Plan de implementación de autoservicio de restablecimiento de contraseña de Azure Active Directory

Importante

Este plan de implementación ofrece instrucciones y procedimientos recomendados para implementar el autoservicio de restablecimiento de contraseña (SSPR) de Azure AD.

Si es un usuario final y necesita volver a su cuenta, vaya a https://aka.ms/sspr .

El autoservicio de restablecimiento de contraseña (SSPR) es una característica de Azure Active Directory (AD) que permite a los usuarios restablecer sus contraseñas sin ponerse en contacto con el personal de TI. Los usuarios se pueden desbloquear rápidamente ellos mismos y continuar trabajando con independencia de dónde se encuentren o la hora del día. Al permitir que los empleados se desbloqueen ellos mismos, su organización puede reducir el tiempo no productivo y los altos costes de soporte técnico para los problemas más comunes relacionados con las contraseñas.

SSPR ofrece las siguientes funcionalidades clave:

  • El autoservicio permite a los usuarios finales restablecer sus contraseñas expiradas o no expiradas sin necesidad de ponerse en contacto con un administrador o el departamento de soporte técnico.
  • La escritura diferida de contraseñas permite la administración de contraseñas locales y la resolución de bloqueos de cuenta a través de la nube.
  • Los informes de actividad de administración de contraseñas proporcionan a los administradores información sobre una actividad de registro y restablecimiento de contraseña en su organización.

En esta guía de implementación se muestra cómo planear y probar una implementación de SSPR.

Para ver rápidamente SSPR en acción y, a continuación, volver para conocer las consideraciones de implementación adicionales:

Más información acerca de SSPR

Más información acerca de SSPR. Consulte Funcionamiento: Autoservicio de restablecimiento de contraseña de Azure AD.

Ventajas principales

Las ventajas clave de habilitar SSPR son:

  • Administración del coste. SSPR reduce los costes de soporte técnico de TI al permitir que los usuarios restablezcan las contraseñas por sí mismos. También reduce el coste de tiempo perdido debido a la pérdida de contraseñas y bloqueos.

  • Experiencia de usuario intuitiva. Proporciona un proceso intuitivo único de registro de usuarios que permite a los usuarios restablecer contraseñas y desbloquear cuentas a petición desde cualquier dispositivo o ubicación. SSPR permite a los usuarios volver a trabajar más rápidamente y ser más productivos.

  • Flexibilidad y seguridad. SSPR permite a las empresas acceder a la seguridad y la flexibilidad que proporciona una plataforma en la nube. Los administradores pueden cambiar la configuración para adaptarse a los nuevos requisitos de seguridad y aplicar los cambios a los usuarios sin interrumpir su inicio de sesión.

  • Auditoría y seguimiento del uso sólidos. Una organización puede asegurarse de que los sistemas empresariales permanecen seguros mientras sus usuarios restablecen sus propias contraseñas. Los registros de auditoría sólidos incluyen información de cada paso del proceso de restablecimiento de contraseña. Estos registros también están disponibles desde una API y permiten al usuario importar estos datos en el sistema de Administración de eventos e información de seguridad (SIEM) de su elección.

Licencias

Las licencias de Azure Active Directory se otorgan por usuario; es decir, cada usuario requiere una licencia adecuada para las características que usa. Se recomiendan las licencias basadas en grupos para SSPR.

Para comparar las ediciones y las características y habilitar las licencias basadas en grupos o usuarios, consulte Requisitos de concesión de licencias del autoservicio de restablecimiento de contraseña de Azure AD.

Para obtener más información sobre los precios, consulte Precios de Azure Active Directory.

Requisitos previos

  • Un inquilino de Azure AD activo con al menos una licencia de prueba habilitada. Si es preciso, cree una cuenta gratuita.

  • Una cuenta con privilegios de administrador global.

Recursos de aprendizaje

Recursos Vínculo y descripción
Vídeos Capacite a sus usuarios con una mejor escalabilidad de TI
¿Qué es el autoservicio de restablecimiento de contraseña?
Implementación del autoservicio de restablecimiento de contraseña
Cómo habilitar y configurar SSPR en Azure AD
¿Cómo se configura el autoservicio de restablecimiento de contraseña para los usuarios de Azure AD?
Cómo [preparar a los usuarios para] registrar [su] información de seguridad para Azure Active Directory
Cursos en línea Administración de identidades en Microsoft Azure Active Directory Use SSPR para ofrecer a los usuarios una experiencia moderna y protegida. Consulte especialmente el módulo "Administración de usuarios y grupos de Azure Active Directory".
Cursos de pago de Pluralsight Problemas de la administración de identidades y acceso Obtenga información IAM y los problemas de seguridad que deben tenerse en cuenta en su organización. Consulte especialmente el módulo "Otros métodos de autenticación".
Introducción a Microsoft Enterprise Mobility Suite Conozca los procedimientos recomendados para ampliar los recursos locales en la nube de forma que se permita la autenticación, la autorización, el cifrado y una experiencia móvil segura. Consulte especialmente el módulo "Configuración de características avanzadas de Microsoft Azure Active Directory Premium".
Tutoriales Realización de una implementación piloto del autoservicio de restablecimiento de contraseñas en Azure AD
Habilitación de la escritura diferida de contraseñas
Restablecimiento de la contraseña de Azure AD desde la pantalla de inicio de sesión de Windows 10
Preguntas más frecuentes Preguntas más frecuentes sobre la administración de contraseñas

Arquitectura de la solución

En el ejemplo siguiente se describe la arquitectura de la solución de restablecimiento de contraseña para entornos híbridos habituales.

diagrama de la arquitectura de la solución

Descripción del flujo de trabajo

Para restablecer la contraseña, los usuarios van al portal de restablecimiento de contraseña. Deben verificar su método o métodos de autenticación registrados anteriormente para demostrar su identidad. Si restablecen correctamente la contraseña, comenzará el proceso de restablecimiento.

  • En el caso de los usuarios que solo están en la nube, SSPR almacena la nueva contraseña en Azure AD.

  • Para los usuarios híbridos, SSPR escribe la contraseña en diferido en la instancia local de Active Directory a través del servicio de Azure AD Connect.

Nota: En el caso de los usuarios que tienen la sincronización de hash de contraseñas (PHS) deshabilitada, SSPR solo almacena las contraseñas localmente en Active Directory.

Procedimientos recomendados

Puede ayudar a los usuarios a registrarse rápidamente mediante la implementación de SSPR junto con otra aplicación o servicio popular en la organización. Esta acción generará un gran número de inicios de sesión e impulsará el registro.

Antes de implementar SSPR, puede optar por determinar el número y el coste medio de cada llamada de restablecimiento de contraseña. Puede usar estos datos después de la implementación para mostrar el valor que SSPR aporta a su organización.

Habilitar el registro combinado en SSPR y MFA

Microsoft recomienda que las organizaciones habiliten la experiencia de registro combinado para SSPR y autenticación multifactor. Al habilitar esta experiencia de registro combinado, los usuarios solo tienen que seleccionar su información de registro una vez para habilitar ambas características.

La experiencia de registro combinado no requiere que las organizaciones habiliten tanto SSPR como Azure AD Multi-factor Authentication. El registro combinado proporciona a las organizaciones una mejor experiencia de usuario. Para más información, consulte Registro de información de seguridad combinado.

Planeamiento del proyecto de implementación

Tenga en cuenta las necesidades de su organización al determinar la estrategia de esta implementación en su entorno.

Interactuar con las partes interesadas adecuadas

Cuando fracasan los proyectos tecnológicos, normalmente se debe a expectativas incorrectas relacionadas con el impacto, los resultados y las responsabilidades. Para evitar estos problemas, asegúrese de involucrar a las partes interesadas correctas y que los roles de las partes interesadas en el proyecto se entiendan bien; para ello, documente las partes interesadas y sus aportes y responsabilidades en el proyecto.

Roles de administrador necesarios

Rol de negocio Rol de Azure AD (si es necesario)
Departamento de soporte técnico de nivel 1 Administrador de contraseñas
Departamento de soporte técnico de nivel 2 Administrador de usuarios
Administrador de SSPR Administrador global

Planeamiento de las comunicaciones

La comunicación es fundamental para el éxito de cualquier servicio nuevo. Debería comunicar de forma proactiva a los usuarios cómo y cuándo va a cambiar su experiencia, y cómo obtener soporte técnico si tienen cualquier problema. Revise los materiales de lanzamiento del autoservicio de restablecimiento de contraseña en el Centro de descargas de Microsoft para obtener ideas sobre cómo planear su estrategia de comunicación con los usuarios finales.

Planeamiento de un piloto

Se recomienda que la configuración inicial de SSPR esté en un entorno de prueba. Comience con un grupo piloto habilitando SSPR para un subconjunto de usuarios de la organización. Consulte Procedimientos recomendados para un piloto.

Para crear un grupo, consulte Creación de un grupo y adición de miembros en Azure Active Directory.

Planeamiento de la configuración

La siguiente configuración es necesaria para habilitar SSPR junto con los valores recomendados.

Área Configuración Value
Propiedades de SSPR Se habilitó el autoservicio de restablecimiento de contraseña Grupo Seleccionado para piloto/Todos para producción
Métodos de autenticación Authentication methods required to register (Métodos de autenticación requeridos para registrarse) Siempre 1 más de los necesarios para el restablecimiento
Authentication methods required to reset (Métodos de autenticación requeridos para restablecer) Uno o dos
Registro Exigir a los usuarios que se registren al iniciar sesión
Número de días que pasan hasta que se pide a los usuarios que vuelvan a confirmar su información de autenticación De 90 a 180 días
Notificaciones ¿Quiere notificar a los usuarios los restablecimientos de contraseña?
¿Quiere notificar a todos los administradores cuando otros administradores restablezcan su contraseña?
Personalización Personalizar el vínculo del departamento de soporte técnico
Dirección URL o correo electrónico del departamento de soporte técnico personalizados Dirección de correo electrónico o sitio de soporte técnico
Integración local Escritura diferida de contraseñas al Active Directory local
Allow users to unlock account without resetting password (Permitir a los usuarios desbloquear las cuentas sin restablecer la contraseña)

Propiedades de SSPR

Al habilitar SSPR, elija un grupo de seguridad adecuado en el entorno piloto.

  • Para exigir el registro de SSPR a todos los usuarios, se recomienda usar la opción Todos.
  • En caso contrario, seleccione el grupo de seguridad de Azure AD o AD adecuado.

Métodos de autenticación

Cuando SSPR está habilitado, los usuarios solo pueden restablecer su contraseña si tienen datos en los métodos de autenticación que el administrador haya habilitado. Los métodos incluyen el teléfono, una notificación de la aplicación Authenticator, preguntas de seguridad, etc. Para más información, consulte ¿Qué son los métodos de autenticación?.

Se recomienda la siguiente configuración de método de autenticación:

  • Establezca Authentication methods required to register (Métodos de autenticación requeridos para registrarse) en al menos uno más que el número necesario para el restablecimiento. Permitir varias autenticaciones ofrece a los usuarios flexibilidad cuando necesiten restablecer la contraseña.

  • Establezca Número de métodos requeridos para el restablecimiento en un nivel apropiado para su organización. Uno requiere la menor fricción, mientras que Dos puede aumentar la posición de seguridad.

Nota: El usuario debe tener configurados los métodos de autenticación en las Restricciones y directivas de contraseñas en Azure Active Directory.

Configuración de registro

Establezca Exigir a los usuarios que se registren al iniciar sesión en . Esta configuración requiere que los usuarios se registren cuando inician sesión, lo que garantiza que todos los usuarios estén protegidos.

Establezca Número de días que pasan hasta que se pide a los usuarios que vuelvan a confirmar su información de autenticación entre 90 y 180 días, a menos que su organización tenga una necesidad de negocio para un plazo de tiempo más corto.

Configuración de notificaciones

Configure tanto ¿Quiere notificar a los usuarios los restablecimientos de contraseña? como ¿Quiere notificar a todos los administradores cuando otros administradores restablezcan su contraseña? en . Al seleccionar en ambos se aumenta la seguridad asegurándose de que los usuarios son conscientes de que se restablece la contraseña. También garantiza que todos los administradores son conscientes de que un administrador cambia una contraseña. Si los usuarios o administradores reciben una notificación y no han comenzado el cambio, pueden denunciar de inmediato un problema de seguridad potencial.

Configuración de personalización

Es fundamental personalizar el correo electrónico o la dirección URL del departamento de soporte técnico para asegurarse de que los usuarios que tengan problemas puedan obtener ayuda inmediatamente. Establezca esta opción en una dirección de correo electrónico o página web de soporte técnico comunes con los que los usuarios estén familiarizados.

Para más información, consulte Personalizar la funcionalidad del autoservicio de restablecimiento de contraseña de Azure AD.

Escritura diferida de contraseñas

La escritura diferida de contraseñas se habilita con Azure AD Connect y escribe en diferido los restablecimientos de contraseña en la nube en un directorio local existente en tiempo real. Para más información, consulte ¿Qué es la escritura diferida de contraseñas?

Se recomienda la configuración siguiente:

  • Asegúrese de que Escritura diferida de contraseñas al Active Directory local esté establecido en .
  • Establezca Allow users to unlock account without resetting password (Permitir a los usuarios desbloquear las cuentas sin restablecer la contraseña) en .

De forma predeterminada, Azure AD desbloquea las cuentas cuando se realiza un restablecimiento de contraseña.

Configuración de la contraseña de administrador

Las cuentas de administrador tienen permisos elevados. Los administradores empresariales o de dominios locales no pueden restablecer su contraseña mediante SSPR. Las cuentas de administrador locales tienen las siguientes restricciones:

  • Solo pueden cambiar su contraseña en su entorno local.
  • Nunca pueden usar las preguntas y respuestas secretas como método para restablecer su contraseña.

Se recomienda no sincronizar las cuentas de administrador locales de Active Directory con Azure AD.

Entornos con varios sistemas de administración de identidades

Algunos entornos tienen varios sistemas de administración de identidades. Los administradores de identidades locales, como Oracle AM y SiteMinder, requieren la sincronización con AD para las contraseñas. Para ello, puede usar una herramienta como el servicio de notificación de cambio de contraseña (PCNS) con Microsoft Identity Manager (MIM). Para información sobre el escenario más complejo, consulte el artículo Implementación del servicio de notificación de cambio de contraseña de MIM en un controlador de dominio.

Planeamiento de pruebas y soporte técnico

En cada fase de la implementación, desde los grupos piloto iniciales hasta toda la organización, asegúrese de que los resultados son los esperados.

Planeamiento de pruebas

Para asegurarse de que la implementación funciona según lo previsto, planee un conjunto de casos de prueba para validar la implementación. Para evaluar los casos de prueba, necesita un usuario de prueba que no sea administrador con una contraseña. Si necesita crear un usuario, consulte Adición de nuevos usuarios a Azure Active Directory.

En la tabla siguiente se incluyen escenarios de prueba útiles que puede usar para documentar los resultados esperados por la organización según las directivas.

Oportunidad de negocio Resultados esperados
Se puede acceder al portal de SSPR desde la red corporativa Determinado por la organización
Se puede acceder al portal de SSPR desde fuera de la red corporativa Determinado por la organización
Restablecer la contraseña del usuario desde el explorador cuando el usuario no está habilitado para el restablecimiento de contraseña El usuario no puede acceder al flujo de restablecimiento de contraseña
Restablecer la contraseña del usuario desde el explorador cuando el usuario no se ha registrado para el restablecimiento de contraseña El usuario no puede acceder al flujo de restablecimiento de contraseña
El usuario inicia sesión cuando se exige el registro de restablecimiento de contraseña Se solicita al usuario que registre información de seguridad
El usuario inicia sesión cuando se completa el registro de restablecimiento de contraseña Se solicita al usuario que registre información de seguridad
Se puede acceder al portal de SSPR cuando el usuario no tiene una licencia Es accesible
Restablecer la contraseña de usuario desde la pantalla de bloqueo de un dispositivo Windows 10 unido a Azure AD o Azure AD híbrido El usuario puede restablecer la contraseña
Los datos de uso y de registro de SSPR están disponibles para los administradores casi en tiempo real Están disponibles a través de los registros de auditoría

También puede consultar Realización de una implementación piloto del autoservicio de restablecimiento de contraseñas en Azure AD. En este tutorial, habilitará una implementación piloto de SSPR de Azure AD en la organización y la probará con una cuenta sin privilegios de administrador.

Planeamiento de soporte técnico

Aunque SSPR no suele crear problemas de usuario, es importante preparar al personal de soporte técnico para afrontar los problemas que puedan surgir. Si bien un administrador puede restablecer la contraseña para los usuarios finales a través del portal de Azure AD, es mejor ayudar a resolver el problema a través de un proceso de soporte técnico de autoservicio.

Para allanar el camino del equipo de soporte técnico, puede crear una página de P+F basada en las preguntas que reciba de los usuarios. Estos son algunos ejemplos:

Escenarios Descripción
El usuario no tiene disponible ningún método de autenticación registrado. Un usuario intenta restablecer la contraseña, pero no tiene disponible ninguno de los métodos de autenticación que ha registrado (ejemplo: se ha dejado el teléfono móvil en casa y no puede acceder al correo electrónico).
El usuario no recibe mensajes de texto ni llamadas en su teléfono móvil o laboral. Un usuario intenta verificar su identidad mediante mensaje de texto o una llamada, pero no recibe ni un mensaje de texto ni una llamada.
El usuario no puede acceder al portal de restablecimiento de contraseñas. Un usuario quiere restablecer su contraseña, pero no está habilitado para restablecer la contraseña y no puede acceder a la página para actualizar las contraseñas.
El usuario no puede establecer una contraseña nueva. Un usuario finaliza la verificación durante el flujo de restablecimiento de contraseña, pero no puede establecer una contraseña nueva.
El usuario no ve un vínculo de restablecimiento de contraseña en un dispositivo Windows 10. Un usuario intenta restablecer la contraseña desde la pantalla de bloqueo de Windows 10, pero el dispositivo no está unido a Azure AD o no está habilitada la directiva de dispositivos de Intune.

Planeamiento de la reversión

Para revertir la implementación:

  • Para un solo usuario, quite el usuario del grupo de seguridad.

  • Para un grupo, quite el grupo de la configuración de SSPR.

  • Para todos los usuarios, deshabilite SSPR para el inquilino de Azure AD.

Implementación de SSPR

Antes de la implementación, asegúrese de haber realizado lo siguiente:

  1. Creó y comenzó a ejecutar el plan de comunicación.

  2. Determinó los parámetros de configuración adecuados.

  3. Identificó los usuarios y los grupos para los entornos piloto y de producción.

  4. Determinó los parámetros de configuración para el registro y el autoservicio.

  5. Configuró la escritura diferida de contraseñas si tiene un entorno híbrido.

¡Ahora ya puede realizar la implementación de SSPR!

Consulte Habilitar el autoservicio de restablecimiento de contraseña para obtener instrucciones paso a paso sobre la configuración de las áreas siguientes.

  1. Métodos de autenticación

  2. Configuración de registro

  3. Configuración de notificaciones

  4. Configuración de personalización

  5. Integración local

Habilitar SSPR en Windows

En el caso de los equipos que ejecutan Windows 7, 8, 8.1 y 10, puede permitir que los usuarios restablezcan su contraseña en la pantalla de inicio de sesión de Windows.

Administrar SSPR

Azure AD puede proporcionar información adicional sobre el rendimiento de SSPR a través de auditorías e informes.

Informes de actividad de administración de contraseñas

Puede usar informes pregenerados en Azure Portal para medir el rendimiento de SSPR. Si está debidamente protegido por licencia, también puede crear consultas personalizadas. Para más información, consulte Opciones de creación de informes para la administración de contraseñas de Azure AD.

Nota

Debe ser administrador global y habilitar la opción para que estos datos se recopilen para su organización. Para habilitarla, debe visitar la pestaña Informes o los registros de auditoría en Azure Portal como mínimo una vez. Hasta entonces, los datos no se recopilan para su organización.

Los registros de auditoría para el registro y el restablecimiento de contraseña están disponibles durante 30 días. Si la auditoría de seguridad dentro su una empresa requiere una retención más prolongada, los registros deben exportarse y consumirse en una herramienta SIEM, como Azure Sentinel, Splunk o ArcSight.

Captura de pantalla de informes de SSPR

Métodos de autenticación: uso y conclusiones

El uso y las conclusiones le permiten comprender cómo funcionan en su organización los métodos de autenticación para características como Azure AD MFA y SSPR. Esta funcionalidad de informes proporciona a la organización los medios para comprender qué métodos se registran y cómo usarlos.

Solución de problemas

Documentación útil

Pasos siguientes