Planejar uma implantação de redefinição de senha de autoatendimento do Microsoft Entra

Importante

Este plano de implantação oferece orientação e práticas recomendadas para implantar a redefinição de senha de autoatendimento (SSPR) do Microsoft Entra.

Se for um utilizador final e precisar de voltar à sua conta, aceda a https://aka.ms/sspr.

O Self-Service Password Reset (SSPR) é um recurso do Microsoft Entra que permite aos usuários redefinir suas senhas sem entrar em contato com a equipe de TI para obter ajuda. Os usuários podem se desbloquear rapidamente e continuar trabalhando, não importa onde estejam ou hora do dia. Ao permitir que os funcionários se desbloqueiem, sua organização pode reduzir o tempo improdutivo e os altos custos de suporte para os problemas mais comuns relacionados a senhas.

O SSPR tem os seguintes recursos principais:

  • O autosserviço permite que os usuários finais redefina suas senhas expiradas ou não expiradas sem entrar em contato com um administrador ou helpdesk para obter suporte.
  • O Writeback de Senhas permite o gerenciamento de senhas locais e a resolução do bloqueio de contas através da nuvem.
  • Os relatórios de atividades de gerenciamento de senhas fornecem aos administradores informações sobre a redefinição de senha e a atividade de registro que ocorrem em sua organização.

Este guia de implantação mostra como planejar e testar uma distribuição SSPR.

Para ver rapidamente o SSPR em ação e, em seguida, voltar para entender considerações adicionais de implantação:

Dica

Como complemento deste artigo, recomendamos usar o guia de implantação de redefinição de senha de autoatendimento quando entrar no Centro de Administração do Microsoft 365. Este guia personalizará sua experiência com base em seu ambiente. Para rever as práticas recomendadas sem iniciar sessão e ativar funcionalidades de configuração automatizada, aceda ao portal de Configuração M365.

Saiba mais sobre SSPR

Saiba mais sobre SSPR. Consulte Como funciona: Redefinição de senha de autoatendimento do Microsoft Entra.

Principais benefícios

Os principais benefícios de habilitar o SSPR são:

  • Gerencie custos. O SSPR reduz os custos de suporte de TI, permitindo que os usuários redefinissem senhas por conta própria. Também reduz o custo do tempo perdido devido à perda de senhas e bloqueios.

  • Experiência de utilizador intuitiva. Ele fornece um processo intuitivo de registro de usuário único que permite aos usuários redefinir senhas e desbloquear contas sob demanda de qualquer dispositivo ou local. O SSPR permite que os usuários voltem ao trabalho mais rapidamente e sejam mais produtivos.

  • Flexibilidade e segurança. O SSPR permite que as empresas acessem a segurança e a flexibilidade que uma plataforma de nuvem oferece. Os administradores podem alterar as configurações para acomodar novos requisitos de segurança e implementar essas alterações para os usuários sem interromper a entrada.

  • Auditoria robusta e acompanhamento de uso. Uma organização pode garantir que os sistemas de negócios permaneçam seguros enquanto seus usuários redefinem suas próprias senhas. Logs de auditoria robustos incluem informações de cada etapa do processo de redefinição de senha. Esses logs estão disponíveis a partir de uma API e permitem que o usuário importe os dados para um sistema de monitoramento de incidentes e eventos de segurança (SIEM) de escolha.

Licenciamento

O Microsoft Entra ID é licenciado por usuário, o que significa que cada usuário requer uma licença apropriada para os recursos que usa. Recomendamos o licenciamento baseado em grupo para SSPR.

Para comparar edições e recursos e habilitar o licenciamento baseado em grupo ou usuário, consulte Requisitos de licenciamento para redefinição de senha de autoatendimento do Microsoft Entra.

Para obter mais informações sobre preços, consulte Preços do Microsoft Entra.

Pré-requisitos

  • Um locatário do Microsoft Entra em funcionamento com pelo menos uma licença de avaliação habilitada. Se necessário, crie um gratuitamente.

  • É necessário um Administrador Global para gerir esta funcionalidade.

Passo a passo guiado

Para obter um passo a passo guiado de muitas das recomendações neste artigo, consulte o Guia de implantação de redefinição de senha de autoatendimento quando entrar no Centro de Administração do Microsoft 365. Para rever as práticas recomendadas sem iniciar sessão e ativar funcionalidades de configuração automatizada, aceda ao portal de Configuração M365.

Recursos de formação

Recursos Link e Descrição
Vídeos Capacite seus usuários com melhor escalabilidade de TI
O que é a redefinição de senha de autoatendimento?
Implantando a redefinição de senha de autoatendimento
Como habilitar e configurar o SSPR no Microsoft Entra ID
Como configurar a redefinição de senha de autoatendimento para usuários no Microsoft Entra ID?
Como [preparar os usuários para] registrar [suas] informações de segurança para o Microsoft Entra ID
Cursos online Gerenciando identidades no Microsoft Entra ID Use SSPR para oferecer aos seus usuários uma experiência moderna e protegida. Veja especialmente o módulo "Managing Microsoft Entra Users and Groups".
Introdução ao Microsoft Enterprise Mobility Suite Conheça as práticas recomendadas para estender ativos locais para a nuvem de uma maneira que permita autenticação, autorização, criptografia e uma experiência móvel segura. Consulte especialmente o módulo "Configurando recursos avançados do Microsoft Entra ID P1 ou P2".
Tutoriais Conclua uma implementação piloto de redefinição de senha de autoatendimento do Microsoft Entra
Ativando write-back de senha
Redefinição de senha do Microsoft Entra na tela de login do Windows 10
Perguntas Frequentes Perguntas frequentes sobre a gestão de palavras-passe

Arquitetura da solução

O exemplo a seguir descreve a arquitetura da solução de redefinição de senha para ambientes híbridos comuns.

Diagrama da arquitetura da solução

Descrição do fluxo de trabalho

Para redefinir a senha, os usuários acessam o portal de redefinição de senha. Devem verificar o(s) método(s) de autenticação previamente registado(s) para provar a sua identidade. Se eles redefinirem a senha com êxito, iniciarão o processo de redefinição.

  • Para usuários somente na nuvem, o SSPR armazena a nova senha no Microsoft Entra ID.

  • Para usuários híbridos, o SSPR grava de volta a senha no Ative Directory local por meio do serviço Microsoft Entra Connect.

Nota: Para usuários que têm a sincronização de hash de senha (PHS) desabilitada, o SSPR armazena as senhas somente no Ative Directory local.

Melhores práticas

Você pode ajudar os usuários a se registrarem rapidamente implantando o SSPR ao lado de outro aplicativo ou serviço popular na organização. Essa ação gerará um grande volume de logins e impulsionará o registro.

Antes de implantar o SSPR, você pode optar por determinar o número e o custo médio de cada chamada de redefinição de senha. Você pode usar essa implantação de postagem de dados para mostrar o valor que o SSPR está trazendo para a organização.

Registro combinado para autenticação multifator SSPR e Microsoft Entra

O SSPR permite que os usuários redefina sua senha de forma segura usando os mesmos métodos que usam para a autenticação multifator do Microsoft Entra. O registro combinado é uma única etapa de registro para usuários finais que permite o registro de métodos MFA e SSPR ao mesmo tempo. Para se certificar de que compreende a funcionalidade e a experiência do utilizador final, consulte os Conceitos de registo de informações de segurança combinadas.

É fundamental informar os usuários sobre alterações futuras, requisitos de registro e quaisquer ações necessárias do usuário. Fornecemos modelos de comunicação e documentação do usuário para preparar seus usuários para a nova experiência e ajudar a garantir uma implantação bem-sucedida. Envie os usuários para https://myprofile.microsoft.com se registrarem selecionando o link Informações de segurança nessa página.

Planejar o projeto de implantação

Considere suas necessidades organizacionais enquanto determina a estratégia para essa implantação em seu ambiente.

Envolva as partes interessadas certas

Quando os projetos de tecnologia falham, normalmente o fazem devido a expectativas incompatíveis sobre impacto, resultados e responsabilidades. Para evitar essas armadilhas, certifique-se de que você está envolvendo as partes interessadas certas e que os papéis das partes interessadas no projeto são bem compreendidos, documentando as partes interessadas e suas contribuições e responsabilidades do projeto.

Funções de administrador necessárias

Função/Persona Empresarial Função Microsoft Entra (se necessário)
Serviço de assistência de nível 1 Administrador de senha
Serviço de assistência de nível 2 Administrador de usuários
Administrador SSPR Administrador de autenticação

Planeie um piloto

Recomendamos que a configuração inicial do SSPR esteja em um ambiente de teste. Comece com um grupo piloto habilitando o SSPR para um subconjunto de usuários em sua organização. Consulte Práticas recomendadas para um piloto.

Para criar um grupo, veja como criar um grupo e adicionar membros no Microsoft Entra ID.

Planejar configuração

As configurações a seguir são necessárias para habilitar o SSPR junto com os valores recomendados.

Área Cenário Valor
Propriedades SSPR Redefinição de senha de autoatendimento habilitada Grupo selecionado para piloto / Todos para produção
Métodos de autenticação Métodos de autenticação necessários para o registo Sempre 1 a mais do que o necessário para redefinir
Métodos de autenticação necessários para redefinir Um ou dois
Registo Exigir que os usuários se registrem ao entrar Sim
Número de dias antes de os usuários serem solicitados a reconfirmar suas informações de autenticação 90 – 180 dias
Notificações Notificar os usuários sobre redefinições de senha Sim
Notificar todos os administradores quando outros administradores redefinirem a senha Sim
Personalização Personalizar link de helpdesk Sim
E-mail ou URL personalizado do helpdesk Site de suporte ou endereço de e-mail
Integração local Gravar senhas de volta no AD local Sim
Permitir que os usuários desbloqueiem a conta sem redefinir a senha Sim

Propriedades SSPR

Ao habilitar o SSPR, escolha um grupo de segurança apropriado no ambiente piloto.

  • Para impor o registro SSPR para todos, recomendamos o uso da opção Todos .
  • Caso contrário, selecione o ID do Microsoft Entra ou o grupo de segurança AD apropriado.

Métodos de autenticação

Quando o SSPR está habilitado, os usuários só podem redefinir sua senha se tiverem dados presentes nos métodos de autenticação habilitados pelo administrador. Os métodos incluem telefone, notificação do aplicativo Authenticator, perguntas de segurança e assim por diante. Para obter mais informações, consulte O que são métodos de autenticação?.

Recomendamos as seguintes configurações de método de autenticação:

  • Defina os métodos de Autenticação necessários para registrar pelo menos um a mais do que o número necessário para redefinir. Permitir várias autenticações dá aos usuários flexibilidade quando precisam redefinir.

  • Defina Número de métodos necessários para redefinir para um nível apropriado à sua organização. Um requer o mínimo de atrito, enquanto dois podem aumentar sua postura de segurança.

Nota: O usuário deve ter os métodos de autenticação configurados nas políticas e restrições de senha no Microsoft Entra ID.

Configurações de registro

Defina Exigir que os usuários se registrem ao entrar como Sim. Essa configuração exige que os usuários se registrem ao entrar, garantindo que todos os usuários estejam protegidos.

Defina o número de dias antes que os usuários sejam solicitados a reconfirmar suas informações de autenticação entre 90 e 180 dias, a menos que sua organização tenha uma necessidade comercial de um período de tempo mais curto.

Configurações de notificações

Configure a opção Notificar usuários sobre redefinições de senha e Notificar todos os administradores quando outros administradores redefinirem sua senha para Sim. Selecionar Sim em ambos aumenta a segurança, garantindo que os usuários estejam cientes quando sua senha é redefinida. Ele também garante que todos os administradores estejam cientes quando um administrador altera uma senha. Se os utilizadores ou administradores receberem uma notificação e não tiverem iniciado a alteração, podem comunicar imediatamente um potencial problema de segurança.

Observação

As notificações por email do serviço SSPR serão enviadas dos seguintes endereços com base na nuvem do Azure com a qual você está trabalhando:

  • Público: msonlineservicesteam@microsoft.com
  • China: msonlineservicesteam@oe.21vianet.com
  • Governo: msonlineservicesteam@azureadnotifications.us

Se você observar problemas no recebimento de notificações, verifique suas configurações de spam.

Configurações de personalização

É fundamental personalizar o e-mail ou URL do helpdesk para garantir que os usuários que tiverem problemas possam obter ajuda imediatamente. Defina esta opção para um endereço de correio eletrónico ou página Web comum do serviço de assistência com o qual os utilizadores estejam familiarizados.

Para obter mais informações, consulte Personalizar a funcionalidade do Microsoft Entra para redefinição de senha de autoatendimento.

Write-back de senha

O Write-back de senha é habilitado com o Microsoft Entra Connect e grava redefinições de senha na nuvem de volta para um diretório local existente em tempo real. Para obter mais informações, consulte O que é write-back de senha?

Recomendamos as seguintes configurações:

  • Certifique-se de que Gravar novamente senhas no AD local esteja definido como Sim.
  • Defina Permitir que os usuários desbloqueiem a conta sem redefinir a senha como Sim.

Por padrão, o Microsoft Entra ID desbloqueia contas quando executa uma redefinição de senha.

Configuração de senha de administrador

As contas de administrador têm permissões elevadas. Os administradores empresariais ou de domínio locais não podem redefinir suas senhas por meio do SSPR. As contas de administrador locais têm as seguintes restrições:

  • Só pode alterar sua senha em seu ambiente local.
  • Nunca pode usar as perguntas e respostas secretas como um método para redefinir sua senha.

Recomendamos que você não sincronize suas contas de administrador do Ative Directory locais com o Microsoft Entra ID.

Ambientes com vários sistemas de gerenciamento de identidade

Alguns ambientes têm vários sistemas de gerenciamento de identidade. Os gerenciadores de identidades locais, como Oracle IAM e SiteMinder, exigem sincronização com o AD para senhas. Você pode fazer isso usando uma ferramenta como o serviço de notificação de alteração de senha (PCNS) com o Microsoft Identity Manager (MIM). Para encontrar informações sobre esse cenário mais complexo, consulte o artigo Implantar o Serviço de Notificação de Alteração de Senha do MIM em um controlador de domínio.

Planejar testes e suporte

Em cada estágio de sua implantação, desde os grupos piloto iniciais até toda a organização, certifique-se de que os resultados sejam os esperados.

Planejar testes

Para garantir que sua implantação funcione conforme o esperado, planeje um conjunto de casos de teste para validar a implementação. Para avaliar os casos de teste, você precisa de um usuário de teste não administrador com uma senha. Se você precisar criar um usuário, consulte Adicionar novos usuários ao Microsoft Entra ID.

A tabela a seguir inclui cenários de teste úteis que você pode usar para documentar os resultados esperados de suas organizações com base em suas políticas.

Justificação comercial Resultados esperados
O portal SSPR pode ser acessado a partir da rede corporativa Determinado pela sua organização
O portal SSPR pode ser acessado de fora da rede corporativa Determinado pela sua organização
Redefinir a senha do usuário do navegador quando o usuário não estiver habilitado para redefinir a senha O usuário não consegue acessar o fluxo de redefinição de senha
Redefinir a senha do usuário do navegador quando o usuário não tiver se registrado para redefinir a senha O usuário não consegue acessar o fluxo de redefinição de senha
O usuário entra quando é forçado a fazer o registro de redefinição de senha Solicita que o usuário registre informações de segurança
O usuário entra quando o registro de redefinição de senha é concluído Solicita que o usuário registre informações de segurança
O portal SSPR é acessível quando o usuário não tem uma licença É acessível
Redefinir a senha do usuário do Windows 10 Tela de bloqueio do dispositivo ingressado no Microsoft Entra ou híbrido do Microsoft Entra O usuário pode redefinir a senha
Os dados de registro e uso do SSPR estão disponíveis para os administradores quase em tempo real Está disponível através de logs de auditoria

Você também pode consultar Concluir um rolo piloto de redefinição de senha de autoatendimento do Microsoft Entra. Neste tutorial, você habilitará uma implantação piloto do SSPR em sua organização e testará usando uma conta que não seja de administrador.

Suporte ao plano

Embora o SSPR normalmente não crie problemas de usuário, é importante preparar a equipe de suporte para lidar com problemas que possam surgir. Para permitir o sucesso da sua equipa de suporte, pode criar um FAQ com base nas perguntas que recebe dos seus utilizadores. Eis alguns exemplos:

Cenários Descrição
O usuário não tem nenhum método de autenticação registrado disponível Um utilizador está a tentar repor a sua palavra-passe, mas não tem nenhum dos métodos de autenticação que registou disponíveis (Exemplo: deixou o telemóvel em casa e não consegue aceder ao e-mail)
O usuário não está recebendo uma mensagem de texto ou chamada em seu escritório ou telefone celular Um utilizador está a tentar verificar a sua identidade através de texto ou chamada, mas não está a receber uma mensagem/chamada.
O usuário não pode acessar o portal de redefinição de senha Um usuário deseja redefinir sua senha, mas não está habilitado para redefinir senha e não pode acessar a página para atualizar senhas.
O usuário não pode definir uma nova senha Um usuário conclui a verificação durante o fluxo de redefinição de senha, mas não pode definir uma nova senha.
O usuário não vê um link Redefinir senha em um dispositivo Windows 10 Um utilizador está a tentar repor a palavra-passe a partir do ecrã de bloqueio do Windows 10, mas o dispositivo não está associado ao Microsoft Entra ID ou a política de dispositivo do Microsoft Intune não está ativada

Planejar a reversão

Para reverter a implantação:

  • Para um único usuário, remova o usuário do grupo de segurança

  • Para um grupo, remova o grupo da configuração do SSPR

  • Para todos, desative o SSPR para o locatário do Microsoft Entra

Implantar SSPR

Antes de implantar, verifique se você fez o seguinte:

  1. Determinadas as definições de configuração apropriadas.

  2. Identifiquei os usuários e grupos para os ambientes piloto e de produção.

  3. Determinadas definições de configuração para registro e autoatendimento.

  4. Write-back de senha configurado se você tiver um ambiente híbrido.

Agora você está pronto para implantar o SSPR!

Consulte Ativar redefinição de senha de autoatendimento para obter instruções passo a passo completas sobre como configurar as seguintes áreas.

  1. Métodos de autenticação

  2. Configurações de registro

  3. Configurações de notificações

  4. Configurações de personalização

  5. Integração local

Habilitar SSPR no Windows

Para máquinas que executam o Windows 7, 8, 8.1 e 10, você pode permitir que os usuários reponham suas senhas na tela de entrada do Windows

Gerenciar SSPR

O Microsoft Entra ID pode fornecer informações adicionais sobre o desempenho do SSPR por meio de auditorias e relatórios.

Relatórios de atividade de gerenciamento de senhas

Você pode usar relatórios pré-criados no centro de administração do Microsoft Entra para medir o desempenho do SSPR. Se você estiver devidamente licenciado, também poderá criar consultas personalizadas. Para obter mais informações, consulte Opções de relatório para gerenciamento de senhas do Microsoft Entra.

É necessário um Administrador Global para gerir esta funcionalidade.

Observação

Você deve optar por que esses dados sejam coletados para sua organização. Para participar, você deve visitar a guia Relatórios ou os logs de auditoria no centro de administração do Microsoft Entra pelo menos uma vez. Até lá, os dados não são recolhidos para a sua organização.

Os logs de auditoria para registro e redefinição de senha estão disponíveis por 30 dias. Se a auditoria de segurança em sua empresa exigir retenção mais longa, os logs precisarão ser exportados e consumidos em uma ferramenta SIEM, como Microsoft Sentinel, Splunk ou ArcSight.

Captura de tela do Relatório SSPR

Métodos de autenticação - Uso e Insights

O uso e as informações permitem que você entenda como os métodos de autenticação para recursos como a autenticação multifator Microsoft Entra e o SSPR estão funcionando em sua organização. Esse recurso de relatório fornece à sua organização os meios para entender quais métodos registram e como usá-los.

Solução de problemas

Documentação útil

Próximos passos