Compartilhar via


Como funciona: Redefinição de senha self-service do Microsoft Entra

A redefinição de senha self-service (SSPR) do Microsoft Entra oferece aos usuários a capacidade de alterar ou redefinir suas senhas, sem envolvimento de administrador ou suporte técnico. Se a conta de um usuário estiver bloqueada ou se ele esquecer a senha, ele poderá seguir os avisos para desbloquear a si mesmo e voltar ao trabalho. Essa capacidade reduz as chamadas de suporte técnico e a perda de produtividade quando um usuário não consegue entrar no dispositivo ou em um aplicativo. Recomendamos este vídeo sobre como habilitar e configurar o SSPR no Microsoft Entra ID.

Importante

Este artigo conceitual explica ao administrador como a redefinição de senha de autoatendimento funciona. Se você for um usuário final já registrado para redefinição de senha por autoatendimento e precisar voltar à sua conta, vá para https://aka.ms/sspr.

Se sua equipe de TI não tiver habilitado a capacidade de redefinir sua própria senha, entre em contato com sua assistência técnica para obter mais assistência.

Como funciona o processo de redefinição de senha?

Os usuários podem redefinir ou alterar sua senha usando o portal da SSPR. Primeiro eles devem registrar os métodos de autenticação desejados. Quando um usuário acessa o portal do SSPR, a do Microsoft Entra considera os seguintes fatores:

  • Como a página deve ser localizada?
  • A conta de usuário é válida?
  • A qual organização o usuário pertence?
  • Onde a senha é gerenciada?

Quando um usuário seleciona o link Não consegue acessar sua conta de um aplicativo ou uma página, ou vai diretamente para https://aka.ms/sspr, o idioma usado no portal da SSPR é baseado nas seguintes opções:

  • Por padrão, a localidade do navegador é usada para exibir a SSPR no idioma apropriado. A experiência de redefinição de senha é localizada nos mesmos idiomas para os quais o Microsoft 365 dá suporte.
  • Se você quiser vincular à SSPR em um idioma específico localizado, acrescente ?mkt= ao final da URL de redefinição de senha junto com a localidade necessária.

Depois que o portal da SSPR for exibido no idioma exigido, o usuário será solicitado a inserir uma ID de usuário e passar um captcha. O Microsoft Entra ID verifica se o usuário poderá usar a SSPR fazendo as seguintes verificações:

  • Verifica se o usuário tem a SSPR habilitada.
    • Se não tiver a SSPR habilitada, ele deverá entrar em contato com o administrador para redefinir a senha.
  • Verifica se o usuário possui os métodos de autenticação corretos definidos em sua conta, de acordo com a política do administrador.
    • Se a política exigir apenas um método, verifique se o usuário tem os dados apropriados definidos para pelo menos um dos métodos de autenticação habilitados pela política do administrador.
      • Se os métodos de autenticação não estiverem configurados, o usuário será avisado para entrar em contato com o administrador para redefinir a senha.
    • Se a política exigir dois métodos, verifique se o usuário tem os dados apropriados definidos para pelo menos dois dos métodos de autenticação habilitados pela política do administrador.
      • Se os métodos de autenticação não estiverem configurados, o usuário será avisado para entrar em contato com o administrador para redefinir a senha.
    • Se uma função de administrador do Azure for atribuída ao usuário, a política de senha forte de duas portas será imposta. Para obter mais informações, confira Diferenças da política de redefinição de senha de administrador.
  • Verifica se a senha do usuário está sendo gerenciada no local, como, por exemplo, se o locatário do Microsoft Entra está usando autenticação de passagem federada ou sincronização de hash de senha:
    • Se o write-back da SSPR estiver implantado e a senha do usuário for gerenciada localmente, o usuário poderá continuar a autenticação e redefinir a senha.
    • Se o write-back não estiver implantado e a senha for gerenciada localmente, o usuário deverá entrar em contato com o administrador para redefinir a senha.

Se todas as verificações anteriores forem concluídas com êxito, o usuário será guiado no processo para redefinir ou alterar a senha.

Observação

A SSPR pode enviar notificações por email aos usuários como parte do processo de redefinição de senha. Esses emails são enviados usando o serviço de retransmissão SMTP, que opera em modo ativo-ativo em várias regiões.

Os serviços de retransmissão recebem e processam o corpo do email, mas não o armazenam. O corpo do email de SSPR que pode potencialmente conter informações fornecidas pelo cliente não é armazenado nos logs do serviço de retransmissão SMTP. Os logs contêm apenas metadados de protocolo.

Para obter uma introdução à SSPR, conclua o tutorial a seguir:

Exigir que os usuários se cadastram ao entrarem

Você pode habilitar a opção para exigir que o usuário conclua o registro da SSPR se ele usar autenticação moderna ou navegador da Web para entrar em qualquer aplicativo usando o Microsoft Entra ID. Esse fluxo de trabalho inclui os seguintes aplicativos:

  • Microsoft 365
  • Centro de administração do Microsoft Entra
  • Painel de acesso
  • Aplicativos federados
  • Aplicativos personalizados usando o Microsoft Entra ID

Quando você não exige registro, os usuários não são solicitados durante a entrada, mas podem fazer o registro manualmente. Eles podem visitar https://aka.ms/ssprsetup ou selecionar o link Registrar para redefinição de senha na guia Perfil no Painel de Acesso.

Captura de tela do registro de redefinição de senha para o Microsoft Entra ID.

Observação

Os usuários podem ignorar o portal de registro da SSPR selecionando Cancelar ou fechando a janela. Mas eles são solicitados a registrar toda vez que entrarem até concluírem o registro.

Se o usuário já tiver entrado, essa interrupção do registro para a SSPR não interromperá a conexão.

Reconfirmar as informações de autenticação

Para certificar-se de que os métodos de autenticação estejam corretos quando forem necessários para redefinir ou alterar a senha, você poderá solicitar aos usuários que confirmem as informações registradas após um determinado período de tempo. Esta opção fica disponível somente se você habilitar a opção Exigir que os usuários se registrem ao entrar.

Os valores válidos para solicitar que um usuário confirme os métodos registrados são de 0 a 730 dias. Definir esse valor para 0 significa que os usuários nunca serão solicitados a confirmar as informações de autenticação. Ao usar a experiência de registro combinada, os usuários serão solicitados a confirmar sua identidade antes de reconfirmar suas informações.

Métodos de autenticação

Quando um usuário é habilitado para SSPR, ele deve registrar pelo menos um método de autenticação. É altamente recomendável que você escolha dois ou mais métodos de autenticação para que o usuário tenha mais flexibilidade, caso não consiga acessar um método quando precisar. Para obter mais informações, consulte O que são métodos de autenticação?.

Os seguintes métodos de autenticação estão disponíveis para SSPR:

  • Notificação de aplicativo móvel
  • Código do aplicativo móvel
  • Email
  • Telefone celular
  • Telefone comercial (disponível somente para locatários com assinaturas pagas)
  • Perguntas de segurança

Os usuários só podem redefinir a senha se tiverem registrado um método de autenticação que o administrador tenha habilitado.

Aviso

As contas atribuídas a funções de administrador do Azure devem usar os métodos definidos na seção Diferenças da política de senha do administrador.

Captura de tela da política de métodos de autenticação para o Microsoft Entra ID.

Quantidade necessária de métodos de autenticação

Você pode configurar o número de métodos de autenticação disponíveis que um usuário deve fornecer para redefinir ou desbloquear a senha. Esse valor pode ser definido para um ou dois.

Os usuários devem registrar vários métodos de autenticação para que possam entrar de outra maneira se não conseguirem acessar um método.

Se um usuário não registrar o número mínimo de métodos necessários, ele verá uma página de erro ao tentar usar o SSPR. Eles precisam solicitar que um administrador redefina a senha. Para saber mais, consulte Alterar métodos de autenticação.

Aplicativo móvel e SSPR

Ao usar um aplicativo móvel como método para redefinição de senha, como o Microsoft Authenticator, as seguintes considerações se aplicam se uma organização não tiver migrado para a política de métodos de autenticação centralizada :

  • Quando os administradores exigem que um método seja usado para redefinir uma senha, o código de verificação é a única opção disponível.
  • Quando os administradores exigem que dois métodos sejam usados para redefinir uma senha, o usuário poderá usar a notificação OU o código de verificação, além de qualquer outro método habilitado.
Número de métodos necessários para redefinir Um Dois
Recursos de aplicativos para dispositivos móveis disponíveis Código Código ou notificação

Eles podem registrar o aplicativo em https://aka.ms/mfasetup ou no registro combinado de informações de segurança emhttps://aka.ms/setupsecurityinfo.

Importante

O Authenticator não poderá ser selecionado como o único método de autenticação quando apenas um método for necessário. Da mesma forma, o Authenticator e apenas um método adicional não poderão ser selecionados se você precisar de dois métodos.

Ao configurar as políticas da SSPR que incluem o aplicativo Authenticator como um método, pelo menos um método adicional deverá ser selecionado, quando for necessário um método, e pelo menos dois métodos adicionais deverão ser selecionados, quando a configuração de dois métodos for necessária.

Alterar métodos de autenticação

Se você iniciar com uma política que tenha apenas um método de autenticação requerido para reiniciar ou desbloquear registrado e você alterar esse número para dois métodos, o que acontece?

Número de métodos registrados Número de métodos necessários Resultado
1 ou mais 1 Capaz de redefinir ou desbloquear
1 2 Incapaz de redefinir ou desbloquear
2 ou mais 2 Capaz de redefinir ou desbloquear

Alterar os métodos de autenticação disponíveis também pode causar problemas para os usuários. Se você alterar quais métodos de autenticação estão disponíveis, os usuários sem a quantidade mínima de dados disponíveis não poderão usar SSPR.

Considere o cenário de exemplo a seguir:

  1. A política original é configurada com dois métodos de autenticação necessários. Somente o número de telefone comercial e as questões de segurança são utilizados.
  2. O administrador altera a política para não usar perguntas de segurança, mas permite o uso de telefone celular e um email alternativo.
  3. Os usuários sem telefone celular ou os campos do email alternativos preenchidos no momento não podem redefinir suas senhas.

Notificações

Para melhorar o reconhecimento dos eventos de senha, a SSPR permite configurar notificações para os usuários e os administradores de identidade.

Notificar os usuários de redefinições de senha

Se essa opção estiver definida para Sim, os usuários que redefinirem suas senhas receberão um email notificando-os de que a senha foi alterada. O email é enviado pelo portal da SSPR para os endereços de email principal e alternativo armazenados no Microsoft Entra ID. Se nenhum endereço de email primário ou alternativo for definido, o SSPR tentará uma notificação por email por meio do Nome UPN (UPN). Ninguém mais é notificado sobre o evento de redefinição.

Notificar todos os administradores quando outros administradores redefinirem suas senhas

Se essa opção for definida para Sim, então, os Administradores Globais receberão um email em seu endereço principal registrado no Microsoft Entra ID. O email notifica que outro administrador alterou sua senha utilizando a SSPR.

Observação

Notificações por e-mail do serviço SSPR serão enviadas dos seguintes endereços com base na nuvem do Azure com a qual você está trabalhando:

  • Pública: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
  • Microsoft Azure operado pela 21Vianet (Azure na China): msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
  • Azure for US Government: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us

Se você observar problemas ao receber notificações, verifique suas configurações de spam.

Se você quiser que os administradores personalizados recebam os emails de notificação, use personalizações SSPR e configure um email ou link de assistência técnica personalizado.

Integração local

Em um ambiente híbrido, você pode configurar a sincronização em nuvem do Microsoft Entra Connect para gravar eventos de alteração de senha do Microsoft Entra ID para um diretório local.

Captura de tela do write-back de senha habilitado para o Microsoft Entra ID para uma integração local.

O Microsoft Entra ID verifica sua conectividade híbrida atual e fornece mensagens no centro de administração do Microsoft Entra. Para obter ajuda para resolver possíveis erros, consulte Solucionar problemas do Microsoft Entra Connect.

Para começar a usar o write-back da SSPR, conclua o seguinte tutorial:

Write-back de senhas para o diretório local

Você pode habilitar o write-back de senha usando o centro de administração do Microsoft Entra. Você também pode desabilitar o write-back de senha temporariamente sem precisar reconfigurar o Microsoft Entra Connect.

  • Se a opção for definida para Sim, o write-back será habilitado. Os usuários da autenticação de passagem federada ou sincronização de hash para a senha poderão redefinir as senhas.
  • Se a opção for definida paraNão, o write-back será desabilitado. Os usuários da autenticação de passagem federada ou sincronização de hash para a senha não poderão redefinir as senhas.

Permitir aos usuários desbloquear contas sem redefinir a senha

Por padrão, o Microsoft Entra ID desbloqueia contas quando ele executa uma redefinição de senha. Para fornecer flexibilidade, você pode optar por permitir que os usuários desbloqueiem suas contas locais sem precisar redefinir a senha. Use essa configuração para separar essas duas operações.

  • Se for definida para Sim, os usuários terão a opção de redefinir a senha e desbloquear a conta, ou desbloquear a conta sem precisar redefinir a senha.
  • Se for definida para Não, os usuários só poderão executar uma operação combinada de redefinição de senha e desbloqueio de conta.

Filtros de senha do Active Directory local

A SSPR executa no Active Directory um procedimento equivalente a uma redefinição de senha iniciada pelo administrador. Se você estiver usando um filtro de senha de terceiros para impor regras de senha personalizadas e exigir que esse filtro seja verificado durante a redefinição de senha de autoatendimento do Microsoft Entra, verifique se a solução desse filtro de terceiros está configurada para ser aplicada no cenário de redefinição de senha de administrador. A proteção por senha do Microsoft Entra para o Active Directory Domain Services é compatível por padrão.

Redefinição de senha para usuários B2B

A reinicialização e a mudança de senha são totalmente suportadas em todas as configurações B2B (entre empresas). A reinicialização da senha do usuário B2B tem suporte nos três casos a seguir:

  • Usuários de uma organização parceira com um locatário existente do Microsoft Entra: se seu parceiro tiver um locatário do Microsoft Entra, respeitaremos as políticas de redefinição de senha habilitadas nesse locatário. Para que a reinicialização da senha funcione, a organização parceira precisa ter certeza de que a SSPR do Microsoft Entra está habilitada. Não há outro encargo para clientes do Microsoft 365.
  • Os usuários que se inscreverem por meio da inscrição por autoatendimento: se seu parceiro usou o recurso de inscrição de autoatendimento para entrar em um locatário, permitimos a redefinição da senha com o email registrado.
  • Usuários B2B: os novos usuários B2B criados com as novas funcionalidades do Microsoft Entra B2B também poderão redefinir as senhas com o email registrado durante o processo de convite.

Para testar este cenário, acesse https://passwordreset.microsoftonline.com com um desses usuários parceiros. Se o usuário definiu um email alternativo ou um email de autenticação, a redefinição de senha funcionará conforme o esperado.

Observação

As contas Microsoft que receberam acesso de convidado ao locatário do Microsoft Entra, como as de Hotmail.com, Outlook.com ou outros endereços de email pessoal, não podem usar a SSPR do Microsoft Entra. Para obter mais informações, consulte Quando você não conseguir entrar na sua conta Microsoft.

Próximas etapas

Para obter uma introdução à SSPR, conclua o tutorial a seguir: