O que é a redefinição de senha self-service no Microsoft Entra ID?

Concluído

Foi solicitado que você avalie maneiras de reduzir os custos com suporte técnico em sua organização de varejo. Você observou que a equipe de suporte gasta muito tempo redefinindo senhas para os usuários. Os usuários geralmente reclamam de atrasos com esse processo, e esses atrasos afetam sua produtividade. Você deseja entender como configurar o Azure para permitir que os usuários gerenciem suas próprias senhas.

Nesta unidade, você aprenderá como funciona a redefinição de senha self-service (SSPR) no Microsoft Entra ID.

Por que usar a SSPR?

No Microsoft Entra ID, qualquer usuário pode alterar a senha quando já está conectado. Mas se eles não estiverem conectados, esquecerem a senha ou expirarem, precisarão redefinir a senha. Com a SSPR, os usuários podem redefinir as senhas em um navegador da Web ou uma tela de conexão do Windows para recuperar o acesso ao Azure, ao Microsoft 365 e a qualquer outro aplicativo que usa o Microsoft Entra ID para autenticação.

A SSPR reduz a carga dos administradores, pois os usuários podem resolver os problemas de senha por conta própria, sem ter que chamar o suporte técnico. Além disso, ela minimiza o impacto de uma senha esquecida ou expirada sobre a produtividade. Os usuários não precisam aguardar até que um administrador esteja disponível para redefinir suas senhas.

Como a SSPR funciona

O usuário inicia uma redefinição de senha indo diretamente ao portal de redefinição de senha ou selecionando o link Não consegue acessar sua conta em uma página de entrada. O portal de redefinição executa estas etapas:

1. Localização: o portal verifica a configuração de localidade do navegador e renderiza a página de SSPR no idioma correto.
2. Verificação: O usuário insere seu nome de usuário e passa por um CAPTCHA para garantir que é um usuário e não um bot.
3. Autenticação: o usuário insere os dados necessários para autenticar sua identidade. Podem, por exemplo, inserir um código ou responder perguntas de segurança.
4. Redefinição de senha: se o usuário passar nos testes de autenticação, ele poderá inserir uma nova senha e confirmá-la.
5. Notificação: uma mensagem é enviada ao usuário para confirmar a redefinição.

Há várias maneiras de personalizar a experiência do usuário com a SSPR. Por exemplo, você pode adicionar o logotipo da sua empresa à página de entrada para que os usuários saibam que estão no lugar certo para redefinir a senha.

Autenticar uma redefinição de senha

É crítico verificar a identidade de um usuário antes de permitir uma redefinição de senha. Usuários mal-intencionados podem explorar qualquer fraqueza no sistema para representar esse usuário. O Azure dá suporte a seis maneiras diferentes de autenticar solicitações de redefinição.

Como administrador, você pode escolher os métodos a serem utilizados ao configurar o SSPR. Habilite dois ou mais desses métodos para que os usuários possam escolher os que podem utilizar facilmente. Os métodos são:

Método de autenticação	Como registrar-se	Como autenticar-se para uma redefinição de senha
Notificação de aplicativo móvel	Instale o aplicativo Microsoft Authenticator no seu dispositivo móvel e, em seguida, registre-o na página de configuração da autenticação multifator.	O Azure envia ao aplicativo uma notificação que você pode verificar ou negar.
Código do aplicativo móvel	Este método também usa o aplicativo Authenticator e você o instala e registra da mesma maneira.	Insira o código do aplicativo.
Email	Forneça um endereço de email externo ao Azure e ao Microsoft 365.	O Azure envia para o endereço um código que você insere no assistente de redefinição.
Telefone celular	Forneça um número de telefone celular.	O Azure envia um código ao telefone por mensagem SMS, que você insere no assistente de redefinição. Você também pode optar por receber uma chamada automática.
Telefone comercial	Forneça um número que não seja de telefone celular.	Você recebe um telefonema automatizado nesse número e pressiona #.
Perguntas de segurança	Selecione perguntas como "Em que cidade sua mãe nasceu?" e salve suas respostas.	Responda às perguntas.

Em organizações de teste do Microsoft Entra, as opções de chamada telefônica não são suportadas.

Exigir o número mínimo de métodos de autenticação

Você pode especificar o número mínimo de métodos que o usuário precisa configurar: um ou dois. Por exemplo, você pode habilitar os métodos código do aplicativo móvel, email, telefone comercial e perguntas de segurança e especificar um mínimo de dois métodos. Os usuários podem então escolher os dois métodos que preferem, como código por aplicativo móvel e email.

Para o método de pergunta de segurança, é possível especificar um número mínimo de perguntas que o usuário deve configurar para se registrar nesse método. Você também pode especificar um número mínimo de perguntas que o usuário deve responder corretamente para redefinir a senha.

Depois que os usuários registram as informações necessárias para o número mínimo de métodos que você especificou, eles são considerados registrados para a SSPR.

Recomendações

• Habilite dois ou mais métodos de solicitação de redefinição de autenticação.
• Use a notificação ou o código do aplicativo móvel como o método primário. Mas também habilite os métodos de email ou telefone do escritório para dar suporte a usuários sem dispositivos móveis.
• O método de telefone celular não é recomendado, pois é possível enviar mensagens SMS fraudulentas.
• A opção de pergunta de segurança é o método menos recomendado, pois as respostas às perguntas de segurança podem ser conhecidas por outras pessoas. Utilize o método de pergunta de segurança somente em combinação com pelo menos um outro método.

Contas associadas a funções de administrador

• Uma política de autenticação forte, com dois métodos, sempre é aplicada a contas com função de administrador, independentemente de sua configuração para outros usuários.
• O método de pergunta de segurança não está disponível para contas associadas a uma função de administrador.

Configurar notificações

Os administradores podem escolher como os usuários são notificados sobre alterações de senha. Existem duas opções que você pode habilitar:

• Notificar os usuários sobre as redefinições de senha: o usuário que redefine a própria senha é notificado em seus endereços de email primário e secundário. Se a redefinição tiver sido feita por um usuário mal-intencionado, a notificação alertará o usuário, que poderá adotar medidas de mitigação.
• Notificar todos os administradores quando outros administradores redefinirem as próprias senhas: todos os administradores são notificados quando outro administrador redefine sua senha.

Requisitos de licença

Existem duas edições do Microsoft Entra ID, Premium P1 e Premium P2. A funcionalidade de redefinição de senha que você pode utilizar depende da sua edição.

Qualquer usuário conectado pode alterar sua senha, independentemente da edição do Microsoft Entra ID.

E se você não estiver conectado e tiver esquecido sua senha ou sua senha tiver expirado? Nesse caso, você pode usar a SSPR no Microsoft Entra ID P1 ou P2. Ela também está disponível com o Microsoft 365 Apps para Pequenos e Médios negócios ou o Microsoft 365.

Em uma situação híbrida, em que você tem o Active Directory local e o Microsoft Entra ID na nuvem, qualquer alteração de senha na nuvem deve ser gravada no diretório local. Esse suporte de write-back está disponível no Microsoft Entra ID P1 ou P2. Ele também está disponível com o Microsoft 365 Apps para Pequenos e Médios negócios.

Opções de implantação do SSPR

Você deve implantar a SSPR com write-back de senha utilizando o Microsoft Entra Connect ou sincronização na nuvem, dependendo das necessidades do usuário. Você pode implantar cada opção lado a lado em diferentes domínios para destino de diferentes conjuntos de usuários. Isso ajuda os usuários existentes no local a fazer write-back das alterações de senha e, ao mesmo tempo, adiciona uma opção para usuários em domínios desconectados devido a uma fusão ou divisão da empresa. Os usuários de um domínio local existente podem usar o Microsoft Entra Connect, enquanto os novos usuários de uma fusão podem utilizar a sincronização na nuvem em outro domínio.

A sincronização na nuvem também pode fornecer alta disponibilidade, pois não depende de uma única instância do Microsoft Entra Connect. Para ver uma comparação dos recursos das duas opções de implantação, confira Comparação entre o Microsoft Entra Connect e a sincronização de nuvem.

Verificar seus conhecimentos

1.

Quando é considerado que um usuário está registrado para a SSPR?

Eles registraram pelo menos um dos métodos de autenticação permitidos.

Eles registraram pelo menos o número de métodos obrigatórios para redefinir uma senha.

Eles configuraram o número mínimo de perguntas de segurança.

2.

Quando você habilita o SSPR para sua organização do Microsoft Entra...

Os usuários só podem alterar as próprias senhas quando estão conectados.

Os administradores podem redefinir suas senhas usando um método de autenticação.

Os usuários podem redefinir suas senhas quando não conseguem se conectar.

É necessário responder a todas as perguntas antes de verificar o trabalho.