Planejar uma implantação de redefinição de senha self-service do Azure Active Directory

Importante

Este plano de implantação oferece orientações e melhores práticas para implantar a SSPR (redefinição de senha self-service) do Azure AD.

Se você for um usuário final e precisar voltar à sua conta, vá para https://aka.ms/sspr .

A SSPR (redefinição de senha self-service) é um recurso do Azure Active Directory (AD) que permite que os usuários redefinam suas senhas sem entrar em contato com a equipe de TI para obter ajuda. Os usuários podem rapidamente se desbloquear e continuar trabalhando independentemente de onde estiverem ou da hora do dia. Ao permitir que os funcionários se desbloqueiem, sua organização pode reduzir o tempo não produtivo e os altos custos de suporte para os problemas mais comuns relacionados a senhas.

O SSPR tem os seguintes recursos principais:

  • O self-service permite que os usuários finais redefinam suas senhas expiradas ou não expiradas sem entrar em contato com um administrador ou uma assistência técnica para obter suporte.
  • O Write-back de Senha permite o gerenciamento de senhas locais e a resolução de bloqueio de conta por meio da nuvem.
  • Os relatórios de atividade de gerenciamento de senha fornecem aos administradores percepções sobre as atividades de registro e de redefinição de senha que ocorrem em suas organizações.

Este guia de implantação mostra como planejar e testar uma distribuição SSPR.

Para ver rapidamente o SSPR em ação e voltar para entender as considerações adicionais de implantação:

Saiba mais sobre o SSPR

Saiba mais sobre o SSPR. Consulte Como funciona: Redefinição de senha self-service do Azure AD.

Principais benefícios

Os principais benefícios da habilitação de SSPR são:

  • Gerenciamento de custo. O SSPR reduz os custos de suporte de TI, permitindo que os usuários redefinam senhas por conta própria. Ele também reduz o custo do tempo perdido devido a senhas perdidas e bloqueios.

  • Experiência de usuário intuitiva. Ele fornece um processo de registro de usuário único intuitivo que permite que os usuários redefinam senhas e desbloqueiem contas sob demanda de qualquer dispositivo ou local. O SSPR permite que os usuários voltem ao trabalho com mais rapidez e sejam mais produtivos.

  • Flexibilidade e segurança. O SSPR permite que as empresas acessem a segurança e a flexibilidade que uma plataforma de nuvem fornece. Os administradores podem alterar as configurações para acomodar novos requisitos de segurança e reverter essas alterações para os usuários sem interromper sua entrada.

  • Auditoria e rastreamento de uso robustos. Uma organização pode garantir que os sistemas de negócios permaneçam seguros enquanto seus usuários redefinem suas próprias senhas. Os logs de auditoria robustos incluem informações de cada etapa do processo de redefinição de senha. Esses logs estão disponíveis a partir de uma API e permitem que o usuário importe os dados para um sistema de escolha do SIEM (monitoramento de eventos e incidentes de segurança).

Licenciamento

O Azure Active Directory é licenciado por usuário, o que significa que cada usuário requer uma licença apropriada para os recursos que ele usa. Recomendamos o licenciamento baseado em grupo para SSPR.

Para comparar edições e recursos e habilitar o licenciamento baseado em grupo ou usuário, confira Requisitos de licenciamento para redefinição de senha self-service do Azure AD.

Para obter mais informações sobre preços, consulte Preços do Azure Active Directory.

Pré-requisitos

  • Um locatário de trabalho do Azure AD com pelo menos uma licença de avaliação habilitada. Se necessário, crie um gratuitamente.

  • Uma conta com privilégios de Administrador Global.

Recursos de treinamento

Recursos Link e descrição
vídeos Capacite seus usuários com melhor escalabilidade de TI
O que é redefinição de senha self-service?
Como implantar a redefinição de senha self-service
Como habilitar e configurar o SSPR no Azure AD
Como configurar a redefinição de senha self-service para usuários no Azure AD?
Como [preparar usuários para] registrar [suas] informações de segurança para o Azure Active Directory
Cursos online Gerenciamento de identidades no Microsoft Azure Active Directory Use o SSPR para dar aos seus usuários uma experiência moderna e protegida. Consulte principalmente o módulo "Gerenciamento de usuários e grupos do Azure Active Directory".
Cursos pagos da Pluralsight Os problemas de gerenciamento de identidade e acesso Saiba mais sobre IAM e os problemas de segurança que você deve conhecer em sua organização. Consulte principalmente o módulo "Outros métodos de autenticação".
Introdução ao Microsoft Enterprise Mobility Suite Conheça as melhores práticas para estender ativos locais para a nuvem de uma maneira que permita autenticação, autorização, criptografia e uma experiência móvel protegida. Consulte principalmente o módulo "Como configurar recursos avançados do Microsoft Azure Active Directory Premium".
Tutoriais Concluir uma distribuição piloto da redefinição de senha self-service do Azure AD
Habilitar o write-back de senha
Redefinição de senha do Azure AD na tela de logon para Windows 10
Perguntas frequentes Perguntas frequentes sobre o gerenciamento de senhas

Arquitetura da solução

O exemplo a seguir descreve a arquitetura da solução de redefinição de senha para ambientes híbridos comuns.

diagrama da arquitetura da solução

Descrição do fluxo de trabalho

Para redefinir a senha, os usuários acessam o portal de redefinição de senha. Eles devem verificar o método ou métodos de autenticação registrados anteriormente para provar sua identidade. Se eles redefinirem a senha com êxito, eles iniciarão o processo de redefinição.

  • Para usuários somente de nuvem, o SSPR armazena a nova senha no Azure AD.

  • Para usuários híbridos, o SSPR grava novamente a senha para o Active Directory local por meio do serviço Azure AD Connect.

Observação: Para usuários que têm PHS (sincronização de hash de senha) desabilitado, o SSPR armazena as senhas somente no Active Directory local.

Práticas recomendadas

Você pode ajudar os usuários a se registrarem rapidamente implantando o SSPR com outro aplicativo ou serviço popular na organização. Essa ação vai gerar um grande volume de entradas e orientar o registro.

Antes de implantar o SSPR, você pode optar por determinar o número e o custo médio de cada chamada de redefinição de senha. Você pode usar esses dados após a implantação para mostrar o valor que o SSPR está trazendo para a organização.

Habilitar o registro combinado para SSPR e MFA

A Microsoft recomenda que as organizações habilitem a experiência de registro combinada para SSPR e autenticação multifator. Quando você habilita essa experiência de registro combinada, os usuários só precisam selecionar suas informações de registro uma vez para habilitar os dois recursos.

A experiência de registro combinada não exige que as organizações habilitem o SSPR e a autenticação multifator do Azure. O registro combinado fornece às organizações uma melhor experiência do usuário. Para obter mais informações, consulte Registro de informações de segurança combinadas

Planejar o projeto de implantação

Considere suas necessidades organizacionais enquanto determina a estratégia para essa implantação em seu ambiente.

Envolva os participantes certos

Quando os projetos de tecnologia falham, eles normalmente fazem isso devido a expectativas incompatíveis com o impacto, os resultados e as responsabilidades. Para evitar essas armadilhas, verifique se você está participando dos stakeholders certos e que as funções de stakeholder no projeto sejam bem compreendidas ao documentar os stakeholders, a entrada e as responsabilidades no projeto.

Funções de administrador necessárias

Função corporativa/persona Função do Azure AD (se necessário)
Suporte técnico nível 1 Administrador de senha
Suporte técnico nível 2 Administrador de usuários
Administrador do SSPR Administrador global

Planejar comunicações

A comunicação é fundamental para o sucesso de qualquer novo serviço. Você deve se comunicar proativamente com seus usuários, informando como sua experiência será alterada, quando ela será alterada e como obter suporte se eles tiverem problemas. Examine os Materiais de distribuição de redefinição de senha self-service no centro de download da Microsoft para obter ideias sobre como planejar sua estratégia de comunicação do usuário final.

Planejar um piloto

Recomendamos que a configuração inicial do SSPR esteja em um ambiente de teste. Comece com um grupo piloto habilitando o SSPR para um subconjunto de usuários em sua organização. Consulte Melhores práticas para obter um piloto.

Para criar um grupo, consulte como criar um grupo e adicionar membros no Azure Active Directory.

Configuração do plano

As configurações a seguir são necessárias para habilitar o SSPR com os valores recomendados.

Área Configuração Valor
Propriedades de SSPR Redefinição de senha self-service habilitada Grupo selecionado para o piloto/Todos para produção
Métodos de autenticação Métodos de autenticação necessários para registro Sempre 1 mais do que o necessário para redefinir
Métodos de autenticação necessários para redefinir Um ou dois
Registro Exigir que os usuários se registrem ao entrar Sim
Número de dias antes que os usuários precisem reconfirmar suas informações de autenticação 90 – 180 dias
Notificações Notificar os usuários de redefinições de senha Sim
Notificar todos os administradores quando outros administradores redefinirem suas próprias senhas Sim
Personalização Personalizar link de assistência técnica Sim
URL ou email de assistência técnica personalizado Site de suporte ou endereço de email
Integração local Write-back de senhas para o AD local Sim
Permitir que os usuários desbloqueiem a conta sem redefinir a senha Sim

Propriedades de SSPR

Ao habilitar o SSPR, escolha um grupo de segurança apropriado no ambiente piloto.

  • Para impor o registro SSPR para todos, é recomendável usar a opção Todos.
  • Caso contrário, selecione o grupo de segurança do Azure AD ou do AD apropriado.

Métodos de autenticação

Quando o SSPR estiver habilitado, os usuários só poderão redefinir sua senha se tiverem dados presentes nos métodos de autenticação que o administrador tiver habilitado. Os métodos incluem telefone, notificação de aplicativo autenticador, perguntas de segurança etc. Para obter mais informações, consulte O que são métodos de autenticação?.

Recomendamos as seguintes configurações do método de autenticação:

  • Defina os Métodos de autenticação necessários para registro em pelo menos um maior que o número necessário para a redefinição. Permitir várias autenticações dá aos usuários flexibilidade quando eles precisam ser redefinidos.

  • Defina o Número de métodos necessários para redefinir como um nível apropriado para sua organização. Um deles requer o menor conflito, enquanto dois podem aumentar sua postura de segurança.

Observação: O usuário deve ter os métodos de autenticação configurados em Diretivas e restrições de senha no Azure Active Directory.

Configurações de registro

Defina Exigir que os usuários se registrem ao entrar como Sim. Essa configuração exige que os usuários se registrem ao entrar, garantindo que todos os usuários estejam protegidos.

Defina o Número de dias antes que os usuários sejam solicitados a reconfirmar suas informações de autenticação entre 90 e 180 dias, a menos que sua organização tenha uma necessidade comercial para um período de tempo menor.

Configurações de notificações

Defina Notificar os usuários sobre redefinições de senha e Notificar todos os administradores quando outros administradores redefinirem suas senhas como Sim. Selecionar Sim em ambos aumenta a segurança, garantindo que os usuários saibam quando sua senha é redefinida. Também garante que todos os administradores saibam quando um administrador altera uma senha. Se os usuários ou administradores receberem uma notificação e eles não tiverem iniciado a alteração, eles poderão relatar imediatamente um possível problema de segurança.

Configurações de personalização

É fundamental personalizar o email ou a URL da assistência técnica para garantir que os usuários que tenham problemas possam obter ajuda imediatamente. Defina essa opção como um endereço de email comum da assistência técnica ou página da Web com a qual os usuários estão familiarizados.

Para obter mais informações, consulte Personalizar a funcionalidade do Azure AD para redefinição de senha self-service.

Write-back de senha

O write-back de senha é habilitado com Azure AD Connect e grava redefinições de senha na nuvem de volta para um diretório local existente em tempo real. Para obter mais informações, consulte O que é write-back de senha?

Recomendamos as seguintes configurações:

  • Verifique se Write-back de senhas no AD local está definido como Sim.
  • Defina Permitir que os usuários desbloqueiem a conta sem redefinir a senha como Sim.

Por padrão, o Azure Active Directory desbloqueia contas quando ele executa uma redefinição de senha.

Configuração de senha de administrador

As contas de administrador têm permissões elevadas. Os administradores de domínio ou corporativos locais não podem redefinir suas senhas por meio de SSPR. As contas de administrador local têm as seguintes restrições:

  • só é possível alterar a senha em seu ambiente local.
  • nunca pode usar as perguntas e respostas secretas como um método para redefinir sua senha.

Recomendamos que você não sincronize suas contas de administrador de Active Directory local com o Azure AD.

Ambientes com vários sistemas de gerenciamento de identidade

Alguns ambientes têm vários sistemas de gerenciamento de identidade. Os gerenciadores de identidade locais, como Oracle AM e SiteMinder, exigem sincronização com o AD para senhas. Você pode fazer isso usando uma ferramenta como o serviço de notificação de alteração de senha (PCNS) com o MIM (Microsoft Identity Manager). Para encontrar informações sobre esse cenário mais complexo, consulte o artigo Implantar o serviço de notificação de alteração de senha do MIM em um controlador de domínio.

Teste e suporte do plano

Em cada estágio de sua implantação de grupos piloto iniciais por toda a organização, verifique se os resultados são os esperados.

Teste de plano

Para garantir que sua implantação funcione conforme o esperado, planeje um conjunto de casos de teste para validar a implementação. Para avaliar os casos de teste, você precisa de um usuário de teste que não seja administrador com uma senha. Se você precisar criar um usuário, consulte Adicionar novos usuários ao Azure Active Directory.

A tabela a seguir inclui cenários de teste úteis que você pode usar para documentar os resultados esperados de suas organizações com base em suas políticas.

Caso comercial Resultados esperados
O portal do SSPR pode ser acessado de dentro da rede corporativa Determinado pela sua organização
O portal do SSPR pode ser acessado de fora da rede corporativa Determinado pela sua organização
Redefinir a senha do usuário do navegador quando o usuário não estiver habilitado para redefinição de senha O usuário não consegue acessar o fluxo de redefinição de senha
Redefinir a senha do usuário do navegador quando o usuário não tiver se registrado para redefinição de senha O usuário não consegue acessar o fluxo de redefinição de senha
O usuário entra quando imposto para fazer o registro de redefinição de senha Solicita que o usuário registre informações de segurança
O usuário entra quando o registro de redefinição de senha é concluído Solicita que o usuário registre informações de segurança
O portal do SSPR é acessível quando o usuário não tem uma licença Está acessível
Redefinir a senha do usuário da tela de bloqueio do dispositivo ingressado no Azure AD do Windows 10 ou híbrido do Azure AD O usuário pode redefinir a senha
Os dados de registro e de uso do SSPR estão disponíveis para os administradores quase em tempo real Está disponível por meio de logs de auditoria

Você também pode consultar Concluir uma reversão do piloto de redefinição de senha self-service do Azure AD. Neste tutorial, você habilitará uma distribuição piloto de SSPR em sua organização e testará usando uma conta que não seja de administrador.

Planejar suporte

Embora o SSPR normalmente não crie problemas de usuário, é importante preparar a equipe de suporte para lidar com problemas que possam surgir. Embora um administrador possa redefinir a senha para os usuários finais por meio do portal do Azure AD, é melhor ajudar a resolver o problema por meio de um processo de suporte self-service.

Para garantir o sucesso da sua equipe de suporte, é possível criar perguntas frequentes com base em perguntas que você recebe de seus usuários. Veja alguns exemplos:

Cenários Descrição
O usuário não tem nenhum método de autenticação registrado disponível Um usuário está tentando redefinir sua senha, mas não tem nenhum dos métodos de autenticação que ele registrou disponível (exemplo: ele deixou seu telefone celular em casa e não pode acessar o e-mail)
O usuário não está recebendo um texto ou uma chamada em seu escritório ou telefone celular Um usuário está tentando verificar sua identidade por meio de texto ou chamada, mas não está recebendo um texto/chamada.
O usuário não pode acessar o portal de redefinição de senha Um usuário deseja redefinir sua senha, mas não está habilitado para redefinição de senha e não pode acessar a página para atualizar senhas.
O usuário não pode definir uma nova senha Um usuário conclui a verificação durante o fluxo de redefinição de senha, mas não pode definir uma nova senha.
O usuário não vê um link Redefinir Senha em um dispositivo Windows 10 Um usuário está tentando redefinir a senha da tela de bloqueio do Windows 10, mas o dispositivo não está associado ao Azure AD ou a política de dispositivo do Intune não está habilitada

Reversão do plano

Para reverter a implantação:

  • para um único usuário, remova o usuário do grupo de segurança

  • para um grupo, remova o grupo da configuração do SSPR

  • Para todos, desabilite SSPR para o locatário do Azure AD

Implantar SSPR

Antes de implantar, verifique se você fez o seguinte:

  1. Criou e iniciou a execução do plano de comunicação.

  2. Determinou as definições de configuração apropriadas.

  3. Identificou usuários e grupos para os ambientes piloto e de produção.

  4. Determinou os parâmetros de configuração para registro e self-service.

  5. Configurou o write-back de senha caso tenha um ambiente híbrido.

Agora você está pronto para implantar o SSPR!

Consulte Habilitar a redefinição de senha self-service para obter instruções passo a passo completas sobre como configurar as seguintes áreas.

  1. Métodos de autenticação

  2. Configurações de registro

  3. Configurações de notificações

  4. Configurações de personalização

  5. Integração local

Habilitar SSPR no Windows

Para computadores que executam o Windows 7, 8, 8.1 e 10, você pode permitir que os usuários redefinam sua senha na tela de entrada do Windows

Gerenciar SSPR

O Azure AD pode fornecer informações adicionais sobre o desempenho do SSPR por meio de auditorias e relatórios.

Relatórios de atividade de gerenciamento de senhas

Você pode usar relatórios predefinidos em portal do Azure para medir o desempenho do SSPR. Se você estiver licenciado adequadamente, também poderá criar consultas personalizadas. Para obter mais informações, consulte Opções de relatório para gerenciamento de senhas do Azure AD

Observação

Você deve ser um administrador global e deve aceitar que esses dados sejam coletados para sua organização. Para aceitar, você deve visitar a guia Relatório ou os logs de auditoria no portal do Azure pelo menos uma vez. Até lá, os dados não são coletados para sua organização.

Os logs de auditoria para registro e redefinição de senha estão disponíveis por 30 dias. Se a auditoria de segurança dentro de sua empresa exigir maior retenção, os logs precisarão ser exportados e consumidos em uma ferramenta SIEM, como Azure Sentinel, Splunk ou ArcSight.

Captura de tela de relatório do SSPR

Métodos de autenticação – Uso e insights

O uso e insights permitem que você entenda como os métodos de autenticação para recursos como o Azure MFA e o SSPR, estão trabalhando em sua organização. Essa funcionalidade de relatório fornece à sua organização os meios para entender quais métodos se registram e como usá-los.

Solucionar problemas

Documentação útil

Próximas etapas