Planejar uma implantação de redefinição de senha de autoatendimento do Microsoft Entra
Importante
Este plano de implantação oferece orientação e práticas recomendadas para implantar a redefinição de senha de autoatendimento (SSPR) do Microsoft Entra.
Se for um utilizador final e precisar de voltar à sua conta, aceda a https://aka.ms/sspr.
O Self-Service Password Reset (SSPR) é um recurso do Microsoft Entra que permite aos usuários redefinir suas senhas sem entrar em contato com a equipe de TI para obter ajuda. Os usuários podem se desbloquear rapidamente e continuar trabalhando, não importa onde estejam ou hora do dia. Ao permitir que os funcionários se desbloqueiem, sua organização pode reduzir o tempo improdutivo e os altos custos de suporte para os problemas mais comuns relacionados a senhas.
O SSPR tem os seguintes recursos principais:
- O autosserviço permite que os usuários finais redefina suas senhas expiradas ou não expiradas sem entrar em contato com um administrador ou helpdesk para obter suporte.
- O Writeback de Senhas permite o gerenciamento de senhas locais e a resolução do bloqueio de contas através da nuvem.
- Os relatórios de atividades de gerenciamento de senhas fornecem aos administradores informações sobre a redefinição de senha e a atividade de registro que ocorrem em sua organização.
Este guia de implantação mostra como planejar e testar uma distribuição SSPR.
Para ver rapidamente o SSPR em ação e, em seguida, voltar para entender considerações adicionais de implantação:
Gorjeta
Como complemento deste artigo, recomendamos usar o guia de implantação de redefinição de senha de autoatendimento quando entrar no Centro de Administração do Microsoft 365. Este guia personalizará sua experiência com base em seu ambiente. Para rever as práticas recomendadas sem iniciar sessão e ativar funcionalidades de configuração automatizada, aceda ao portal de Configuração M365.
Saiba mais sobre SSPR
Saiba mais sobre SSPR. Consulte Como funciona: Redefinição de senha de autoatendimento do Microsoft Entra.
Principais benefícios
Os principais benefícios de habilitar o SSPR são:
Gerencie custos. O SSPR reduz os custos de suporte de TI, permitindo que os usuários redefinissem senhas por conta própria. Também reduz o custo do tempo perdido devido à perda de senhas e bloqueios.
Experiência de utilizador intuitiva. Ele fornece um processo intuitivo de registro de usuário único que permite aos usuários redefinir senhas e desbloquear contas sob demanda de qualquer dispositivo ou local. O SSPR permite que os usuários voltem ao trabalho mais rapidamente e sejam mais produtivos.
Flexibilidade e segurança. O SSPR permite que as empresas acessem a segurança e a flexibilidade que uma plataforma de nuvem oferece. Os administradores podem alterar as configurações para acomodar novos requisitos de segurança e implementar essas alterações para os usuários sem interromper a entrada.
Auditoria robusta e acompanhamento de uso. Uma organização pode garantir que os sistemas de negócios permaneçam seguros enquanto seus usuários redefinem suas próprias senhas. Logs de auditoria robustos incluem informações de cada etapa do processo de redefinição de senha. Esses logs estão disponíveis a partir de uma API e permitem que o usuário importe os dados para um sistema de monitoramento de incidentes e eventos de segurança (SIEM) de escolha.
Licenciamento
O Microsoft Entra ID é licenciado por usuário, o que significa que cada usuário requer uma licença apropriada para os recursos que usa. Recomendamos o licenciamento baseado em grupo para SSPR.
Para comparar edições e recursos e habilitar o licenciamento baseado em grupo ou usuário, consulte Requisitos de licenciamento para redefinição de senha de autoatendimento do Microsoft Entra.
Para obter mais informações sobre preços, consulte Preços do Microsoft Entra.
Pré-requisitos
Um locatário do Microsoft Entra em funcionamento com pelo menos uma licença de avaliação habilitada. Se necessário, crie um gratuitamente.
-
É necessário um Administrador Global para gerir esta funcionalidade.
Passo a passo guiado
Para obter um passo a passo guiado de muitas das recomendações neste artigo, consulte o Guia de implantação de redefinição de senha de autoatendimento quando entrar no Centro de Administração do Microsoft 365. Para rever as práticas recomendadas sem iniciar sessão e ativar funcionalidades de configuração automatizada, aceda ao portal de Configuração M365.
Recursos de formação
Arquitetura de soluções
O exemplo a seguir descreve a arquitetura da solução de redefinição de senha para ambientes híbridos comuns.
Descrição do fluxo de trabalho
Para redefinir a senha, os usuários acessam o portal de redefinição de senha. Devem verificar o(s) método(s) de autenticação previamente registado(s) para provar a sua identidade. Se eles redefinirem a senha com êxito, iniciarão o processo de redefinição.
Para usuários somente na nuvem, o SSPR armazena a nova senha no Microsoft Entra ID.
Para usuários híbridos, o SSPR grava de volta a senha no Ative Directory local por meio do serviço Microsoft Entra Connect.
Nota: Para usuários que têm a sincronização de hash de senha (PHS) desabilitada, o SSPR armazena as senhas somente no Ative Directory local.
Melhores práticas
Você pode ajudar os usuários a se registrarem rapidamente implantando o SSPR ao lado de outro aplicativo ou serviço popular na organização. Essa ação gerará um grande volume de logins e impulsionará o registro.
Antes de implantar o SSPR, você pode optar por determinar o número e o custo médio de cada chamada de redefinição de senha. Você pode usar essa implantação de postagem de dados para mostrar o valor que o SSPR está trazendo para a organização.
Registro combinado para autenticação multifator SSPR e Microsoft Entra
O SSPR permite que os usuários redefina sua senha de forma segura usando os mesmos métodos que usam para a autenticação multifator do Microsoft Entra. O registro combinado é uma única etapa de registro para usuários finais que permite o registro de métodos MFA e SSPR ao mesmo tempo. Para se certificar de que compreende a funcionalidade e a experiência do utilizador final, consulte os Conceitos de registo de informações de segurança combinadas.
É fundamental informar os usuários sobre alterações futuras, requisitos de registro e quaisquer ações necessárias do usuário. Fornecemos modelos de comunicação e documentação do usuário para preparar seus usuários para a nova experiência e ajudar a garantir uma implantação bem-sucedida. Envie os usuários para https://myprofile.microsoft.com se registrarem selecionando o link Informações de segurança nessa página.
Planejar o projeto de implantação
Considere suas necessidades organizacionais enquanto determina a estratégia para essa implantação em seu ambiente.
Envolva as partes interessadas certas
Quando os projetos de tecnologia falham, normalmente o fazem devido a expectativas incompatíveis sobre impacto, resultados e responsabilidades. Para evitar essas armadilhas, certifique-se de que você está envolvendo as partes interessadas certas e que os papéis das partes interessadas no projeto são bem compreendidos, documentando as partes interessadas e suas contribuições e responsabilidades do projeto.
Funções de administrador necessárias
Função/Persona Empresarial | Função Microsoft Entra (se necessário) |
---|---|
Serviço de assistência de nível 1 | Administrador de senha |
Serviço de assistência de nível 2 | Administrador de Utilizadores |
Administrador SSPR | Administrador de Autenticação |
Planeie um piloto
Recomendamos que a configuração inicial do SSPR esteja em um ambiente de teste. Comece com um grupo piloto habilitando o SSPR para um subconjunto de usuários em sua organização. Consulte Práticas recomendadas para um piloto.
Para criar um grupo, veja como criar um grupo e adicionar membros no Microsoft Entra ID.
Planejar configuração
As configurações a seguir são necessárias para habilitar o SSPR junto com os valores recomendados.
Área | Definição | Value |
---|---|---|
Propriedades SSPR | Redefinição de senha de autoatendimento habilitada | Grupo selecionado para piloto / Todos para produção |
Métodos de autenticação | Métodos de autenticação necessários para o registo | Sempre 1 a mais do que o necessário para redefinir |
Métodos de autenticação necessários para redefinir | Um ou dois | |
Registo | Exigir que os utilizadores se registem ao iniciar sessão | Sim |
Número de dias antes de ser pedido aos utilizadores que voltem a confirmar as informações de autenticação | 90 – 180 dias | |
Notificações | Notificar os utilizadores sobre reposições de palavras-passe | Sim |
Notificar todos os administradores quando outros administradores repõem as palavras-passe deles | Sim | |
Personalização | Personalizar ligação do suporte técnico | Sim |
URL ou e-mail do suporte técnico personalizado | Site de suporte ou endereço de e-mail | |
Integração no local | Gravar senhas de volta no AD local | Sim |
Permitir que os usuários desbloqueiem a conta sem redefinir a senha | Sim |
Propriedades SSPR
Ao habilitar o SSPR, escolha um grupo de segurança apropriado no ambiente piloto.
- Para impor o registro SSPR para todos, recomendamos o uso da opção Todos .
- Caso contrário, selecione o ID do Microsoft Entra ou o grupo de segurança AD apropriado.
Métodos de autenticação
Quando o SSPR está habilitado, os usuários só podem redefinir sua senha se tiverem dados presentes nos métodos de autenticação habilitados pelo administrador. Os métodos incluem telefone, notificação do aplicativo Authenticator, perguntas de segurança e assim por diante. Para obter mais informações, consulte O que são métodos de autenticação?.
Recomendamos as seguintes configurações de método de autenticação:
Defina os métodos de Autenticação necessários para registrar pelo menos um a mais do que o número necessário para redefinir. Permitir várias autenticações dá aos usuários flexibilidade quando precisam redefinir.
Defina Número de métodos necessários para redefinir para um nível apropriado à sua organização. Um requer o mínimo de atrito, enquanto dois podem aumentar sua postura de segurança.
Nota: O usuário deve ter os métodos de autenticação configurados nas políticas e restrições de senha no Microsoft Entra ID.
Configurações de registro
Defina Exigir que os usuários se registrem ao entrar como Sim. Essa configuração exige que os usuários se registrem ao entrar, garantindo que todos os usuários estejam protegidos.
Defina o número de dias antes que os usuários sejam solicitados a reconfirmar suas informações de autenticação entre 90 e 180 dias, a menos que sua organização tenha uma necessidade comercial de um período de tempo mais curto.
Definições de notificações
Configure a opção Notificar usuários sobre redefinições de senha e Notificar todos os administradores quando outros administradores redefinirem sua senha para Sim. Selecionar Sim em ambos aumenta a segurança, garantindo que os usuários estejam cientes quando sua senha é redefinida. Ele também garante que todos os administradores estejam cientes quando um administrador altera uma senha. Se os utilizadores ou administradores receberem uma notificação e não tiverem iniciado a alteração, podem comunicar imediatamente um potencial problema de segurança.
Nota
As notificações por email do serviço SSPR serão enviadas dos seguintes endereços com base na nuvem do Azure com a qual você está trabalhando:
- Público: msonlineservicesteam@microsoft.com
- China: msonlineservicesteam@oe.21vianet.com
- Governo: msonlineservicesteam@azureadnotifications.us
Se você observar problemas no recebimento de notificações, verifique suas configurações de spam.
Configurações de personalização
É fundamental personalizar o e-mail ou URL do helpdesk para garantir que os usuários que tiverem problemas possam obter ajuda imediatamente. Defina esta opção para um endereço de correio eletrónico ou página Web comum do serviço de assistência com o qual os utilizadores estejam familiarizados.
Para obter mais informações, consulte Personalizar a funcionalidade do Microsoft Entra para redefinição de senha de autoatendimento.
Write-back de senha
O Write-back de senha é habilitado com o Microsoft Entra Connect e grava redefinições de senha na nuvem de volta para um diretório local existente em tempo real. Para obter mais informações, consulte O que é write-back de senha?
Recomendamos as seguintes configurações:
- Certifique-se de que Gravar novamente senhas no AD local esteja definido como Sim.
- Defina Permitir que os usuários desbloqueiem a conta sem redefinir a senha como Sim.
Por padrão, o Microsoft Entra ID desbloqueia contas quando executa uma redefinição de senha.
Configuração de senha de administrador
As contas de administrador têm permissões elevadas. Os administradores empresariais ou de domínio locais não podem redefinir suas senhas por meio do SSPR. As contas de administrador locais têm as seguintes restrições:
- Só pode alterar sua senha em seu ambiente local.
- Nunca pode usar as perguntas e respostas secretas como um método para redefinir sua senha.
Recomendamos que você não sincronize suas contas de administrador do Ative Directory locais com o Microsoft Entra ID.
Ambientes com vários sistemas de gerenciamento de identidade
Alguns ambientes têm vários sistemas de gerenciamento de identidade. Os gerenciadores de identidades locais, como Oracle IAM e SiteMinder, exigem sincronização com o AD para senhas. Você pode fazer isso usando uma ferramenta como o serviço de notificação de alteração de senha (PCNS) com o Microsoft Identity Manager (MIM). Para encontrar informações sobre esse cenário mais complexo, consulte o artigo Implantar o Serviço de Notificação de Alteração de Senha do MIM em um controlador de domínio.
Planejar testes e suporte
Em cada estágio de sua implantação, desde os grupos piloto iniciais até toda a organização, certifique-se de que os resultados sejam os esperados.
Planejar testes
Para garantir que sua implantação funcione conforme o esperado, planeje um conjunto de casos de teste para validar a implementação. Para avaliar os casos de teste, você precisa de um usuário de teste não administrador com uma senha. Se você precisar criar um usuário, consulte Adicionar novos usuários ao Microsoft Entra ID.
A tabela a seguir inclui cenários de teste úteis que você pode usar para documentar os resultados esperados de suas organizações com base em suas políticas.
Caso prático | Resultados esperados |
---|---|
O portal SSPR pode ser acessado a partir da rede corporativa | Determinado pela sua organização |
O portal SSPR pode ser acessado de fora da rede corporativa | Determinado pela sua organização |
Redefinir a senha do usuário do navegador quando o usuário não estiver habilitado para redefinir a senha | O usuário não consegue acessar o fluxo de redefinição de senha |
Redefinir a senha do usuário do navegador quando o usuário não tiver se registrado para redefinir a senha | O usuário não consegue acessar o fluxo de redefinição de senha |
O usuário entra quando é forçado a fazer o registro de redefinição de senha | Solicita que o usuário registre informações de segurança |
O usuário entra quando o registro de redefinição de senha é concluído | Solicita que o usuário registre informações de segurança |
O portal SSPR é acessível quando o usuário não tem uma licença | É acessível |
Redefinir a senha do usuário do Windows 10 Tela de bloqueio do dispositivo ingressado no Microsoft Entra ou híbrido do Microsoft Entra | O usuário pode redefinir a senha |
Os dados de registro e uso do SSPR estão disponíveis para os administradores quase em tempo real | Está disponível através de logs de auditoria |
Você também pode consultar Concluir um rolo piloto de redefinição de senha de autoatendimento do Microsoft Entra. Neste tutorial, você habilitará uma implantação piloto do SSPR em sua organização e testará usando uma conta que não seja de administrador.
Suporte ao plano
Embora o SSPR normalmente não crie problemas de usuário, é importante preparar a equipe de suporte para lidar com problemas que possam surgir. Para permitir o sucesso da sua equipa de suporte, pode criar um FAQ com base nas perguntas que recebe dos seus utilizadores. Eis alguns exemplos:
Cenários | Description |
---|---|
O usuário não tem nenhum método de autenticação registrado disponível | Um utilizador está a tentar repor a sua palavra-passe, mas não tem nenhum dos métodos de autenticação que registou disponíveis (Exemplo: deixou o telemóvel em casa e não consegue aceder ao e-mail) |
O usuário não está recebendo uma mensagem de texto ou chamada em seu escritório ou telefone celular | Um utilizador está a tentar verificar a sua identidade através de texto ou chamada, mas não está a receber uma mensagem/chamada. |
O usuário não pode acessar o portal de redefinição de senha | Um usuário deseja redefinir sua senha, mas não está habilitado para redefinir senha e não pode acessar a página para atualizar senhas. |
O usuário não pode definir uma nova senha | Um usuário conclui a verificação durante o fluxo de redefinição de senha, mas não pode definir uma nova senha. |
O usuário não vê um link Redefinir senha em um dispositivo Windows 10 | Um utilizador está a tentar repor a palavra-passe a partir do ecrã de bloqueio do Windows 10, mas o dispositivo não está associado ao Microsoft Entra ID ou a política de dispositivo do Microsoft Intune não está ativada |
Planejar a reversão
Para reverter a implantação:
Para um único usuário, remova o usuário do grupo de segurança
Para um grupo, remova o grupo da configuração do SSPR
Para todos, desative o SSPR para o locatário do Microsoft Entra
Implementar a SSPR
Antes de implantar, verifique se você fez o seguinte:
Identifiquei os usuários e grupos para os ambientes piloto e de produção.
Determinadas definições de configuração para registro e autoatendimento.
Write-back de senha configurado se você tiver um ambiente híbrido.
Agora você está pronto para implantar o SSPR!
Consulte Ativar redefinição de senha de autoatendimento para obter instruções passo a passo completas sobre como configurar as seguintes áreas.
Habilitar SSPR no Windows
Para máquinas que executam o Windows 7, 8, 8.1 e 10, você pode permitir que os usuários reponham suas senhas na tela de entrada do Windows
Gerenciar SSPR
O Microsoft Entra ID pode fornecer informações adicionais sobre o desempenho do SSPR por meio de auditorias e relatórios.
Relatórios de atividade de gerenciamento de senhas
Você pode usar relatórios pré-criados no centro de administração do Microsoft Entra para medir o desempenho do SSPR. Se você estiver devidamente licenciado, também poderá criar consultas personalizadas. Para obter mais informações, consulte Opções de relatório para gerenciamento de senhas do Microsoft Entra.
É necessário um Administrador Global para gerir esta funcionalidade.
Nota
Você deve optar por que esses dados sejam coletados para sua organização. Para participar, você deve visitar a guia Relatórios ou os logs de auditoria no centro de administração do Microsoft Entra pelo menos uma vez. Até lá, os dados não são recolhidos para a sua organização.
Os logs de auditoria para registro e redefinição de senha estão disponíveis por 30 dias. Se a auditoria de segurança em sua empresa exigir retenção mais longa, os logs precisarão ser exportados e consumidos em uma ferramenta SIEM, como Microsoft Sentinel, Splunk ou ArcSight.
Métodos de autenticação - Uso e Insights
O uso e as informações permitem que você entenda como os métodos de autenticação para recursos como a autenticação multifator Microsoft Entra e o SSPR estão funcionando em sua organização. Esse recurso de relatório fornece à sua organização os meios para entender quais métodos registram e como usá-los.
Resolver problemas
Consulte Solucionar problemas de redefinição de senha de autoatendimento
Siga as perguntas frequentes sobre a gestão de palavras-passe
Documentação útil
What are authentication methods? (O que são os métodos de autenticação?)
Como funciona: Redefinição de senha de autoatendimento do Microsoft Entra?
Personalizar a funcionalidade do Microsoft Entra para redefinição de senha de autoatendimento