Compartilhar via


Planejar a implantação da redefinição de senha self-service do Microsoft Entra

Importante

Este plano de implantação oferece orientações e melhores práticas para implantar a SSPR (redefinição de senha self-service) do Microsoft Entra.

Se você for um usuário final e precisar voltar à sua conta, vá para https://aka.ms/sspr .

A SSPR (redefinição de senha self-service) é um recurso do Microsoft Entra que permite que os usuários redefinam suas senhas sem entrar em contato com a equipe de TI para obter ajuda. Os usuários podem rapidamente se desbloquear e continuar trabalhando independentemente de onde estiverem ou da hora do dia. Ao permitir que os funcionários se desbloqueiem, sua organização pode reduzir o tempo não produtivo e os altos custos de suporte para os problemas mais comuns relacionados a senhas.

O SSPR tem os seguintes recursos principais:

  • O self-service permite que os usuários finais redefinam suas senhas expiradas ou não expiradas sem entrar em contato com um administrador ou uma assistência técnica para obter suporte.
  • O Write-back de senha permite o gerenciamento de senhas locais e a resolução de bloqueio de conta por meio da nuvem.
  • Os relatórios de atividade de gerenciamento de senha fornecem aos administradores percepções sobre as atividades de registro e de redefinição de senha que ocorrem em suas organizações.

Este guia de implantação mostra como planejar e testar uma distribuição SSPR.

Para ver rapidamente o SSPR em ação e voltar para entender as considerações adicionais de implantação:

Dica

Como acompanhante deste artigo, recomendamos o uso do Guia de implantação do Planejamento de sua redefinição de senha self-service quando conectado ao Centro de administração do Microsoft 365. Este guia irá personalizar sua experiência com base em seu ambiente. Para ler as boas práticas sem entrar no aplicativo e ativar os recursos de instalação automatizada, acesse o portal de Instalação do M365.

Saiba mais sobre o SSPR

Saiba mais sobre o SSPR. Confira Como funciona: Redefinição de senha por autoatendimento do Microsoft Entra.

Principais benefícios

Os principais benefícios da habilitação de SSPR são:

  • Gerenciamento de custo. O SSPR reduz os custos de suporte de TI, permitindo que os usuários redefinam senhas por conta própria. Ele também reduz o custo do tempo perdido devido a senhas perdidas e bloqueios.

  • Experiência de usuário intuitiva. Ele fornece um processo de registro de usuário único intuitivo que permite que os usuários redefinam senhas e desbloqueiem contas sob demanda de qualquer dispositivo ou local. O SSPR permite que os usuários voltem ao trabalho com mais rapidez e sejam mais produtivos.

  • Flexibilidade e segurança. O SSPR permite que as empresas acessem a segurança e a flexibilidade que uma plataforma de nuvem fornece. Os administradores podem alterar as configurações para acomodar novos requisitos de segurança e reverter essas alterações para os usuários sem interromper sua entrada.

  • Auditoria e rastreamento de uso robustos. Uma organização pode garantir que os sistemas de negócios permaneçam seguros enquanto seus usuários redefinem suas próprias senhas. Os logs de auditoria robustos incluem informações de cada etapa do processo de redefinição de senha. Esses logs estão disponíveis a partir de uma API e permitem que o usuário importe os dados para um sistema de escolha do SIEM (monitoramento de eventos e incidentes de segurança).

Licenciamento

O Microsoft Entra ID é licenciado por usuário, o que significa que cada usuário requer uma licença apropriada para os recursos que ele usa. Recomendamos o licenciamento baseado em grupo para SSPR.

Para comparar edições e recursos e habilitar o licenciamento baseado em grupo ou usuário, confira Requisitos de licenciamento para redefinição de senha self-service do Microsoft Entra.

Para obter informações sobre os preços, confira preços do Microsoft Entra.

Pré-requisitos

  • Um locatário de trabalho do Microsoft Entra com pelo menos uma licença de avaliação habilitada. Se necessário, crie um gratuitamente.

  • Um Administrador Global é necessário para gerenciar esse recurso.

Passo a passo guiado

Para obter um passo a passo guiado de muitas das recomendações neste artigo, consulte o guia Planejar sua implantação de redefinição de senha self-service quando estiver logado no Centro de administração do Microsoft 365. Para ler as boas práticas sem entrar no aplicativo e ativar os recursos de instalação automatizada, acesse o portal de Instalação do M365.

Recursos de treinamento

Recursos Link e descrição
vídeos Capacite seus usuários com melhor escalabilidade de TI
O que é redefinição de senha self-service?
Como implantar a redefinição de senha self-service
Como habilitar e configurar o SSPR em Microsoft Entra ID
Como configurar a redefinição de senha self-service para usuários no Microsoft Entra ID?
Como [preparar usuários para] registrar [suas] informações de segurança para o Microsoft Entra ID
Cursos online Gerenciamento de identidades no Microsoft Entra ID Use o SSPR para dar aos seus usuários uma experiência moderna e protegida. Veja especialmente o módulo "Managing Microsoft Entra Users and Groups".
Introdução ao Microsoft Enterprise Mobility Suite Conheça as melhores práticas para estender ativos locais para a nuvem de uma maneira que permita autenticação, autorização, criptografia e uma experiência móvel protegida. Confira especialmente o módulo "Configuração de recursos avançados de Microsoft Entra ID P1 ou P2".
Tutoriais Concluir uma distribuição piloto de redefinição de senha self-service Microsoft Entra
Habilitar o write-back de senha
Redefinição de senha do Microsoft Entra na tela de logon para Windows 10
Perguntas frequentes Perguntas frequentes sobre o gerenciamento de senhas

Arquitetura da solução

O exemplo a seguir descreve a arquitetura da solução de redefinição de senha para ambientes híbridos comuns.

Diagrama da arquitetura da solução

Descrição do fluxo de trabalho

Para redefinir a senha, os usuários acessam o portal de redefinição de senha. Eles devem verificar o método ou métodos de autenticação registrados anteriormente para provar sua identidade. Se eles redefinirem a senha com êxito, eles iniciarão o processo de redefinição.

  • Para usuários somente de nuvem, o SSPR armazena a nova senha no Microsoft Entra ID.

  • Para usuários híbridos, o SSPR grava novamente a senha para o Active Directory local por meio do serviço Microsoft Entra Connect.

Observação: Para usuários que têm PHS (sincronização de hash de senha) desabilitado, o SSPR armazena as senhas somente no Active Directory local.

Práticas recomendadas

Você pode ajudar os usuários a se registrarem rapidamente implantando o SSPR com outro aplicativo ou serviço popular na organização. Essa ação vai gerar um grande volume de entradas e orientar o registro.

Antes de implantar o SSPR, você pode optar por determinar o número e o custo médio de cada chamada de redefinição de senha. Você pode usar esses dados após a implantação para mostrar o valor que o SSPR está trazendo para a organização.

Registro combinado para SSPR e autenticação multifator do Microsoft Entra

A SSPR permite que os usuários redefinam a senha de maneira segura usando os mesmos métodos da autenticação multifator do Microsoft Entra. Registro combinado é uma única etapa de registro para usuários finais que permite o registro de métodos MFA e SSPR ao mesmo tempo. Para que você realmente entenda a funcionalidade e a experiência do usuário final, confira os Conceitos de registro combinado de informações de segurança.

É essencial informar os usuários sobre alterações futuras, requisitos de registro e ações de usuário necessárias. Oferecemos modelos de comunicação e documentação do usuário para preparar os usuários para a nova experiência e garantir o sucesso da distribuição. Envie os usuários para https://myprofile.microsoft.com para registrar ao selecionar o link Informações de Segurança nessa página.

Planejar o projeto de implantação

Considere suas necessidades organizacionais enquanto determina a estratégia para essa implantação em seu ambiente.

Envolva os participantes certos

Quando os projetos de tecnologia falham, eles normalmente fazem isso devido a expectativas incompatíveis com o impacto, os resultados e as responsabilidades. Para evitar essas armadilhas, verifique se você está participando dos stakeholders certos e que as funções de stakeholder no projeto sejam bem compreendidas ao documentar os stakeholders, a entrada e as responsabilidades no projeto.

Funções de administrador necessárias

Função corporativa/persona Função do Microsoft Entra (se necessário)
Suporte técnico nível 1 Administrador de senha
Suporte técnico nível 2 Administrador de usuários
Administrador do SSPR Administrador de autenticação

Planejar um piloto

Recomendamos que a configuração inicial do SSPR esteja em um ambiente de teste. Comece com um grupo piloto habilitando o SSPR para um subconjunto de usuários em sua organização. Consulte Melhores práticas para obter um piloto.

Para criar um grupo, consulte como criar um grupo e adicionar membros no Microsoft Entra.

Configuração do plano

As configurações a seguir são necessárias para habilitar o SSPR com os valores recomendados.

Área Configuração Valor
Propriedades de SSPR Redefinição de senha self-service habilitada Grupo selecionado para o piloto/Todos para produção
Métodos de autenticação Métodos de autenticação necessários para registro Sempre 1 mais do que o necessário para redefinir
Métodos de autenticação necessários para redefinir Um ou dois
Registro Exigir que os usuários se registrem ao entrar Sim
Número de dias antes que os usuários precisem reconfirmar suas informações de autenticação 90 – 180 dias
Notificações Notificar os usuários de redefinições de senha Sim
Notificar todos os administradores quando outros administradores redefinirem suas próprias senhas Sim
Personalização Personalizar link de assistência técnica Sim
URL ou email de assistência técnica personalizado Site de suporte ou endereço de email
Integração local Write-back de senhas para o AD local Sim
Permitir que os usuários desbloqueiem a conta sem redefinir a senha Sim

Propriedades de SSPR

Ao habilitar o SSPR, escolha um grupo de segurança apropriado no ambiente piloto.

  • Para impor o registro SSPR para todos, é recomendável usar a opção Todos.
  • Caso contrário, selecione o grupo de segurança do Microsoft Entra ID ou do AD apropriado.

Métodos de autenticação

Quando o SSPR estiver habilitado, os usuários só poderão redefinir sua senha se tiverem dados presentes nos métodos de autenticação que o administrador tiver habilitado. Os métodos incluem telefone, notificação do aplicativo Authenticator, perguntas de segurança, e assim por diante. Para obter mais informações, consulte O que são métodos de autenticação?.

Recomendamos as seguintes configurações do método de autenticação:

  • Defina os Métodos de autenticação necessários para registro em pelo menos um maior que o número necessário para a redefinição. Permitir várias autenticações dá aos usuários flexibilidade quando eles precisam ser redefinidos.

  • Defina o Número de métodos necessários para redefinir como um nível apropriado para sua organização. Um deles requer o menor conflito, enquanto dois podem aumentar sua postura de segurança.

Observação: o usuário deve ter os métodos de autenticação configurados em Diretivas e restrições de senha no Microsoft Entra ID.

Configurações de registro

Defina Exigir que os usuários se registrem ao entrar como Sim. Essa configuração exige que os usuários se registrem ao entrar, garantindo que todos os usuários estejam protegidos.

Defina o Número de dias antes que os usuários sejam solicitados a reconfirmar suas informações de autenticação entre 90 e 180 dias, a menos que sua organização tenha uma necessidade comercial para um período de tempo menor.

Configurações de notificações

Defina Notificar os usuários sobre redefinições de senha e Notificar todos os administradores quando outros administradores redefinirem suas senhas como Sim. Selecionar Sim em ambos aumenta a segurança, garantindo que os usuários saibam quando sua senha é redefinida. Também garante que todos os administradores saibam quando um administrador altera uma senha. Se os usuários ou administradores receberem uma notificação e eles não tiverem iniciado a alteração, eles poderão relatar imediatamente um possível problema de segurança.

Observação

Notificações por e-mail do serviço SSPR serão enviadas dos seguintes endereços com base na nuvem do Azure com a qual você está trabalhando:

  • Público: msonlineservicesteam@microsoft.com
  • China: msonlineservicesteam@oe.21vianet.com
  • Governo: msonlineservicesteam@azureadnotifications.us

Se você observar problemas ao receber notificações, verifique suas configurações de spam.

Configurações de personalização

É fundamental personalizar o email ou a URL da assistência técnica para garantir que os usuários que tenham problemas possam obter ajuda imediatamente. Defina essa opção como um endereço de email comum da assistência técnica ou página da Web com a qual os usuários estão familiarizados.

Para obter mais informações, consulte Personalizar a funcionalidade do Microsoft Entra para redefinição de senha self-service.

Write-back de senha

O write-back de senha é habilitado com Microsoft Entra Connect e grava redefinições de senha na nuvem de volta para um diretório local existente em tempo real. Para obter mais informações, consulte O que é write-back de senha?

Recomendamos as seguintes configurações:

  • Verifique se Write-back de senhas no AD local está definido como Sim.
  • Defina Permitir que os usuários desbloqueiem a conta sem redefinir a senha como Sim.

Por padrão, o Microsoft Entra ID desbloqueia contas quando ele executa uma redefinição de senha.

Configuração de senha de administrador

As contas de administrador têm permissões elevadas. Os administradores de domínio ou corporativos locais não podem redefinir suas senhas por meio de SSPR. As contas de administrador local têm as seguintes restrições:

  • Só é possível alterar a senha em seu ambiente local.
  • Nunca pode usar as perguntas e respostas secretas como um método para redefinir sua senha.

Recomendamos que você não sincronize suas contas de administrador de Active Directory local com o Microsoft Entra ID.

Ambientes com vários sistemas de gerenciamento de identidade

Alguns ambientes têm vários sistemas de gerenciamento de identidade. Os gerenciadores de identidade locais, como Oracle IAM e SiteMinder, exigem sincronização com o AD para senhas. Você pode fazer isso usando uma ferramenta como o serviço de notificação de alteração de senha (PCNS) com o MIM (Microsoft Identity Manager). Para encontrar informações sobre esse cenário mais complexo, consulte o artigo Implantar o serviço de notificação de alteração de senha do MIM em um controlador de domínio.

Teste e suporte do plano

Em cada estágio de sua implantação de grupos piloto iniciais por toda a organização, verifique se os resultados são os esperados.

Teste de plano

Para garantir que sua implantação funcione conforme o esperado, planeje um conjunto de casos de teste para validar a implementação. Para avaliar os casos de teste, você precisa de um usuário de teste que não seja administrador com uma senha. Se você precisar criar um usuário, consulte Adicionar novos usuários ao Microsoft Entra ID.

A tabela a seguir inclui cenários de teste úteis que você pode usar para documentar os resultados esperados de suas organizações com base em suas políticas.

Caso comercial Resultados esperados
O portal do SSPR pode ser acessado de dentro da rede corporativa Determinado pela sua organização
O portal do SSPR pode ser acessado de fora da rede corporativa Determinado pela sua organização
Redefinir a senha do usuário do navegador quando o usuário não estiver habilitado para redefinição de senha O usuário não consegue acessar o fluxo de redefinição de senha
Redefinir a senha do usuário do navegador quando o usuário não tiver se registrado para redefinição de senha O usuário não consegue acessar o fluxo de redefinição de senha
O usuário entra quando imposto para fazer o registro de redefinição de senha Solicita que o usuário registre informações de segurança
O usuário entra quando o registro de redefinição de senha é concluído Solicita que o usuário registre informações de segurança
O portal do SSPR é acessível quando o usuário não tem uma licença Está acessível
Redefinir a senha do usuário da tela de bloqueio do dispositivo ingressado no Microsoft Entra do Windows 10 ou híbrido do Microsoft Entra O usuário pode redefinir a senha
Os dados de registro e de uso do SSPR estão disponíveis para os administradores quase em tempo real Está disponível por meio de logs de auditoria

Você também pode consultar Concluir uma reversão do piloto de redefinição de senha self-service do Microsoft Entra. Neste tutorial, você habilitará uma distribuição piloto de SSPR em sua organização e testará usando uma conta que não seja de administrador.

Planejar suporte

Embora o SSPR normalmente não crie problemas de usuário, é importante preparar a equipe de suporte para lidar com problemas que possam surgir. Para garantir o sucesso da sua equipe de suporte, é possível criar perguntas frequentes com base em perguntas que você recebe de seus usuários. Veja alguns exemplos:

Cenários Descrição
O usuário não tem nenhum método de autenticação registrado disponível Um usuário está tentando redefinir sua senha, mas não tem nenhum dos métodos de autenticação que ele registrou disponível (exemplo: ele deixou seu telefone celular em casa e não pode acessar o e-mail)
O usuário não está recebendo um texto ou uma chamada em seu escritório ou telefone celular Um usuário está tentando verificar sua identidade por meio de texto ou chamada, mas não está recebendo um texto/chamada.
O usuário não pode acessar o portal de redefinição de senha Um usuário deseja redefinir sua senha, mas não está habilitado para redefinição de senha e não pode acessar a página para atualizar senhas.
O usuário não pode definir uma nova senha Um usuário conclui a verificação durante o fluxo de redefinição de senha, mas não pode definir uma nova senha.
O usuário não vê um link Redefinir Senha em um dispositivo Windows 10 Um usuário está tentando redefinir a senha da tela de bloqueio do Windows 10, mas o dispositivo não está associado ao Microsoft Entra ID ou a política de dispositivo do Microsoft Intune não está habilitada

Reversão do plano

Para reverter a implantação:

  • Para um único usuário, remova o usuário do grupo de segurança

  • Para um grupo, remova o grupo da configuração do SSPR

  • Para todos, habilite o SSPR no locatário do Microsoft Entra

Implantar SSPR

Antes de implantar, verifique se você fez o seguinte:

  1. Determinou as definições de configuração apropriadas.

  2. Identificou usuários e grupos para os ambientes piloto e de produção.

  3. Determinou os parâmetros de configuração para registro e self-service.

  4. Configurou o write-back de senha caso tenha um ambiente híbrido.

Agora você está pronto para implantar o SSPR!

Consulte Habilitar a redefinição de senha self-service para obter instruções passo a passo completas sobre como configurar as seguintes áreas.

  1. Métodos de autenticação

  2. Configurações de registro

  3. Configurações de notificações

  4. Configurações de personalização

  5. Integração local

Habilitar SSPR no Windows

Para computadores que executam o Windows 7, 8, 8.1 e 10, você pode permitir que os usuários redefinam sua senha na tela de entrada do Windows

Gerenciar SSPR

O Microsoft Entra ID pode fornecer informações adicionais sobre o desempenho do SSPR por meio de auditorias e relatórios.

Relatórios de atividade de gerenciamento de senhas

Você pode usar relatórios pré-criados no centro de administração do Microsoft Entra para medir o desempenho do SSPR. Se você estiver licenciado adequadamente, também poderá criar consultas personalizadas. Para obter mais informações, consulte Opções de relatório para gerenciamento de senhas do Microsoft Entra.

Um Administrador Global é necessário para gerenciar esse recurso.

Observação

Você deve optar por esses dados a serem coletados para sua organização. Para optar por participar, você deve visitar a guia Relatórios ou os logs de auditoria no centro de administração do Microsoft Entra pelo menos uma vez. Até lá, os dados não são coletados para sua organização.

Os logs de auditoria para registro e redefinição de senha estão disponíveis por 30 dias. Se a auditoria de segurança dentro de sua empresa exigir maior retenção, os logs precisarão ser exportados e consumidos em uma ferramenta SIEM, como Microsoft Azure Sentinel, Splunk ou ArcSight.

Captura de tela de relatório do SSPR

Métodos de autenticação – Uso e insights

O uso e insights permitem que você entenda como os métodos de autenticação para recursos como a autenticação multifator Microsoft Entra e o SSPR, estão trabalhando em sua organização. Essa funcionalidade de relatório fornece à sua organização os meios para entender quais métodos se registram e como usá-los.

Solucionar problemas

Documentação útil

Próximas etapas