Funcionamiento: Autoservicio de restablecimiento de contraseña de Microsoft Entra
El autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra ofrece a los usuarios en la posibilidad de cambiar o restablecer su contraseña, sin necesidad de que intervengan el administrador ni el departamento de soporte técnico. Si la cuenta de un usuario está bloqueada o se ha olvidado su contraseña, puede seguir las indicaciones para desbloquearse y volver al trabajo. Esta capacidad reduce las llamadas al departamento de soporte técnico y la pérdida de productividad cuando un usuario no puede iniciar sesión en su dispositivo o en una aplicación. Se recomienda este vídeo sobre Cómo habilitar y configurar el SSPR en Microsoft Entra ID.
Importante
Este artículo teórico explica al administrador cómo funciona el autoservicio de restablecimiento de contraseña. Los usuarios finales registrados para el restablecimiento de contraseña de autoservicio que necesiten volver a su cuenta deben ir a https://aka.ms/sspr.
Si el equipo de TI no ha habilitado la capacidad para restablecer su propia contraseña, póngase en contacto con el departamento de soporte técnico para obtener ayuda adicional.
¿Cómo funciona el proceso de restablecimiento de contraseña?
Un usuario puede restablecer o cambiar su contraseña desde el portal de SSPR. Primero es necesario que haya registrado los métodos de autenticación que desee utilizar. Cuando un usuario accede al portal de SSPR, la plataforma Microsoft Entra ID tiene en cuenta las siguientes cuestiones:
- ¿Cómo se debe localizar la página?
- ¿Es válida la cuenta de usuario?
- ¿A qué organización pertenece el usuario?
- ¿Dónde se administra la contraseña del usuario?
Cuando un usuario selecciona el vínculo No se puede tener acceso a la cuenta desde una aplicación o página, o bien accede directamente a https://aka.ms/sspr, el idioma utilizado en el portal de SSPR se basa en las siguientes opciones:
- De forma predeterminada, se utiliza la configuración regional del explorador para mostrar el portal de SSPR en el idioma correspondiente. La experiencia de restablecimiento de contraseña está traducida a los mismos idiomas que admite Microsoft 365.
- Si desea crear un vínculo al portal de SSPR en un idioma traducido específico, anexe
?mkt=al final de la dirección URL de restablecimiento de contraseña, junto con la configuración regional necesaria.- Por ejemplo, para especificar la configuración regional de español es-us, utilice
?mkt=es-us- https://passwordreset.microsoftonline.com/?mkt=es-us.
- Por ejemplo, para especificar la configuración regional de español es-us, utilice
Una vez que el portal de SSPR se muestra en el idioma necesario, se solicita al usuario que especifique un Id. de usuario y verifique un captcha. Microsoft Entra ID verifica que el usuario pueda utilizar el SSPR. Para ello, lleva a cabo las siguientes comprobaciones:
- Comprueba si el usuario tiene habilitado SSPR.
- Si el usuario no tiene habilitado SSPR, se le solicitará que se ponga en contacto con el administrador para restablecer la contraseña.
- Comprueba que el usuario tiene los métodos de comprobación correctos definidos en la cuenta según la directiva del administrador.
- Si la directiva requiere un único método de autenticación, comprueba que el usuario tenga definidos los datos adecuados para al menos uno de los métodos de autenticación habilitados por la directiva del administrador.
- Si los métodos de autenticación no están configurados, es aconsejable que el usuario se ponga en contacto con el administrador para restablecer la contraseña.
- Si la directiva requiere dos métodos, comprueba que el usuario tiene definidos los datos adecuados para al menos dos de los métodos de autenticación habilitados por la directiva del administrador.
- Si los métodos de autenticación no están configurados, es aconsejable que el usuario se ponga en contacto con el administrador para restablecer la contraseña.
- Si se asigna un rol de administrador de Azure al usuario, se aplica la directiva de contraseñas seguras de dos puertas. Para más información, consulte Diferencias entre directivas de restablecimiento de administrador.
- Si la directiva requiere un único método de autenticación, comprueba que el usuario tenga definidos los datos adecuados para al menos uno de los métodos de autenticación habilitados por la directiva del administrador.
- Comprueba si la contraseña del usuario se administra localmente, por ejemplo, como cuando un inquilino de Microsoft Entra ID utiliza la autenticación federada de paso a través, o bien la sincronización de hash de contraseña:
- Si la escritura diferida de SSPR se ha configurado y la contraseña del usuario se administra localmente, el usuario puede continuar con la autenticación y restablecer la contraseña.
- Si la escritura diferida de SSPR no se ha implementado y la contraseña del usuario se administra localmente, se solicitará al usuario que se ponga en contacto con el administrador para restablecer la contraseña.
Si todas las comprobaciones anteriores se han completado correctamente, se guiará al usuario a través del proceso de restablecimiento o cambio de contraseña.
Nota:
SSPR puede enviar notificaciones por correo electrónico a los usuarios como parte del proceso de restablecimiento de contraseña. Estos mensajes de correo electrónico se envían mediante el servicio de retransmisión SMTP, que funciona en modo activo/activo en varias regiones.
Los servicios de retransmisión SMTP reciben y procesan el cuerpo del correo electrónico, pero no lo almacenan. El cuerpo del correo electrónico de SSPR que podría contener información proporcionada por el cliente no se almacena en los registros del servicio de retransmisión SMTP. Los registros solo contienen metadatos de protocolo.
Para empezar a trabajar con SSPR, complete el siguiente tutorial:
Exigir a los usuarios que se registren al iniciar sesión
Esta opción se puede habilitar para exigir que un usuario complete el registro del SSPR si utiliza autenticación moderna o un explorador web para iniciar sesión en cualquier aplicación mediante Microsoft Entra ID. Este flujo de trabajo incluye las siguientes aplicaciones:
- Microsoft 365
- Centro de administración de Microsoft Entra
- Panel de acceso
- Aplicaciones federadas
- Aplicaciones personalizadas que usan el identificador de Microsoft Entra
Cuando el registro no sea un requisito, no se instará a los usuarios a completar el registro durante el inicio de sesión, pero podrán registrarse manualmente. Los usuarios pueden visitar https://aka.ms/ssprsetup o bien seleccionar el vínculo Registrarme para restablecer la contraseña en la pestaña Perfil del Panel de acceso.
![Opciones de registro para SSPR en el centro de administración de Microsoft Entra][Registro]
Nota:
Para descartar el portal de registro SSPR, los usuarios tienen que seleccionar Cancelar o cerrar la ventana. Sin embargo, se les solicitará que se registren cada vez que inician sesión hasta que completen el registro.
Esta interrupción para solicitar el registro no afecta a la conexión del usuario si ya ha iniciado sesión.
Volver a confirmar la información de autenticación
Para asegurarse de que los métodos de autenticación sean correctos cuando es necesario restablecer o cambiar la contraseña de los usuarios, puede exigir que estos confirmen la información que hayan registrado transcurrido un periodo de tiempo determinado. Esta opción solo está disponible si habilita la opción Exigir a los usuarios que se registren al iniciar sesión.
Los valores válidos para solicitar a un usuario que confirme los métodos que ha registrado abarcan de 0 a 730 días. Si el valor se establece en 0, nunca se solicitará a los usuarios que confirmen la información de autenticación. Al usar la experiencia de registro combinada, los usuarios deberán confirmar su identidad antes de volver a confirmar su información.
Métodos de autenticación
Cuando un usuario está habilitado para SSPR, tiene que registrar al menos un método de autenticación. Es muy recomendable elegir dos o más métodos de autenticación. De este modo, los usuarios tendrán más flexibilidad en el caso de que no puedan acceder a uno de los métodos cuando lo necesiten. Para más información, consulte ¿Qué son los métodos de autenticación?.
Están disponibles los siguientes métodos de autenticación:
- Notificación en aplicación móvil
- Código de aplicación móvil
- Teléfono móvil
- Teléfono de la oficina (disponible solo para inquilinos con suscripciones de pago)
- Preguntas de seguridad
Los usuarios solo pueden restablecer su contraseña si tienen registrado un método de autenticación que el administrador haya habilitado.
Advertencia
Las cuentas que tienen asignados roles de administrador de Azure deben utilizar los métodos definidos en la sección Diferencias entre directivas de restablecimiento de administrador.
![Selección de métodos de autenticación en el centro de administración de Microsoft Entra][Autenticación]
Número de métodos de autenticación requeridos
El número de métodos de autenticación disponibles que un usuario debe proporcionar para restablecer o desbloquear su contraseña se puede configurar. El valor se puede establecer en uno o dos.
Los usuarios pueden y deben registrar varios métodos de autenticación. Nuevamente, es muy recomendable que los usuarios registren dos o más métodos de autenticación para tener más flexibilidad en el caso de que no puedan acceder a uno de los métodos cuando lo necesiten.
Si un usuario no ha registrado el número mínimo de métodos necesarios, cuando intente utilizar SSPR, verá una página de error que le redirigirá para solicitar que un administrador restablezca su contraseña. Tenga cuidado si cambia de uno a dos el número de métodos necesarios cuando haya usuarios registrados para SSPR, puesto que podrían tener dificultades para utilizar la característica. Para más información, consulte la sección siguiente para cambiar los métodos de autenticación.
Aplicación móvil y SSPR
Cuando se usa una aplicación móvil como método para el restablecimiento de contraseña, como la aplicación Microsoft Authenticator, se aplican las siguientes consideraciones si una organización no se ha migrado a la directiva de métodos de autenticación centralizada:
- Cuando los administradores requieren que se utilice un método para restablecer una contraseña, el código de verificación es la única opción disponible.
- Cuando los administradores requieren que se utilicen dos métodos para restablecer una contraseña, los usuarios podrán utilizar una notificación, o bien un código de verificación, además de cualquier otro método habilitado.
| Número de métodos requeridos para el restablecimiento | Uno | Dos |
|---|---|---|
| Características de las aplicaciones móviles disponibles | Código | Código o notificación |
Pueden registrar su aplicación móvil en https://aka.ms/mfasetup o en la página de registro de información de seguridad combinada en https://aka.ms/setupsecurityinfo.
Importante
La aplicación Authenticator no se puede seleccionar como único método de autenticación cuando se requiere solo un método. Tampoco es posible seleccionar la aplicación autenticadora y un único método adicional cuando se requieren dos métodos.
Al configurar directivas de SSPR que incluyan la aplicación autenticadora como método, es necesario seleccionar al menos un método adicional cuando se requiere un método, y al menos dos métodos adicionales cuando se requieren dos métodos.
Cambio de métodos de autenticación
¿Qué sucede si empieza con una directiva que solo tiene registrado un método de autenticación requerido para el restablecimiento o el desbloqueo y cambia a dos métodos?
| Número de métodos registrados | Número de métodos requeridos | Resultado |
|---|---|---|
| 1 o más | 1 | Permite restablecer o desbloquear |
| 1 | 2 | No permite restablecer o desbloquear |
| 2 o más | 2 | Permite restablecer o desbloquear |
Cambiar los métodos de autenticación disponibles también puede plantear problemas a los usuarios. Si cambia los tipos de métodos de autenticación que puede usar un usuario, es posible que impida sin darse cuenta que los usuarios puedan usar SSPR si no tienen la cantidad mínima de datos disponibles.
Considere el escenario de ejemplo siguiente:
- La directiva original se configura con dos métodos de autenticación necesarios. Solo usa el número de teléfono de la oficina y las preguntas de seguridad.
- El administrador cambia la directiva para dejar de usar las preguntas de seguridad, pero permite el uso de un teléfono móvil y de un correo electrónico alternativo.
- Los usuarios que tengan vacíos los campos de teléfono móvil o correo electrónico alternativo en este momento no podrán restablecer sus contraseñas.
Notificaciones
Para mejorar el reconocimiento de los eventos de contraseña, SSPR permite configurar notificaciones para los usuarios y los administradores de identidades.
¿Quiere notificar a los usuarios los restablecimientos de contraseña?
Si esta opción se ha establecida en Sí, los usuarios que restablezcan la contraseña recibirán un correo electrónico para informarles de que la contraseña se ha cambiado. El correo electrónico se envía a través del portal del SSPR a las direcciones de correo electrónico principal y alternativa que se hayan almacenado en Microsoft Entra ID. Si no se define una dirección de correo electrónico principal o alternativa, el SSPR intentará enviar una notificación por correo electrónico a través del nombre principal de usuario (UPN). A ningún otro usuario se le informa del evento de restablecimiento.
Notificación a todos los administradores cuando otros administradores restablecen sus contraseñas
Si esta opción está establecida en Sí, los administradores globales reciben un correo electrónico a su dirección de correo electrónico principal almacenada en Microsoft Entra ID. En el correo electrónico se les notifica que otro administrador ha cambiado su contraseña mediante SSPR.
Nota:
Las notificaciones de correo electrónico del servicio SSPR se enviarán desde las siguientes direcciones en función de la nube de Azure con la que trabaje:
- Pública: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
- Azure China 21Vianet: msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
- Azure para la Administración Pública de Estados Unidos: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us
Si tiene problemas para recibir notificaciones, compruebe la configuración del correo no deseado.
Si quiere que los administradores personalizados reciban los correos electrónicos de notificación, use personalizaciones de SSPR y configure un vínculo o correo electrónico personalizado del departamento de soporte técnico.
Integración local
Si utiliza un entorno híbrido, puede configurar Microsoft Entra Connect para volver a escribir eventos de cambio de contraseña desde Microsoft Entra ID a un directorio local.
! [La validación de la escritura diferida de contraseñas está habilitada para Microsoft Entra ID en una integración local] [Escritura diferida]
Microsoft Entra ID comprueba la conectividad híbrida actual y muestra uno de los siguientes mensajes en el centro de administración de Microsoft Entra:
- El cliente de escritura diferida local está en funcionamiento.
- Microsoft Entra ID está en línea y conectado al cliente de escritura diferida local. Sin embargo, parece que la versión instalada de Microsoft Entra Connect no está actualizada. Considere la posibilidad de actualizar Microsoft Entra Connect para asegurarse de que tiene las características de conectividad más recientes y las correcciones de errores importantes.
- Lamentablemente, no podemos comprobar el estado del cliente de escritura diferida local porque la versión instalada de Microsoft Entra Connect está obsoleta. Actualice Microsoft Entra Connect para poder comprobar su estado de conexión.
- Desafortunadamente, parece que no podemos conectarnos a su cliente de escritura diferida local ahora mismo. Solución de problemas de Microsoft Entra Connect para restaurar la conexión.
- Desafortunadamente, no podemos conectarnos a su cliente de escritura diferida local porque la escritura diferida de contraseñas no se ha configurado correctamente. Configure la escritura diferida de contraseñas para restaurar la conexión.
- Desafortunadamente, parece que no podemos conectarnos a su cliente de escritura diferida local ahora mismo. Esto puede deberse a problemas temporales por nuestra parte. Si el problema persiste, solucione los problemas de Microsoft Entra Connect para restaurar la conexión.
Para empezar a trabajar con la escritura diferida de SSPR, realice el siguiente tutorial:
Escritura diferida de contraseñas en un directorio local
Puede habilitar la escritura diferida de contraseñas mediante el centro de administración de Microsoft Entra. También puede deshabilitar temporalmente la escritura diferida de contraseñas sin necesidad de volver a configurar Microsoft Entra Connect.
- Si la opción se ha establecido en Sí, la escritura diferida estará habilitada. Los usuarios que utilicen la autenticación federada de paso a través o la sincronización de hash de contraseña podrán restablecer sus contraseñas.
- Si la opción se ha establecido en No, la escritura diferida estará deshabilitada. Los usuarios que utilicen la autenticación federada de paso a través o la sincronización de hash de contraseña no podrán restablecer sus contraseñas.
Permitir a los usuarios desbloquear las cuentas sin restablecer la contraseña
De forma predeterminada, Microsoft Entra ID desbloquea las cuentas cuando se realiza un restablecimiento de contraseña. Para proporcionar flexibilidad, puede permitir que los usuarios desbloqueen sus cuentas locales sin tener que restablecer la contraseña. Utilice esta opción para separar esas dos operaciones.
- Si se establece en Sí, los usuarios tienen la opción de restablecer su contraseña y desbloquear la cuenta, o bien de desbloquear la cuenta sin tener que restablecer la contraseña.
- Si se establece en No, los usuarios solo pueden realizar una operación combinada de restablecimiento de contraseña y desbloqueo de cuenta.
Filtros de la contraseña de Active Directory local
SSPR efectúa una operación equivalente a un restablecimiento de contraseña iniciado por el administrador en Active Directory. Si utiliza un filtro de contraseñas de terceros para aplicar reglas de contraseñas personalizadas y requiere que este filtro de contraseñas se compruebe durante el autoservicio de restablecimiento de contraseña de Microsoft Entra, asegúrese de que el filtro de contraseña de terceros se haya configurado para utilizarse en el escenario de restablecimiento de contraseña del administrador. De forma predeterminada, se proporciona compatibilidad con la protección con contraseña de Microsoft Entra para Windows Server Active Directory.
Restablecimiento de contraseña para usuarios B2B
El restablecimiento y el cambio de contraseña son totalmente compatibles con todas las configuraciones negocio a negocio (B2B). Se admiten los tres casos siguientes para el restablecimiento de contraseña de usuario B2B:
- Usuarios de una organización asociada con un inquilino de Microsoft Entra existente: Si la organización con la que colabora tiene un inquilino de Microsoft Entra, se respetarán todas las directivas de restablecimiento de contraseña que estén habilitadas en dicho inquilino. Para que el restablecimiento de contraseña funcione, la organización asociada solo tiene que asegurarse de que el SSPR de Microsoft Entra está habilitado. No tiene costo adicional para los clientes de Microsoft 365.
- Usuarios que se registran mediante el registro de autoservicio: si la organización con la que colabora utilizó la característica de registro de autoservicio para acceder a un inquilino, se permitirá que restablezca la contraseña con el correo electrónico que hubiera registrado.
- Usuarios B2B: cualquier nuevo usuario B2B creado con la nueva funcionalidad B2B de Microsoft Entra podrá restablecer su contraseña con el correo electrónico que haya registrado durante el proceso de invitación.
Para probar este escenario, vaya a https://passwordreset.microsoftonline.com con uno de estos usuarios asociados. Si tienen un correo electrónico alternativo o de autenticación definido, el restablecimiento de contraseña funcionará según lo esperado.
Nota:
Las cuentas de Microsoft que tengan acceso de invitado para su inquilino de Microsoft Entra, como las de Hotmail.com, Outlook.com u otras direcciones de correo electrónico personales, no pueden utilizar el SSPR de Microsoft Entra. Para restablecer su contraseña, se debe usar la información que se encuentra en el artículo Cuando no puedes iniciar sesión en tu cuenta Microsoft.
Pasos siguientes
Para empezar a trabajar con SSPR, complete el siguiente tutorial: