Habilitar a redefinição de senha de autoatendimento do Microsoft Entra na tela de entrada do Windows

A SSPR (redefinição de senha de autoatendimento) oferece aos usuários na ID do Microsoft Entra a capacidade de alterar ou redefinir sua senha, sem envolvimento do administrador ou do suporte técnico. Normalmente, os usuários abrem um navegador da Web em outro dispositivo para acessar o portal SSPR. Para melhorar a experiência em computadores que executam o Windows 7, 8, 8.1, 10 e 11, você pode permitir que os usuários redefinam sua senha na tela de entrada do Windows.

Importante

Este tutorial mostra a um administrador como habilitar o SSPR para dispositivos Windows em uma empresa.

Se sua equipe de TI não tiver habilitado a capacidade de usar o SSPR em seu dispositivo Windows ou se você tiver problemas durante a entrada, entre em contato com sua assistência técnica para obter assistência adicional.

Limitações gerais

As seguintes limitações se aplicam ao uso do SSPR na tela de entrada do Windows:

• Atualmente não há suporte para redefinir senha em uma Área de Trabalho Remota ou em sessões aprimoradas do Hyper-V.
• Alguns provedores de credenciais de terceiros são conhecidos por causar problemas com esse recurso.
• A desativação do UAC por meio da modificação da chave de registro EnableLUA é conhecida por causar problemas.
• Esse recurso não funciona para redes com a autenticação de rede 802.1x implantada e a opção "Executar imediatamente antes do logon do usuário". Para redes com autenticação de rede 802.1x implantada, é recomendável usar a autenticação de computador para habilitar esse recurso.
• Os computadores ingressados no Microsoft Entra híbrido devem ter a linha de visão de conectividade de rede para um controlador de domínio para usar a nova senha e atualizar as credenciais armazenadas em cache. Isso significa que os dispositivos devem estar na rede interna da organização ou em uma VPN com acesso de rede a um controlador de domínio local. Se a SSPR for o único requisito, a linha de conexão de rede para o controlador de domínio não será necessária.
• Se estiver usando uma imagem, antes de executar o sysprep, veja se o cache da Web está desmarcado para o Administrador integrado, antes de executar a etapa CopyProfile. Mais informações sobre essa etapa podem ser encontradas no artigo de suporte Desempenho ruim ao usar o perfil de usuário padrão personalizado.
• As seguintes configurações são conhecidas por interferir na capacidade de usar e redefinir senhas em dispositivos Windows 10:
  • Se as notificações de tela de bloqueio estiverem desativadas, a Redefinição de senha não funcionará.
  • HideFastUserSwitching é definido como habilitado ou 1
  • DontDisplayLastUserName está definido como habilitado ou 1
  • NoLockScreen está definido como habilitado ou 1
  • BlockNonAdminUserInstall está definido como habilitado ou 1
  • EnableLostMode é definido no dispositivo
  • Explorer.exe é substituído por um shell personalizado
  • Logon interativo: exigir que o cartão inteligente esteja definido como habilitado ou 1
• A combinação das três configurações específicas a seguir pode fazer com que esse recurso não funcione.
  • Logon interativo: não requer CTRL+ALT+DEL = Desabilitado (somente para Windows 10 versão 1710 e anterior)
  • DisableLockScreenAppNotifications = 1 ou Habilitado
  • O SKU do Windows é a edição Home

Nota

Essas limitações também se aplicam à redefinição de PIN do Windows Hello para Empresas na tela de bloqueio do dispositivo.

Redefinição de senha do Windows 11 e windows 10

Para configurar um dispositivo Windows 11 ou Windows 10 para SSPR na tela de entrada, examine os pré-requisitos e as etapas de configuração a seguir.

Pré-requisitos do Windows 11 e windows 10

• Entre no centro de administração do Microsoft Entra como Administrador de Política de Autenticação ou superior e habilite a redefinição de senha por autoatendimento do Microsoft Entra.
• Os usuários devem se registrar no SSPR antes de usar esse recurso em https://aka.ms/ssprsetup
  • Embora não seja exclusivo para o uso do SSPR na tela de entrada do Windows, é necessário que todos os usuários forneçam as informações de contato de autenticação antes de poderem redefinir suas senhas.
• Requisitos de proxy de rede:
  • Porta 443 para passwordreset.microsoftonline.com e ajax.aspnetcdn.com
  • Os dispositivos Windows 10 exigem uma configuração de proxy no nível do computador ou uma configuração de proxy com escopo para a conta defaultuser1 temporária usada para executar a SSPR (consulte Seção de solução de problemas para obter mais detalhes).
• Execute pelo menos o Windows 10, versão atualização de abril de 2018 (v1803) e os dispositivos devem ser:
  • Microsoft Entra aderiu
  • Ingressado no Microsoft Entra híbrido

Habilitar para Windows 11 e Windows 10 usando o Microsoft Intune

Implantar a alteração de configuração para habilitar o SSPR na tela de logon usando o Microsoft Intune é o método mais flexível. O Microsoft Intune permite implantar a alteração de configuração em um grupo específico de computadores que você definir. Esse método requer o registro do dispositivo no Microsoft Intune.

Criar uma política de configuração de dispositivo no Microsoft Intune

1. Entre no Centro de administração do Microsoft Intune.

2. Crie um novo perfil de configuração de dispositivo acessando configuração de dispositivo>Perfise selecione + Criar Perfil

   • Para Plataforma, escolha Windows 10 e posterior
   • Para tipo de perfil, escolha Modelos e selecione o modelo personalizado abaixo

3. Selecione Criare, em seguida, forneça um nome significativo para o perfil, como SSPR da tela de login do Windows 11

   Opcionalmente, forneça uma descrição significativa do perfil e selecione Próximo.

4. Em Definições de configuração, selecione Adicionar e forneça a seguinte configuração de OMA-URI para habilitar o link de redefinição de senha:

   • Forneça um nome significativo para explicar o que a configuração está fazendo, como Adicionar link SSPR.
   • Opcionalmente, forneça uma descrição significativa da configuração.
   • OMA-URI definido como
   • Tipo de dados definido como Inteiro
   • Valor definido como 1

   Selecione Adicionare, em seguida, Próximo.

5. A política pode ser atribuída a usuários, dispositivos ou grupos específicos. Atribua o perfil conforme desejado para seu ambiente, de preferência a um grupo de dispositivos de teste primeiro e selecione Avançar.

   Para obter mais informações, consulte Atribuir perfis de usuário e dispositivo no Microsoft Intune.

6. Configure as regras de aplicabilidade conforme desejado para seu ambiente, como para Atribuir o perfil se a edição do sistema operacional for Windows 10 Enterprise e, em seguida, selecione Avançar.

7. Examine seu perfil e selecione Criar.

Habilitar para Windows 11 e Windows 10 usando o Registro

Para habilitar o SSPR na tela de entrada usando uma chave do Registro, conclua as seguintes etapas:

1. Entre no computador Windows usando credenciais administrativas.

2. Pressione Windows + R para abrir o diálogo Executar, e, em seguida, execute regedit como administrador.

3. Defina a seguinte chave do Registro:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

Solução de problemas de redefinição de senha do Windows 11 e do Windows 10

Se você tiver problemas com o uso de SSPR na tela de login do Windows, o log de auditoria do Microsoft Entra inclui informações sobre o endereço IP e ClientType em que ocorreu a redefinição de senha, conforme mostrado na saída de exemplo a seguir.

Quando os usuários redefinem a senha da tela de entrada de um dispositivo Windows 11 ou 10, uma conta temporária de baixo privilégio chamada defaultuser1 será criada. Essa conta é usada para manter o processo de redefinição de senha seguro.

A própria conta tem uma senha gerada aleatoriamente, que é validada em relação a uma política de senha de organizações, não aparece para entrada no dispositivo e é removida automaticamente depois que o usuário redefine sua senha. Vários perfis de defaultuser podem existir, mas podem ser ignorados com segurança.

Configurações de proxy para redefinição de senha do Windows

Durante a redefinição de senha, a SSPR cria uma conta de usuário local temporária para se conectar ao https://passwordreset.microsoftonline.com/n/passwordreset. Quando um proxy é configurado para autenticação de usuário, ele pode falhar com o erro "Algo deu errado. Tente novamente mais tarde." Isso ocorre porque a conta de usuário local não está autorizada a usar o proxy autenticado.

Nesse caso, você pode usar uma das seguintes soluções alternativas:

• Defina uma configuração de proxy em todo o computador que não dependa do tipo de usuário conectado ao computador. Por exemplo, você pode habilitar a Política de Grupo Fazer configurações de proxy por computador (em vez de por usuário) para as estações de trabalho.

• Você também poderá usar configurações de proxy por usuário para SSPR se modificar o modelo de Registro para a Conta Padrão. Os comandos são os seguintes:

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• O erro "Algo deu errado" também pode ocorrer quando qualquer coisa interrompe a conectividade com a URL https://passwordreset.microsoftonline.com/n/passwordreset. Por exemplo, esse erro pode ocorrer quando o software antivírus é executado na estação de trabalho sem exclusões para URLs passwordreset.microsoftonline.com, ajax.aspnetcdn.come ocsp.digicert.com. Desabilite esse software temporariamente para testar se o problema foi resolvido ou não.

Redefinição de senha do Windows 7, 8 e 8.1

Para configurar um dispositivo Windows 7, 8 ou 8.1 para SSPR na tela de entrada, examine os pré-requisitos e as etapas de configuração a seguir.

Pré-requisitos do Windows 7, 8 e 8.1

• Entre no centro de administração do Microsoft Entra como Administrador de Política de Autenticação ou superior e habilite a redefinição de senha por autoatendimento do Microsoft Entra.
• Os usuários devem se registrar no SSPR antes de usar esse recurso em https://aka.ms/ssprsetup
  • Não é exclusivo do uso do SSPR na tela de login do Windows, todos os usuários devem fornecer as informações de contato de autenticação antes de redefinir a senha.
• Requisitos de proxy de rede:
  • Porta 443 para passwordreset.microsoftonline.com
• Sistema operacional Windows 7 ou Windows 8.1 corrigido.
• TLS 1.2 habilitado usando a diretriz encontrada em Configurações de registro do protocolo TLS.
• Se mais de um provedor de credenciais de terceiros estiver habilitado em seu computador, os usuários verão mais de um perfil de usuário na tela de logon.

Aviso

O TLS 1.2 deve ser habilitado, não apenas configurado para negociação automática.

Instalar

Para o Windows 7, 8 e 8.1, um pequeno componente deve ser instalado no computador para habilitar o SSPR na tela de entrada. Para instalar esse componente SSPR, conclua as seguintes etapas:

1. Baixe o instalador apropriado para a versão do Windows que você deseja habilitar.

   O instalador de software está disponível no centro de download da Microsoft em https://aka.ms/sspraddin

2. Entre no computador onde você deseja instalar e execute o instalador.

3. Após a instalação, uma reinicialização é altamente recomendada.

4. Após a reinicialização, na tela de entrada, escolha um usuário e selecione "Esqueceu a senha?" para iniciar o fluxo de trabalho de redefinição de senha.

5. Conclua o fluxo de trabalho seguindo as etapas na tela para redefinir sua senha.

Instalação silenciosa

O componente SSPR pode ser instalado ou desinstalado sem prompts usando os seguintes comandos:

• Para instalação silenciosa, use o comando "msiexec /i SsprWindowsLogon.PROD.msi /qn"
• Para desinstalação silenciosa, use o comando "msiexec /x SsprWindowsLogon.PROD.msi /qn"

Solução de problemas de redefinição de senha do Windows 7, 8 e 8.1

Se você tiver problemas com o uso de SSPR na tela de entrada do Windows, os eventos serão registrados no computador e na ID do Microsoft Entra. Os eventos do Microsoft Entra incluem informações sobre o endereço IP e ClientType em que ocorreu a redefinição de senha, conforme mostrado na seguinte saída de exemplo:

Se for necessário um log adicional, uma chave do Registro no computador poderá ser alterada para habilitar o registro em log detalhado. Habilite o log detalhado para fins de solução de problemas usando apenas o seguinte valor de chave do registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• Para habilitar o log detalhado, crie um REG_DWORD: "EnableLogging" e o configure como 1.
• Para desabilitar o log detalhado, altere o REG_DWORD: "EnableLogging" para 0.
• Examine o log de depuração no log de eventos do aplicativo em AADPasswordResetCredentialProvider de origem.

O que os usuários veem

Com a SSPR configurada para seus dispositivos Windows, o que muda para o usuário? Como eles sabem que podem redefinir a senha na tela de logon? As capturas de tela de exemplo a seguir mostram as opções adicionais para um usuário redefinir sua senha usando SSPR:

Quando os usuários tentam fazer login, eles veem um link Redefinir senha ou Senha esquecida que abre a experiência de redefinição de senha de autoatendimento na tela de login. Essa funcionalidade permite que os usuários redefinam sua senha sem precisar usar outro dispositivo para acessar um navegador da Web.

Mais informações para os usuários sobre como usar esse recurso podem ser encontradas no Redefinir sua senha corporativa ou de estudante

Próximas etapas

Para simplificar a experiência de registro do usuário, você pode preencher previamente as informações de contato de autenticação do usuário para SSPR.