O que é a redefinição de senha de autoatendimento no Microsoft Entra ID?

Concluído

Foi-lhe solicitado que avalie formas de reduzir os custos do suporte técnico na organização de retalho. Você notou que a equipe de suporte gasta muito do tempo redefinindo senhas para os usuários. Os utilizadores queixam-se frequentemente de atrasos neste processo, e esses atrasos afetam a sua produtividade. Você quer entender como configurar o Azure para permitir que os usuários gerenciem suas próprias senhas.

Nesta unidade, você aprenderá como a redefinição de senha de autoatendimento (SSPR) funciona no Microsoft Entra ID.

Porquê utilizar a SSPR?

No Microsoft Entra ID, qualquer usuário pode alterar sua senha se já estiver conectado. Mas se não tiverem sessão iniciada, se tiverem esquecido a palavra-passe ou se esta tiver expirado, terão de repor a palavra-passe. Com o SSPR, os usuários podem redefinir suas senhas em um navegador da Web ou em uma tela de entrada do Windows para recuperar o acesso ao Azure, ao Microsoft 365 e a qualquer outro aplicativo que use o Microsoft Entra ID para autenticação.

O SSPR reduz a carga sobre os administradores porque os usuários podem corrigir problemas de senha sozinhos sem precisar ligar para o suporte técnico. Além disso, minimiza o impacto na produtividade de uma palavra-passe esquecida ou expirada. Os utilizadores não têm de esperar até que um administrador fique disponível para repor a palavra-passe.

Como funciona a SSPR

O usuário inicia uma redefinição de senha indo diretamente para o portal de redefinição de senha ou selecionando o link Não é possível acessar sua conta em uma página de login. O portal de reposição executa estes passos:

1. Localização: o portal verifica a configuração de localidade do navegador e processa a página SSPR no idioma apropriado.
2. Verificação: O usuário insere seu nome de usuário e passa um CAPTCHA para garantir que seja um usuário e não um bot.
3. Autenticação: O usuário insere os dados necessários para autenticar sua identidade. Eles podem inserir um código ou responder a perguntas de segurança.
4. Redefinição de senha: se o usuário passar nos testes de autenticação, ele poderá inserir uma nova senha e confirmá-la.
5. Notificação: Uma mensagem é enviada ao usuário para confirmar a redefinição.

Existem várias formas de personalizar a experiência de utilizador da SSPR. Por exemplo, pode adicionar o logótipo da sua empresa à página de início de sessão para que os utilizadores saibam que estão no sítio certo para repor a palavra-passe.

Autenticar uma reposição de palavra-passe

É fundamental verificar a identidade de um usuário antes de permitir uma redefinição de senha. Utilizadores maliciosos poderão tirar partido de quaisquer vulnerabilidades no sistema para representar esse utilizador. O Azure suporta seis formas diferentes de autenticar os pedidos de reposição.

Como administrador, você pode escolher os métodos a serem usados ao configurar o SSPR. Habilite dois ou mais desses métodos para que os usuários possam escolher aqueles que podem usar facilmente. Os métodos são:

Método de autenticação	Como registar	Como autenticar para uma reposição de palavra-passe
Notificação da aplicação móvel	Instale a aplicação Microsoft Authenticator no seu dispositivo móvel e, em seguida, registe-a na página de configuração da autenticação multifator.	O Azure envia uma notificação para a aplicação, que poderá confirmar ou negar.
Código da aplicação móvel	Este método também utiliza a aplicação Authenticator e poderá instalá-la e registá-la da mesma forma.	Introduza o código da aplicação.
E-mail	Indique um endereço de e-mail externo ao Azure e ao Microsoft 365.	O Azure envia um código para o endereço, o qual deverá introduzir no assistente de reposição.
Telemóvel	Forneça um número de telemóvel.	O Azure envia um código para o telemóvel numa mensagem SMS, o qual deverá introduzir no assistente de reposição. Também pode optar por receber uma chamada automática.
Telefone do escritório	Forneça um número de telefone fixo.	Recebe uma chamada automatizada para este número; prima #.
Perguntas de segurança	Selecione perguntas como "Em que cidade nasceu a sua mãe?" e guarde as respostas.	Responda às perguntas.

Nas organizações de avaliação do Microsoft Entra, as opções de chamada telefónica não são suportadas.

Exigir o número mínimo de métodos de autenticação

Você pode especificar o número mínimo de métodos que o usuário deve configurar, um ou dois. Por exemplo, poderá ativar os métodos de código da aplicação móvel, e-mail, telefone do escritório e perguntas de segurança. Além disso, poderá especificar um mínimo de dois métodos. Os usuários podem escolher os dois métodos que preferirem, como código de aplicativo móvel e e-mail.

Para o método de pergunta de segurança, você pode especificar um número mínimo de perguntas que o usuário deve configurar para se registrar para esse método. Você também pode especificar um número mínimo de perguntas que eles devem responder corretamente para redefinir sua senha.

Depois de os utilizadores registarem as informações necessárias para o número mínimo de métodos que especificou, são considerados como registados na SSPR.

Recomendações

• Ative dois ou mais métodos de pedidos de reposição de autenticação.
• Use a notificação ou o código do aplicativo móvel como o método principal. Mas também habilite os métodos de e-mail ou telefone do escritório para dar suporte a usuários sem dispositivos móveis.
• O método do telemóvel não é um método recomendado, porque é possível enviar mensagens SMS fraudulentas.
• A opção de pergunta de segurança é o método menos recomendado, porque as respostas às perguntas de segurança podem ser conhecidas por outras pessoas. Use apenas o método de pergunta de segurança em combinação com pelo menos um outro método.

Contas associadas a funções de administrador

• Aplica-se sempre uma política forte de autenticação de dois métodos às contas com uma função de administrador, independentemente da configuração para outros utilizadores.
• O método de pergunta de segurança não está disponível para contas associadas a uma função de administrador.

Configurar as notificações

Os administradores podem escolher como é que os utilizadores são notificados em relação a alterações de palavra-passe. Há duas opções que você pode ativar:

• Notificar os usuários sobre redefinições de senha: o usuário que redefine sua própria senha é notificado para seus endereços de e-mail primários e secundários. Se a reposição tiver sido feita por um utilizador mal intencionado, esta notificação alertará o utilizador, o qual poderá executar os passos de mitigação.
• Notificar todos os administradores quando outros administradores redefinirem suas senhas: Todos os administradores serão notificados quando outro administrador redefinir sua senha.

Requisitos de licença

Existem duas edições do Microsoft Entra ID, Premium P1 e Premium P2. A funcionalidade de redefinição de senha que você pode usar depende da sua edição.

Qualquer utilizador com sessão iniciada pode alterar a sua palavra-passe, independentemente da edição do Microsoft Entra ID.

E se não tiver sessão iniciada e se tiver esquecido a sua palavra-passe ou se a sua palavra-passe tiver expirado? Nesse caso, você pode usar SSPR no Microsoft Entra ID P1 ou P2. Está também disponível com o Microsoft 365 Apps para empresas ou com o Microsoft 365.

Em uma situação híbrida, onde você tem o Ative Directory local e o Microsoft Entra ID na nuvem, qualquer alteração de senha na nuvem deve ser gravada de volta no diretório local. Este suporte de write-back está disponível no Microsoft Entra ID P1 ou P2. Está também disponível com o Microsoft 365 Apps para empresas.

Opções de implantação do SSPR

Você pode implantar o SSPR com write-back de senha usando o Microsoft Entra Connect ou a sincronização na nuvem, dependendo das necessidades do usuário. Você pode implantar cada opção lado a lado em diferentes domínios para direcionar diferentes conjuntos de usuários. Isso ajuda os usuários existentes no local a reescrever as alterações de senha, enquanto adiciona uma opção para usuários em domínios desconectados devido a uma fusão ou cisão de empresa. Os usuários de um domínio local existente podem usar o Microsoft Entra Connect, enquanto os novos usuários de uma fusão podem usar a sincronização na nuvem em outro domínio.

A sincronização na nuvem também pode fornecer maior disponibilidade, porque não depende de uma única instância do Microsoft Entra Connect. Para obter uma comparação de recursos entre as duas opções de implantação, consulte Comparação entre o Microsoft Entra Connect e a sincronização na nuvem.

Verifique o seu conhecimento

1.

Quando é que um utilizador é considerado como registado para a SSPR?

Eles registraram pelo menos um dos métodos de autenticação permitidos.

Eles registraram pelo menos o número de métodos necessários para redefinir uma senha.

Eles estabelecem o número mínimo de perguntas de segurança.

2.

Quando você habilita o SSPR para sua organização do Microsoft Entra...

Os utilizadores só podem alterar a palavra-passe quando iniciam sessão.

Os administradores podem repor a palavra-passe através de um método de autenticação.

Os utilizadores podem repor as palavras-passe quando não conseguirem iniciar sessão.

Tem de responder a todas as questões antes de verificar o seu trabalho.