Pular para o conteúdo principal

Laboratório Técnico: Configure self-service password reset (SSPR)

Questões

Questão 1 — Múltipla Escolha

Uma organização habilitou o SSPR no Microsoft Entra ID para um grupo específico de usuários. Após a implantação, o time de suporte relata que alguns usuários conseguem redefinir a senha normalmente, mas outros do mesmo grupo recebem erro ao tentar. Ao investigar, você descobre que os usuários afetados não completaram o processo de registro de métodos de autenticação.

Qual é o comportamento padrão do SSPR quando um usuário tenta redefinir a senha sem ter métodos de autenticação registrados?

A) O SSPR utiliza automaticamente o e-mail corporativo cadastrado no perfil do Microsoft Entra ID como fallback.

B) O SSPR bloqueia a redefinição e exige que o administrador redefina a senha manualmente.

C) O SSPR redireciona o usuário para o portal de registro antes de permitir a redefinição.

D) O SSPR permite a redefinição mediante validação com apenas uma pergunta de segurança gerada automaticamente.

Questão 2 — Cenário Técnico

Um administrador configurou o SSPR com a seguinte política:

Número de métodos necessários para redefinição: 2
Métodos habilitados:
  - Código enviado por e-mail
  - Código enviado por SMS
  - Aplicativo autenticador (notificação)
  - Perguntas de segurança (5 perguntas, 3 respostas corretas exigidas)

Um usuário registrou apenas perguntas de segurança e o e-mail alternativo. Ele tenta redefinir a senha fora do horário comercial sem acesso ao celular. A redefinição é bem-sucedida.

O que explica esse resultado?

A) O SSPR ignorou o requisito de dois métodos porque o usuário é membro de um grupo de segurança privilegiado.

B) O usuário utilizou os dois métodos registrados disponíveis (e-mail e perguntas de segurança), satisfazendo a política de dois métodos.

C) O SSPR reduziu automaticamente o requisito para um método fora do horário comercial para evitar bloqueio de produtividade.

D) O e-mail corporativo foi utilizado como segundo fator automático sem exigir registro prévio.

Questão 3 — Verdadeiro ou Falso

No Microsoft Entra ID, quando o write-back de senha está habilitado via Microsoft Entra Connect, a senha redefinida pelo SSPR é gravada diretamente no Active Directory local em tempo real, sem intermediação de fila ou agente adicional instalado separadamente.

Verdadeiro ou Falso?

Questão 4 — Cenário Técnico

Uma empresa está migrando para o Microsoft Entra ID em modo híbrido. O administrador precisa garantir que usuários sincronizados do Active Directory local também possam usar o SSPR para alterar suas senhas, com a mudança refletindo imediatamente no ambiente local.

O administrador habilita o SSPR no portal do Microsoft Entra ID e testa com um usuário sincronizado. A redefinição ocorre com sucesso no portal, mas ao tentar logar na estação local com a nova senha, o login falha.

Qual é a causa mais provável?

A) O SSPR não é compatível com contas sincronizadas; ele funciona apenas para contas nativas do Microsoft Entra ID.

B) O write-back de senha não está habilitado no Microsoft Entra Connect, então a nova senha não foi propagada ao Active Directory local.

C) O usuário sincronizado não pode usar SSPR enquanto a sincronização de hash de senha não estiver ativa.

D) A conta do usuário local está bloqueada no Active Directory, impedindo a recepção do write-back.

Questão 5 — Múltipla Escolha

Ao configurar o SSPR no Microsoft Entra ID, o administrador define que perguntas de segurança são um método permitido. Em relação ao uso desse método, qual afirmação descreve corretamente uma limitação técnica documentada?

A) Perguntas de segurança podem ser usadas como único método necessário, desde que o número de perguntas configurado seja igual ou superior a cinco.

B) Perguntas de segurança não podem ser usadas como método de redefinição de senha para contas com funções administrativas no Microsoft Entra ID.

C) Perguntas de segurança são bloqueadas automaticamente se o usuário tiver o Microsoft Authenticator registrado.

D) Perguntas de segurança exigem que o administrador global aprove o banco de perguntas antes de ficarem disponíveis aos usuários.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

O SSPR não possui fallback automático para dados de perfil não registrados explicitamente como método de autenticação. Quando um usuário não completou o registro, a redefinição é bloqueada e o fluxo encerra com erro, exigindo intervenção do administrador para a redefinição manual. A alternativa C descreve o comportamento do Combined Registration durante o onboarding, que pode solicitar o registro, mas isso não ocorre automaticamente durante uma tentativa de redefinição em produção. As alternativas A e D representam comportamentos que simplesmente não existem na implementação do SSPR: não há fallback para e-mail de perfil e não há geração automática de perguntas de segurança.

Gabarito — Questão 2

Resposta: B

A política exige dois métodos, e o usuário registrou exatamente dois: e-mail alternativo e perguntas de segurança. Ambos estão habilitados na política e foram devidamente registrados, portanto o requisito é satisfeito sem nenhuma exceção. O erro conceitual representado pelos distratores A e C é supor que o SSPR possui lógica contextual baseada em horário ou em privilégios de grupo, o que não existe. O distrator D reforça o equívoco comum de que o e-mail corporativo do perfil do Entra ID é automaticamente aproveitado como método, quando na verdade apenas o e-mail alternativo registrado pelo próprio usuário conta como método de autenticação do SSPR.

Gabarito — Questão 3

Resposta: Falso

O write-back de senha não é um processo sem intermediação. Ele depende do agente do Microsoft Entra Connect instalado no ambiente local, que atua como ponte entre o Entra ID e o Active Directory. A comunicação ocorre por meio de uma fila de mensagens segura via Azure Service Bus, o que significa que há sim um componente de agente separado e um canal de comunicação assíncrono envolvido. Embora o processo seja percebido como "em tempo real" do ponto de vista do usuário (latência de segundos), afirmar que ocorre "sem intermediação de agente" é tecnicamente incorreto. Compreender essa arquitetura é essencial para diagnosticar falhas de write-back em ambientes híbridos.

Gabarito — Questão 4

Resposta: B

Em um ambiente híbrido, o SSPR altera a senha na nuvem (Microsoft Entra ID), mas para que essa mudança se propague ao Active Directory local, o write-back de senha precisa estar explicitamente habilitado nas configurações do Microsoft Entra Connect. Sem ele, a senha local permanece inalterada, exatamente o sintoma descrito. A alternativa A é incorreta porque o SSPR é compatível com contas sincronizadas quando o write-back está ativo. A alternativa C confunde sincronização de hash de senha com write-back: são recursos distintos com direções opostas. A alternativa D pode ser uma causa legítima de falha em cenários reais, mas não explica o comportamento descrito, onde a redefinição foi bem-sucedida no portal e o write-back simplesmente não ocorreu.

Gabarito — Questão 5

Resposta: B

A Microsoft documenta explicitamente que perguntas de segurança não podem ser usadas por contas que possuem funções administrativas no Microsoft Entra ID. Esse método é considerado de menor segurança e é excluído do fluxo de redefinição para administradores, independentemente da configuração de política. Esse é um limite do sistema, não uma configuração opcional. A alternativa A é incorreta porque o número de perguntas não elimina a exigência de múltiplos métodos quando a política assim define. A alternativa C não tem fundamento técnico; a presença do Microsoft Authenticator não bloqueia outros métodos. A alternativa D descreve um processo de aprovação que simplesmente não existe na plataforma.