Habilite a redefinição de senha de autoatendimento do Microsoft Entra na tela de entrada do Windows

A redefinição de senha de autoatendimento (SSPR) oferece aos usuários no Microsoft Entra ID a capacidade de alterar ou redefinir sua senha, sem envolvimento de administrador ou suporte técnico. Normalmente, os usuários abrem um navegador da Web em outro dispositivo para acessar o portal SSPR. Para melhorar a experiência em computadores que executam o Windows 7, 8, 8.1, 10 e 11, você pode permitir que os usuários redefina sua senha na tela de entrada do Windows.

Example Windows login screens with SSPR link shown

Importante

Este tutorial mostra a um administrador como habilitar o SSPR para dispositivos Windows em uma empresa.

Se a sua equipa de TI não tiver ativado a capacidade de utilizar o SSPR a partir do seu dispositivo Windows ou se tiver problemas durante o início de sessão, contacte o serviço de assistência para obter assistência adicional.

Limitações gerais

As seguintes limitações aplicam-se à utilização do SSPR a partir do ecrã de início de sessão do Windows:

  • Atualmente, não há suporte para redefinição de senha em uma Área de Trabalho Remota ou em sessões aprimoradas do Hyper-V.
  • Alguns provedores de credenciais de terceiros são conhecidos por causar problemas com esse recurso.
  • A desativação do UAC por meio da modificação da chave do Registro EnableLUA é conhecida por causar problemas.
  • Esse recurso não funciona para redes com autenticação de rede 802.1x implantada e a opção "Executar imediatamente antes do logon do usuário". Para redes com autenticação de rede 802.1x implantada, é recomendável usar a autenticação de máquina para habilitar esse recurso.
  • As máquinas unidas híbridas do Microsoft Entra devem ter linha de visão de conectividade de rede com um controlador de domínio para usar a nova senha e atualizar as credenciais armazenadas em cache. Isso significa que os dispositivos devem estar na rede interna da organização ou em uma VPN com acesso de rede a um controlador de domínio local.
  • Se estiver usando uma imagem, antes de executar o sysprep, certifique-se de que o cache da Web esteja limpo para o Administrador interno antes de executar a etapa CopyProfile. Mais informações sobre essa etapa podem ser encontradas no artigo de suporte Desempenho fraco ao usar o perfil de usuário padrão personalizado.
  • As seguintes configurações são conhecidas por interferir com a capacidade de usar e redefinir senhas em dispositivos Windows 10:
    • Se as notificações da tela de bloqueio estiverem desativadas, Redefinir senha não funcionará.
    • HideFastUserSwitching está definido como ativado ou 1
    • DontDisplayLastUserName está definido como ativado ou 1
    • NoLockScreen está definido como ativado ou 1
    • BlockNonAdminUserInstall está definido como ativado ou 1
    • EnableLostMode está definido no dispositivo
    • Explorer.exe é substituído por um shell personalizado
    • Logon interativo: Exigir que o cartão inteligente esteja definido como ativado ou 1
  • A combinação das três configurações específicas a seguir pode fazer com que esse recurso não funcione.
    • Logon interativo: Não requer CTRL + ALT + DEL = Desativado (apenas para Windows 10 versão 1710 e anteriores)
    • DisableLockScreenAppNotifications = 1 ou Ativado
    • Windows SKU é a edição Home

Nota

Estas limitações também se aplicam à reposição do PIN do Windows Hello para Empresas a partir do ecrã de bloqueio do dispositivo.

Redefinição de senha do Windows 11 e Windows 10

Para configurar um dispositivo Windows 11 ou Windows 10 para SSPR na tela de entrada, revise os seguintes pré-requisitos e etapas de configuração.

Pré-requisitos do Windows 11 e Windows 10

  • Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação e habilite a redefinição de senha de autoatendimento do Microsoft Entra.
  • Os usuários devem se registrar no SSPR antes de usar esse recurso em https://aka.ms/ssprsetup
    • Não exclusivo para usar SSPR na tela de entrada do Windows, todos os usuários devem fornecer as informações de contato de autenticação antes de poderem redefinir sua senha.
  • Requisitos de proxy de rede:
    • Porta 443 para passwordreset.microsoftonline.com e ajax.aspnetcdn.com
    • Os dispositivos Windows 10 exigem uma configuração de proxy no nível da máquina ou uma configuração de proxy com escopo para a conta temporária defaultuser1 usada para executar SSPR (consulte a seção Solução de problemas para obter mais detalhes).
  • Execute pelo menos o Windows 10, versão da Atualização de abril de 2018 (v1803), e os dispositivos devem ser:
    • Associados ao Microsoft Entra
    • Associados ao Microsoft Entra híbrido

Habilitar para Windows 11 e Windows 10 usando o Microsoft Intune

Implantar a alteração de configuração para habilitar o SSPR na tela de logon usando o Microsoft Intune é o método mais flexível. O Microsoft Intune permite que você implante a alteração de configuração em um grupo específico de máquinas que você definir. Esse método requer o registro do dispositivo no Microsoft Intune.

Criar uma política de configuração de dispositivo no Microsoft Intune

  1. Entre no centro de administração do Microsoft Intune.

  2. Crie um novo perfil de configuração de dispositivo indo para Perfis de configuração>de dispositivo e, em seguida, selecione + Criar perfil

    • Para Plataforma , escolha Windows 10 e posterior
    • Para Tipo de perfil, escolha Modelos e, em seguida, selecione o modelo Personalizado abaixo
  3. Selecione Criar e, em seguida, forneça um nome significativo para o perfil, como SSPR da tela de entrada do Windows 11

    Opcionalmente, forneça uma descrição significativa do perfil e selecione Avançar.

  4. Em Definições de configuração, selecione Adicionar e forneça a seguinte configuração de OMA-URI para habilitar o link de redefinição de senha:

    • Forneça um nome significativo para explicar o que a configuração está fazendo, como Adicionar link SSPR.
    • Opcionalmente, forneça uma descrição significativa da configuração.
    • OMA-URI definido como ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
    • Tipo de dados definido como Inteiro
    • Valor definido como 1

    Selecione Adicionar e, em seguida, Avançar.

  5. A política pode ser atribuída a usuários, dispositivos ou grupos específicos. Atribua o perfil conforme desejado para seu ambiente, idealmente a um grupo de teste de dispositivos primeiro e, em seguida, selecione Avançar.

    Para obter mais informações, consulte Atribuir perfis de usuário e dispositivo no Microsoft Intune.

  6. Configure as regras de aplicabilidade conforme desejado para seu ambiente, como Atribuir perfil se a edição do sistema operacional for Windows 10 Enterprise e, em seguida, selecione Avançar.

  7. Reveja o seu perfil e, em seguida, selecione Criar.

Habilitar para Windows 11 e Windows 10 usando o Registro

Para habilitar o SSPR na tela de entrada usando uma chave do Registro, conclua as seguintes etapas:

  1. Entre no PC Windows usando credenciais administrativas.

  2. Prima o Windows + R para abrir a caixa de diálogo Executar e, em seguida, execute regedit como administrador

  3. Defina a chave de registo seguinte:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
       "AllowPasswordReset"=dword:00000001
    

Solução de problemas de redefinição de senha do Windows 11 e Windows 10

Se você tiver problemas com o uso do SSPR na tela de entrada do Windows, o log de auditoria do Microsoft Entra inclui informações sobre o endereço IP e o ClientType onde ocorreu a redefinição de senha, conforme mostrado na saída de exemplo a seguir:

Example Windows 7 password reset in the Microsoft Entra audit log

Quando os utilizadores repõem a palavra-passe a partir do ecrã de início de sessão de um dispositivo Windows 11 ou 10, é criada uma conta temporária de baixo privilégio chamada defaultuser1 . Essa conta é usada para manter o processo de redefinição de senha seguro.

A conta em si tem uma senha gerada aleatoriamente, que é validada em relação a uma política de senha da organização, não aparece para entrada no dispositivo e é removida automaticamente depois que o usuário redefine sua senha. Vários defaultuser perfis podem existir, mas podem ser ignorados com segurança.

Configurações de proxy para redefinição de senha do Windows

Durante a redefinição de senha, o SSPR cria uma conta de usuário local temporária para se conectar ao https://passwordreset.microsoftonline.com/n/passwordreset. Quando um proxy é configurado para autenticação do usuário, ele pode falhar com o erro "Algo deu errado. Por favor, tente novamente mais tarde." Isso ocorre porque a conta de usuário local não está autorizada a usar o proxy autenticado.

Nesse caso, você pode usar uma das seguintes soluções alternativas:

  • Configure uma configuração de proxy em toda a máquina que não dependa do tipo de usuário conectado à máquina. Por exemplo, você pode habilitar as configurações de proxy de Diretiva de Grupo por máquina (em vez de por usuário) para as estações de trabalho.

  • Você também pode usar a configuração de proxy por usuário para SSPR se modificar o modelo de registro para a conta padrão. Os comandos são os seguintes:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
    reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
    reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
    reg unload "hku\Default"
    
  • O erro "Algo deu errado" também pode ocorrer quando algo interrompe a conectividade com a URL https://passwordreset.microsoftonline.com/n/passwordreset. Por exemplo, este erro pode ocorrer quando o software antivírus é executado na estação de trabalho sem exclusões para URLs passwordreset.microsoftonline.com, ajax.aspnetcdn.come ocsp.digicert.com. Desative este software temporariamente para testar se o problema foi resolvido ou não.

Redefinição de senha do Windows 7, 8 e 8.1

Para configurar um dispositivo Windows 7, 8 ou 8.1 para SSPR na tela de entrada, revise os seguintes pré-requisitos e etapas de configuração.

Pré-requisitos do Windows 7, 8 e 8.1

  • Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação e habilite a redefinição de senha de autoatendimento do Microsoft Entra.
  • Os usuários devem se registrar no SSPR antes de usar esse recurso em https://aka.ms/ssprsetup
    • Não exclusivo para usar SSPR na tela de entrada do Windows, todos os usuários devem fornecer as informações de contato de autenticação antes de poderem redefinir sua senha.
  • Requisitos de proxy de rede:
    • Porta 443 a passwordreset.microsoftonline.com
  • Sistema operacional Windows 7 ou Windows 8.1 corrigido.
  • TLS 1.2 habilitado usando as orientações encontradas nas configurações do Registro Transport Layer Security (TLS).
  • Se mais de um provedor de credenciais de terceiros estiver habilitado em sua máquina, os usuários verão mais de um perfil de usuário na tela de login.

Aviso

O TLS 1.2 deve ser habilitado, não apenas definido para negociação automática.

Instalar

Para o Windows 7, 8 e 8.1, um pequeno componente deve ser instalado na máquina para habilitar o SSPR na tela de entrada. Para instalar este componente SSPR, conclua as seguintes etapas:

  1. Transfira o instalador adequado para a versão do Windows que pretende ativar.

    O instalador do software está disponível no centro de download da Microsoft em https://aka.ms/sspraddin

  2. Inicie sessão na máquina onde pretende instalar e execute o instalador.

  3. Após a instalação, uma reinicialização é altamente recomendada.

  4. Após a reinicialização, na tela de login, escolha um usuário e selecione "Esqueceu a senha?" para iniciar o fluxo de trabalho de redefinição de senha.

  5. Conclua o fluxo de trabalho seguindo as etapas na tela para redefinir sua senha.

Example Windows 7 clicked

Instalação silenciosa

O componente SSPR pode ser instalado ou desinstalado sem prompts usando os seguintes comandos:

  • Para instalação silenciosa, use o comando "msiexec /i SsprWindowsLogon.PROD.msi /qn"
  • Para a desinstalação silenciosa, use o comando "msiexec /x SsprWindowsLogon.PROD.msi /qn"

Solução de problemas de redefinição de senha do Windows 7, 8 e 8.1

Se você tiver problemas com o uso do SSPR na tela de entrada do Windows, os eventos serão registrados na máquina e na ID do Microsoft Entra. Os eventos do Microsoft Entra incluem informações sobre o endereço IP e ClientType onde ocorreu a redefinição de senha, conforme mostrado na saída de exemplo a seguir:

Example Windows 7 password reset in the Microsoft Entra audit log

Se for necessário um registo adicional, uma chave de registo na máquina pode ser alterada para permitir o registo detalhado. Habilite o log detalhado para fins de solução de problemas somente usando o seguinte valor de chave do Registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Para habilitar o registro detalhado, crie um REG_DWORD: "EnableLogging"e defina-o como 1.
  • Para desativar o registro detalhado, altere para REG_DWORD: "EnableLogging" 0.
  • Revise o log de depuração no log de eventos do aplicativo em AADPasswordResetCredentialProvider de origem.

O que os utilizadores veem

Com o SSPR configurado para seus dispositivos Windows, o que muda para o usuário? Como é que podem saber que é permitido repor a palavra-passe no ecrã de início de sessão? As capturas de tela de exemplo a seguir mostram as opções adicionais para um usuário redefinir sua senha usando SSPR:

Example Windows 7 and 10 login screens with SSPR link shown

Quando os usuários tentam entrar, eles veem um link Redefinir senha ou Esqueceu senha que abre a experiência de redefinição de senha de autoatendimento na tela de login. Com esta funcionalidade, os utilizadores podem repor as palavras-passe sem terem de utilizar outro dispositivo para aceder a um browser.

Mais informações para os usuários sobre como usar esse recurso podem ser encontradas em Redefinir sua senha do trabalho ou da escola

Próximos passos

Para simplificar a experiência de registro do usuário, você pode preencher previamente as informações de contato de autenticação do usuário para SSPR.