entre em contato com o administrador". O usuário pode selecionar este link no processo de registro SSPR e quando desbloquear sua conta ou redefinir sua senha. Para garantir que seus usuários recebam o suporte necessário, recomendamos que você forneça um e-mail ou URL personalizado do helpdesk.

1. No menu do lado esquerdo da página Personalização , defina o link Personalizar helpdesk como Sim.
2. No campo E-mail ou URL do helpdesk personalizado, forneça um endereço de e-mail ou URL de página da Web onde os usuários possam obter mais ajuda da sua organização, como https://support.contoso.com/
3. Para aplicar o link personalizado, selecione Salvar.

Testar a reposição personalizada de palavra-passe

Com o SSPR habilitado e configurado, teste o processo SSPR com um usuário que faça parte do grupo selecionado na seção anterior, como Test-SSPR-Group. O exemplo a seguir usa a conta testuser . Forneça sua própria conta de usuário. Ele faz parte do grupo que você habilitou para SSPR na primeira seção deste tutorial.

1. Para ver o processo de registo manual, abra uma nova janela do browser no modo InPrivate ou de navegação anónima e navegue até https://aka.ms/ssprsetup. O Microsoft Entra ID direcionará os usuários para este portal de registro quando entrarem na próxima vez.

2. Entre com um usuário de teste que não seja administrador, como testuser, e registre suas informações de contato de métodos de autenticação.

3. Quando terminar, selecione o botão marcado Parece bom e feche a janela do navegador.

4. Abra uma nova janela de browser no modo InPrivate ou incógnito e navegue para https://aka.ms/sspr.

5. Insira as informações da conta dos usuários de teste não administradores, como testuser, os caracteres do CAPTCHA e selecione Avançar.

   

6. Siga as etapas de verificação para redefinir sua senha. Quando terminar, você receberá uma notificação por e-mail informando que sua senha foi redefinida.

Clean up resources (Limpar recursos)

Em um tutorial posterior desta série, você configurará o write-back de senha. Esse recurso grava as alterações de senha do Microsoft Entra SSPR de volta para um ambiente AD local. Se você quiser continuar com esta série de tutoriais para configurar o write-back de senha, não desative o SSPR agora.

Se você não quiser mais usar a funcionalidade SSPR configurada como parte deste tutorial, defina o status do SSPR como Nenhum usando as seguintes etapas:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
2. Navegue até Redefinição de senha de proteção>.
3. Na página Propriedades, na opção Redefinição de senha de autoatendimento habilitada, selecione Nenhuma.
4. Para aplicar a alteração SSPR, selecione Salvar.

FAQs

Esta seção explica perguntas comuns de administradores e usuários finais que experimentam o SSPR:

• Por que as políticas de senha locais não são exibidas durante o SSPR?

  No momento, o Microsoft Entra Connect e a sincronização na nuvem não suportam o compartilhamento de detalhes da política de senha com a nuvem. O SSPR exibe apenas os detalhes da política de senha na nuvem e não pode mostrar políticas locais.

• Por que os usuários federados esperam até 2 minutos depois de verem que Sua senha foi redefinida antes de poderem usar senhas sincronizadas localmente?

  Para usuários federados cujas senhas são sincronizadas, a fonte de autoridade para as senhas é local. Como resultado, o SSPR atualiza apenas as senhas locais. A sincronização de hash de senha de volta para o Microsoft Entra ID é agendada para cada 2 minutos.

• Quando um usuário recém-criado que é pré-preenchido com dados SSPR, como telefone e e-mail, visita a página de registro SSPR, Não perca o acesso à sua conta! aparece como o título da página. Por que outros usuários que têm dados SSPR pré-preenchidos não veem a mensagem?

  Um usuário que vê Não perca o acesso à sua conta! é um membro de SSPR/grupos de registro combinados que são configurados para o locatário. Os usuários que não veem Não perca o acesso à sua conta! não faziam parte dos grupos de registro SSPR/combinados.

• Quando alguns usuários passam pelo processo SSPR e redefinem sua senha, por que eles não veem o indicador de força da senha?

  Os usuários que não veem a força da senha fraca/forte têm o write-back de senha sincronizado habilitado. Como o SSPR não pode determinar a política de senha do ambiente local do cliente, ele não pode validar a força ou a fraqueza da senha.

Próximos passos

Neste tutorial, você habilitou a redefinição de senha de autoatendimento do Microsoft Entra para um grupo selecionado de usuários. Aprendeu a: