Implantação de autoatendimento de senha
ADSelfService Plus permite que os usuários redefinam senhas com segurança, desbloqueiem contas e atualizem suas informações de diretório sem intervenção do suporte de TI. Para implementar os recursos de autoatendimento de senha do ADSelfService Plus, siga este simples processo de implantação em quatro etapas.
ETAPA 1
Configure as políticas de
autoatendimento
ETAPA 2
Configure a verificação de identidade
(MFA)
ETAPA 3
Cadastre os usuários
ETAPA 4
Proteja as ações de
autoatendimento
Configure as políticas de autoatendimento
ADSelfService Plus oferece quatro recursos principais de autoatendimento:
- Redefinição de senha
- Desbloqueio de conta
- Autoatualização de diretório
- Alterar senha
As políticas decidem quem tem acesso a quais recursos de autoatendimento. Você pode atribuí-las aos usuários com base na OU ou na associação a grupos.
Para criar uma política de autoatendimento:
- Navegue até Configuration > Self-Service > Policy Configuration.
- Clique em +Add New Policy.
- Insira um nome descritivo para a política.
- Marque as caixas dos recursos de autoatendimento que deseja habilitar, como Reset Password ou Unlock Account.
- Click Selecione OUs/Grupos and assign the policy to the desired users. You can apply policies based on OU, group membership, or a combination of both.
Dica: Use múltiplas políticas se diferentes departamentos ou funções precisarem de recursos diferentes.
- Clique em Save Policy.
Consulte esta página para detalhes sobre configurações avançadas de políticas
Configure a verificação de identidade (MFA)
Para aumentar a segurança, os usuários devem verificar sua identidade antes de realizar ações de autoatendimento. ADSelfService Plus suporta 20 métodos de autenticação multifator (MFA) para proteger esse processo.
Para configurar MFA para ações de autoatendimento de senha:
- Navegue até Configuration > Self-Service > Multi-factor Authentication > Authenticators Setup.
- Aqui, você verá todos os autenticadores disponíveis (por exemplo, Google Authenticator, verificação por email, YubiKey e FIDO passkeys).
- Clique no autenticador que deseja habilitar para seus usuários. Siga as instruções na tela para qualquer configuração necessária, como configurar um servidor de email ou chaves API.
- Clique em Save.
- Em seguida, navegue até a aba MFA for Reset/Unlock para aplicar MFA para redefinições de senha e desbloqueios de conta.
- Defina o número de autenticadores que serão solicitados e especifique os autenticadores que o usuário deve satisfazer durante as ações de autoatendimento.
- Clique em Salvar Configurações.
Os métodos de autenticação disponíveis no ADSelfService Plus incluem:
Ao clicar nos links acima, você pode visualizar os passos de configuração para cada um desses métodos de autenticação.
Cadastre os usuários
Para que o MFA funcione, os usuários devem se cadastrar fornecendo as informações de verificação (como número de telefone, respostas de segurança ou configuração do aplicativo autenticador). Você pode gerenciar esse processo para eles ou permitir que os próprios usuários façam o cadastro.
Cadastro conduzido pelo administrador (sem ação do usuário)
- Importar de um arquivo CSV: Navegue até Configuration > Administrative Tools > Quick Enrollment > Import Enrollment Data from CSV para fazer upload em massa de dados dos usuários, como números de celular e endereços de email. Clique aqui para mais detalhes.
- Importar de um banco de dados externo: Conecte-se a bancos de dados externos (MS SQL, PostgreSQL, etc.) em Configuration > Administrative Tools > Quick Enrollment > Import Enrollment Data from External Database para sincronizar dados dos usuários. Você também pode configurar um agendador para buscar regularmente novos usuários nas fontes de dados externas conectadas e cadastrá-los no ADSelfService Plus. Para mais informações sobre como importar dados de cadastro de um banco de dados externo, clique aqui.
Nota: Para métodos MFA como perguntas de segurança do AD, verificação por email e verificação por SMS, o ADSelfService Plus pode obter valores diretamente dos atributos do AD (sAMAccountName, mail ou mobile), portanto, não é necessário cadastro.
Cadastro conduzido pelo usuário
Os usuários podem se inscrever no ADSelfService Plus usando o cliente web do ADSelfService Plus ou o aplicativo móvel do ADSelfService Plus na seção Enrollment. Para impor a inscrição do usuário, você pode implementar as seguintes medidas:
- Notificações de inscrição: Navegue até Configuration > Administrative Tools > Quick Enrollment > Send Enrollment Notification via Email/SMS/Push. Ative e agende notificações automáticas por email, SMS ou push para lembrar os usuários não inscritos a completarem sua inscrição. Clique aqui para mais detalhes.
- Forçar inscrição usando um script de logon: Em Configuration > Administrative Tools > Quick Enrollment > Force Enrollment using Logon Script, você pode associar um script de logon aos usuários não inscritos. Isso forçará os usuários a se inscreverem na próxima vez que fizerem login em sua máquina. Você também pode configurar um agendador para rodar periodicamente, verificando usuários não inscritos e recém-adicionados e configurando scripts de logon para suas contas. Para os passos de como habilitar scripts de logon, clique aqui.
Ações de autoatendimento seguras
Por fim, ajuste suas configurações de segurança para adicionar camadas extras de proteção ao processo de autoatendimento e proteger suas contas de usuário.
Navegue até Configuration > Security Centre para revisar e ativar essas configurações recomendadas:
| Categoria da configuração |
Ações recomendadas |
| Proteção de conta |
- Bloquear usuários: Bloqueie automaticamente a conta de um usuário após um número especificado de tentativas falhas de verificação de identidade.
- CAPTCHA: Ative CAPTCHA para evitar ataques automatizados de bots.
- Tempo limite da sessão: Desconecte automaticamente os usuários do portal após um período de inatividade.
- Restringir usuários inativos.
|
| Políticas de senha |
- Aplicar nível de força da senha: Crie e aplique políticas de senha granulares e personalizadas que vão além da política padrão do AD.
- Forçar alteração no próximo logon: Exija que os usuários alterem sua senha imediatamente no próximo login após uma redefinição de senha.
|
| Segurança do autenticador |
- Impedir reutilização de respostas: Impedir que os usuários forneçam a mesma resposta para múltiplas perguntas de segurança.
- Melhorar a segurança das respostas: Impedir que os usuários usem qualquer palavra da pergunta em suas respostas.
- Randomizar perguntas: Exibir um subconjunto aleatório das perguntas de segurança inscritas pelo usuário durante a verificação.
- Ocultar respostas: Mascarar as respostas de segurança durante operações de redefinição de senha e desbloqueio.
- Tornar as respostas de segurança sensíveis a maiúsculas e minúsculas.
|
| Sistema e rede |
- Conexões seguras: Imponha HTTPS (SSL) para o portal web e LDAPS para comunicação com o controlador de domínio.
- Notificações por email: Notifique automaticamente os usuários por email quando uma ação de senha de autoatendimento for realizada em sua conta.
|
Não encontrou o que procura?
-
Visite nossa comunidade
Publique suas perguntas no fórum.
-
Solicite recursos adicionais
Envie-nos suas necessidades.
-
Precisa de assistência para implementação?
Experimente o OnboardPro
ADManager Plus
ADAudit Plus
Exchange Reporter Plus
M365 Manager Plus
Tópico Anterior