Opções de implantação de redefinição de senha de autoatendimento

Importante

Em setembro de 2022, a Microsoft anunciou a descontinuidade do Servidor de Autenticação Multifator do Azure AD. A partir de 30 de setembro de 2024, as implantações do Servidor de Autenticação Multifator do Azure não atendem mais a solicitações de MFA (autenticação multifator). Os clientes do Servidor de Autenticação Multifator do Azure devem mudar para usar provedores de MFA personalizados com SSPR do MIM ou SSPR do Microsoft Entra em vez de SSPR do MIM.

Para novos clientes licenciados para a ID P1 ou P2 do Microsoft Entra, recomendamos usar a redefinição de senha de autoatendimento do Microsoft Entra para fornecer a experiência do usuário final. A redefinição de senha de autoatendimento do Microsoft Entra fornece uma experiência baseada na Web e integrada ao Windows para um usuário redefinir sua própria senha e oferece suporte a muitos dos mesmos recursos do MIM, incluindo email alternativo e portões de perguntas e respostas. Ao implantar a redefinição de senha de autoatendimento do Microsoft Entra, você pode configurar o Microsoft Entra Connect para gravar as novas senhas no AD DS, e o Serviço de Notificação de Alteração de Senha do MIM pode ser usado para encaminhar as senhas para outros sistemas, como o servidor de diretório de outro fornecedor. A implantação do MIM para gerenciamento de senhas não exige que o Serviço do MIM ou os portais de registro ou redefinição de senha de autoatendimento do MIM sejam implantados. Em vez disso, você pode seguir estas etapas:

• Primeiro, se você precisar enviar senhas para diretórios diferentes da ID do Microsoft Entra e do AD DS, implante a Sincronização do MIM com conectores nos Serviços de Domínio Active Directory e em quaisquer sistemas de destino adicionais, configure o MIM para gerenciamento de senhas e implante o Serviço de Notificação de Alteração de Senha.
• Em seguida, se você precisar enviar senhas para diretórios diferentes da ID do Microsoft Entra, configure o Microsoft Entra Connect para gravar as novas senhas no AD DS.
• Opcionalmente, faça o pré-registro dos usuários.
• Por fim, distribua a redefinição de senha de autoatendimento do Microsoft Entra para seus usuários finais.

Para clientes do Forefront Identity Manager (FIM) ou do MIM licenciados para a ID P1 ou P2 do Microsoft Entra, recomendamos planejar a transição para a redefinição de senha de autoatendimento do Microsoft Entra. Você pode fazer a transição dos usuários finais para a redefinição de senha de autoatendimento do Microsoft Entra sem precisar que eles se registrem novamente, sincronizando ou definindo por meio do PowerShell o endereço de email alternativo ou o número de telefone celular de um usuário. Depois que os usuários são registrados para a redefinição de senha de autoatendimento do Microsoft Entra, o portal de redefinição de senha do FIM pode ser desativado.

As implantações do MIM 2016 que estavam usando o Microsoft Entra MFA devem ser movidas para o uso do MIM SSPR com um provedor de MFA personalizado ou redefinição de senha de autoatendimento do Microsoft Entra. Novas implantações devem usar um provedor de MFA personalizado ou a redefinição de senha de autoatendimento do Microsoft Entra.

Implantando o Portal de Redefinição de Senha de Autoatendimento do MIM usando um provedor personalizado para autenticação multifator

A seção a seguir descreve como implantar o portal de redefinição de senha de autoatendimento do MIM, usando um provedor para autenticação multifator. Essas etapas são necessárias apenas para clientes que não estão usando a redefinição de senha de autoatendimento do Microsoft Entra para seus usuários.

Com a MFA, os usuários se autenticam por meio do provedor externo para verificar sua identidade enquanto tentam recuperar o acesso à conta e aos recursos. A autenticação pode ser por meio de SMS ou chamada telefônica. Quanto mais forte a autenticação, maior a confiança de que a pessoa que está tentando obter acesso é de fato o usuário real que possui a identidade. Uma vez autenticado, o usuário pode escolher uma nova senha para substituir a antiga.

Pré-requisitos para configurar o desbloqueio de conta de autoatendimento e a redefinição de senha usando MFA

Esta seção pressupõe que você tenha baixado e concluído a implantação dos componentes Sincronização do MIM do Microsoft Identity Manager 2016, Serviço do MIM e Portal do MIM, incluindo os seguintes componentes e serviços:

• Um controlador de domínio do Active Directory com um domínio designado (um domínio "corporativo")

• Uma política de grupo é definida para o bloqueio de conta

• O Serviço de Sincronização (Sincronização) do MIM 2016 está instalado e em execução em um servidor ingressado no domínio do AD

• O Portal e Serviço do MIM 2016, incluindo o Portal de Registro da SSPR e o Portal de Redefinição da SSPR, estão instalados e em execução em um servidor (pode ser colocalizado com a Sincronização)

• A Sincronização do MIM é configurada para sincronização de identidade do AD-MIM, incluindo:

  • Configurar o Agente de Gerenciamento do Active Directory (ADMA) para conectividade com o AD DS e executar perfis para importar dados de identidade e exportá-los para o Active Directory.

  • Configurar o MIM MA (Agente de Gerenciamento do MIM) para conectividade com o banco de dados do Serviço do FIM e executar perfis para importar dados de identidade e exportá-los para o banco de dados do FIM.

  • Configurando as regras de sincronização no Portal do MIM para permitir a sincronização de dados de usuário e facilitar a atividades baseadas em sincronização no Serviço do MIM.

• Os suplementos e extensões do MIM 2016, incluindo o cliente integrado de logon do Windows SSPR, são implantados no servidor ou em um computador cliente separado.

Preparar o MIM para trabalhar com a MFA

Configure a Sincronização do MIM para dar suporte para redefinição de senha e funcionalidade de desbloqueio de conta. Para obter mais informações, consulte Instalando os suplementos e extensões do FIM, Instalando o SSPR do FIM, Portas de Autenticação SSPR e o Guia do Laboratório de Teste SSPR.

Configurar a porta de telefone ou o grupo de SMS de senha de uso único

1. Inicie o Internet Explorer e navegue até o Portal do MIM, autenticando-se como administrador do MIM e clique em Fluxos de Trabalho na barra de navegação à esquerda.

   

2. Verifique o fluxo de trabalho AuthN de redefinição de senha.

   

3. Clique na guia Atividades e role para baixo até Adicionar atividade.

4. Selecione Phone Gate ou One-Time Password SMS Gate , clique em Select (Selecionar ) e depois em OK.

   Observação

   Se estiver usando outro provedor que gera a senha de uso único, verifique se o campo de comprimento configurado tem o mesmo comprimento gerado pelo provedor de MFA.

Agora, os usuários em sua organização podem se registrar para redefinição de senha. Durante este processo, eles deverão inserir o número de telefone de trabalho e de celular para que o sistema possa ligar para eles (ou enviar mensagens SMS).

Registrar usuários para redefinição de senha

1. Um usuário iniciará um navegador da Web e navegará até o Portal de Registro de Redefinição de Senha do MIM. (Normalmente, este portal estará configurado com a autenticação do Windows). No portal, eles fornecerão o nome de usuário e a senha novamente para confirmar sua identidade.

   Eles precisam entrar no Portal de Registro de Senha e autenticar-se usando o nome de usuário e a senha.

2. No campo Número de telefone ou telefone celular, eles precisam inserir um código de país, um espaço e o número de telefone e clicar em Avançar.

   

   

Como ele funciona para seus usuários?

Agora que tudo está configurado e em execução, convém saber pelo que os seus usuários terão de passar ao redefinirem suas senhas logo antes das férias e perceberem ao voltar que as esqueceram completamente.

Há duas maneiras pelas quais um usuário pode usar a funcionalidade de redefinição de senha e desbloqueio de conta, na tela de entrada do Windows ou no portal de autoatendimento.

Ao instalar os Suplementos e Extensões do MIM em um computador ingressado no domínio conectado pela rede organizacional ao Serviço do MIM, os usuários podem recuperar uma senha esquecida na experiência de logon na área de trabalho. As etapas a seguir orientam você pelo processo.

Redefinição de senha integrada do logon na área de trabalho do Windows

1. Se o usuário digitar a senha errada várias vezes, na tela de login, ele terá a opção de clicar em Problemas ao fazer login? .

   

   Clicar nesse link os levará à tela Redefinição de Senha do MIM, onde eles podem alterar sua senha ou desbloquear sua conta.

   

2. O usuário será direcionado para autenticar. Se MFA tiver sido configurado, o usuário receberá uma chamada telefônica.

3. Em segundo plano, o que está acontecendo é que o provedor de MFA faz uma chamada telefônica para o número que o usuário forneceu quando se inscreveu no serviço.

4. Quando um usuário atende o telefone, ele pode ser solicitado a interagir, por exemplo, para pressionar a tecla sustenido # no telefone. Em seguida, o usuário clica em Avançar no portal.

   Se você configurar outros portões também, o usuário será solicitado a fornecer mais informações nas telas subsequentes.

   Observação

   Se o usuário estiver impaciente e clicar em Avançar antes de pressionar a tecla sustenido #, a autenticação falhará.

5. Após a autenticação bem-sucedida, o usuário terá duas opções: desbloquear sua conta e manter senha atual ou definir uma nova senha.

6. Então o usuário deve digitar uma nova senha duas vezes e a senha será redefinida.

Acesso no portal de autoatendimento

1. Os usuários podem abrir um navegador da Web, navegar até o Portal de Redefinição de Senha, inserir seu nome de usuário e clicar em Avançar.

   Se MFA tiver sido configurado, o usuário receberá uma chamada telefônica. Em segundo plano, o que está acontecendo é que a autenticação multifator do Microsoft Entra faz uma chamada telefônica para o número que o usuário forneceu quando se inscreveu no serviço.

   Quando um usuário atender o telefone, ele será solicitado a pressionar a tecla de cerquilha (#) no telefone. Em seguida, o usuário clica em Avançar no portal.

2. Se você configurar outros portões também, o usuário será solicitado a fornecer mais informações nas telas subsequentes.

   Observação

   Se o usuário estiver impaciente e clicar em Avançar antes de pressionar a tecla sustenido #, a autenticação falhará.

3. O usuário terá que escolher se deseja redefinir sua senha ou desbloquear sua conta. Se eles optarem por desbloquear sua conta, a conta será desbloqueada.

   

4. Após a autenticação bem-sucedida, o usuário terá duas opções, manter sua senha atual ou definir uma nova senha.

5. 

6. Se o usuário optar por redefinir sua senha, ele terá que digitar uma nova senha duas vezes e clicar em Avançar para alterar a senha.