Tutorial: Permitir que os usuários desbloqueiem suas contas ou redefinissem senhas usando a redefinição de senha de autoatendimento do Microsoft Entra
A redefinição de senha de autoatendimento (SSPR) do Microsoft Entra oferece aos usuários a capacidade de alterar ou redefinir sua senha, sem envolvimento de administrador ou help desk. Se o Microsoft Entra ID bloquear a conta de um usuário ou ele esquecer sua senha, ele poderá seguir as instruções para se desbloquear e voltar ao trabalho. Essa capacidade reduz as chamadas de suporte técnico e a perda de produtividade quando um usuário não consegue entrar em seu dispositivo ou aplicativo. Recomendamos este vídeo sobre Como habilitar e configurar o SSPR no Microsoft Entra ID. Também temos um vídeo para administradores de TI sobre como resolver as seis mensagens de erro mais comuns do usuário final com SSPR.
Importante
Este tutorial mostra a um administrador como habilitar a redefinição de senha de autoatendimento. Se você for um usuário final já registrado para redefinição de senha de autoatendimento e precisar voltar à sua conta, vá para a página de redefinição de senha do Microsoft Online.
Se a sua equipa de TI não tiver ativado a capacidade de repor a sua própria palavra-passe, contacte o seu serviço de assistência para obter assistência adicional.
Neste tutorial você aprenderá a:
- Habilitar a redefinição de senha de autoatendimento para um grupo de usuários do Microsoft Entra
- Configurar métodos de autenticação e opções de registo
- Testar o processo SSPR como um usuário
Importante
Em março de 2023, anunciamos a descontinuação do gerenciamento de métodos de autenticação nas políticas herdadas de autenticação multifator e redefinição de senha de autoatendimento (SSPR). A partir de 30 de setembro de 2025, os métodos de autenticação não poderão ser gerenciados nessas políticas herdadas de MFA e SSPR. Recomendamos que os clientes usem o controle de migração manual para migrar para a política de métodos de autenticação até a data de preterição.
Tutorial em vídeo
Você também pode acompanhar em um vídeo relacionado: Como habilitar e configurar o SSPR no Microsoft Entra ID.
Pré-requisitos
Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:
- Um locatário do Microsoft Entra em funcionamento com pelo menos uma licença do Microsoft Entra ID P1 é necessário para a redefinição de senha. Para obter mais informações sobre os requisitos de licença para alteração de senha e redefinição de senha no Microsoft Entra ID, consulte Requisitos de licenciamento para redefinição de senha de autoatendimento do Microsoft Entra.
- Uma conta com pelo menos a função de Administrador de Política de Autenticação.
- Um usuário não administrador com uma senha que você conhece, como testuser. Você testará a experiência SSPR do usuário final usando essa conta neste tutorial.
- Se você precisar criar um usuário, consulte Guia de início rápido: adicionar novos usuários ao ID do Microsoft Entra.
- Um grupo do qual o usuário não administrador é membro, gosta do SSPR-Test-Group. Você habilitará o SSPR para este grupo neste tutorial.
- Se você precisar criar um grupo, consulte Criar um grupo básico e adicionar membros usando a ID do Microsoft Entra.
Habilitar a redefinição de senha de autoatendimento
Dica
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
O Microsoft Entra ID permite habilitar o SSPR para Nenhum, Selecionado ou Todos os usuários. Essa capacidade granular permite escolher um subconjunto de usuários para testar o processo de registro e o fluxo de trabalho do SSPR. Quando você estiver confortável com o processo e o momento certo para comunicar os requisitos com um conjunto mais amplo de usuários, poderá selecionar um grupo de usuários para habilitar o SSPR. Ou, você pode habilitar o SSPR para todos no locatário do Microsoft Entra.
Observação
Atualmente, você só pode habilitar um grupo do Microsoft Entra para SSPR usando o centro de administração do Microsoft Entra. Como parte de uma implantação mais ampla do SSPR, o Microsoft Entra ID oferece suporte a grupos aninhados.
Neste tutorial, configure o SSPR para um conjunto de usuários em um grupo de teste. Use o SSPR-Test-Group e forneça seu próprio grupo do Microsoft Entra conforme necessário:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Redefinição de senha de proteção>no menu do lado esquerdo.
Na página Propriedades, na opção Redefinição de senha de autoatendimento habilitada, escolha Selecionado.
Se o seu grupo não estiver visível, escolha Nenhum grupo selecionado, procure e selecione seu grupo do Microsoft Entra, como SSPR-Test-Group, e escolha Selecionar.
Para habilitar o SSPR para os usuários selecionados, selecione Salvar.
Selecionar métodos de autenticação e opções de registro
Quando os usuários precisam desbloquear sua conta ou redefinir sua senha, eles são solicitados a fornecer outro método de confirmação. Esse fator de autenticação extra garante que o Microsoft Entra ID tenha concluído apenas eventos SSPR aprovados. Você pode escolher quais métodos de autenticação permitir, com base nas informações de registro fornecidas pelo usuário.
No menu do lado esquerdo da página Métodos de autenticação, defina o Número de métodos necessários para redefinir como 2.
Para melhorar a segurança, você pode aumentar o número de métodos de autenticação necessários para SSPR.
Escolha os Métodos disponíveis para usuários que sua organização deseja permitir. Para este tutorial, marque as caixas para habilitar os seguintes métodos:
- Notificação de aplicativo móvel
- Código da aplicação móvel
- Telemóvel
Você pode habilitar outros métodos de autenticação, como telefone do Office ou perguntas de segurança, conforme necessário para atender às suas necessidades de negócios.
Para aplicar os métodos de autenticação, selecione Salvar.
Antes que os usuários possam desbloquear sua conta ou redefinir uma senha, eles devem registrar suas informações de contato. O Microsoft Entra ID usa essas informações de contato para os diferentes métodos de autenticação configurados nas etapas anteriores.
Um administrador pode fornecer manualmente essas informações de contato ou os usuários podem ir a um portal de registro para fornecer as próprias informações. Neste tutorial, configure o Microsoft Entra ID para solicitar o registro dos usuários na próxima vez que entrarem.
No menu do lado esquerdo da página Registro , selecione Sim para Exigir que os usuários se registrem ao entrar.
Defina Número de dias antes que os usuários sejam solicitados a reconfirmar suas informações de autenticação para 180.
É importante manter as informações de contato atualizadas. Se existirem informações de contato desatualizadas quando um evento SSPR for iniciado, o usuário pode não conseguir desbloquear sua conta ou redefinir sua senha.
Para aplicar as configurações de registro, selecione Salvar.
Observação
A interrupção da solicitação de registro de informações de contato durante o login só ocorrerá se as condições definidas nas configurações forem atendidas e só se aplicará a usuários e contas de administrador habilitados para redefinir senhas usando a redefinição de senha de autoatendimento do Microsoft Entra.
Configurar notificações e personalizações
Para manter os usuários informados sobre a atividade da conta, você pode configurar o Microsoft Entra ID para enviar notificações por email quando um evento SSPR acontecer. Essas notificações podem abranger contas de usuários regulares e contas de administrador. Para contas de administrador, essa notificação fornece outra camada de reconhecimento quando uma senha de conta de administrador privilegiada é redefinida usando SSPR. O Microsoft Entra ID pode notificar todos os administradores quando alguém usa SSPR em uma conta de administrador.
No menu do lado esquerdo da página Notificações , configure as seguintes opções:
- Defina a opção Notificar usuários sobre redefinições de senha? como Sim.
- Defina Notificar todos os administradores quando outros administradores redefinirem suas senhas? como Sim.
Para aplicar as preferências de notificação, selecione Salvar.
Se os usuários precisarem de mais ajuda com o processo SSPR, você poderá personalizar o link "Entre em contato com o administrador". O usuário pode selecionar este link no processo de registro SSPR e quando desbloquear sua conta ou redefinir sua senha. Para garantir que seus usuários recebam o suporte necessário, recomendamos que você forneça um e-mail ou URL personalizado do helpdesk.
- No menu do lado esquerdo da página Personalização , defina o link Personalizar helpdesk como Sim.
- No campo E-mail ou URL do helpdesk personalizado, forneça um endereço de e-mail ou URL de página da Web onde os usuários possam obter mais ajuda da sua organização, comohttps://support.contoso.com/
- Para aplicar o link personalizado, selecione Salvar.
Testar a redefinição de senha de autoatendimento
Com o SSPR habilitado e configurado, teste o processo SSPR com um usuário que faça parte do grupo selecionado na seção anterior, como Test-SSPR-Group. O exemplo a seguir usa a conta testuser . Forneça sua própria conta de usuário. Ele faz parte do grupo que você habilitou para SSPR na primeira seção deste tutorial.
Observação
Ao testar a redefinição de senha de autoatendimento, use uma conta que não seja de administrador. Por padrão, o Microsoft Entra ID permite a redefinição de senha de autoatendimento para administradores. Eles são obrigados a usar dois métodos de autenticação para redefinir sua senha. Para obter mais informações, consulte Diferenças de política de redefinição do administrador.
Para ver o processo de registo manual, abra uma nova janela do browser no modo InPrivate ou de navegação anónima e navegue até https://aka.ms/ssprsetup. O Microsoft Entra ID direcionará os usuários para este portal de registro quando entrarem na próxima vez.
Entre com um usuário de teste que não seja administrador, como testuser, e registre suas informações de contato de métodos de autenticação.
Quando terminar, selecione o botão marcado Parece bom e feche a janela do navegador.
Abra uma nova janela do navegador no modo InPrivate ou de navegação anônima e navegue até https://aka.ms/sspr.
Insira as informações da conta dos usuários de teste não administradores, como testuser, os caracteres do CAPTCHA e selecione Avançar.
Siga as etapas de verificação para redefinir sua senha. Quando terminar, você receberá uma notificação por e-mail informando que sua senha foi redefinida.
Limpar recursos
Em um tutorial posterior desta série, você configurará o write-back de senha. Esse recurso grava as alterações de senha do Microsoft Entra SSPR de volta para um ambiente AD local. Se você quiser continuar com esta série de tutoriais para configurar o write-back de senha, não desative o SSPR agora.
Se você não quiser mais usar a funcionalidade SSPR configurada como parte deste tutorial, defina o status do SSPR como Nenhum usando as seguintes etapas:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
- Navegue até Redefinição de senha de proteção>.
- Na página Propriedades, na opção Redefinição de senha de autoatendimento habilitada, selecione Nenhuma.
- Para aplicar a alteração SSPR, selecione Salvar.
Perguntas frequentes
Esta seção explica perguntas comuns de administradores e usuários finais que experimentam o SSPR:
Por que as políticas de senha locais não são exibidas durante o SSPR?
No momento, o Microsoft Entra Connect e a sincronização na nuvem não suportam o compartilhamento de detalhes da política de senha com a nuvem. O SSPR exibe apenas os detalhes da política de senha na nuvem e não pode mostrar políticas locais.
Por que os usuários federados esperam até 2 minutos depois de verem que Sua senha foi redefinida antes de poderem usar senhas sincronizadas localmente?
Para usuários federados cujas senhas são sincronizadas, a fonte de autoridade para as senhas é local. Como resultado, o SSPR atualiza apenas as senhas locais. A sincronização de hash de senha de volta para o Microsoft Entra ID é agendada para cada 2 minutos.
Quando um usuário recém-criado que é pré-preenchido com dados SSPR, como telefone e e-mail, visita a página de registro SSPR, Não perca o acesso à sua conta! aparece como o título da página. Por que outros usuários que têm dados SSPR pré-preenchidos não veem a mensagem?
Um usuário que vê Não perca o acesso à sua conta! é um membro de SSPR/grupos de registro combinados que são configurados para o locatário. Os usuários que não veem Não perca o acesso à sua conta! não faziam parte dos grupos de registro SSPR/combinados.
Quando alguns usuários passam pelo processo SSPR e redefinem sua senha, por que eles não veem o indicador de força da senha?
Os usuários que não veem a força da senha fraca/forte têm o write-back de senha sincronizado habilitado. Como o SSPR não pode determinar a política de senha do ambiente local do cliente, ele não pode validar a força ou a fraqueza da senha.
Próximos passos
Neste tutorial, você habilitou a redefinição de senha de autoatendimento do Microsoft Entra para um grupo selecionado de usuários. Você aprendeu a:
- Habilitar a redefinição de senha de autoatendimento para um grupo de usuários do Microsoft Entra
- Configurar métodos de autenticação e opções de registo
- Testar o processo SSPR como um usuário