Compartilhar via


Transição para uma implantação sem senha

Conscientização e educação do usuário

Nesta última etapa, você incluirá os usuários restantes que se encaixam na persona de trabalho direcionada à implantação sem senha. Antes de fazer essa etapa, você deseja investir em uma campanha de conscientização.

Uma campanha de conscientização apresenta aos usuários a nova forma de autenticação em seu dispositivo, como usar Windows Hello para Empresas. A ideia da campanha é promover positivamente a alteração para os usuários com antecedência. Explique o valor e por que sua empresa está mudando. A campanha deve fornecer datas e incentivar perguntas e comentários. Essa campanha pode coincidir com a educação do usuário, em que você pode mostrar aos usuários as alterações e, se o ambiente permitir, permitir que os usuários experimentem a experiência.

Dica

Para facilitar a comunicação do usuário e garantir uma implantação de Windows Hello para Empresas bem-sucedida, você pode encontrar material personalizável (modelos de email, pôsteres, treinamentos etc.) em Microsoft Entra modelos.

Incluir usuários restantes que se encaixam na persona de trabalho

Você implementou a campanha de conscientização para os usuários direcionados. Esses usuários estão informados e prontos para fazer a transição para não ter senha. Adicione os usuários restantes que correspondem à persona de trabalho direcionada à sua implantação.

Validar que nenhum dos usuários das personas de trabalho precisa de senhas

Você fez a transição com êxito de todos os usuários para que a persona de trabalho direcionada fosse sem senha. Monitore os usuários dentro da persona de trabalho para garantir que eles não encontrem problemas enquanto trabalham em um ambiente sem senha.

Acompanhe todos os problemas relatados. Defina prioridade e gravidade para cada problema relatado e faça sua equipe triagem adequadamente dos problemas. Ao triagem de problemas, considere as seguintes perguntas:

Pergunta
🔲 O usuário de relatório está executando uma tarefa fora da persona de trabalho?
🔲 O problema relatado está afetando toda a persona de trabalho ou apenas usuários específicos?
🔲 A interrupção é resultado de uma configuração incorreta?
🔲 A interrupção é uma lacuna negligenciada da etapa 2?

A prioridade e a gravidade de cada organização diferem. No entanto, a maioria das organizações considera que as paralisações de trabalho são bastante significativas. Sua equipe deve preedefine níveis de prioridade e gravidade. Com cada um desses níveis, crie SLAs (contratos de nível de serviço) para cada combinação de severidade e prioridade e resguarde todos os contratos. O planejamento reativo permite que as pessoas passem mais tempo no problema e resolvê-lo e menos tempo no processo.

Resolva os problemas de acordo com seus contratos de nível de serviço. Itens de maior gravidade podem exigir o retorno de parte ou de toda a superfície de senha do usuário. Claramente esse resultado não é o objetivo final, mas não deixe que isso diminua seu impulso para se tornar sem senha. Consulte como você reduziu a superfície de senha do usuário na etapa 2 e avance para uma solução, implantando essa solução e validando-a.

Dica

Monitore seus controladores de domínio para eventos de autenticação de senha. Isso ajuda a identificar proativamente usuários que ainda estão usando senhas e a entrar em contato com eles.

Configurar contas de usuário para impedir a autenticação de senha

Você fez a transição de todos os usuários para a persona de trabalho direcionada para um ambiente sem senha e validou todos os seus fluxos de trabalho. A última etapa para concluir a transição sem senha é remover o conhecimento do usuário sobre a senha.

Embaralhar senha

Embora não seja possível remover completamente a senha da conta do usuário, você pode impedir que o usuário use a senha para autenticar. A abordagem mais fácil e eficaz é definir a senha como um valor aleatório. Essa abordagem impede que o usuário saiba a senha e a use para autenticar, mas permite que o usuário redefina a senha sempre que necessário.

Dica

Habilite Microsoft Entra SSPR (redefinição de senha de autoatendimento) para permitir que os usuários redefinam sua senha. Depois de implementados, os usuários podem entrar em seus dispositivos Windows usando Windows Hello para Empresas ou uma chave de segurança FIDO2 e redefinir sua senha do https://aka.ms/sspr. Combine-o com o write-back de senha para que a redefinição de senha seja sincronizada com o Active Directory local.

O script do PowerShell de exemplo a seguir gera uma senha aleatória de 64 caracteres e define-a para o usuário especificado no nome da variável $userId em Microsoft Entra ID. Modifique a variável userId do script para corresponder ao seu ambiente (primeira linha) e execute-o em uma sessão do PowerShell. Quando solicitado a autenticar a Microsoft Entra ID, use as credenciais de uma conta com uma função capaz de redefinir senhas.

$userId = "<UPN of the user>"

function Generate-RandomPassword{
    [CmdletBinding()]
    param (
      [int]$Length = 64
    )
  $chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()-_=+[]{};:,.<>/?\|`~"
  $random = New-Object System.Random
  $password = ""
  for ($i = 0; $i -lt $Length; $i++) {
    $index = $random.Next(0, $chars.Length)
    $password += $chars[$index]
  }
  return $password
}

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph.Users.Actions
Connect-MgGraph -Scopes "UserAuthenticationMethod.ReadWrite.All" -NoWelcome

$passwordParams = @{
 UserId = $userId
 AuthenticationMethodId = "28c10230-6103-485e-b985-444c60001490"
 NewPassword = Generate-RandomPassword
}

Reset-MgUserAuthenticationMethodPassword @passwordParams

Um script semelhante pode ser usado para redefinir a senha no Active Directory. Modifique a variável samAccountName do script para corresponder ao seu ambiente (primeira linha) e execute-o em uma sessão do PowerShell.

$samAccountName = <sAMAccountName of the user>

function Generate-RandomPassword{
    [CmdletBinding()]
    param (
      [int]$Length = 64
    )
  $chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()-_=+[]{};:,.<>/?\|`~"
  $random = New-Object System.Random
  $password = ""
  for ($i = 0; $i -lt $Length; $i++) {
    $index = $random.Next(0, $chars.Length)
    $password += $chars[$index]
  }
  return $password
}

$NewPassword = ConvertTo-SecureString -String (Generate-RandomPassword) -AsPlainText -Force

Set-ADAccountPassword -identity $userId -NewPassword $NewPassword -Reset

Se suas políticas organizacionais permitirem, você poderá configurar as senhas aleatórias para nunca expirar ou usar um longo período de expiração. Essa configuração impede que o usuário seja solicitado a alterar sua senha.

Cuidado

Execute o script somente de um ambiente seguro e confiável e verifique se o script não está registrado. Trate o host em que o script é executado como um host privilegiado, com o mesmo nível de segurança que um controlador de domínio.

Idade da senha e rotação de senha

Se sua organização não tiver requisitos de rotação de senha, é recomendável desabilitar a idade da senha.

Se sua organização tiver uma política de rotação de senha, considere implementar a automação para girar a senha do usuário regularmente. Essa abordagem garante que a senha do usuário seja sempre aleatória e impede que o usuário saiba a senha.

Para obter mais diretrizes relacionadas à senha, consulte as Diretrizes de Senha do whitepaper.

Próximas etapas

A Microsoft está trabalhando duro para facilitar a jornada sem senha para você. Estamos trabalhando em novos recursos e recursos para ajudá-lo a fazer a transição para um ambiente sem senha e para alcançar a promessa de segurança de longo prazo de um ambiente verdadeiramente sem senha. Verifique com frequência para ver as novidades.