Preguntas frecuentes sobre el autoservicio de restablecimiento de contraseña

Estas son algunas preguntas frecuentes sobre todos los aspectos relacionados con el autoservicio de restablecimiento de contraseña.

Si tiene alguna pregunta general sobre Azure Active Directory (Azure AD) y el autoservicio de restablecimiento de contraseña (SSPR) y no encuentra ninguna respuesta aquí, puede pedir ayuda a la comunidad en laPágina de preguntas y respuestas de Microsoft sobre Azure Active Directory. La comunidad está formada por ingenieros, jefes de producto, MVP y profesionales de TI.

Estas preguntas más frecuentes se dividen en las siguientes secciones:

  • Preguntas sobre el registro de restablecimiento de contraseña
  • Preguntas sobre el restablecimiento de contraseña
  • Preguntas sobre el cambio de contraseña
  • Preguntas sobre los informes de la administración de contraseñas
  • Preguntas sobre la escritura diferida de contraseñas

Registro de restablecimiento de contraseña

¿Pueden mis usuarios registrar sus propios datos para el restablecimiento de contraseña?

Sí. Siempre que el restablecimiento de contraseña esté habilitado y los usuarios cuenten con licencia, pueden ir al portal de registro de restablecimiento de contraseña (https://aka.ms/ssprsetup) para registrar su información de autenticación. Los usuarios también pueden registrarse a través del Panel de acceso (https://myapps.microsoft.com). Para ello, deben seleccionar su imagen de perfil y, después, Perfil y la opción Registrarme para restablecer la contraseña.

Si habilita el registro combinado, los usuarios pueden registrarse tanto en SSPR como en Multi-Factor Authentication de Azure AD al mismo tiempo.

Si habilito el restablecimiento de contraseña de un grupo y decido habilitarla para todo el mundo, ¿deben volver a registrarse mis usuarios?

No. No es necesario que los usuarios cuyos datos de autenticación estén rellenados vuelvan a registrarse.

¿Puedo definir datos de restablecimiento de contraseña en nombre de mis usuarios?

Sí, puede hacerlo en Azure AD Connect, PowerShell, Azure Portal o el Centro de administración de Microsoft 365. Para obtener más información, consulte los Datos usados en el autoservicio de restablecimiento de contraseña de Azure AD.

¿Puedo sincronizar localmente los datos de las preguntas de seguridad?

No es posible actualmente.

¿Mis usuarios pueden registrar datos de forma que otros usuarios no puedan verlos?

Sí. Cuando los usuarios registran datos a través del portal de registro de restablecimiento de contraseña, se guardan en campos de autenticación privados que solo son visibles para los administradores globales y para el propio usuario.

¿Deben registrarse mis usuarios para poder utilizar el restablecimiento de contraseña?

No. Si define información de autenticación suficiente en nombre de sus usuarios, estos no tendrán que registrarse. El restablecimiento de contraseña funciona siempre que tenga los datos con formato correcto almacenados en los campos adecuados del directorio.

¿Puedo sincronizar o definir los campos Teléfono de autenticación, Correo electrónico de autenticación o Teléfono de autenticación alternativo en nombre de mis usuarios?

Los campos que puede establecer un administrador global se definen en el artículo Requisitos de datos de SSPR.

¿Cómo determina el portal de registro cuáles son las opciones que tiene que mostrar a mis usuarios?

En el portal de registro de restablecimiento de contraseña solo se muestran las opciones habilitadas para los usuarios. Estas opciones se encuentran en la sección Políticas para restablecer la contraseña del usuario de la pestaña Configurar del directorio. Por ejemplo, si no habilita las preguntas de seguridad, los usuarios no podrán registrarse para obtener esa opción.

¿Cuándo se considera que un usuario está registrado?

Se considera que un usuario está registrado en SSPR si ha registrado al menos el número de métodos requeridos para el restablecimiento de una contraseña establecido en Azure Portal.

Restablecimiento de contraseña

¿Se impide que los usuarios realicen varios intentos para restablecer una contraseña en un breve período de tiempo?

Sí, existen características de seguridad integradas en el restablecimiento de contraseña a fin de ofrecer protección frente al uso indebido.

Los usuarios solo pueden intentar cinco restablecimientos de contraseña en un período de 24 horas antes de que se les bloquee durante 24 horas.

Los usuarios pueden intentar validar un número de teléfono, enviar un SMS o validar preguntas y respuestas de seguridad solo cinco veces en un período de una hora antes de que se les bloquee durante 24 horas.

Los usuarios pueden enviar un correo electrónico un máximo de 10 veces en un período de 10 minutos antes de que se les bloquee durante 24 horas.

Los contadores se restablecen una vez que un usuario restablece su contraseña.

¿Cuánto debo esperar hasta que reciba un correo electrónico, un SMS o una llamada de teléfono de restablecimiento de contraseña?

Los mensajes de correo electrónico, los mensajes SMS y las llamadas telefónicas se recibirán en menos de un minuto. Lo más común es que tarden entre 5 y 20 segundos. Si no recibe la notificación en este período de tiempo:

  • Compruebe la carpeta de correo no deseado.
  • Compruebe que el número o el correo electrónico de contacto sean los esperados.
  • Compruebe que los datos de autenticación del directorio tengan el formato correcto, por ejemplo: +1 4255551234 o usuario@contoso.com.

¿Qué idiomas son compatibles con el restablecimiento de contraseña?

La interfaz de usuario del restablecimiento de contraseña, los mensajes SMS y las llamadas de voz están localizados en los mismos idiomas que admite Microsoft 365.

¿En qué partes de la experiencia de restablecimiento de contraseña aparece mi marca si defino los objetos de personalización de marca de mi organización en la pestaña de configuración del directorio?

El portal de restablecimiento de contraseña muestra el logotipo de su organización y también le permite configurar el vínculo "Póngase en contacto con el administrador" para dirigirlo a una URL o un correo electrónico personalizado. Todo correo electrónico enviado por el proceso de restablecimiento de contraseña incluye el logotipo, los colores y el nombre de su organización en el cuerpo del correo electrónico y se personaliza a partir de una configuración específica.

¿Cómo puedo informar a mis usuarios sobre dónde pueden acudir para restablecer sus contraseñas?

Pruebe algunas de las sugerencias de nuestro artículo sobre la implementación del autoservicio de restablecimiento de contraseña (SSPR).

¿Puedo usar esta página desde un dispositivo móvil?

Sí, esta página funciona en dispositivos móviles.

¿Se admite el desbloqueo de cuentas locales de Active Directory cuando los usuarios restablecen sus contraseñas?

Sí. Cuando un usuario restablece la contraseña y se ha implementado la escritura diferida de contraseñas mediante Azure AD Connect, esa cuenta de usuario se desbloquea automáticamente al restablecer la contraseña.

¿Cómo puedo integrar directamente el restablecimiento de contraseña en la experiencia de inicio de sesión de escritorio de mi usuario?

Si es cliente de Azure AD Premium, puede instalar Microsoft Identity Manager sin costo adicional e implementar la solución de restablecimiento de contraseña local.

¿Es posible establecer preguntas de seguridad diferentes para distintas configuraciones regionales?

No es posible actualmente.

¿Cuántas preguntas se pueden configurar en la opción de autenticación de preguntas de seguridad?

Puede configurar hasta 20 preguntas de seguridad personalizadas en Azure Portal.

¿Qué longitud pueden tener las preguntas de seguridad?

Las preguntas de seguridad pueden tener entre 3 y 200 caracteres.

¿Qué longitud pueden tener las respuestas a las preguntas de seguridad?

Las respuestas pueden tener entre 3 y 40 caracteres.

¿Se rechazan las respuestas duplicadas a las preguntas de seguridad?

Sí, rechazaremos las respuestas duplicadas a las preguntas de seguridad.

¿Puede un usuario registrar la misma pregunta de seguridad más de una vez?

No. Después de que un usuario registre una pregunta específica, no podrá volver a registrarla.

¿Es posible establecer un límite mínimo de preguntas de seguridad para el registro y el restablecimiento?

Sí, es posible establecer un límite para el registro y otro para el restablecimiento. Se pueden requerir entre tres y cinco preguntas de seguridad tanto para el registro como para el restablecimiento.

He configurado mi directiva para que requiera que los usuarios utilicen preguntas de seguridad para realizar el restablecimiento, pero parece que los administradores de Azure están configurados de otra forma.**

Este es un comportamiento esperado. Microsoft exige una directiva segura de restablecimiento de contraseña de dos puertas de forma predeterminada para cualquier rol de administrador de Azure. De este modo se evita que los administradores usen preguntas de seguridad. Para obtener más información sobre esta directiva, vea el artículo Restricciones y directivas de contraseñas en Azure Active Directory.

Si un usuario ha registrado más del número máximo de preguntas necesarias para el restablecimiento, ¿cómo se seleccionan las preguntas de seguridad durante el proceso de restablecimiento?

De manera aleatoria se seleccionan N preguntas de seguridad del número total de preguntas para las cuales se ha registrado un usuario, donde N es la cantidad establecida para la opción Número de preguntas necesarias para el restablecimiento. Por ejemplo, si un usuario ha registrado cinco preguntas de seguridad pero solo se requieren tres para restablecer una contraseña, se seleccionarán aleatoriamente tres de las cinco preguntas para presentarlas tras el restablecimiento. Si el usuario se equivoca al responder las preguntas, el proceso de selección volverá a ejecutarse para evitar la repetición (hammering) de las preguntas.

¿Durante cuánto tiempo es válido el código de acceso de un solo uso que se recibe por correo electrónico o mensaje SMS?

La duración de la sesión de restablecimiento de contraseña es de 15 minutos. Desde el inicio de la operación de restablecimiento de contraseña, el usuario tiene 15 minutos para restablecer la contraseña. Los códigos de acceso de un solo uso de SMS y correo electrónico son válidos por 5 minutos durante la sesión de restablecimiento de contraseña.

¿Puedo impedir que los usuarios restablezcan su contraseña?

Sí, si usa un grupo para habilitar SSPR, puede quitar a un usuario individual del grupo que permite a los usuarios restablecer su contraseña. Si el usuario es un administrador global, conservará la capacidad de restablecer la contraseña (esta opción no se puede deshabilitar).

Cambio de contraseña

¿Dónde deberían ir los usuarios para cambiar las contraseñas?

Los usuarios pueden cambiar sus contraseñas en cualquier lugar en que vean su icono o imagen de perfil, como en la esquina superior derecha de las experiencias del portal de Office 365 o el Panel de acceso. Los usuarios pueden cambiar las contraseñas en la página de perfil del Panel de acceso. Los usuarios también deben cambiar automáticamente sus contraseñas en la página de inicio de sesión de Azure AD en caso de que hayan expirado. Por último, los usuarios pueden navegar directamente al portal de cambio de contraseñas de Azure AD si quieren cambiar las contraseñas.

¿Los usuarios pueden recibir una notificación en el portal de Office cuando expira la contraseña local?

Sí, es posible si usa los Servicios de federación de Active Directory (AD FS). Si usa AD FS, siga las instrucciones que se muestran en el artículo en el que se detalla el envío de notificaciones de directivas de contraseña con AD FS. No es posible si usa la sincronización de hash de contraseña. No sincronizamos las directivas de contraseña de directorios locales, por lo que no es posible publicar notificaciones de expiración en las experiencias en la nube. En cualquier caso, también es posible notificar a los usuarios cuyas contraseñas están a punto de expirar a través de PowerShell.

¿Puedo impedir que los usuarios cambien su contraseña?

No se pueden bloquear los cambios de contraseña de usuarios que estén solo en la nube. En el caso de los usuarios locales, puede seleccionar la opción El usuario no puede cambiar la contraseña. Los usuarios seleccionados no podrán cambiar su contraseña.

Informes de administración de contraseñas

¿Cuánto tiempo tardan en aparecer los datos en los informes de administración de contraseñas?

Los datos se mostrarán en los informes de administración de contraseñas en un plazo de entre cinco y diez minutos. En algunas instancias, es posible que tarden hasta una hora.

¿Cómo puedo filtrar los informes de administración de contraseñas?

Para filtrar los informes de administración de contraseñas, seleccione la lupa pequeña que se muestra en el extremo derecho de las etiquetas de columna, cerca de la parte superior del informe. Si quiere realizar un filtrado más completo, puede descargar el informe a Excel y crear una tabla dinámica.

¿Cuál es el número máximo de eventos que se almacenan en los informes de administración de contraseñas?

Hasta 75 000 eventos de restablecimiento de contraseña o de registro de restablecimiento de contraseña se almacenan en los informes de administración de contraseñas, los que abarcan los últimos 30 días. Estamos trabajando para ampliar este número e incluir más eventos.

¿Hasta cuándo se remontan los informes de administración de contraseñas?

Los informes de administración de contraseñas muestran las operaciones generadas durante los últimos 30 días. Por ahora, si desea archivar estos datos, puede descargar periódicamente los informes y guardarlos en una ubicación independiente.

¿Hay un número máximo de filas que pueden aparecer en los informes de administración de contraseñas?

Sí. Pueden mostrarse un máximo de 75 000 filas en cualquiera de los informes de administración de contraseñas, ya sea que se muestren en la interfaz de usuario o se descarguen.

¿Existe una API para acceder a los datos de informes de registro o de restablecimiento de contraseña?

Sí, puede obtener esta información del informe Actividad de los métodos de autenticación o de la API para obtener la actividad de restablecimiento de contraseña. También puede usar la API de registros de auditoría y filtrar por eventos SSPR.

escritura diferida de contraseñas

¿Cómo funciona la escritura diferida de contraseñas en segundo plano?

Vea el artículo Funcionamiento de la escritura diferida de contraseñas para obtener una explicación de lo que ocurre cuando se habilita la escritura diferida de contraseñas, además de cómo fluyen los datos por el sistema para volver al entorno local.

¿Cuánto tarda en funcionar la escritura diferida de contraseñas? ¿Existe un retraso en la sincronización como ocurre con la sincronización de hash de contraseñas?

El servicio de Escritura diferida de contraseñas es inmediato. Se trata de una canalización sincrónica que funciona radicalmente distinto a la sincronización de hash de contraseña. La escritura diferida de contraseñas permite que los usuarios obtengan comentarios en tiempo real sobre el éxito de su operación de cambio o restablecimiento de contraseña. El tiempo promedio para la escritura diferida correcta de una contraseña es de menos de 500 ms.

Si mi cuenta local está deshabilitada, ¿en qué afecta esto a mi acceso y mi cuenta en la nube?

Si el identificador local está deshabilitado, el acceso y el identificador de la nube también se deshabilitarán durante el próximo intervalo de sincronización a través de Azure AD Connect. De forma predeterminada, la sincronización se realiza cada 30 minutos.

Si mi cuenta local está restringida por una directiva de contraseñas de Active Directory local, ¿SSPR se atiene a esta directiva si cambio mi contraseña?

Sí, SSPR se basa en la directiva de contraseñas de Active Directory local y se rige por esta. Esta directiva incluye la directiva de contraseñas de dominio de Active Directory estándar, así como las directivas de contraseñas definidas específicas que se aplican a un usuario.

¿Con qué tipos de cuentas funciona la escritura diferida de contraseñas?

La escritura diferida de contraseñas funciona con cuentas de usuario que están sincronizadas entre Active Directory local y Azure AD, lo que incluye hash de contraseña federado sincronizado y usuarios de autenticación de tránsito.

¿La escritura diferida de contraseñas aplica las directivas de contraseñas de mi dominio?

Sí. La escritura diferida de contraseñas aplica la vigencia, el historial, la complejidad y los filtros de contraseñas, además de cualquier otra restricción que pueda aplicar sobre las contraseñas en su dominio local.

¿Es segura la escritura diferida de contraseñas? ¿Cómo puedo estar seguro de no ser víctima del ataque de un hacker?

Sí, la escritura diferida de contraseñas es segura. Para más información sobre los distintos niveles de seguridad que implementa el servicio de escritura diferida de contraseñas, consulte la sección Seguridad de la escritura diferida de contraseñas del artículo Información general sobre la escritura diferida de contraseñas.