Preencher previamente as informações de contato de autenticação do usuário da SSPR (redefinição de senha self-service) do Microsoft Entra

Para usar a SSPR (redefinição de senha self-service) do Microsoft Entra, as informações de autenticação de um usuário precisam estar presentes. A maioria das organizações tem usuários registrando seus próprios dados de autenticação enquanto coletam informações para MFA. Algumas organizações preferem inicializar esse processo por meio da sincronização de dados de autenticação que já existem no AD DS (Active Directory Domain Services). Esses dados sincronizados são disponibilizados para o Microsoft Entra ID e a SSPR sem a necessidade de interação do usuário. Quando os usuários precisam alterar ou redefinir a senha, eles podem fazer isso, mesmo que não tenham registrado suas informações de contato anteriormente.

Você pode preencher previamente as informações de contato de autenticação se atender aos seguintes requisitos:

  • Você formatou corretamente os dados em seu diretório local.
  • Você configurou o Microsoft Entra Connect para seu locatário do Microsoft Entra.

Os números de telefone devem estar no formato +CountryCode PhoneNumber, como +1 4251234567.

Observação

Precisa haver um espaço entre o código DDI e o número de telefone.

A redefinição de senha não dá suporte a ramais telefônicos. Mesmo no formato +1 4251234567X12345, as extensões são removidas antes que a chamada seja completada.

Campos preenchidos

Se você usar as configurações padrão do Microsoft Entra Connect, os seguintes mapeamentos serão feitos para preencher as informações de contato de autenticação da SSPR:

Active Directory local Microsoft Entra ID
telephoneNumber Telefone comercial
móvel Telefone celular

Depois que um usuário confirmar o número do telefone celular, o campo Telefone em Informações de contato de autenticação no Microsoft Entra ID também será preenchido com esse número.

Informações de contato de autenticação

Na página Métodos de autenticação de um usuário do Microsoft Entra no centro de administração do Microsoft Entra, aqueles a quem foi atribuída pelo menos a função Administrador de autenticação privilegiada podem definir manualmente as informações de contato de autenticação para qualquer pessoa. Você pode examinar os métodos existentes na seção Métodos de autenticação utilizáveis ou +Adicionar métodos de autenticação, conforme mostrado na seguinte captura de tela de exemplo:

Captura de tela de como gerenciar métodos de autenticação

As seguintes considerações se aplicam a essas informações de contato de autenticação:

  • Se o campo Telefone estiver preenchido e Telefone Celular estiver habilitado na política SSPR, o usuário verá esse número na página de registro de redefinição de senha e durante o fluxo de trabalho de redefinição de senha.
  • Se o campo Email estiver preenchido e Email estiver habilitado na política SSPR, o usuário verá esse email na página de registro de redefinição de senha e durante o fluxo de trabalho de redefinição de senha.

Perguntas e respostas de segurança

As perguntas e respostas de segurança são armazenadas de maneira segura no seu locatário do Microsoft Entra e só podem ser acessadas por usuários por meio da Experiência de registro combinado do My Security-Info. Os administradores não podem ver, configurar nem modificar o conteúdo das perguntas e respostas dos outros usuários.

O que acontece quando um usuário se registra

Quando um usuário se registra, a página de registro define os seguintes campos:

  • Telefone de autenticação
  • Email de autenticação
  • Perguntas e respostas de segurança

Se você forneceu um valor para Telefone Celular ou Email alternativo, os usuários poderão usar esses valores para redefinir suas senhas imediatamente, mesmo que não tenham se registrado no serviço.

O usuários também visualizam esses valores ao se registrarem pela primeira vez e podem modificá-los se quiserem. Após registro bem-sucedido, esses valores são mantidos nos campos Telefone de Autenticação e Email de Autenticação, respectivamente.

Definir e ler os dados de autenticação usando o PowerShell

Os campos a seguir podem ser definidos usando o PowerShell:

  • Email alternativo
  • Telefone celular
  • Telefone comercial
    • Só poderá ser definido se você não estiver sincronizando com um diretório local.

Você pode usar o PowerShell do Microsoft Graph para interagir com o Microsoft Entra ID ou usar a API REST do Microsoft Graph para gerenciar os métodos de autenticação.

Usar o PowerShell do Microsoft Graph

Para começar, baixe e instale o módulo PowerShell Microsoft Graph.

Para instalar rapidamente de versões recentes do PowerShell que dão suporte ao Install-Module, execute os comandos a seguir. A primeira linha verifica se o módulo já está instalado:

Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"

Depois que o módulo for instalado, use as etapas a seguir para configurar cada campo.

Definir os dados de autenticação com o PowerShell do Microsoft Graph

Connect-MgGraph -Scopes "User.ReadWrite.All"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"

Ler os dados de autenticação com o PowerShell do Microsoft Graph

Connect-MgGraph -Scopes "User.Read.All"

Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones

Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table

Próximas etapas

Depois que as informações de contato de autenticação forem preenchidas previamente para os usuários, conclua o seguinte tutorial para habilitar a redefinição de senha self-service: