Configuración de identificador de inicio de sesión alternativo

¿Qué es el identificador de inicio de sesión alternativo?

En la mayoría de los escenarios, los usuarios usan sus UPN (nombres principales de usuario) para iniciar sesión en sus cuentas. Sin embargo, en algunos entornos, debido a directivas corporativas o dependencias de aplicaciones de línea de negocio locales, es posible que los usuarios usen algún otro tipo de inicio de sesión.

Nota

El procedimiento recomendado de Microsoft es hacer coincidir el UPN con la dirección SMTP principal. En este artículo va dirigido al pequeño porcentaje de clientes que no pueden conseguir la coincidencia de las UPN.

Por ejemplo, pueden usar su identificador de correo electrónico para el inicio de sesión y pueden ser diferentes de su UPN. Esto es especialmente común en escenarios en los que la UPN no es enrutable. Piense en un caso como un usuario con el nombre Jane Doe, con un UPN jdoe@contoso.local y una dirección de correo electrónico jdoe@contoso.com. Es posible que Jane no tenga constancia del UPN, ya que siempre ha usado su identificador de correo electrónico para iniciar sesión. El uso de cualquier otro método de inicio de sesión en lugar de UPN constituye un identificador alternativo. Para obtener más información sobre cómo se crea el UPN, consulte Rellenado de UserPrincipalName de Microsoft Entra.

Servicios de federación de Active Directory (AD FS) permite que las aplicaciones federadas que usan AD FS inicien sesión con un identificador alternativo. Esto permite a los administradores especificar una alternativa al UPN predeterminado que se usará para el inicio de sesión. AD FS ya admite el uso de cualquier forma de identificador de usuario que acepte Active Directory Domain Services (AD DS). Cuando se configura para un identificador alternativo, AD FS permite a los usuarios iniciar sesión con el valor de identificador alternativo configurado, como el identificador de correo electrónico. El uso del identificador alternativo permite adoptar proveedores de SaaS, como Office 365, sin modificar los UPN locales. También permite admitir aplicaciones de servicio de línea de negocio con identidades aprovisionadas por consumidores.

Identificador alternativo en Microsoft Entra ID

Es posible que una organización tenga que usar un identificador alternativo en los escenarios siguientes:

1. El nombre de dominio local no es enrutable, como contoso.local, y como resultado, el nombre principal de usuario predeterminado no es enrutable (jdoe@contoso.local). No se puede cambiar el UPN existente debido a las dependencias de la aplicación local o a las directivas de la empresa. Microsoft Entra ID y Office 365 requieren que todos los sufijos de dominio asociados con el directorio de Microsoft Entra sean totalmente enrutables en Internet.
2. El UPN local no es el mismo que la dirección de correo electrónico del usuario y para iniciar sesión en Office 365, los usuarios usan la dirección de correo electrónico y el UPN no se pueden usar debido a restricciones organizativas. En los escenarios mencionados anteriormente, el identificador alternativo con AD FS permite a los usuarios iniciar sesión en Microsoft Entra ID sin modificar los UPN locales.

Configuración de un identificador de inicio de sesión alternativo

Con Microsoft Entra Conectar. Se recomienda usar Microsoft Entra Conectar para configurar el identificador de inicio de sesión alternativo para su entorno.

• Para una nueva configuración de Microsoft Entra Connect, consulte Conexión a Microsoft Entra ID para obtener instrucciones detalladas sobre cómo configurar un identificador alternativo y una granja de AD FS.
• Para las instalaciones de Microsoft Entra Connect ya existentes, consulte Cambio del método de inicio de sesión de usuario para obtener instrucciones sobre cómo cambiar el método de inicio de sesión a AD FS.

Cuando se proporcionan a Microsoft Entra Connect detalles sobre el entorno de AD FS, comprueba automáticamente la presencia de la actualización KB correcta en AD FS y configura AD FS para un identificador alternativo, incluidas todas las reglas de notificación adecuadas necesarias para la confianza de federación de Microsoft Entra. No se requiere ningún paso adicional fuera del asistente para configurar el identificador alternativo.

Nota:

Microsoft recomienda usar Microsoft Entra Connect para configurar el identificador de inicio de sesión alternativo.

Configurar manualmente un identificador alternativo

Para configurar el identificador de inicio de sesión alternativo, debe realizar las siguientes tareas:

Configurar las relaciones de confianza del proveedor de notificaciones de AD FS para habilitar el identificador de inicio de sesión alternativo

1. Si tiene Windows Server 2012 R2, asegúrese de que tiene KB2919355 instalado en todos los servidores de AD FS. Puede obtenerlo a través de Windows Update Services o descargarlo directamente.

2. Actualice la configuración de AD FS ejecutando el siguiente cmdlet de PowerShell en cualquiera de los servidores de federación de la granja de servidores (si tiene una granja WID, debe ejecutar este comando en el servidor de AD FS principal de la granja):

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID <attribute> -LookupForests <forest domain>

AlternateLoginID es el nombre LDAP del atributo que quiere usar para el inicio de sesión.

LookupForests es la lista de DNS de bosque a la que pertenecen los usuarios.

Para habilitar la característica de identificador de inicio de sesión alternativo, debe configurar los parámetros -AlternateLoginID y -LookupForests con un valor válido que no sea nulo.

En el ejemplo siguiente, habilitará la funcionalidad de identificador de inicio de sesión alternativo para que los usuarios con cuentas en los bosques contoso.com y fabrikam.com puedan iniciar sesión en aplicaciones habilitadas para AD FS con su atributo "mail".

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests contoso.com,fabrikam.com

3. Para deshabilitar esta característica, establezca ambos parámetros en un valor nulo.

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID $NULL -LookupForests $NULL

Autenticación moderna híbrida con un identificador alternativo

Importante

Lo siguiente solo se ha probado en AD FS y no en proveedores de identidades de terceros.

Exchange y Skype Empresarial

Si usa un identificador de inicio de sesión alternativo con Exchange y Skype Empresarial, la experiencia del usuario varía en función de si usa o no HMA.

Nota

Para obtener la mejor experiencia del usuario final, Microsoft recomienda usar la autenticación moderna híbrida.

Para obtener más información, consulte Introducción a la autenticación moderna híbrida

Requisitos previos para Exchange y Skype Empresarial

Posteriormente se muestran los requisitos previos para lograr el inicio de sesión único con un identificador alternativo.

• Exchange Online debe tener activada la autenticación moderna.
• Skype Empresarial (SFB) Online debe tener activada la autenticación moderna.
• Exchange local debe tener activada la autenticación moderna. Se requiere Exchange 2013 CU19 o Exchange 2016 CU18 y versiones posteriores en todos los servidores de Exchange. Ninguna instancia de Exchange 2010 en el entorno.
• Skype Empresarial local debe tener activada la autenticación moderna.
• Debe usar clientes de Exchange y Skype que tengan habilitada la autenticación moderna. Todos los servidores deben ejecutar SFB Server 2015 CU5.
• Clientes de Skype Empresarial compatibles con la autenticación moderna
  • iOS, Android, Windows Phone
  • SFB 2016 (MA está activado de forma predeterminada, pero asegúrese de que no se ha deshabilitado).
  • SFB 2013 (MA está desactivado de forma predeterminada; por lo tanto, asegúrese de que MA se ha activado).
  • SFB para Mac (escritorio)
• Clientes de Exchange compatibles con la autenticación moderna y que admiten claves del Registro AltID
  • Solo Office Pro Plus 2016

Versión de Office compatible

Configuración del directorio para el inicio de sesión único con un identificador alternativo

El uso del identificador alternativo puede provocar solicitudes adicionales de autenticación si no se completan estas configuraciones adicionales. Consulte el artículo para ver el posible impacto en la experiencia del usuario con el identificador alternativo.

Con la siguiente configuración adicional, la experiencia del usuario se mejora significativamente y pueden lograrse que los usuarios de identificador alternativo en su organización no tengan prácticamente ninguna solicitud de autenticación.

Paso 1: Actualización a la versión de Office necesaria

La versión 1712 de Office (compilación 8827.2148) y versiones posteriores han actualizado la lógica de autenticación para gestionar el escenario del identificador alternativo. Para aprovechar la nueva lógica, las máquinas cliente deben actualizarse a la versión 1712 de Office (compilación 8827.2148) y versiones posteriores.

Paso 2: Actualización a la versión necesaria de Windows

La versión 1709 de Windows y versiones posteriores han actualizado la lógica de autenticación para gestionar el escenario del identificador alternativo. Para aprovechar la nueva lógica, las máquinas cliente deben actualizarse a la versión 1709 de Windows y versiones posteriores.

Paso 3: Configuración del registro para usuarios afectados mediante la directiva de grupo

Las aplicaciones de Office se basan en la información insertada por el administrador de directorios para identificar el entorno de identificador alternativo. Las siguientes claves del Registro deben configurarse para ayudar a las aplicaciones de Office a autenticar al usuario con un identificador alternativo sin mostrar ninguna solicitud adicional.

Clave del Registro que se va a agregar	Tipo, valor y nombre de los datos de la clave del Registro	Windows 7/8	Windows 10	Descripción
HKEY_CURRENT_USER\Software\Microsoft\AuthN	DomainHint REG_SZ contoso.com	Obligatorio	Obligatorio	El valor de esta clave del Registro es un nombre de dominio personalizado verificado en el inquilino de la organización. Por ejemplo, la empresa Contoso puede proporcionar un valor de Contoso.com en esta clave del Registro si Contoso.com es uno de los nombres de dominio personalizados verificados en el inquilino Contoso.onmicrosoft.com.
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity	EnableAlternateIdSupport REG_DWORD 1	Obligatorio para Outlook 2016 ProPlus	Obligatorio para Outlook 2016 ProPlus	El valor de esta clave del Registro puede ser 1/0 para indicar a la aplicación Outlook si debe interactuar con la lógica de autenticación de identificador alternativo mejorada.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contoso.com\sts	* REG_DWORD 1	Obligatorio	Obligatorio	Esta clave del Registro se puede usar para establecer el STS como una zona de confianza en la configuración de Internet. La implementación estándar de AD FS recomienda agregar el espacio de nombres de AD FS a la zona de intranet local para Internet Explorer.

Nuevo flujo de autenticación después de una configuración adicional

1. a: el usuario se aprovisiona en Microsoft Entra ID mediante el identificador alternativo
   b: el administrador de directorios inserta la configuración de clave del Registro necesaria en las máquinas cliente afectadas
2. El usuario se autentica en el equipo local y abre una aplicación de Office
3. La aplicación de Office adopta las credenciales de sesión local
4. La aplicación de Office se autentica en Microsoft Entra ID mediante la sugerencia de dominio insertada por el administrador y las credenciales locales
5. Microsoft Entra ID autentica correctamente al usuario mediante la indicación para corregir el dominio de federación y emite un token

Aplicaciones y experiencia del usuario después de la configuración adicional

Clientes que no son de Exchange y Skype Empresarial

Remoto	Declaración de compatibilidad	Comentarios
Microsoft Teams	Compatible	Microsoft Teams admite AD FS (SAML-P, WS-Fed, WS-Trust y OAuth) y autenticación moderna. Las funcionalidades principales de Microsoft Teams, como canales, chats y archivos, no funcionan con el identificador de inicio de sesión alternativo. El cliente debe investigar por separado otras posibles aplicaciones propias y de terceros. Esto se debe a que cada aplicación tiene sus propios protocolos de autenticación de compatibilidad.
OneDrive para la Empresa	Compatible: clave del Registro del lado cliente recomendada	Con el identificador alternativo configurado, verá que el UPN local se rellena previamente en el campo de verificación. Debe cambiarse a la identidad alternativa que se está usando. Se recomienda usar la clave del Registro del lado cliente indicada en este artículo: Office 2013 y Lync 2013 solicitan periódicamente credenciales para SharePoint Online, OneDrive y Lync Online.
Cliente móvil de OneDrive para la Empresa	Compatible
Página de activación de Office 365 Pro Plus	Compatible: clave del Registro del lado cliente recomendada	Con el identificador alternativo configurado, verá que el UPN local se rellena previamente en el campo de verificación. Debe cambiarse a la identidad alternativa que se está usando. Se recomienda usar la clave del Registro del lado cliente indicada en este artículo: Office 2013 y Lync 2013 solicitan periódicamente credenciales para SharePoint Online, OneDrive y Lync Online.

Clientes de Exchange y Skype Empresarial

Remoto	Instrucción de compatibilidad: con HMA	Instrucción de compatibilidad: sin HMA
Outlook	Compatible, sin solicitudes adicionales	Compatible Con la autenticación moderna para Exchange Online: compatible Con la autenticación normal para Exchange Online: compatible con las advertencias siguientes: Debe estar en una máquina unida a un dominio y estar conectada a la red corporativa. Solo puede usar un identificador alternativo en entornos que no permitan el acceso externo para los usuarios del buzón. Esto significa que los usuarios solo pueden autenticarse en su buzón de correo de forma compatible cuando están conectados y unidos a la red corporativa, en una VPN o conectados a través de máquinas de Direct Access, pero recibirán un par de avisos adicionales al configurar el perfil de Outlook.
Carpetas públicas híbridas	Compatible, sin solicitudes adicionales.	Con la autenticación moderna para Exchange Online: compatible Con la autenticación normal para Exchange Online: no compatible Las carpetas públicas híbridas no pueden expandirse si se usan identificadores alternativos y, por lo tanto, actualmente no deben usarse con métodos de autenticación normales.
Delegación entre instalaciones locales	Consulte Configuración de Exchange para admitir permisos de buzón delegados en una implementación híbrida	Consulte Configuración de Exchange para admitir permisos de buzón delegados en una implementación híbrida
Acceso al buzón de archivo (buzón local: archivo en la nube)	Compatible, sin solicitudes adicionales	Compatible: los usuarios reciben una solicitud adicional de credenciales al acceder al archivo, tienen que proporcionar su identificador alternativo cuando se le solicite.
Outlook Web Access	Compatible	Compatible
Aplicaciones Outlook Mobile para Android, IOS y Windows Phone	Compatible	Compatible
Skype Empresarial/Lync	Compatible, sin solicitudes adicionales	Compatibles (excepto como se indica), pero hay una posibilidad de confusión del usuario. En los clientes móviles, el identificador alternativo solo se admite si la dirección SIP, la dirección de correo electrónico y el identificador alternativo coinciden. Es posible que los usuarios deban iniciar sesión dos veces en el cliente de escritorio de Skype Empresarial, primero con el UPN local y posteriormente con el identificador alternativo. (Tenga en cuenta que la "dirección de inicio de sesión" en realidad es la dirección SIP, que puede no ser la misma que el "Nombre de usuario", aunque a menudo lo es). Cuando se le solicite por primera vez un nombre de usuario, el usuario debe escribir el UPN, incluso si se rellena previamente incorrectamente con el identificador alternativo o la dirección SIP. Una vez que el usuario hace clic en el inicio de sesión con el UPN, vuelve a aparecer la solicitud de nombre de usuario, esta vez rellenado previamente con el UPN. Esta vez, el usuario debe reemplazarlo por el identificador alternativo y hacer clic en Iniciar sesión para completar el proceso de inicio de sesión. En los clientes móviles, los usuarios deben escribir el identificador de usuario local en la página avanzada, con el formato de estilo SAM (dominio\nombre de usuario), no el formato UPN. Después de iniciar sesión correctamente, si Skype Empresarial o Lync muestra un mensaje de tipo "Exchange necesita sus credenciales", debe proporcionar las credenciales válidas para la ubicación del buzón. Si el buzón está en la nube, debe proporcionar el identificador alternativo. Si el buzón es local, debe proporcionar el UPN local.

Detalles y consideraciones adicionales

• Microsoft Entra ID ofrece diferentes características relacionadas con el "identificador de inicio de sesión alternativo"

  • La característica de configuración del identificador de inicio de sesión alternativo de AD FS para entornos de infraestructura de identidad federada¹ que se describe en este artículo.
  • La configuración de la sincronización de Microsoft Entra Connect que define qué atributo local se usa como nombre de usuario de Azure AD (userPrincipalName) para entornos de infraestructura de identidad federada¹ o administrada², que se trata parcialmente en este artículo.
  • La función de Iniciar sesión en Microsoft Entra ID con el correo electrónico como identificador de inicio de sesión alternativo para entornos de infraestructura de identidad administrada².

• La función de inicio de sesión alternativo que se describe en este artículo está disponible para entornos de infraestructura de identidad federada¹. No se permite en los siguientes escenarios:

  • Un atributo AlternateLoginID con dominios no enrutables (por ejemplo, Contoso.local) que Microsoft Entra ID no puede comprobar.
  • Entornos administrados que no tienen AD FS implementado. Consulte la documentación de la sincronización de Microsoft Entra Connect o la documentación de Iniciar sesión en Microsoft Entra ID con el correo electrónico como identificador de inicio de sesión alternativo. Si decide ajustar la configuración de la sincronización de Microsoft Entra Connect en un entorno de infraestructura de identidad administrada², es posible que las aplicaciones y la experiencia del usuario después de la sección de configuración adicional de este artículo sigan siendo aplicables, y quizás la configuración específica de AD FS ya no se aplique, puesto que no se implementa AD FS en un entorno de infraestructura de identidad administrada².

• Cuando está habilitada, la función de identificador de inicio de sesión alternativo solo está disponible para la autenticación de nombre de usuario y contraseña en todos los protocolos de autenticación de nombre de usuario y contraseña admitidos por AD FS (SAML-P, WS-Fed, WS-Trust y OAuth).

• Cuando se realiza la autenticación integrada de Windows (WIA) (por ejemplo, cuando los usuarios intentan acceder a una aplicación corporativa en una máquina unida a un dominio desde la intranet y el administrador de AD FS ha configurado la directiva de autenticación para usar WIA para intranet), se usa UPN para la autenticación. Si ha configurado reglas de notificación para los usuarios de confianza para la característica de identificador de inicio de sesión alternativo, debe asegurarse de que esas reglas siguen siendo válidas en el caso de WIA.

• Cuando está habilitada, la función de identificador de inicio de sesión alternativo requiere que se pueda acceder al menos un servidor de catálogo global desde el servidor de AD FS para cada bosque de cuentas de usuario que admite AD FS. Si no se tiene acceso a un servidor de catálogo global en el bosque de cuentas de usuario, AD FS vuelve a usar UPN. De forma predeterminada, todos los controladores de dominio son servidores de catálogo globales.

• Cuando está habilitado, si el servidor de AD FS encuentra más de un objeto de usuario con el mismo valor de identificador de inicio de sesión alternativo especificado en todos los bosques de cuentas de usuario configurados, se produce un error en el inicio de sesión.

• Cuando la característica de identificador de inicio de sesión alternativo está habilitada, AD FS intenta autenticar primero al usuario final con un identificador de inicio de sesión alternativo y, posteriormente, revertir para usar UPN si no encuentra una cuenta que se pueda identificar mediante el identificador de inicio de sesión alternativo. Si quiere seguir admitiendo el inicio de sesión de UPN, debe asegurarse de que no haya conflictos entre el identificador de inicio de sesión alternativo y el UPN. Por ejemplo, establecer el atributo de correo de un usuario con el UPN de otro impide que el otro usuario inicie sesión con su UPN.

• Si uno de los bosques configurados por el administrador está inactivo, AD FS continúa buscando una cuenta de usuario con un identificador de inicio de sesión alternativo en otros bosques configurados. Si el servidor de AD FS encuentra objetos de usuario únicos en los bosques en los que ha buscado, un usuario inicia sesión correctamente.

• Además, puede personalizar la página de inicio de sesión de AD FS para dar a los usuarios finales alguna sugerencia sobre el identificador de inicio de sesión alternativo. Para ello, agregue la descripción de la página de inicio de sesión personalizada (para obtener más información, consulte Personalizar las páginas de inicio de sesión de AD FS o la personalización de la cadena "Iniciar sesión con cuenta de la organización" sobre el campo de nombre de usuario (para obtener más información, consulte Personalización avanzada de las páginas de inicio de sesión de AD FS.

• El nuevo tipo de notificación que contiene el valor de identificador de inicio de sesión alternativo es http:schemas.microsoft.com/ws/2013/11/alternateloginid

¹ Un entorno de infraestructura de identidad federada representa un entorno con un proveedor de identidades como AD FS u otro IDP de terceros.

² Un entorno de infraestructura de identidad administrada representa un entorno con Microsoft Entra ID como proveedor de identidad implementado con sincronización de hash de contraseña (PHS) o autenticación transferida (PTA).

Eventos y contadores de rendimiento

Se han agregado los siguientes contadores de rendimiento para medir el rendimiento de los servidores de AD FS cuando se habilita el identificador de inicio de sesión alternativo:

• Autenticaciones de Id. de inicio de sesión: número de autenticaciones realizadas mediante el identificador de inicio de sesión alternativo

• Autenticaciones de Id. de inicio de sesión/segundo: número de autenticaciones realizadas mediante el identificador de inicio de sesión alternativo por segundo

• Promedio de latencia de búsqueda para el Id. de inicio de sesión alternativo: promedio de latencia de búsqueda en los bosques que un administrador ha configurado para el identificador de inicio de sesión alternativo

A continuación se muestran varios casos de error y el impacto correspondiente en la experiencia de inicio de sesión de un usuario con eventos registrados por AD FS:

Casos de error	Impacto en la experiencia de inicio de sesión	Evento
No se puede obtener un valor para SAMAccountName para el objeto de usuario	Error de inicio de sesión	Identificador de evento 364 con el mensaje de excepción MSIS8012: No se encuentra samAccountName para el usuario: "{0}".
El atributo CanonicalName no es accesible	Error de inicio de sesión	Identificador de evento 364 con el mensaje de excepción MSIS8013: CanonicalName: "{0}" del usuario: "{1}" tiene un formato incorrecto.
Se encuentran varios objetos de usuario en un bosque	Error de inicio de sesión	Identificador de evento 364 con el mensaje de excepción MSIS8015: Se encontraron varias cuentas de usuario con la identidad "{0}" en el bosque "{1}" con identidades: {2}
Se encuentran varios objetos de usuario en varios bosques	Error de inicio de sesión	Identificador de evento 364 con el mensaje de excepción MSIS8014: Se encontraron varias cuentas de usuario con la identidad "{0}" en los bosques: {1}

Consulte también

Operaciones de AD FS