Tutorial: Permitir que os utilizadores desbloqueiem a conta ou reponham as palavras-passe com a reposição personalizada de palavra-passe do Azure Active Directory

O Azure Ative Directory (Azure AD) redefiniu a palavra-passe de autosserviço (SSPR) dá aos utilizadores a capacidade de alterar ou redefinir a sua palavra-passe, sem qualquer administrador ou envolvimento do balcão de ajuda. Se o Azure AD bloquear a conta de um utilizador ou se esquecerem da sua palavra-passe, podem seguir as instruções para se desbloquearem e voltarem ao trabalho. Esta capacidade reduz as chamadas de secretária de ajuda e a perda de produtividade quando um utilizador não pode iniciar sômatas ao seu dispositivo ou a uma aplicação. Recomendamos este vídeo sobre Como ativar e configurar sSPR em Azure AD. Também temos um vídeo para administradores de TI na resolução das seis mensagens de erro de utilizador final mais comuns com SSPR.

Importante

Este tutorial mostra a um administrador como ativar o reset da palavra-passe de autosserviço. Se é um utilizador final já registado para redefinição da palavra-passe de autosserviço e precisa de voltar à sua conta, aceda à página de reset da palavra-passe do Microsoft Online .

Se a sua equipa de TI não tiver ativado a capacidade de redefinir a sua própria palavra-passe, contacte o seu helpdesk para obter assistência adicional.

Neste tutorial, ficará a saber como:

• Ativar o reset da palavra-passe de autosserviço para um grupo de utilizadores AD Azure
• Configurar métodos de autenticação e opções de registo
• Teste o processo SSPR como utilizador

Tutorial de vídeo

Também pode acompanhar num vídeo relacionado: Como ativar e configurar sSPR em Azure AD.

Pré-requisitos

Para terminar este tutorial, precisa dos seguintes recursos e privilégios:

• Um inquilino Azure AD em funcionamento com pelo menos uma licença de AD Azure gratuita ou com licença de julgamento habilitada. No nível Gratuito, o SSPR só funciona para utilizadores em nuvem em Azure AD. A alteração da palavra-passe é suportada no nível Livre, mas o reset da palavra-passe não é.
  • Para tutoriais posteriores nesta série, você precisará de um Azure AD Premium P1 ou uma licença de teste para a gravação de senha no local.
  • Se necessário, crie uma conta Azure gratuitamente.
• Uma conta com privilégios de Administrador Global .
• Um utilizador não administrador com uma palavra-passe, como testuser. Você vai testar a experiência SSPR do utilizador final usando esta conta neste tutorial.
  • Se precisar de criar um utilizador, consulte Quickstart: Adicione novos utilizadores ao Azure Ative Directory.
• Um grupo do qual o utilizador não administrador é membro, gosta de SSPR-Test-Group. Você vai ativar SSPR para este grupo neste tutorial.
  • Se precisar de criar um grupo, consulte criar um grupo básico e adicionar membros usando o Azure Ative Directory.

Ativar a reposição de palavras-passe self-service

O Azure AD permite ativar SSPR para nenhum, selecionado ou todos os utilizadores. Esta capacidade granular permite-lhe escolher um subconjunto de utilizadores para testar o processo de registo ESPR e o fluxo de trabalho. Quando estiver confortável com o processo e o momento certo para comunicar os requisitos com um conjunto mais alargado de utilizadores, pode selecionar um grupo de utilizadores para ativar o SSPR. Ou, você pode ativar SSPR para todos no inquilino AZure AD.

Nota

Atualmente, só é possível ativar um grupo AD AZure para SSPR utilizando o portal Azure. Como parte de uma implantação mais ampla da SSPR, a Azure AD apoia grupos aninhados.

Neste tutorial, crie a SSPR para um conjunto de utilizadores num grupo de teste. Utilize o Grupo SSPR-Test e forneça o seu próprio grupo AD Azure, se necessário:

1. Inscreva-se no portal Azure usando uma conta com permissões de administrador global .

2. Procure e selecione O Diretório Ativo Azure e, em seguida, selecione a palavra-passe reiniciada no menu do lado esquerdo.

3. A partir da página Propriedades , sob a opção Redefiniu a palavra-passe de serviço de auto-ar, escolha Selecionado.

4. Se o seu grupo não estiver visível, escolha Nenhum grupo selecionado, navegue e selecione o seu grupo AD Azure, como o SSPR-Test-Group, e, em seguida, escolha Selecione.

   

5. Para ativar o SSPR para os utilizadores selecionados, selecione Guardar.

Selecione métodos de autenticação e opções de registo

Quando os utilizadores precisam de desbloquear a sua conta ou redefinir a sua palavra-passe, são solicitados para outro método de confirmação. Este fator de autenticação extra garante que a Azure AD terminou apenas eventos SSPR aprovados. Pode escolher quais os métodos de autenticação a permitir, com base na informação de registo que o utilizador fornece.

1. A partir do menu no lado esquerdo da página métodos de autenticação , desajuste o Número de métodos necessários para reiniciar para 2.

   Para melhorar a segurança, pode aumentar o número de métodos de autenticação necessários para a SSPR.

2. Escolha os Métodos disponíveis para os utilizadores que a sua organização quer permitir. Para este tutorial, verifique as caixas para ativar os seguintes métodos:

   • Notificação de aplicativos móveis
   • Código da aplicação móvel
   • E-mail
   • Número de telemóvel

   Pode ativar outros métodos de autenticação, como telefone do Office ou questões de Segurança, conforme necessário para se adaptar às suas necessidades comerciais.

3. Para aplicar os métodos de autenticação, selecione Guardar.

Antes de os utilizadores poderem desbloquear a sua conta ou redefinir uma palavra-passe, devem registar as suas informações de contacto. A Azure AD utiliza estas informações de contacto para os diferentes métodos de autenticação estabelecidos nos passos anteriores.

Um administrador pode fornecer manualmente estas informações de contacto, ou os utilizadores podem ir a um portal de registo para fornecer a informação por si mesmos. Neste tutorial, crie a Azure AD para solicitar aos utilizadores o registo da próxima vez que iniciarem a sua inscrição.

1. A partir do menu no lado esquerdo da página 'Registar ', selecione Sim para exigir que os utilizadores se registem ao iniciar sessão.

2. Defina o Número de dias antes de ser pedido aos utilizadores que voltem a confirmar as informações de autenticação como 180.

   É importante manter os contactos atualizados. Se existirem informações de contacto desatualizadas quando um evento SSPR começar, o utilizador poderá não conseguir desbloquear a sua conta ou redefinir a sua palavra-passe.

3. Para aplicar as definições de registo, selecione Guardar.

Configurar notificações e personalizações

Para manter os utilizadores informados sobre a atividade da conta, pode configurar o Azure AD para enviar notificações por e-mail quando um evento SSPR acontece. Estas notificações podem abranger contas de utilizador regulares e contas de administração. Para as contas de administração, esta notificação fornece outra camada de consciência quando uma palavra-passe de conta de administrador privilegiado é reposta usando SSPR. A Azure AD notificará todos os administradores globais quando alguém usar SSPR numa conta de administração.

1. A partir do menu no lado esquerdo da página Notificações , configurar as seguintes opções:

   • Definir Notificar os utilizadores em resets de palavra-passe?
   • Depor Notifique todos os administradores quando outros administradores redefinirem a sua palavra-passe para Sim?

2. Para aplicar as preferências de notificação, selecione Guardar.

Se os utilizadores precisarem de mais ajuda com o processo SSPR, pode personalizar o link "Contacte o seu administrador". O utilizador pode selecionar este link no processo de registo SSPR e quando desbloquear a sua conta ou redefinir a sua palavra-passe. Para garantir que os seus utilizadores obtenham o suporte necessário, recomendamos que forneça um e-mail ou URL de ajuda personalizado.

1. A partir do menu no lado esquerdo da página de personalização , desloque o link "Personalizar" para Sim.
2. No campo de e-mail ou URL de ajuda personalizado , forneça um endereço de e-mail ou URL de página web onde os seus utilizadores possam obter mais ajuda da sua organização, como https://support.contoso.com/
3. Para aplicar o link personalizado, selecione Guardar.

Testar a reposição personalizada de palavra-passe

Com sSPR ativado e configurado, teste o processo SSPR com um utilizador que faz parte do grupo que selecionou na secção anterior, como Test-SSPR-Group. O exemplo a seguir utiliza a conta testuser . Forneça a sua própria conta de utilizador. Faz parte do grupo que habilitaste para a SSPR na primeira secção deste tutorial.

Nota

Quando testar o reset da palavra-passe de autosserviço, utilize uma conta não administradora. Por predefinição, o Azure AD permite o reset da palavra-passe de autosserviço para administradores. São obrigados a usar dois métodos de autenticação para redefinir a sua senha. Para obter mais informações, consulte as diferenças de política de reposição do administrador.

1. Para ver o processo de registo manual, abra uma nova janela do navegador no modo InPrivate ou incógnito e navegue para https://aka.ms/ssprsetup. O Azure AD irá direcionar os utilizadores para este portal de registo quando iniciarem sação da próxima vez.

2. Inscreva-se com um utilizador de teste não administrador, como testuser, e registe os seus métodos de autenticação informações de contacto.

3. Uma vez terminado, selecione o botão marcado Parece bom e feche a janela do navegador.

4. Abra uma nova janela de browser no modo InPrivate ou incógnito e navegue para https://aka.ms/sspr.

5. Introduza as informações da conta dos utilizadores de teste não administrador, como testuser, os caracteres do CAPTCHA e, em seguida, selecione Seguinte.

   

6. Siga os passos de verificação para redefinir a sua palavra-passe. Quando terminar, receberá uma notificação por e-mail de que a sua palavra-passe foi reposta.

Limpar os recursos

Num tutorial posterior nesta série, irá configurar a gravação de password. Esta funcionalidade escreve alterações de palavra-passe de Azure AD SSPR de volta para um ambiente AD no local. Se quiser continuar com esta série tutorial para configurar a gravação de passwords, não desative agora a SSPR.

Se já não pretender utilizar a funcionalidade SSPR que criou como parte deste tutorial, desapedaque o estado de SSPR a Nenhum utilizando os seguintes passos:

1. Inicie sessão no portal do Azure.
2. Procure e selecione O Diretório Ativo Azure e, em seguida, selecione a palavra-passe reiniciada no menu do lado esquerdo.
3. Na página Propriedades , sob a opção Redefiniu a palavra-passe de serviço de auto-visualização ativada, selecione Nenhuma.
4. Para aplicar a alteração SSPR, selecione Guardar.

FAQs

Esta secção explica questões comuns de administradores e utilizadores finais que experimentam SSPR:

• Porque é que os utilizadores federados esperam até 2 minutos depois de verem que a sua palavra-passe foi reiniciada antes de poderem utilizar palavras-passe sincronizadas a partir do local?

  Para os utilizadores federados cujas palavras-passe estão sincronizadas, a fonte de autoridade para as palavras-passe está no local. Como resultado, a SSPR atualiza apenas as palavras-passe no local. A sincronização de hash de palavra-passe de volta ao Azure AD está agendada para cada 2 minutos.

• Quando um utilizador recém-criado que está pré-preenchido com dados SSPR, como telefone e e-mail, visita a página de registo SSPR, não perca o acesso à sua conta! Por que outros utilizadores que têm dados SSPR pré-povoados não vêem a mensagem?

  Um utilizador que vê Não perde acesso à sua conta! é um membro dos grupos de registo SSPR/combinados que estão configurados para o arrendatário. Os utilizadores que não vêem Não perdem acesso à sua conta!

• Quando alguns utilizadores passam pelo processo SSPR e reiniciam a sua palavra-passe, por que não vêem o indicador de força de senha?

  Os utilizadores que não vêem a força de senha fraca/forte têm a gravação de palavra-passe sincronizada ativada. Uma vez que a SSPR não consegue determinar a política de senha do ambiente de senha do cliente no local, não pode validar a força ou fraqueza da palavra-passe.

Passos seguintes

Neste tutorial, ativou o autosserviço do Azure AD para um grupo selecionado de utilizadores. Aprendeu a:

• Ativar o reset da palavra-passe de autosserviço para um grupo de utilizadores AD Azure
• Configurar métodos de autenticação e opções de registo
• Teste o processo SSPR como utilizador

Ativar o Multi-Factor Authentication do Azure AD