Júlio César Gonçalves VasconcelosNo artigo de hoje, abordaremos o tema sobre o Self Service Password Reset (SSPR), uma solução cada vez mais adotada pelas empresas para otimizar a gestão de senhas e reduzir a sobrecarga dos Suportes de TI.
SSPR: O que é e como ele pode ajudar no dia a dia dos Suportes de TI?
O Self Service Password Reset (SSPR) é um recurso do Entra ID que permite aos usuários alterar ou redefinir suas senhas sem a intervenção de um Suporte de TI.
Quando o Self Service Password Reset (SSPR) é habilitado no seu locatário do Entra ID, se a conta de um usuário estiver bloqueada, ele tiver esquecido sua senha ou até mesmo quiser alterar sua senha atual, ele pode fazer isso de forma autônoma. Os usuários não precisarão mais entrar em contato com os administradores para realizar a alteração de suas senhas.
Nota: Essa funcionalidade reduz a carga de trabalho do suporte de TI e oferece mais autonomia e agilidade para os usuários, permitindo um processo mais eficiente de gerenciamento de senhas.
Principais Benefícios do Self Service Password Reset (SSPR)
- O Self-Service Password Reset (SSPR) reduz os custos de suporte de TI, permitindo que os usuários redefinam suas próprias senhas. Além disso, também diminui o tempo perdido devido à troca de senha e ao bloqueio de contas.
- Ele oferece um processo único de registro do usuário que permite que os usuários redefinam suas senhas e desbloqueiem suas contas de qualquer dispositivo ou local.
- O Self Service Password Reset (SSPR) permite que as empresas aproveitem a segurança e a flexibilidade que uma plataforma em nuvem oferece. Os administradores podem alterar as configurações para acomodar novos requisitos de segurança e aplicar essas mudanças aos usuários sem interromper o processo de login.
- Com a ajuda dos Audit logs, é possível rastrear as atividades de redefinição de senha. Nos Audit logs, podemos verificar quantos usuários estão redefinindo suas senhas, se o reset de senha foi bem-sucedido ou falhou, e os motivos de uma possível falha. Também é possível monitorar quais métodos são mais comuns para redefinição de senha, tanto por usuários quanto por administradores, ou identificar se há alguma atividade suspeita relacionada ao processo de reset de senha.
- Esses benefícios ajudam a melhorar a segurança, reduzir custos operacionais e proporcionar uma experiência mais ágil para os usuários.
O que você irá precisar para isso:
- Licença Microsoft Entra ID P1.
ATENÇÃO: As implementações apresentadas em nossos artigos foram desenvolvidas com base em documentações oficiais e nas boas práticas recomendadas pela Microsoft. Entretanto, enfatizamos que qualquer implementação deve ser previamente testada em ambientes de homologação ou testes para garantir a segurança e a estabilidade do ambiente de produção.
Passo a passo – Hands On
1. Vamos acessar o portal do Entra ID.
2. No menu lateral esquerdo, selecione “Protection” e, em seguida, “Authentication methods”. Na tela que se abrir, em “Policies”, certifique-se que tenha pelo menos 2 métodos habilitados, aqui iremos usar o “Microsoft Authenticator” e “SMS”.
(PS: Você pode usar outros métodos(tirando o MFA que e obrigatório), isso fica a critério das politicas de segurança da sua empresa).
3. Ainda em “Protection”, selecione “Password reset” e, em “Properties” em “Self service password reset enable“, selecione “All” e clique em “Save”.
Ainda em “Password reset”, selecione “Authentication methods” e, em “Number of methods required to reset”, selecione 2. Em “Methods available to users”, selecione “Mobile app notification”, “Mobile app code” e “Mobile phone”. Por fim, clique em “Save”.
NOTA: O fato de habilitar os métodos de autenticação esta relacionado exclusivamente ao correto funcionamento do Self Service Password Reset (SSPR). Isso não ativa automaticamente o MFA para contas de serviço ou qualquer outra conta do seu ambiente, portanto, fiquem tranquilos, pois não haverá impacto no ambiente.
Ainda em “Password reset”, selecione “Registration” e, em “Require users to register when signing in?”, selecione “Yes”. Depois, em “Number of days before users are asked to re-confirm their authentication information”, defina 180 dias, que será o período após o qual o usuário precisará revalidar seus métodos de autenticação. Por fim, clique em “Save”.
Ainda em “Password reset”, selecione “Notifications” e, em “Notify users on password resets?” selecione “Yes” e em “Notify all admins when other admins reset their password?”, selecione “Yes”. Por fim, clique em “Save”.
Ainda em “Password reset”, selecione “Customization” e, em “Customize helpdesk link”, selecione “Yes”. Em “Custom helpdesk email or URL”, defina uma URL do seu portal de Help Desk ou um e-mail (neste caso, usarei um e-mail). Por fim, clique em “Save”.
ETAPA BÔNUS: Para quem trabalha com ambientes híbridos e já tem configurado o “Microsoft Entra Connect Sync agent” ou o “Microsoft Entra Connect Provisioning Agent (Cloud Sync)”, é possível habilitar o SSPR para esses ambientes também.
Vocês podem ler a documentação do que e preciso para usar o writeback em ambientes híbridos clicando aqui e aqui.
Ainda em “Password reset”, selecione “On-premises integration” e, em “Manage settings”, selecione “Enable password write back for synced users”(como não tenho o Entra Cloud Sync não e necessário seleciona-lo, caso você tenha pode seleciona-lo para que o writeback funcione corretamente) e “Allow users to unlock accounts without resetting their password”. Por fim, clique em “Save”.
Com todas as configurações feitas no Entra ID, agora iremos habilitar a opção de “Reset Password” na tela de bloqueio do Windows usando o Intune.
1. Vamos acessar o portal do Intune.
2. No menu lateral esquerdo, selecione “Devices” e, em “Manage devices”, selecione “Configuration”. Na tela que se abrir, em “Policies”, clique em “+Create” e depois em “+New Policy”. Em “Platform”, selecione “Windows 10 and later” e, em “Profile type”, selecione “Settings catalog”. Por fim, clique em “Create”.
Em “Create profile”, defina um nome para a politica e clique em “Next”.
Em “Configuration settings”, selecione “+Add settings”. Na tela que se abrir, procure e selecione “Authentication” e, em seguida, “Allow Aad Password Reset”. Defina como “Allow” e, depois, clique em “Next”.
Em “Assingments” selecione “Add all devices” e clique em “Next”.
Em “Review + create” revise a politica e clique em “Create”.
Após configurado a politica no Intune para habilitar a opção de reset do password na tela de bloqueio do Windows, agora vamos fazer o teste do SSPR por 2 caminhos diferentes.
OBSERVAÇÃO 1: Caso o usuário não tenha os métodos de autenticação já cadastrados, no momento da execução da recuperação de senha, ele será informado de que não conseguirá prosseguir com o processo. Nessa mensagem, serão fornecidos os links onde o usuário poderá cadastrar os métodos de autenticação por conta própria, sem a necessidade de intervenção de um administrador.
OBSERVAÇÃO 2: Quando você testar a redefinição de senha usando o SSPR use uma conta que não seja de administrador. Por padrão, o Entra ID permite a redefinição de senha por SSPR para administradores. Eles são obrigados a usar dois métodos de autenticação para redefinir a senha.
O primeiro caminho será pelo link da Microsoft, que você pode acessar aqui. Esse link pode ser acessado de qualquer dispositivo para realizar o reset da senha.
Preencha as informações com seu e-mail e os caracteres de confirmação e clique em Next.
Na próxima tela, veremos os métodos de autenticação que selecionamos na configuração dentro do Entra ID. Podemos então deixar “Text my mobile phone” como o primeiro verification step. Insira seu número completo (não é necessário incluir o código do país). Em seguida, clique em “Text”.
Insira o código recebido por SMS em seu celular e clique em “Next”
Agora, no verification step 2, vamos selecionar “Approve a notification on my authentication app” ou “Enter a code from my authentication app”. A escolha fica a critério do usuário, pois ambos estão ligados ao MFA cadastrado no celular dele.
Vou usar o “Send Notification” e confirmar o numero que ira aparecer digitando-o no Autenticador no celular.
Confirmado o código no MFA, agora podemos definir a nova senha.
E como podemos ver, alcançamos o nosso objetivo com a configuração do SSPR.
O segundo caminho será pelo computador do usuário, que estará bloqueado na tela de Lock Screen.
Com a tela bloqueada, clique em “Sign-in options” e depois no ícone com formato de “chave” e depois em “Reset password”
Na tela que se abriu, já irar vir preenchido o e-mail, sendo necessario digitar somente os caracteres de confirmação, então você pode clicar em “Next”.
Selecione a primeira etapa de verificação, que, no caso, será o envio do SMS com o código para o celular cadastrado como método de autenticação e clique em “Next”.
Preencha o código recebido e clique em “Next”
Na próxima tela, selecione “Approve a notification on my authenticator app” e clique em “Next” para receber a notificação no Autenticador.
Agora defina a nova senha e confirme clicando em “Next”
Agora clique em “Finish” para voltar para a tela de login do Windows, e realize um teste usando a nova senha.
E como podemos ver, alcançamos nosso objetivo ao habilitar o Self Service Password Reset (SSPR), entregando mais praticidade ao usuário final e desafogando o time de suporte de TI.
E chegamos ao final de mais uma jornada do conhecimento, onde pudemos aprender juntos como habilitar e configurar o Self Service Password Reset (SSPR) para facilitar a vida dos usuários e do time de Suporte de TI.
Me diga nos comentários: vocês já implementaram o Self Service Password Reset (SSPR) em seu ambiente? Compartilhe sua experiencia, faça você também parte desta jornada. ☁️
