Habilite a redefinição de senha de autoatendimento do Microsoft Entra na tela de entrada do Windows

Usando a redefinição de senha de autoatendimento (SSPR) na ID do Microsoft Entra, os usuários podem alterar ou redefinir sua senha sem envolvimento de administrador ou helpdesk. Normalmente, os usuários abrem um navegador da Web em outro dispositivo para acessar o portal SSPR. Para melhorar a experiência em computadores que executam o Windows 7, 8, 8.1, 10 e 11, você pode permitir que os usuários redefina sua senha na tela de entrada do Windows.

Este artigo mostra aos administradores como habilitar o SSPR para dispositivos Windows em uma empresa.

Se a sua equipa de TI não tiver ativado a capacidade de utilizar o SSPR a partir do seu dispositivo Windows ou se tiver problemas durante o início de sessão, contacte o seu serviço de assistência para obter mais assistência.

Limitações gerais

As seguintes limitações aplicam-se à utilização do SSPR a partir do ecrã de início de sessão do Windows:

• Atualmente, não há suporte para redefinição de senha em uma Área de Trabalho Remota ou em sessões aprimoradas Hyper-V.

• Alguns provedores de credenciais que não são da Microsoft são conhecidos por causar problemas com esse recurso.

• A desativação do controle de conta de usuário por meio da modificação da chave do Registro EnableLUA é conhecida por causar problemas.

• Esse recurso não funciona para redes com autenticação de rede 802.1x implantada e a opção Executar imediatamente antes do logon do usuário. Para redes com autenticação de rede 802.1x implantada, recomendamos que você use a autenticação de máquina para habilitar esse recurso.

• As máquinas híbridas do Microsoft Entra devem ter linha de visão de conectividade de rede com um controlador de domínio para usar a nova senha e atualizar as credenciais armazenadas em cache. Os dispositivos devem estar na rede interna da organização ou em uma rede virtual privada com acesso de rede a um controlador de domínio local. Se SSPR for o único requisito, a linha de conexão de rede para o controlador de domínio não será necessária.

• Se você usar uma imagem, antes de executar sysprep verifique se o cache da Web está limpo para o administrador interno antes de executar a CopyProfile etapa. Para obter mais informações, consulte Desempenho fraco ao usar o perfil de usuário padrão personalizado.

• As seguintes configurações são conhecidas por interferir com a capacidade de usar e redefinir senhas em dispositivos Windows 10:

  • Se as notificações da tela de bloqueio estiverem desativadas, Redefinir senha não funcionará.
  • HideFastUserSwitching está definido como Ativado ou 1.
  • DontDisplayLastUserName está definido como Ativado ou 1.
  • NoLockScreen está definido como Ativado ou 1.
  • BlockNonAdminUserInstall está definido como Ativado ou 1.
  • EnableLostMode está definido no dispositivo.
  • Explorer.exe é substituído por um shell personalizado.
  • Logon interativo: Exigir que o cartão inteligente esteja definido como Habilitado ou 1.

• A combinação das três configurações específicas a seguir pode fazer com que esse recurso não funcione.

  • Logon interativo: Não exija que CTRL + ALT + DEL esteja definido como Desativado (somente para Windows 10 versão 1710 e anteriores).
  • DisableLockScreenAppNotifications está definido como Ativado ou 1.
  • A versão para Windows é a edição Home.

Redefinição de senha do Windows 11 e Windows 10

Para configurar um dispositivo Windows 11 ou Windows 10 para SSPR na tela de entrada, revise os seguintes pré-requisitos e etapas de configuração.

Pré-requisitos do Windows 11 e Windows 10

• Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação e habilite o Microsoft Entra SSPR.
• Os usuários devem se registrar no SSPR antes de usar esse recurso na tela de entrada do Windows.
  • Todos os usuários devem fornecer informações de contato de autenticação antes de poderem redefinir sua senha, o que não é exclusivo do uso do SSPR na tela de entrada do Windows.
• Requisitos de proxy de rede:
  • Porta 443 para passwordreset.microsoftonline.com e ajax.aspnetcdn.com.
  • Os dispositivos Windows 10 exigem uma configuração de proxy no nível da máquina ou uma configuração de proxy com escopo para a conta temporária defaultuser1 usada para executar SSPR. Para obter mais informações, consulte a seção Solução de problemas .
• Execute pelo menos o Windows 10, versão da Atualização de abril de 2018 (v1803), e os dispositivos devem ser:
  • Microsoft Entra juntou-se.
  • Microsoft Entra híbrido juntou-se.

Habilitar para Windows 11 e Windows 10 usando o Intune

Implantar a alteração de configuração para habilitar o SSPR na tela de entrada do Windows usando o Intune é o método mais flexível. Com o Intune, você pode implantar a alteração de configuração em um grupo específico de máquinas que você definir. Este método requer o registo do dispositivo no Intune.

Criar uma política de configuração de dispositivo no Intune

1. Entre no centro de administração do Microsoft Intune.

2. Crie um novo perfil de configuração de dispositivo indo paraPerfis de > de dispositivo e selecionando + Criar perfil:

   • Em Plataforma, selecione Windows 10 e posterior.
   • Para Tipo de perfil, escolha Modelos e, em seguida, selecione o Modelo personalizado .

3. Selecione Criar e forneça um nome significativo para o perfil, como SSPR da tela de entrada do Windows 11.

   Opcionalmente, forneça uma descrição significativa do perfil e selecione Avançar.

4. Em Definições de configuração, selecione Adicionar e forneça a seguinte configuração de OMA-URI para habilitar o link de redefinição de senha:

   • Insira um nome significativo para explicar o que a configuração está fazendo, como Adicionar link SSPR.
   • Opcionalmente, insira uma descrição significativa da configuração.
   • Defina OMA-URI como ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset.
   • Defina Tipo de dados como Inteiro.
   • Defina Valor como 1.

   Selecione Adicionare, em seguida, selecione Seguinte.

5. Você pode atribuir a política a usuários, dispositivos ou grupos específicos. Atribua o perfil desejado para seu ambiente. A prática recomendada é atribuí-lo a um grupo de teste de dispositivos primeiro e, em seguida, selecionar Avançar.

   Para obter mais informações, consulte Atribuir perfis de usuário e dispositivo no Microsoft Intune.

6. Configure as regras de aplicabilidade desejadas para seu ambiente, como Atribuir perfil se a edição do sistema operacional for Windows 10 Enterprise e selecione Avançar.

7. Reveja o seu perfil e, em seguida, selecione Criar.

Habilite para Windows 11 e Windows 10 usando o Registro

Para ativar o SSPR no ecrã de início de sessão do Windows utilizando uma chave de registo, siga estes passos:

1. Entre no PC Windows usando credenciais administrativas.

2. Selecione Windows + R para abrir a caixa de diálogo Executar e, em seguida, execute regedit como administrador.

3. Defina a chave de registo seguinte:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

Solucionar problemas de redefinição de senha do Windows 11 e Windows 10

Se você tiver problemas ao usar o SSPR na tela de entrada do Windows, o log de auditoria do Microsoft Entra inclui informações sobre o endereço IP e ClientType, onde ocorreu a redefinição de senha, conforme mostrado na saída do exemplo a seguir.

Quando os utilizadores repõem a palavra-passe a partir do ecrã de início de sessão de um dispositivo Windows 11 ou 10, é criada uma conta temporária de baixo privilégio chamada defaultuser1 . Essa conta é usada para manter o processo de redefinição de senha seguro.

A conta em si tem uma senha gerada aleatoriamente, que é validada em relação à política de senha de uma organização. A palavra-passe não aparece para início de sessão no dispositivo e é automaticamente removida depois de o utilizador redefinir a palavra-passe. Vários defaultuser perfis podem existir, mas você pode ignorá-los com segurança.

Configurações de proxy para redefinição de senha do Windows

Durante a redefinição de senha, o SSPR cria uma conta de usuário local temporária para se conectar ao https://passwordreset.microsoftonline.com/n/passwordreset. Quando um proxy é configurado para autenticação de usuário, ele pode falhar com o erro "Algo deu errado. Por favor, tente novamente mais tarde." Este erro ocorre porque a conta de utilizador local não está autorizada a utilizar o proxy autenticado.

Nesse caso, use uma das seguintes soluções alternativas:

• Configure uma configuração de proxy em toda a máquina que não dependa do tipo de usuário conectado à máquina. Por exemplo, você pode habilitar as configurações de proxy Fazer Diretiva de Grupo por máquina (em vez de por usuário) para as estações de trabalho.

• Você também pode usar a configuração de proxy por usuário para SSPR se modificar o modelo do Registro para a conta padrão. Os comandos são:

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• O erro "Algo deu errado" também pode ocorrer quando algo interrompe a conectividade com o URL https://passwordreset.microsoftonline.com/n/passwordreset. Por exemplo, este erro pode ocorrer quando o software antivírus é executado na estação de trabalho sem exclusões para os URLs passwordreset.microsoftonline.com, ajax.aspnetcdn.come ocsp.digicert.com. Desative este software temporariamente para testar se o problema foi resolvido ou não.

Redefinição de senha do Windows 7, 8 e 8.1

Para configurar um dispositivo Windows 7, 8 ou 8.1 para SSPR no ecrã de início de sessão do Windows, reveja os seguintes pré-requisitos e passos de configuração.

Pré-requisitos do Windows 7, 8 e 8.1

• Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação e habilite o Microsoft Entra SSPR.
• Os usuários devem se registrar para SSPR na tela de entrada do Windows antes de usar esse recurso.
  • Todos os usuários devem fornecer informações de contato de autenticação antes de poderem redefinir sua senha, o que não é exclusivo do uso do SSPR na tela de entrada do Windows.
• Requisitos de proxy de rede:
  • Porta 443 a passwordreset.microsoftonline.com.
• Sistema operacional Windows 7 ou Windows 8.1 corrigido.
• TLS 1.2 ativado seguindo as orientações nas configurações do Registro Transport Layer Security (TLS).
• Se mais de um provedor de credenciais que não seja da Microsoft estiver habilitado em sua máquina, os usuários verão mais de um perfil de usuário na tela de entrada do Windows.

Instalar o componente SSPR

Para o Windows 7, 8 e 8.1, um pequeno componente deve ser instalado na máquina para habilitar o SSPR na tela de entrada do Windows. Para instalar este componente SSPR, siga estes passos:

1. Transfira o instalador adequado para a versão do Windows que pretende ativar.

   O instalador do software está disponível no Centro de Download da Microsoft.

2. Inicie sessão na máquina onde pretende instalar e execute o instalador.

3. Após a instalação, recomendamos que você execute uma reinicialização.

4. Após a reinicialização, na tela de entrada do Windows, escolha um usuário e selecione Esqueceu a senha? para iniciar o fluxo de trabalho de redefinição de senha.

5. Siga os passos para repor a sua palavra-passe.

   

Instalação silenciosa

Para instalar ou desinstalar o componente SSPR sem prompts, use os seguintes comandos:

• Instalação silenciosa: Use msiexec /i SsprWindowsLogon.PROD.msi /qno .
• Desinstalação silenciosa: Use msiexec /x SsprWindowsLogon.PROD.msi /qn.

Solucionar problemas de redefinição de senha do Windows 7, 8 e 8.1

Se você tiver problemas ao usar o SSPR na tela de entrada do Windows, os eventos serão registrados na máquina e na ID do Microsoft Entra. Os eventos do Microsoft Entra incluem informações sobre o endereço IP e o ClientType parâmetro onde ocorreu a redefinição de senha.

Se for necessário mais registo, altere uma chave de registo na máquina para ativar o registo detalhado. Habilite o log detalhado para fins de solução de problemas somente usando o seguinte valor de chave do Registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• Para habilitar o registro detalhado, crie-o REG_DWORD: "EnableLogging" e defina-o como 1.
• Para desativar o registro detalhado, altere REG_DWORD: "EnableLogging" para 0.
• Revise o log de depuração no log de eventos do aplicativo sob a origem AADPasswordResetCredentialProvider.

O que os usuários veem?

Com o SSPR configurado para seus dispositivos Windows, quais são as alterações para o usuário? Como eles sabem que podem redefinir sua senha na tela de login? As capturas de tela de exemplo a seguir mostram outras opções para um usuário redefinir sua senha usando SSPR.

Quando os usuários tentam entrar, eles veem um link Redefinir senha ou Esqueceu a senha que abre a experiência SSPR na tela de entrada. Agora, os usuários podem redefinir sua senha sem ter que usar outro dispositivo para acessar um navegador da web.

Para obter mais informações sobre como usar esse recurso, consulte Redefinir sua senha corporativa ou de estudante.

Conteúdo relacionado

Para simplificar a experiência de registro do usuário, você pode pré-preencher as informações de contato de autenticação do usuário para SSPR.