O Self-Service Password Reset (SSPR) do Azure Active Directory (Azure AD) oferece aos usuários a capacidade de alterar ou redefinir suas senhas, sem envolvimento de administrador ou suporte técnico. Se a conta de um usuário for bloqueada ou se ele esquecer sua senha, ele poderá seguir os prompts para se desbloquear e voltar ao trabalho. Essa capacidade reduz as chamadas de suporte técnico e a perda de produtividade quando um usuário não consegue entrar em seu dispositivo ou aplicativo.
01 – Faça login por portal do Azure.
02 – No portal pesquise por Azure Active Directory.
03 – Vamos criar um grupo chamado SSPR_Users, no Azure Active Directory clique em Groups.
04 – Na tela Groups | All groups, clique em + New groups.
05 – Na tela New Group, em group type selecione Security, em Group name selecione um nome para o grupo, em nosso exemplo vamos utilizar o nome SSPR_Users, deixe as demais configurações como padrão e clique em Create.
06 – Como podemos observar na imagem abaixo nosso grupo foi criado com sucesso.
O próximo passo será criar um usuário e adicionar ao grupo SSPR_Users
07 – Na tela do Azure Active Directory, clique em Users.
08 – Na tela Users | All users, clique em + New user.
09 – Na tela New user, selecione Create user, em User name selecione um nome para a conta do usuário, em nosso exemplo vamos criar o usuário Cris, deixe a opção Auto-generate password habilitada, marque a opção Show Password, na opção Usage location selecione Brazil, deixe as demais configurações como padrão e clique em Create.
OBS: Cópie a senha do Auto-generate passoword porque iremos utiliza-lá posteriormente.
10 – Como podemos observar na imagem a conta de usuário foi criada com sucesso.
11 – Vamos adicionar o usuário Cris Green ao grupo SSPR_Users, clique em Users, selecione o usuário Cris Green e clique em Groups.
12 – Na tela Cris Green | Groups, clique em + Add memberships e selecione o grupo SSPR_Users.
13 – Como podemos observar na imagem o usuário Cris foi adicionado ao grupo SSPR_Users.
14 – Vamos fazer login no portal do Azure com a conta do usuário Cris Green, digite o endereço portal.azure.com em seu navegador.
Insira a conta do usuário Cris Green e a senha.
15 – Como estamos logando pela primeira vez com a conta do usuário Cris Green será solicitado a alteração da senha.
16 – Como podemos observar na imagem abaixo o usuário Cris Green realizou com sucesso o login no portal do Azure.
Vamos habilitar o Password reset
17 – No portal do Azure pesquise por Azure Active Directory.
18 – Selecione o Password reset.
19 – Na tela Password reser|Properties, escolha Properties e selecione Selected para selecionar um grupo de segurança que poderá resetar a senha, aqui vamos adicionar o grupo SSPR_Users. Você também pode escolher All se quiser habilitar o SSPR para todos os usuários.
20 – Como podemos observar na imagem abaixo, o grupo SSPR_Users foi foi selecionado. Agora, clique em Save para finalmente habilitar o SSPR.
Habilitando SSPR para organizações com configuração híbrida
Na seção anterior, você aprendeu como habilitar o SSPR, que se aplica a um grupo selecionado para usuários apenas na nuvem. Nesta seção, você aprenderá o que precisa ser feito se os usuários da sua organização forem sincronizados do Active Directory on-premises para o Azure AD com o Azure AD Connect.
Como as contas de usuário híbrido são inicialmente criadas no Active Directory on-premises, a senha que foi redefinida deve ser gravada de volta no AD on-premises. E para fazer isso, o recurso de writeback de senha deve ser habilitado no Azure AD Connect.
21 – Em nosso Active Directory on-premises temos três usuários sincronizados para o Azure Active Directory.
Usuários Active Directory on-premises
Usuários sincronizados para o Azure Active Directory
Habilitar o recurso de writeback de senha no Azure AD Connect
Para habilitar o recurso de writeback de senha, você deve ter acesso ao servidor onde o Azure AD Connect está instalado. Siga estas etapas para habilitar o writeback da senha.
22 – Vamos iniciar o programa de configuração do Azure AD Connect, clique no botão iniciar do windows server, abra a pasta Azure AD Connect e clique em Azure AD Connect.
23 – Na tela Welcome to Azure AD Connect, clique em Configure.
24 – Em Additional tasks, selecione Custom synchronization options e clique em Next.
25 – Na página Connect to Azure AD, insira as credências de uma conta que tenha permissão de Global administratror do Azure e clique em Next.
26 – Na página Connect your directories, não iremos realizar nenhuma alteração, clique em Next.
27 – Na Tela Domain and OU filtering, também não iremos realizar nenhum alteração, clique em Next.
28 – Na Tela Optional features, marque a opção Password writeback e clique em Next.
29 – A tela Ready to configure, deixe marcada a opção Start the synchronization process when configuration completes e clique em Configure.
Em seguida, aguarde a conclusão do processo de configuração.
30 – Na tela Configuration complete, podemos observar que a configuração foi finalizada com sucesso, clique em Exit.
As políticas de senha no ambiente do AD DS on-premises podem impedir que as redefinições de senha sejam processadas corretamente. Para que o password writeback funcione com o máximo de eficiência, a group policy para Minimum password age e Maximum password age precisam ser definidas como 0.
31 – Abra o server manager e selecione Group Policy Management.
O Group Policy Management também pode ser aberto com o comando gpmc.msc
32 – Em Group Policy Management expanda o nome do do minio, clique Default Domain Policy e clique em Edit.
33 – Em Computer Configuration, selecione Policies –> Windows Settings –> Security Settings –> Account Policies –> Password Policy.
Altere as Policy Maximum password age e Minimum password age para 0.
Maximum password age
Minimum password age
Podemos aguardar a politica de group ser atualizada automaticamente ou podemos forçar a atualização da politica com o comando gpupdate /force.
Abra o Command Promtp e digite o comando gpupdate /force
Podemos verificar se a politica foi aplicada com o comando gpresult /r
Agora vamos configurar as opções de Self-Service Password Reset
Até agora, neste artigo, você aprendeu como habilitar o SSPR com opções padrão. Mesmo com as opções padrão, o SSPR já está funcional.
No entanto, mais opções podem ser configuradas e personalizadas, o que pode ajudá-lo a controlar ainda mais o SSPR para estar em conformidade com os requisitos da sua organização. Essas opções incluem métodos de autenticação, registro, notificações, link de contato de suporte ou e-mail e integração Active Directory On-premises.
34 – Vamos configurar as opções de Registration, no portal do Azure pesquise por Azure Active Directory.
35 – Na tela Azure Active Directory, selecione Password reset.
36 – Antes que os usuários possam usar o SSPR, eles precisam primeiro registrar suas informações de autenticação. Na tela Password reset| Registration, há duas definições de configuração, como podemos observar na imagem abaixo.
As duas opções são:
Require users to register when signing in?
Number of days before users are asked to re-confirm their authentication information.
37 – Para a configuração Registration vamos deixar as opções padrão configurada.
38 – Vamos configurar o Authentication methods.
Quando os usuários tentam redefinir sua própria senha, o SSPR exigirá que os usuários provem sua identidade. Você pode configurar o SSPR para exigir até dois métodos de autenticação.
Existem duas configurações para o Authentication methods:
Number of methods required to reset – Determina quantos métodos de autenticação são necessários para os usuários quando eles tentam redefinir suas próprias senhas. O padrão para esta configuração é 1.
Methods available to users – Mostra uma lista de maneiras possíveis para os usuários se autenticarem antes de redefinir as senhas de suas contas. Esses métodos incluem o uso do aplicativo Microsoft Authenticator (código e notificação), email, SMS, telefone comercial e perguntas de segurança.
39 – Para esse exemplo vamos selecionar os métodos de autenticação Email e Mobile phone e clique em Save.
40 – No próximo passo vamos configurar as Notifications.
É uma boa ideia que os usuários e administradores sejam notificados por email sempre que uma operação de redefinição de senha for executada em suas respectivas contas.
Quando os usuários são notificados, eles têm permissão para validar que foram eles mesmos que realizaram a redefinição de senha.
Como podemos observar na imagem abaixo, deixamos as opção Notify user on password resets marcada como yes e a opção Notify all admins when other admins reset theis passsword marcada como No.
41 – Na opção Customization podemos inserir algumas opções de suporte com o endereço do helpdesk ou um email de suporte para os usuários entrarem em contato. Vamos definir na opção Customize helpdesk link como No.
Existem duas configurações:
Custom helpdesk link
Custom helpdesk email or URL
42 – Na opção On-premises integration, é mostrado o status o status da disponibilidade do cliente on-premises writeback. Aqui você pode confirmar se o recurso de writeback de senha está funcionando ou não.
Existem duas opções para On-premises integration
Write back passwords to your on-premises directory?
Testar o Self-Service Password Reset
Por padrão, uma vez que o SSPR está habilitado, os usuários são automaticamente solicitados a registrar suas informações de autenticação.
Depois que o Self-Service Password Reset estiver habilitado na conta do usuário, o usuário irá para o portal do Azure ou Office 365 par fazer login com o nome de usuário e senha existentes.
44 – Digite o endereço do portal do Azure em um navegador de sua preferência
Primeiro vamos verificar o comportamento do processo de redefinição de senha de um usuário onde o Self-service Password Reset não está habilitado.
45 – Para esse teste vamos utilizar o usuário suporte 04 criado no Azure Active Directory.
46 – Após inserir a conta do usuário, clique em Esqueci minha senha.
47 – Digite sua conta novamente, digite os caracteres da imagem como solicitado e clique em Avançar.
48 – Observe a mensagem que é mostrada para o usuário, informando que ele não pode redefinir sua senha sozinho porque o Self-service Password Reset não está habilitado.
49 – Vamos clicar na opção entrar em contato com o seu administrador, como podemos observar na imagem abaixo uma notificação de solicitação de redefinicação de senha foi enviada para o administrador.
50 – Fiz login com a conta de administrador e como esparado o email de solicitação de redefinição de senha chegou na caixa de email.
Vamos redefinir a senha do usuário Cris Green criado no Azure Active Directory onde o Self-service Password Reset está habilitado.
51 – Faça login no portal do azure com a conta do usuário Cris Green.
52 – Esta tela aparece apenas quando o usuário está entrando pela primeira vez depois que sua conta é habilitada para SSPR. Nesta etapa, o usuário deverá configurar o Telefone de Autenticação e Email de Autenticação para poder redefinir a senha caso o usuário esqueça, clique em Avançar.
53 – A tela de configuração do telefone de autenticação e email de autenticação será mostrada.
Clique no link Configurar agora em cada uma das opções – Telefone de autenticação e email de autenticação.
54 – Vamos realizar a configuração do telefone de autenticação, clique em Configurar agora.
Selecione seu pais de origem, número de telefone celular com o DDD, em seguida será enviado um código de verificação para o telefone, digite o código e clique em verificar.
55 – Vamos realizar a configuração do Email de autenticação, clique em Configurar agora.
Selecione um endereço de email, em seguida será enviado um código de verificação para o email, digite o código e clique em verificar.
56 – Assim que o usuário concluir a configuração de ambos os métodos de autenticação, clique em Concluir.
57 – Agora tentar redefinir a senha do usuário Cris Green, no portal do Azure digite a conta de usuário e clique em Esquecia minha senha.
58 – Digite sua conta novamente, digite os caracteres da imagem como solicitado e clique em Avançar.
59 – Em etapa de verificação vamos selecionar, Inserir o meu email alternativo que já foi cadastrado no primeiro acesso do usuário.
60 – Vamos verificar em nossa caixa de email o código que foi enviado, em seguida vamos inserir esse código na etapa de verificação.
61 – Vamos criar uma nova senha para o usuário Cris Grren, em seguida clique em concluir.
62 – Como podemos observar na imagem abaixo nossa senha foi redefinida com sucesso.
63 – A imagem abaixo mostra a notificação de redefinição de senha enviada ao usuário como parte do Self-service password reset.
Agora vamos redefinir a senha do usuário suporte 01 que foi criado no Azure Active Directory on-premises e sincronizado para o Azure Active Directory com o AD Connect
Active Directory on-premises
Azure Active Directory
64 – O usuário suporte 01 não faz parte do grupo SSPR_Users, que é o grupo que inserimos no Password reset que da permissão para os usuários redefinirem sua senha, vamos adiciona-ló ao grupo.
65 – No Azure Active Directory clique em Groups.
66 – Pesquise pelo grupo SSRPR_Users.
67 – No grupo SSRPR_Users, clique em Member, + Add member e selecione o usuário suporte 01.
68 – Faça login no portal do azure com a conta do usuário suporte 01.
69 – Esta tela aparece apenas quando o usuário está entrando pela primeira vez depois que sua conta é habilitada para SSPR. Nesta etapa, o usuário deverá configurar o Telefone de Autenticação e Email de Autenticação para poder redefinir a senha caso o usuário esqueça, clique em Avançar.
70 – A tela de configuração do telefone de autenticação e email de autenticação será mostrada.
Clique no link Configurar agora em cada um – Telefone de autenticação e email de autenticação.
71 – Vamos realizar a configuração do telefone de autenticação, clique em Configurar agora.
Selecione um número de telefone celular com o DDD, em seguida será enviado um código de verificação para o telefone, digite o código e clique em verificar.
A configuração do telefone foi realizada como podemos observar na imagem abaixo
72 – Vamos realizar a configuração do Email de autenticação, clique em Configurar agora.
73 – Selecione um endereço de email, em seguida será enviado um código de verificação para o email, digite o código e clique em verificar.
74 – Vamos copiar o código de verificação que foi enviado para o endereço de email solicitado.
75 – Assim que o usuário concluir a configuração de ambos os métodos de autenticação, clique em Concluir.
76 – Agora vamos tentar redefinir a senha do usuário suporte 01, no portal do Azure digite a conta de usuário e clique em Esquecia minha senha.
77 – Digite a conta de usuário que deseja redefinir a senha, os caracteres da imagem e clique em Avançar.
78 – Selecione esqueci minha senha e clique em Avançar.
79 – Na etapa de verificação podemos selecionar enviar um email para o email alternativo cadastrado, enviar um sms ou receber uma ligação para o número de telefone que foi cadastrado.
Nesse exemplo será enviado um email com um código de verificação no seu endereço de email alternativo, clique em Email.
80 – Vamos verificar nossa caixa de entrada do email alternativo, como podemos observar na imagem abaixo o email com código de verificação foi enviado.
81 – Vamos colar o código de verificação e clicar em Avançar.
82 – Agora vamos escolher a nova senha para o usuário suporte 01, lembrando que a senha deve seguir os níveis de complexidade da politica de senha do nosso Active Directory on-premises.
Vamos utilizar a senha Dskadm++55, guarde essa senha porque iremos utiliza-lá posteriormente.
83 – Como podemos observar na imagem abaixo a senha do usuário suporte 01 foi redefinida com sucesso.
84 – Foi enviado uma notificação de redefinição de senha para o endereço de email alternativo do usuário.
Isso finaliza o processo de redefinição de senha do usuário suporte 01.
Podemos acessar o portal do Azure com o usuário Cris que foi criado no Azure Active Directory, também podemos acessar o portal com o usuário suporte 01 que foi criado no Active Directory on-premises e sincronizado para o Azure Active Directory, agora que redefinimos a senha do suporte 01 pelo Azure Active Directory vamos verificar se o hash de senha foi replicado para o Active Directory on-premises.
85 – Vamos fazer login em uma máquina com windows 10 ingressado no domínio on-premises jadsonalves.com.br com a conta do usuário suporte 01 que acabamos de redefinir a senha.
86 – Como podemos observar na imagem abaixo o usuário suporte 01 fez login com sucesso na máquina cliente ingressada no Active Directory on-premises.
Resumo
O self-service password reset (SSPR) no Azure e Office 365 prova ser uma maneira conveniente e segura para usuários e administradores redefinirem suas próprias senhas.
Neste artigo, você aprendeu como habilitar o self-service password reset e aplicá-la a um grupo específico. Você também aprendeu sobre as diferentes opções de configuração disponíveis para ter mais controle sobre como o SSPR.
Você também aprendeu passo a passo como funciona a experiência do usuário no self-service password, incluindo o processo de registro e a notificação por email.
Espero que este conteúdo tenha contribuído com o enriquecimento do conhecimento de vocês em Azure e Office 365.
Tem alguma sugestão ou observação, comente.
Forte abraço, obrigado e até o próximo post. 🙂
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.