Pré-preencher informações de contato de autenticação do usuário para redefinição de senha de autoatendimento (SSPR) do Microsoft Entra
Para usar a redefinição de senha de autoatendimento (SSPR) do Microsoft Entra, as informações de autenticação de um usuário devem estar presentes. A maioria das organizações faz com que os usuários registrem seus próprios dados de autenticação enquanto coletam informações para MFA. Algumas organizações preferem inicializar esse processo por meio da sincronização de dados de autenticação que já existem nos Serviços de Domínio Ative Directory (AD DS). Esses dados sincronizados são disponibilizados para o Microsoft Entra ID e SSPR sem exigir a interação do usuário. Quando os usuários precisam alterar ou redefinir sua senha, eles podem fazê-lo mesmo que não tenham registrado previamente suas informações de contato.
Você pode preencher previamente as informações de contato de autenticação se atender aos seguintes requisitos:
- Você formatou corretamente os dados em seu diretório local.
- Você configurou o Microsoft Entra Connect para seu locatário do Microsoft Entra.
Os números de telefone devem estar no formato +CountryCode PhoneNumber, como +1 4251234567.
Observação
Deve haver um espaço entre o código do país e o número de telefone.
A redefinição de senha não suporta extensões de telefone. Mesmo no formato +1 4251234567X12345, as extensões são removidas antes da chamada ser feita.
Campos preenchidos
Se você usar as configurações padrão no Microsoft Entra Connect, os mapeamentos a seguir serão feitos para preencher as informações de contato de autenticação para SSPR:
| Ative Directory local | Microsoft Entra ID |
|---|---|
| Número de telefone | Telefone do escritório |
| telemóvel | Telemóvel |
Depois que um usuário verifica seu número de telefone celular, o campo Telefone em Informações de contato de autenticação no ID do Microsoft Entra também é preenchido com esse número.
Informações de contato de autenticação
Na página Métodos de autenticação para um usuário do Microsoft Entra no centro de administração do Microsoft Entra, aqueles a quem foi atribuída pelo menos a função de Administrador de Autenticação Privilegiada podem definir manualmente as informações de contato de autenticação para qualquer pessoa. Você pode revisar os métodos existentes na seção Métodos de autenticação utilizáveis ou +Adicionar métodos de autenticação, conforme mostrado na captura de tela de exemplo a seguir:
As seguintes considerações se aplicam a essas informações de contato de autenticação:
- Se o campo Telefone estiver preenchido e Celular estiver habilitado na política SSPR, o usuário verá esse número na página de registro de redefinição de senha e durante o fluxo de trabalho de redefinição de senha.
- Se o campo Email estiver preenchido e Email estiver habilitado na política SSPR, o usuário verá esse email na página de registro de redefinição de senha e durante o fluxo de trabalho de redefinição de senha.
Perguntas e respostas sobre segurança
As perguntas e respostas de segurança são armazenadas de forma segura no seu inquilino do Microsoft Entra e só são acessíveis aos utilizadores através da experiência de registo combinado do My Security-Info. Os administradores não podem ver, definir ou modificar o conteúdo das perguntas e respostas de outros usuários.
O que acontece quando um utilizador se regista
Quando um usuário se registra, a página de registro define os seguintes campos:
- Telefone de autenticação
- E-mail de autenticação
- Perguntas e respostas sobre segurança
Se você forneceu um valor para Celular ou e-mail alternativo, os usuários podem usar imediatamente esses valores para redefinir suas senhas, mesmo que não tenham se registrado no serviço.
Os usuários também veem esses valores quando se registram pela primeira vez e podem modificá-los se quiserem. Depois que eles se registram com êxito, esses valores são mantidos nos campos Telefone de autenticação e Email de autenticação, respectivamente.
Definir e ler os dados de autenticação por meio do PowerShell
Os seguintes campos podem ser definidos por meio do PowerShell:
- E-mail alternativo
- Telemóvel
- Telefone do escritório
- Só pode ser definido se você não estiver sincronizando com um diretório local.
Você pode usar o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID ou usar a API REST do Microsoft Graph para gerenciar métodos de autenticação.
Usar o Microsoft Graph PowerShell
Para começar, baixe e instale o módulo Microsoft Graph PowerShell.
Para instalar rapidamente a partir de versões recentes do PowerShell que ofereçam suporte ao Install-Module, execute os seguintes comandos. A primeira linha verifica se o módulo já está instalado:
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"
Depois que o módulo for instalado, use as etapas a seguir para configurar cada campo.
Definir os dados de autenticação com o Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
Leia os dados de autenticação com o Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones
Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table
Próximos passos
Depois que as informações de contato de autenticação forem pré-preenchidas para os usuários, conclua o seguinte tutorial para habilitar a redefinição de senha de autoatendimento: