Solución de problemas de registro de información de seguridad combinado

Artículo
03/19/2024

La información de este artículo está pensada como guía para los administradores que solucionan problemas notificados por los usuarios de la experiencia de registro combinado.

Registros de auditoría

Los eventos registrados para un registro combinado están en el servicio de métodos de autenticación en los registros de auditoría de Microsoft Entra.

Interfaz de registros de auditoría de Microsoft Entra con los eventos de registro

En la siguiente tabla se muestran todos los eventos de auditoría generados por el registro combinado:

Actividad	Status	Motivo	Descripción
El usuario registró toda la información de seguridad necesaria	Correcto	El usuario registró toda la información de seguridad necesaria.	Este evento se produce cuando un usuario ha completado correctamente el registro.
El usuario registró toda la información de seguridad necesaria	Error	El usuario canceló el registro de información de seguridad.	Este evento se produce cuando un usuario cancela el registro del modo de interrupción.
El usuario registró información de seguridad	Correcto	El usuario registró el método.	Este evento se produce cuando un usuario registra un método individual. El método puede ser una aplicación de autenticación, un teléfono, una dirección de correo electrónico, preguntas de seguridad, una contraseña de aplicación, un teléfono alternativo, etc.
Información de seguridad revisada por el usuario	Correcto	Información de seguridad revisada correctamente por el usuario.	Este evento se produce cuando un usuario selecciona Looks good (Parece correcto) en la página de revisión de información de seguridad.
Información de seguridad revisada por el usuario	Error	El usuario no pudo revisar la información de seguridad.	Este evento se produce cuando un usuario selecciona Looks good (Parece correcto) en la página de revisión de información de seguridad, pero se ha producido algún problema en el back-end.
El usuario eliminó información de seguridad	Correcto	El usuario eliminó el método.	Este evento se produce cuando un usuario elimina un método individual. El método puede ser una aplicación de autenticación, un teléfono, una dirección de correo electrónico, preguntas de seguridad, una contraseña de aplicación, un teléfono alternativo, etc.
El usuario eliminó información de seguridad	Error	El usuario no pudo eliminar el método.	Este evento se produce cuando un usuario intenta eliminar un método pero el intento falla por alguna razón. El método puede ser una aplicación de autenticación, un teléfono, una dirección de correo electrónico, preguntas de seguridad, una contraseña de aplicación, un teléfono alternativo, etc.
El usuario cambió la información de seguridad predeterminada	Correcto	El usuario cambió la información de seguridad predeterminada para el método.	Este evento se produce cuando un usuario cambia el método predeterminado. El método puede ser una notificación de la aplicación de autenticación, un código de mi aplicación de autenticación o un token, una llamada al número +X XXXXXXXXXX, un envío de mensaje de un mensaje de texto al número +X XXXXXXXXX, etc.
El usuario cambió la información de seguridad predeterminada	Error	El usuario no pudo cambiar la información de seguridad predeterminada para el método.	Este evento se produce cuando un usuario intenta cambiar el método predeterminado, pero el intento falla por alguna razón. El método puede ser una notificación de la aplicación de autenticación, un código de mi aplicación de autenticación o un token, una llamada al número +X XXXXXXXXXX, un envío de mensaje de un mensaje de texto al número +X XXXXXXXXX, etc.

Solución de problemas del modo de interrupción

Síntoma	Pasos para solucionar problemas
No veo los métodos que esperaba ver.	1. Compruebe si el usuario tiene un rol de administrador de Microsoft Entra. Si es así, vea las diferencias de la directiva de administración de autoservicio de restablecimiento de contraseña. 2. Determine si se ha interrumpido al usuario debido a la exigencia del registro de autenticación multifactor o de autoservicio de restablecimiento de contraseña. Consulte el diagrama de flujo en "Modos de registro combinado" para determinar qué métodos se deben mostrar. 3. Determine cómo se cambió recientemente la directiva de autenticación multifactor o de autoservicio de restablecimiento de contraseña. Si el cambio es reciente, puede que la actualización de la directiva tarde en aplicarse.

Síntoma

Pasos para solucionar problemas

No veo los métodos que esperaba ver.

1. Compruebe si el usuario tiene un rol de administrador de Microsoft Entra. Si es así, vea las diferencias de la directiva de administración de autoservicio de restablecimiento de contraseña.
2. Determine si se ha interrumpido al usuario debido a la exigencia del registro de autenticación multifactor o de autoservicio de restablecimiento de contraseña. Consulte el diagrama de flujo en "Modos de registro combinado" para determinar qué métodos se deben mostrar.
3. Determine cómo se cambió recientemente la directiva de autenticación multifactor o de autoservicio de restablecimiento de contraseña. Si el cambio es reciente, puede que la actualización de la directiva tarde en aplicarse.

Solución de problemas de modo de administración

Síntoma	Pasos para solucionar problemas
No tengo la opción de agregar un método determinado.	1. Determine si el método está habilitado para la autenticación multifactor o para el autoservicio de restablecimiento de contraseña. 2. Si el método está habilitado, vuelva a guardar las directivas y espere entre 1 y 2 horas antes de volver a probar. 3. Si el método está habilitado, asegúrese de que el usuario no lo haya configurado el número máximo de veces que puede hacerlo.

Cómo revertir a los usuarios

Si usted, como administrador, desea restablecer la configuración de autenticación multifactor de un usuario, puede usar el script de PowerShell proporcionado en la siguiente sección. El script borrará la propiedad StrongAuthenticationMethods de la aplicación móvil o el número de teléfono de un usuario. Si ejecuta este script para los usuarios, se tendrán que volver a registrar para la autenticación multifactor cuando la necesiten. Se recomienda probar la reversión con uno o dos usuarios antes de revertir a todos los usuarios afectados.

Los pasos siguientes le ayudarán a revertir a un usuario o grupo de usuarios.

Prerrequisitos

Importante

Está previsto que PowerShell de Azure AD quede en desuso el 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Se recomienda migrar a PowerShell de Microsoft Graph para interactuar con Microsoft Entra ID (anteriormente Azure AD). PowerShell de Microsoft Graph permite acceder a todas las API de Microsoft Graph y está disponible en PowerShell 7. Para obtener respuestas a las consultas comunes sobre migración, consulte las preguntas más frecuentes sobre la migración.

Instale los módulos de Azure AD PowerShell adecuados. En una ventana de PowerShell, ejecute estos comandos para instalar los módulos:
```
Install-Module -Name MSOnline
Import-Module MSOnline
```
Guarde la lista de los identificadores de objetos de usuario afectados en el equipo como un archivo de texto con un identificador por línea. Tome nota de la ubicación del archivo.

Guarde el siguiente script en el equipo y tome nota de su ubicación:

<# 
//********************************************************
//*                                                      *
//*   Copyright (C) Microsoft. All rights reserved.      *
//*                                                      *
//********************************************************
#>

param($path)

# Define Remediation Fn
function RemediateUser {

    param  
    (
        $ObjectId
    )

    $user = Get-MsolUser -ObjectId $ObjectId

    Write-Host "Checking if user is eligible for rollback: UPN: "  $user.UserPrincipalName  " ObjectId: "  $user.ObjectId -ForegroundColor Yellow

    $hasMfaRelyingParty = $false
    foreach($p in $user.StrongAuthenticationRequirements)
    {
        if ($p.RelyingParty -eq "*")
        {
            $hasMfaRelyingParty = $true
            Write-Host "User was enabled for per-user MFA." -ForegroundColor Yellow
        }
    }

    if ($user.StrongAuthenticationMethods.Count -gt 0 -and -not $hasMfaRelyingParty)
    {
        Write-Host $user.UserPrincipalName " is eligible for rollback" -ForegroundColor Yellow
        Write-Host "Rolling back user ..." -ForegroundColor Yellow
        Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName $user.UserPrincipalName
        Write-Host "Successfully rolled back user " $user.UserPrincipalName -ForegroundColor Green
    }
    else
    {
        Write-Host $user.UserPrincipalName " is not eligible for rollback. No action required."
    }

    Write-Host ""
    Start-Sleep -Milliseconds 750
}

# Connect
Import-Module MSOnline
Connect-MsolService

foreach($line in Get-Content $path)
{
    RemediateUser -ObjectId $line
}

Reversión

En una ventana de PowerShell, ejecute el comando siguiente y proporcione el script y las ubicaciones de archivo del usuario. Introduzca las credenciales de administrador global cuando se le solicite. El script generará el resultado de cada operación de actualización de usuarios.

<script location> -path <user file location>

Pasos siguientes

Más información sobre el registro combinado para el autoservicio de restablecimiento de contraseña y la autenticación multifactor de Microsoft Entra