Como funciona: Redefinição de senha self-service do Azure ADHow it works: Azure AD self-service password reset

Como funciona a SSPR (redefinição de senha por autoatendimento)?How does self-service password reset (SSPR) work? O que essa opção significa na interface?What does that option mean in the interface? Continue lendo para saber mais sobre a SSPR do Azure AD (Azure Active Directory).Continue reading to find out more about Azure Active Directory (Azure AD) SSPR.

Como funciona o portal de redefinição de senha?How does the password reset portal work?

Quando um usuário entra no portal de redefinição de senha, um fluxo de trabalho é iniciado para determinar:When a user goes to the password reset portal, a workflow is kicked off to determine:

  • Como a página deve ser localizada?How should the page be localized?
  • A conta de usuário é válida?Is the user account valid?
  • A qual organização o usuário pertence?What organization does the user belong to?
  • Onde a senha do usuário é gerenciada?Where is the user’s password managed?
  • O usuário é licenciado para usar o recurso?Is the user licensed to use the feature?

Leia as etapas abaixo para saber mais sobre a lógica por trás da página de redefinição de senha:Read through the following steps to learn about the logic behind the password reset page:

  1. O usuário seleciona o link Não consigo acessar minha conta ou acessa https://aka.ms/sspr diretamente.The user selects the Can't access your account link or goes directly to https://aka.ms/sspr.
    • Com base na localidade do navegador, a experiência é renderizada no idioma apropriado.Based on the browser locale, the experience is rendered in the appropriate language. A experiência de redefinição de senha é localizada nos mesmos idiomas para os quais o Office 365 dá suporte.The password reset experience is localized into the same languages that Office 365 supports.
    • Para visualizar o portal de redefinição de senha em um idioma localizado diferente, inclua "? Mkt =" no final do URL de redefinição de senha com o exemplo a seguir para o espanhol https://passwordreset.microsoftonline.com/?mkt=es-us.To view the password reset portal in a different localized language append "?mkt=" to the end of the password reset URL with the example that follows localizing to Spanish https://passwordreset.microsoftonline.com/?mkt=es-us.
  2. O usuário insere uma ID de usuário e passa um captcha.The user enters a user ID and passes a captcha.
  3. O Azure Active Directory verifica se o usuário está apto para usar esse recurso fazendo as seguintes verificações:Azure AD verifies that the user is able to use this feature by doing the following checks:
    • Verifica se o usuário possui esse recurso habilitado e uma licença do Azure Active Directory atribuída.Checks that the user has this feature enabled and has an Azure AD license assigned.
      • Se o usuário não tiver esse recurso habilitado ou uma licença atribuída, ele deverá contatar o administrador para redefinir sua senha.If the user does not have this feature enabled or have a license assigned, the user is asked to contact their administrator to reset their password.
    • Verifica se o usuário possui os métodos de autenticação corretos definidos em sua conta, de acordo com a política do administrador.Checks that the user has the right authentication methods defined on their account in accordance with administrator policy.
      • Se a política exigir apenas um método, ela garantirá que o usuário tenha os dados apropriados definidos para pelo menos um dos métodos de autenticação habilitados pela política do administrador.If the policy requires only one method, then it ensures that the user has the appropriate data defined for at least one of the authentication methods enabled by the administrator policy.
        • Se os métodos de autenticação não estiverem configurados, o usuário é aconselhado a entrar em contato com o administrador para redefinir sua senha.If the authentication methods are not configured, then the user is advised to contact their administrator to reset their password.
      • Se a política exigir dois métodos, ela garantirá que o usuário tenha os dados apropriados definidos para pelo menos dois dos métodos de autenticação habilitados pela política do administrador.If the policy requires two methods, then it ensures that the user has the appropriate data defined for at least two of the authentication methods enabled by the administrator policy.
        • Se os métodos de autenticação não estiverem configurados, o usuário é aconselhado a entrar em contato com o administrador para redefinir sua senha.If the authentication methods are not configured, then the user is advised to contact their administrator to reset their password.
      • Se uma função de administrador do Azure for atribuída ao usuário, a política de senha forte de duas portas será imposta.If an Azure administrator role is assigned to the user, then the strong two-gate password policy is enforced. Mais informações sobre essa política podem ser encontradas na seção Diferenças da política de redefinição do administrador.More information about this policy can be found in the section Administrator reset policy differences.
    • Verifica se a senha do usuário é gerenciada no local (federado, autenticação de passagem ou sincronizada com hash de senha).Checks to see if the user’s password is managed on-premises (federated, pass-through authentication, or password hash synchronized).
      • Se o write-back estiver implantado e a senha do usuário for gerenciada localmente, o usuário poderá continuar a autenticação e a redefinição de sua senha.If writeback is deployed and the user’s password is managed on-premises, then the user is allowed to proceed to authenticate and reset their password.
      • Se o write-back não estiver implantado e a senha do usuário for gerenciada localmente, o usuário deverá contatar o administrador para redefinir sua senha.If writeback is not deployed and the user’s password is managed on-premises, then the user is asked to contact their administrator to reset their password.
  4. Se for determinado que o usuário pode redefinir sua senha com êxito, ele será orientado pelo processo de redefinição.If it's determined that the user is able to successfully reset their password, then the user is guided through the reset process.

Métodos de autenticaçãoAuthentication methods

Se a SSPR estiver habilitada, você deve selecionar pelo menos uma das seguintes opções para os métodos de autenticação.If SSPR is enabled, you must select at least one of the following options for the authentication methods. Às vezes, essas opções referidas como "portões."Sometimes you hear these options referred to as "gates." É altamente recomendável que você escolha dois ou mais métodos de autenticação para que seus usuários tenham mais flexibilidade caso não consigam acessar um quando precisarem.We highly recommend that you choose two or more authentication methods so that your users have more flexibility in case they are unable to access one when they need it. Detalhes adicionais sobre os métodos listados abaixo podem ser encontrados no artigo o que são métodos de autenticação?.Additional details about the methods listed below can be found in the article What are authentication methods?.

  • Notificação do aplicativo móvelMobile app notification
  • Código do aplicativo móvelMobile app code
  • EmailEmail
  • Telefone celularMobile phone
  • Telefone comercialOffice phone
  • Perguntas de segurançaSecurity questions

Os usuários só podem redefinir sua senha se tiverem dados presentes nos métodos de autenticação que o administrador habilitou.Users can only reset their password if they have data present in the authentication methods that the administrator has enabled.

Importante

A partir de março de 2019, as opções de chamada telefônica não estarão disponíveis para os usuários de MFA e SSPR em locatários gratuitos/de avaliação do Azure AD.Starting in March of 2019 the phone call options will not be available to MFA and SSPR users in free/trial Azure AD tenants. As mensagens SMS não são afetadas por essa alteração.SMS messages are not impacted by this change. A chamada telefônica continuará disponível para os usuários em locatários pagos do Azure AD.Phone call will continue to be available to users in paid Azure AD tenants. Essa alteração afeta apenas os locatários gratuitos/de avaliação do Azure AD.This change only impacts free/trial Azure AD tenants.

Aviso

Contas atribuídas a funções de administrador do Azure será necessárias para usar métodos conforme definido na seção diferenças de política de redefinição de administrador.Accounts assigned Azure Administrator roles will be required to use methods as defined in the section Administrator reset policy differences.

Seleção de métodos de autenticação no portal do AzureAuthentication methods selection in the Azure portal

Quantidade necessária de métodos de autenticaçãoNumber of authentication methods required

Essa opção determina o número mínimo de métodos de autenticação disponíveis ou os portões que um usuário deve passar para redefinir ou desbloquear sua senha.This option determines the minimum number of the available authentication methods or gates a user must go through to reset or unlock their password. Pode ser definido para um ou dois.It can be set to either one or two.

Os usuários podem optar por fornecer mais métodos de autenticação se o administrador permitir esse método de autenticação.Users can choose to supply more authentication methods if the administrator enables that authentication method.

Se um usuário não tiver os métodos mínimos necessários registrados, ele verá uma página de erro que o direcionará para solicitar a um administrador para redefinir sua senha.If a user does not have the minimum required methods registered, they see an error page that directs them to request that an administrator reset their password.

Aplicativo móvel e SSPRMobile app and SSPR

Ao usar um aplicativo móvel, como o aplicativo Microsoft Authenticator, como um método de redefinição de senha, você deve estar ciente das seguintes advertências:When using a mobile app, like the Microsoft Authenticator app, as a method for password reset, you should be aware of the following caveats:

  • Quando os administradores exigem que um método seja usado para redefinir uma senha, o código de verificação é a única opção disponível.When administrators require one method be used to reset a password, verification code is the only option available.
  • Quando os administradores exigem dois métodos a ser usado para redefinir uma senha, os usuários são capazes de usar um notificação ou habilitado de código de verificação além de quaisquer outros métodos.When administrators require two methods be used to reset a password, users are able to use EITHER notification OR verification code in addition to any other enabled methods.
Número de métodos necessários para a redefiniçãoNumber of methods required to reset UmOne DoisTwo
Recursos de aplicativos para dispositivos móveis disponíveisMobile app features available CódigoCode Código ou notificaçãoCode or Notification

Usuários não têm a opção de registrar seu aplicativo móvel ao se registrar para redefinição de senha de autoatendimento do https://aka.ms/ssprsetup.Users do not have the option to register their mobile app when registering for self-service password reset from https://aka.ms/ssprsetup. Os usuários podem registrar seu aplicativo móvel em https://aka.ms/mfasetup ou na nova visualização do registro de informações de segurança emhttps://aka.ms/setupsecurityinfo.Users can register their mobile app at https://aka.ms/mfasetup, or in the new security info registration preview at https://aka.ms/setupsecurityinfo.

Alterar métodos de autenticaçãoChange authentication methods

Se você iniciar com uma política que tenha apenas um método de autenticação requerido para reiniciar ou desbloquear registrado e você alterar esse número para dois métodos, o que acontece?If you start with a policy that has only one required authentication method for reset or unlock registered and you change that to two methods, what happens?

Número de métodos registradosNumber of methods registered Número de métodos necessáriosNumber of methods required ResultadoResult
1 ou mais1 or more 11 Capaz de redefinir ou desbloquearAble to reset or unlock
11 22 Incapaz de redefinir ou desbloquearUnable to reset or unlock
2 ou mais2 or more 22 Capaz de redefinir ou desbloquearAble to reset or unlock

Se você alterar os tipos de métodos de autenticação que um usuário pode usar, você poderá inadvertidamente impedir que os usuários sejam capazes de usar SSPR se eles não tiverem a quantidade mínima de dados disponíveis.If you change the types of authentication methods that a user can use, you might inadvertently stop users from being able to use SSPR if they don't have the minimum amount of data available.

Exemplo:Example:

  1. A política original é configurada com dois métodos de autenticação necessários.The original policy is configured with two authentication methods required. Somente o número de telefone comercial e as questões de segurança são utilizados.It uses only the office phone number and the security questions.
  2. O administrador altera a política para não usar perguntas de segurança, mas permite o uso de telefone celular e um email alternativo.The administrator changes the policy to no longer use the security questions, but allows the use of a mobile phone and an alternate email.
  3. Os usuários sem o telefone celular ou os campos de e-mail alternativos preenchidos não podem redefinir suas senhas.Users without the mobile phone or alternate email fields populated can't reset their passwords.

RegistroRegistration

Exigir que os usuários se cadastram ao entraremRequire users to register when they sign in

A ativação dessa opção exige que um usuário conclua o registro de redefinição de senha se entrar em qualquer aplicativo usando o Azure AD.Enabling this option requires a user to complete the password reset registration if they sign in to any applications using Azure AD. Esse fluxo de trabalho inclui os seguintes aplicativos:This workflow includes the following applications:

  • Office 365Office 365
  • Portal do AzureAzure portal
  • Painel de acessoAccess Panel
  • Aplicativos federadosFederated applications
  • Aplicativos personalizados que usam o Azure ADCustom applications using Azure AD

Ao exigir que o registro seja desativado, os usuários podem registrar-se manualmente.When requiring registration is disabled, users can manually register. Os usuários podem visitar https://aka.ms/ssprsetup ou selecionar o link Registrar redefinição de senha na guia Perfil no Painel de Acesso.They can either visit https://aka.ms/ssprsetup or select the Register for password reset link under the Profile tab in the Access Panel.

Observação

Os usuários podem ignorar o portal de registro de redefinição de senha selecionando cancelar ou fechando a janela.Users can dismiss the password reset registration portal by selecting cancel or by closing the window. Mas eles são solicitados a registrar cada vez que entrar até que eles concluir seu registro.But they are prompted to register each time they sign in until they complete their registration.

Essa interrupção não rompe a conexão do usuário se ele já está conectado.This interrupt doesn't break the user's connection if they are already signed in.

Definir o número de dias antes que os usuários precisem reconfirmar suas informações de autenticaçãoSet the number of days before users are asked to reconfirm their authentication information

Essa opção determina o período entre a configuração e a reconfirmação das informações de autenticação e somente estará disponível se você habilitar a opção Exigir que os usuários se registrem ao entrar.This option determines the period of time between setting and reconfirming authentication information and is available only if you enable the Require users to register when signing in option.

Os valores válidos são de 0 a 730 dias, com "0", o que significa que os usuários nunca são solicitados a reconfirmar suas informações de autenticação.Valid values are 0 to 730 days, with "0" meaning users are never asked to reconfirm their authentication information.

NotificaçõesNotifications

Notificar os usuários de redefinições de senhaNotify users on password resets

Se esta opção estiver definida para Sim, os usuários que redefinirem suas senhas receberão um e-mail notificando-os de que sua senha foi alterada.If this option is set to Yes, then users resetting their password receive an email notifying them that their password has been changed. O email é enviado por meio do portal de SSPR em seus endereços de email primários e alternativos que estão no arquivo no Azure Active Directory.The email is sent via the SSPR portal to their primary and alternate email addresses that are on file in Azure AD. Ninguém mais é notificado sobre o evento de redefinição.No one else is notified of the reset event.

Notificar todos os administradores quando outros administradores redefinirem suas senhasNotify all admins when other admins reset their passwords

Se essa opção for definida para Sim, então, todos os administradores receberão um email em seu endereço de email primário registrado no Azure Active Directory.If this option is set to Yes, then all administrators receive an email to their primary email address on file in Azure AD. O email notifica que outro administrador alterou sua senha utilizando a SSPR.The email notifies them that another administrator has changed their password by using SSPR.

Exemplo: Há quatro administradores em um ambiente.Example: There are four administrators in an environment. O administrador A redefine sua senha usando a SSPR.Administrator A resets their password by using SSPR. Os administradores B, C e D recebem um e-mail alertando sobre a redefinição de senha.Administrators B, C, and D receive an email alerting them of the password reset.

Integração localOn-premises integration

Se você instalar, configurar e habilitar o Azure Active Directory Connect, você terá as seguintes opções adicionais para integrações no local.If you install, configure, and enable Azure AD Connect, you have the following additional options for on-premises integrations. Se essas opções estiverem esmaecidas, o write-back não foi configurado corretamente.If these options are grayed out, then writeback has not been properly configured. Para obter mais informações, consulte Configurar write-back de senha.For more information, see Configuring password writeback.

A validação do write-back de senha está habilitada e funcionandoValidating password writeback is enabled and working

Esta página fornece um status rápido do cliente de write-back no local, uma das seguintes mensagens é exibida com base na configuração atual:This page provides you a quick status of the on-premises writeback client, one of the following messages is displayed based on the current configuration:

  • Seu cliente de write-back local está em execução.Your On-premises writeback client is up and running.
  • O Azure Active Directory está online e conectado ao seu cliente de write-back local.Azure AD is online and is connected to your on-premises writeback client. No entanto, parece que a versão instalada do Azure AD Connect está desatualizada.However, it looks like the installed version of Azure AD Connect is out-of-date. Considere Atualizar o Azure AD Connect para garantir que você tenha os recursos de conectividade e correções de bugs importantes mais recentes.Consider Upgrading Azure AD Connect to ensure that you have the latest connectivity features and important bug fixes.
  • Infelizmente, não podemos verificar seu status de cliente de write-back local porque a versão instalada do Azure AD Connect está desatualizada.Unfortunately, we can’t check your on-premises writeback client status because the installed version of Azure AD Connect is out-of-date. Atualize o Azure AD Connect para poder verificar o status da conexão.Upgrade Azure AD Connect to be able to check your connection status.
  • Infelizmente, parece que neste momento não é possível conectarmos ao seu cliente de write-back local.Unfortunately, it looks like we can't connect to your on-premises writeback client right now. Solucionar problemas do Azure AD Connect para restaurar a conexão.Troubleshoot Azure AD Connect to restore the connection.
  • Infelizmente, não podemos nos conectar ao seu cliente de write-back local porque o write-back de senha não foi configurado corretamente.Unfortunately, we can't connect to your on-premises writeback client because password writeback has not been properly configured. Configurar o write-back de senha para restaurar a conexão.Configure password writeback to restore the connection.
  • Infelizmente, parece que neste momento não é possível conectarmos ao seu cliente de write-back local.Unfortunately, it looks like we can't connect to your on-premises writeback client right now. Isso pode ocorrer devido a problemas temporários em nossa extremidade.This may be due to temporary issues on our end. Se o problema persistir, consulte Solucionar problemas o Azure AD Connect para restaurar a conexão.If the problem persists, Troubleshoot Azure AD Connect to restore the connection.

Write-back de senhas para o diretório localWrite back passwords to your on-premises directory

Este controle determina se o write-back de senha está habilitado para este diretório.This control determines whether password writeback is enabled for this directory. Se o write-back estiver ativado, ele indica o status do serviço de write-back local.If writeback is on, it indicates the status of the on-premises writeback service. Esse controle será útil se você desejar desabilitar o write-back de senha temporariamente sem precisar reconfigurar o Azure AD Connect.This control is useful if you want to temporarily disable password writeback without having to reconfigure Azure AD Connect.

  • Se a opção estiver definida para Sim, o write-back será habilitado e os usuários federados, com autenticação de passagem ou sincronizados com hash de senha poderão redefinir suas senhas.If the switch is set to Yes, then writeback is enabled, and federated, pass-through authentication, or password hash synchronized users are able to reset their passwords.
  • Se a opção estiver definida para Não, o write-back será habilitado e os usuários federados, com autenticação de passagem ou sincronizados com hash de senha não poderão redefinir suas senhas.If the switch is set to No, then writeback is disabled, and federated, pass-through authentication, or password hash synchronized users are not able to reset their passwords.

Permitir aos usuários desbloquear contas sem redefinir a senhaAllow users to unlock accounts without resetting their password

Esse controle designa se os usuários que visitam o portal de redefinição de senha devem ter a opção de desbloquear suas contas no Active Directory no local sem ter que redefinir sua senha.This control designates whether users who visit the password reset portal should be given the option to unlock their on-premises Active Directory accounts without having to reset their password. Por padrão, o Azure Active Directory desbloqueia contas quando ele executa uma redefinição de senha.By default, Azure AD unlocks accounts when it performs a password reset. Use essa configuração para separar essas duas operações.You use this setting to separate those two operations.

  • Se for definida para Sim, então, os usuários terão a opção de redefinir sua senha e desbloquear a conta, ou desbloquear sua conta sem precisar redefinir a senha.If set to Yes, then users are given the option to reset their password and unlock the account, or to unlock their account without having to reset the password.
  • Se for definida para Não, os usuários só poderão executar uma operação combinada de redefinição de senha e de desbloqueio de conta.If set to No, then users are only be able to perform a combined password reset and account unlock operation.

Filtros de senha do Active Directory localOn-premises Active Directory password filters

A redefinição de senha self-service do Azure AD executa o equivalente a uma redefinição de senha iniciada pelo administrador no Active Directory.Azure AD self-service password reset performs the equivalent of an admin-initiated password reset in Active Directory. Se você estiver usando um filtro de senha de terceiros para impor regras de senha personalizadas e precisar que esse filtro de senha seja verificado durante a redefinição de senha self-service do Azure AD, verifique se a solução de filtro de senha de terceiros está configurada para ser aplicada no cenário de redefinição de senha de administrador.If you are using a third-party password filter to enforce custom password rules, and you require that this password filter is checked during Azure AD self-service password reset, ensure that the third-party password filter solution is configured to apply in the admin password reset scenario. A proteção por senha do Azure AD para o Active Directory do Windows Server é compatível por padrão.Azure AD password protection for Windows Server Active Directory is supported by default.

Redefinição de senha para usuários B2BPassword reset for B2B users

A reinicialização e a mudança de senha são totalmente suportadas em todas as configurações B2B (entre empresas).Password reset and change are fully supported on all business-to-business (B2B) configurations. A reinicialização da senha do usuário B2B tem suporte nos três casos a seguir:B2B user password reset is supported in the following three cases:

  • Os usuários de uma organização parceira com um locatário existente do Azure AD: Se a organização com a qual você tem uma parceria tiver um locatário do Azure AD, respeitaremos quaisquer políticas de redefinição de senha habilitadas no locatário.Users from a partner organization with an existing Azure AD tenant: If the organization you're partnering with has an existing Azure AD tenant, we respect whatever password reset policies are enabled on that tenant. Para que a reinicialização da senha funcione, a organização parceira precisa ter certeza de que a SSPR do Azure Active Directory está habilitada.For password reset to work, the partner organization just needs to make sure that Azure AD SSPR is enabled. Não há nenhum custo adicional para os clientes do Office 365, e ela pode ser habilitada seguindo as etapas em nosso guia Introdução ao gerenciamento de senha.There is no additional charge for Office 365 customers, and it can be enabled by following the steps in our Get started with password management guide.
  • Usuários que se inscreveram usando a inscrição de autoatendimento: se a organização com a qual você está fazendo parceria usou o recurso inscrição para autoatendimento para entrar em um locatário, permitiremos que redefinam a senha com o email com a qual se registraram.Users who sign up through self-service sign-up: If the organization you're partnering with used the self-service sign-up feature to get into a tenant, we let them reset the password with the email they registered.
  • Usuários B2B: os novos usuários B2B criados com as novas funcionalidades do Azure AD B2B também poderão redefinir suas senhas com o email com o qual se registraram durante o processo de convite.B2B users: Any new B2B users created by using the new Azure AD B2B capabilities will also be able to reset their passwords with the email they registered during the invite process.

Para testar este cenário, acesse https://passwordreset.microsoftonline.com com um desses usuários parceiros.To test this scenario, go to https://passwordreset.microsoftonline.com with one of these partner users. Se eles possuem um email alternativo ou um email de autenticação definido, a redefinição de senha funcionará como esperado.If they have an alternate email or authentication email defined, password reset works as expected.

Observação

Contas Microsoft que receberam acesso de convidado a seu locatário do Azure AD, como as de Hotmail.com, Outlook.com ou outros endereços de email pessoal, não podem usar a SSPR do Azure AD.Microsoft accounts that have been granted guest access to your Azure AD tenant, such as those from Hotmail.com, Outlook.com, or other personal email addresses, are not able to use Azure AD SSPR. É necessário que definam a senha, utilizando as informações localizadas no artigo Quando não for possível entrar na sua conta da Microsoft.They need to reset their password by using the information found in the When you can't sign in to your Microsoft account article.

Próximas etapasNext steps

Os artigos a seguir fornecem informações adicionais sobre a redefinição de senha através do Azure Active Directory:The following articles provide additional information regarding password reset through Azure AD: