Tutorial: Habilitación del autoservicio de restablecimiento de contraseña de Azure Active Directory para que los usuarios puedan desbloquear su cuenta o restablecer contraseñasTutorial: Enable users to unlock their account or reset passwords using Azure Active Directory self-service password reset

El autoservicio de restablecimiento de contraseña (SSPR) de Azure Active Directory (Azure AD) ofrece a los usuarios la posibilidad de cambiar o restablecer su contraseña sin necesidad de que intervenga el administrador o el departamento de soporte técnico.Azure Active Directory (Azure AD) self-service password reset (SSPR) gives users the ability to change or reset their password, with no administrator or help desk involvement. Si Azure AD bloquea la cuenta de un usuario o este se ha olvidado su contraseña, puede seguir las indicaciones para desbloquearla y volver al trabajo.If Azure AD locks a user's account or they forget their password, they can follow prompts to unblock themselves and get back to work. Esta capacidad reduce las llamadas al departamento de soporte técnico y la pérdida de productividad cuando un usuario no puede iniciar sesión en su dispositivo o en una aplicación.This ability reduces help desk calls and loss of productivity when a user can't sign in to their device or an application. Se recomienda este vídeo sobre cómo habilitar y configurar SSPR en Azure AD.We recommend this video on How to enable and configure SSPR in Azure AD. También disponemos de un vídeo para los administradores de TI en Resolución de los seis mensajes de error de usuario final más comunes con SSPR.We also have a video for IT administrators on resolving the six most common end-user error messages with SSPR.

Importante

Este tutorial muestra al administrador cómo habilitar SSPR.This tutorial shows an administrator how to enable self-service password reset. Si es un usuario final registrado para el autoservicio de restablecimiento de contraseña y necesita volver a su cuenta, visite la página de restablecimiento de contraseña de Microsoft Online.If you're an end user already registered for self-service password reset and need to get back into your account, go to the Microsoft Online password reset page.

Si el equipo de TI no ha habilitado la capacidad para restablecer su propia contraseña, póngase en contacto con el departamento de soporte técnico para obtener ayuda adicional.If your IT team hasn't enabled the ability to reset your own password, reach out to your helpdesk for additional assistance.

En este tutorial, aprenderá a:In this tutorial you learn how to:

  • Habilitar el autoservicio de restablecimiento de contraseña para un grupo de usuarios de Azure ADEnable self-service password reset for a group of Azure AD users
  • Configuración de métodos de autenticación y opciones de registroSet up authentication methods and registration options
  • Probar el proceso SSPR como usuarioTest the SSPR process as a user

Requisitos previosPrerequisites

Para finalizar este tutorial, necesitará los siguientes recursos y privilegios:To finish this tutorial, you need the following resources and privileges:

  • Un inquilino de Azure AD activo con al menos una licencia de Azure AD gratis o de prueba habilitada.A working Azure AD tenant with at least an Azure AD free or trial license enabled. En el nivel Gratis, SSPR solo funciona para los usuarios de la nube en Azure AD.In the Free tier, SSPR only works for cloud users in Azure AD. En el nivel Gratis es posible cambiar la contraseña, pero no restablecerla.Password change is supported in the Free tier, but password reset is not.
    • En los tutoriales posteriores de esta serie, se necesita una licencia de Azure AD Premium P1 o de prueba para la escritura diferida de contraseñas local.For later tutorials in this series, you'll need an Azure AD Premium P1 or trial license for on-premises password writeback.
    • Si es necesario, cree una cuenta de Azure de forma gratuita.If needed, create an Azure account for free.
  • Una cuenta con privilegios de Administrador global.An account with Global Administrator privileges.
  • Un usuario que no sea administrador con una contraseña que conozca, como usuarioDePrueba.A non-administrator user with a password you know, like testuser. En este tutorial utilizará esta cuenta para probar la experiencia de autoservicio de restablecimiento de contraseña por parte del usuario final.You'll test the end-user SSPR experience using this account in this tutorial.
  • Un grupo del que sea miembro el usuario que no es administrador, como Grupo-prueba-SSPR.A group that the non-administrator user is a member of, likes SSPR-Test-Group. En este tutorial, habilitará el autoservicio de restablecimiento de contraseña para este grupo.You'll enable SSPR for this group in this tutorial.

Habilitar el autoservicio de restablecimiento de contraseñaEnable self-service password reset

Azure AD permite habilitar el autoservicio de restablecimiento de contraseña para Ninguno, Seleccionados o Todos los usuarios.Azure AD lets you enable SSPR for None, Selected, or All users. Esta capacidad para pormenorizar permite elegir un subconjunto de usuarios para probar el proceso de registro y el flujo de trabajo de SSPR.This granular ability lets you choose a subset of users to test the SSPR registration process and workflow. Cuando esté familiarizado con el proceso y haya llegado el momento de comunicar los requisitos con un conjunto más amplio de usuarios, podrá seleccionar un grupo de usuarios para habilitarlos en el autoservicio de restablecimiento de contraseña.When you're comfortable with the process and the time is right to communicate the requirements with a broader set of users, you can select a group of users to enable for SSPR. O bien, podrá habilitar SSPR para todos los usuarios del inquilino de Azure AD.Or, you can enable SSPR for everyone in the Azure AD tenant.

Nota

Actualmente, solo se puede habilitar un grupo de Azure AD para SSPR mediante Azure Portal.Currently, you can only enable one Azure AD group for SSPR using the Azure portal. Como parte de una implementación más amplia del autoservicio de restablecimiento de contraseña, Azure AD admite los grupos anidados.As part of a wider deployment of SSPR, Azure AD supports nested groups. Asegúrese de que los usuarios de los grupos que elija tienen asignadas las licencias correspondientes.Make sure that the users in the group(s) you choose have the appropriate licenses assigned. Actualmente no hay ningún proceso de validación de estos requisitos de licencia.There's currently no validation process of these licensing requirements.

En este tutorial, configurará el autoservicio de restablecimiento de contraseña para un conjunto de usuarios de un grupo de prueba.In this tutorial, set up SSPR for a set of users in a test group. Use Grupo-prueba-SSPR y proporcione su propio grupo de Azure AD según sea necesario:Use the SSPR-Test-Group and provide your own Azure AD group as needed:

  1. Inicie sesión en Azure Portal mediante una cuenta con permisos de administrador global.Sign in to the Azure portal using an account with global administrator permissions.

  2. Busque y seleccione Azure Active Directory y, a continuación, elija Restablecer la contraseña en el menú del lado izquierdo.Search for and select Azure Active Directory, then select Password reset from the menu on the left side.

  3. En la página Propiedades, bajo la opción Se habilitó el restablecimiento de contraseña del autoservicio, elija Seleccionar grupo.From the Properties page, under the option Self service password reset enabled, select Select group

  4. Busque y seleccione el grupo de Azure AD, como Grupo-prueba-SSPR y, a continuación, elija Seleccionar.Browse for and select your Azure AD group, like SSPR-Test-Group, then choose Select.

    Selección de un grupo en Azure Portal para habilitar el autoservicio de restablecimiento de contraseñaSelect a group in the Azure portal to enable for self-service password reset

  5. Para habilitar SSPR para los usuarios seleccionados, seleccione Guardar.To enable SSPR for the select users, select Save.

Selección de métodos de autenticación y opciones de registroSelect authentication methods and registration options

Cuando los usuarios necesitan desbloquear su cuenta o restablecer su contraseña, se les pide otro método de confirmación.When users need to unlock their account or reset their password, they're prompted for another confirmation method. Este factor de autenticación adicional garantiza que Azure AD finalizan solo los eventos de autoservicio de restablecimiento de contraseña aprobados.This extra authentication factor makes sure that Azure AD finished only approved SSPR events. Puede elegir los métodos de autenticación que se permitirán, en función de la información de registro que proporciona el usuario.You can choose which authentication methods to allow, based on the registration information the user provides.

  1. En el menú de la izquierda de la página Métodos de autenticación, establezca el valor de Número de métodos requeridos para el restablecimiento en 1.From the menu on the left side of the Authentication methods page, set the Number of methods required to reset to 1.

    Si desea mejorar la seguridad, puede aumentar el número de métodos de autenticación necesarios para el autoservicio de restablecimiento de contraseña.To improve security, you can increase the number of authentication methods required for SSPR.

  2. En Métodos disponibles para los usuarios, elija qué métodos desea permitir en la organización.Choose the Methods available to users that your organization wants to allow. En este tutorial, active las casillas para habilitar los siguientes métodos:For this tutorial, check the boxes to enable the following methods:

    • Notificación en aplicación móvilMobile app notification
    • Código de aplicación móvilMobile app code
    • Correo electrónicoEmail
    • Teléfono móvilMobile phone

    Es posible habilitar métodos de autenticación adicionales, como el teléfono del trabajo o preguntas de seguridad, de acuerdo con las necesidades de su empresa.You can enable other authentication methods, like Office phone or Security questions, as needed to fit your business requirements.

  3. Para aplicar los métodos de autenticación, seleccione Guardar.To apply the authentication methods, select Save.

Para que los usuarios puedan desbloquear su cuenta o restablecer una contraseña, deben registrar su información de contacto.Before users can unlock their account or reset a password, they must register their contact information. Azure AD utiliza esta información de contacto para los distintos métodos de autenticación configurados en los pasos anteriores.Azure AD uses this contact information for the different authentication methods set up in the previous steps.

Un administrador puede proporcionar manualmente esta información de contacto, o bien los usuarios pueden ir a un portal de registro para proporcionarla ellos mismos.An administrator can manually provide this contact information, or users can go to a registration portal to provide the information themselves. En este tutorial, configure Azure AD para solicitar el registro a los usuarios la próxima vez que inicien sesión.In this tutorial, set up Azure AD to prompt the users for registration the next time they sign in.

  1. En el menú de la izquierda de la página Registro, seleccione en la opción ¿Desea exigir a los usuarios que se registren al iniciar sesión?From the menu on the left side of the Registration page, select Yes for Require users to register when signing in.

  2. Establezca el valor de Número de días que pasan hasta que se pide a los usuarios que vuelvan a confirmar su información de autenticación en 180.Set Number of days before users are asked to reconfirm their authentication information to 180.

    Es importante mantener actualizada la información de contacto.It's important to keep the contact information up to date. Si no está actualizada cuando se inicia un evento de SSPR, es posible que el usuario no pueda desbloquear su cuenta ni restablecer su contraseña.If outdated contact information exists when an SSPR event starts, the user may not be able to unlock their account or reset their password.

  3. Para aplicar la configuración de registro, seleccione Guardar.To apply the registration settings, select Save.

Configuración de notificaciones y personalizacionesSet up notifications and customizations

Para mantener informados a los usuarios sobre la actividad de la cuenta, puede configurar Azure AD para que envíe notificaciones por correo electrónico cuando se produzca un evento de SSPR.To keep users informed about account activity, you can set up Azure AD to send email notifications when an SSPR event happens. Estas notificaciones pueden abarcar tanto las cuentas de usuario normales como las cuentas de administrador.These notifications can cover both regular user accounts and admin accounts. En el caso de las cuentas de administrador, esta notificación proporciona otra capa de reconocimiento cuando se restablece la contraseña de una cuenta de administrador con privilegios mediante SSPR.For admin accounts, this notification provides another layer of awareness when a privileged administrator account password is reset using SSPR. Azure AD enviará una notificación a todos los administradores globales cuando alguien use SSPR en una cuenta de administrador.Azure AD will notify all global admins when someone uses SSPR on an admin account.

  1. En el menú de la izquierda de la página Notificaciones, configure las siguientes opciones:From the menu on the left side of the Notifications page, set up the following options:

    • Establezca la opción Notificar a los usuarios el restablecimiento de contraseña en .Set Notify users on password resets option to Yes.
    • Establezca Notificar a todos los administradores cuando otros administradores restablezcan su contraseña en .Set Notify all admins when other admins reset their password to Yes.
  2. Para aplicar las preferencias de notificación, seleccione Guardar.To apply the notification preferences, select Save.

Si los usuarios necesitan más ayuda con el proceso de SSPR, puede personalizar el vínculo "Póngase en contacto con el administrador".If users need more help with the SSPR process, you can customize the "Contact your administrator" link. El usuario puede seleccionar esta vínculo en el proceso de registro de SSPR y cuando desbloquea su cuenta o restablece su contraseña.The user can select this link in the SSPR registration process and when they unlock their account or resets their password. Para asegurarse de que los usuarios obtengan el soporte técnico necesario, se recomienda encarecidamente que indique una dirección URL o un correo electrónico de soporte técnico personalizados.To make sure your users get the support needed, we highly recommend you provide a custom helpdesk email or URL.

  1. En el menú de la izquierda de la página Personalización, establezca Personalizar el vínculo del departamento de soporte técnico en .From the menu on the left side of the Customization page, set Customize helpdesk link to Yes.
  2. En el campo Dirección URL o correo electrónico del departamento de soporte técnico personalizados, indique una dirección de correo electrónico o una dirección URL de la página web donde los usuarios puedan obtener más ayuda de su organización, como https://support.contoso.com/ .In the Custom helpdesk email or URL field, provide an email address or web page URL where your users can get more help from your organization, like https://support.contoso.com/
  3. Para aplicar el vínculo personalizado, seleccione Guardar.To apply the custom link, select Save.

Autoservicio de restablecimiento de contraseña de pruebaTest self-service password reset

Con el autoservicio de restablecimiento de contraseña habilitado y configurado, pruebe este proceso con un usuario que forme parte del grupo que seleccionó en la sección anterior, como Test-SSPR-Group.With SSPR enabled and set up, test the SSPR process with a user that's part of the group you selected in the previous section, like Test-SSPR-Group. En el ejemplo siguiente, se usa la cuenta usuarioDePrueba.The following example uses the testuser account. Indique su propia cuenta de usuario,Provide your own user account. que forma parte del grupo que ha habilitado para SSPR en la primera sección de este tutorial.It's part of the group you enabled for SSPR in the first section of this tutorial.

Nota

Para probar el autoservicio de restablecimiento de contraseña, use una cuenta que no sea de administrador.When you test self-service password reset, use a non-administrator account. De forma predeterminada, Azure AD habilita el autoservicio de restablecimiento de contraseña para administradores.By default, Azure AD enables self-service password reset for admins. Deben utilizar dos métodos de autenticación para restablecer la contraseña.They're required to use two authentication methods to reset their password. Para más información, consulte Diferencias entre directivas de restablecimiento de administrador.For more information, see Administrator reset policy differences.

  1. Para ver el proceso de registro manual, abra una nueva ventana del explorador en modo InPrivate o incógnito y vaya a https://aka.ms/ssprsetup.To see the manual registration process, open a new browser window in InPrivate or incognito mode, and browse to https://aka.ms/ssprsetup. Azure AD dirigirá a los usuarios a este portal de registro la próxima vez que inicien sesión.Azure AD will direct users to this registration portal when they sign in next time.

  2. Inicie sesión con un usuario de prueba que no sea administrador, como usuarioDePrueba y registre la información de contacto de los métodos de autenticación.Sign in with a non-administrator test user, like testuser, and register your authentication methods contact information.

  3. Cuando haya terminado, seleccione el botón marcado como Parece correcto y cierre la ventana del explorador.Once finished, select the button marked Looks good and close the browser window.

  4. Abra una nueva ventana del explorador en modo de incógnito o InPrivate y vaya a https://aka.ms/sspr.Open a new browser window in InPrivate or incognito mode, and browse to https://aka.ms/sspr.

  5. Escriba la información de cuenta del usuario de prueba sin privilegios de administrador, como usuarioDePrueba, y los caracteres del CAPTCHA; después, seleccione Siguiente.Enter your non-administrator test users' account information, like testuser, the characters from the CAPTCHA, and then select Next.

    Introducción de la información de la cuenta de usuario para restablecer la contraseña

  6. Siga los pasos de comprobación para restablecer la contraseña.Follow the verification steps to reset your password. Cuando termine, recibirá una notificación por correo electrónico que le notificará que se ha restablecido la contraseña.When finished, you'll receive an email notification that your password was reset.

Limpieza de recursosClean up resources

En un tutorial posterior de esta serie, configurará la escritura diferida de contraseñas.In a later tutorial in this series, you'll set up password writeback. Esta característica escribe los cambios de contraseña del autoservicio de restablecimiento de contraseña de Azure AD de nuevo en un entorno de AD local.This feature writes password changes from Azure AD SSPR back to an on-premises AD environment. Si quiere continuar con esta serie de tutoriales para configurar la escritura diferida de contraseñas, no deshabilite SSPR por ahora.If you want to continue with this tutorial series to set up password writeback, don't disable SSPR now.

Si ya no desea usar la funcionalidad de SSPR que ha configurado como parte de este tutorial, establezca el estado de SSPR en Ninguno mediante los pasos siguientes:If you no longer want to use the SSPR functionality you have set up as part of this tutorial, set the SSPR status to None using the following steps:

  1. Inicie sesión en Azure Portal.Sign in to the Azure portal.
  2. Busque y seleccione Azure Active Directory y, a continuación, elija Restablecer la contraseña en el menú del lado izquierdo.Search for and select Azure Active Directory, then select Password reset from the menu on the left side.
  3. En la página Propiedades, bajo la opción Se habilitó el restablecimiento de contraseña del autoservicio, elija Ninguno.From the Properties page, under the option Self service password reset enabled, select None.
  4. Para aplicar el cambio de SSPR, seleccione Guardar.To apply the SSPR change, select Save.

Preguntas más frecuentesFAQs

En esta sección se explican las preguntas comunes de los administradores y los usuarios finales que prueba el autoservicio de restablecimiento de contraseña (SSPR):This section explains common questions from administrators and end-users who try SSPR:

  • ¿Por qué los usuarios federados esperan hasta 2 minutos después de ver el mensaje Se ha restablecido su contraseña y antes de usar contraseñas que se sincronizan desde el entorno local?Why do federated users wait up to 2 minutes after they see Your password has been reset before they can use passwords that are synchronized from on-premises?

    En el caso de los usuarios federados cuyas contraseñas están sincronizadas, el origen de autoridad de las contraseñas es el en el entorno local.For federated users whose passwords are synchronized, the source of authority for the passwords is on-premises. Como consecuencia, SSPR solo actualiza las contraseñas locales.As a result, SSPR updates only the on-premises passwords. La sincronización de hash de contraseñas en Azure AD está programada para producirse cada 2 minutos.Password hash synchronization back to Azure AD is scheduled for every 2 minutes.

  • Cuando un usuario recién creado cuyos datos de SSPR se rellenan previamente (por ejemplo, el teléfono y el correo electrónico) visita la página de registro de SSPR, el mensaje No perder el acceso a su cuentaWhen a newly created user who is pre-populated with SSPR data such as phone and email visits the SSPR registration page, Don’t lose access to your account! aparece como el título de la página.appears as the title of the page. ¿Por qué otros usuarios cuyos datos de SSPR se rellenan previamente no ven el mensaje?Why don't other users who have SSPR data pre-populated see the message?

    Si un usuario ve el mensaje No perder el acceso a su cuenta,A user who sees Don’t lose access to your account! pertenece a los grupos de registro combinado/SSPR configurados para el inquilino.is a member of SSPR/combined registration groups that are configured for the tenant. Los usuarios que no ven el mensaje No perder el acceso a su cuentaUsers who don’t see Don’t lose access to your account! no pertenecían a los grupos de registro combinado/SSPR.were not part of the SSPR/combined registration groups.

  • Cuando algunos usuarios pasan por el proceso de SSPR y restablecen la contraseña, ¿por qué no ven el indicador del nivel de seguridad de la contraseña?When some users go through SSPR process and reset their password, why don't they see the password strength indicator?

    Los usuarios que no ven si el nivel de contraseña es débil o fuerte tienen habilitada la escritura diferida de contraseñas.Users who don’t see weak/strong password strength have synchronized password writeback enabled. Dado que SSPR no puede establecer la directiva de contraseñas utilizada en el entorno local del cliente, no podrá confirmar si la contraseña es fuerte o débil.Since SSPR can’t determine the password policy of the customer’s on-premises environment, it cannot validate password strength or weakness.

Pasos siguientesNext steps

En este tutorial habilitó el autoservicio de restablecimiento de contraseña en Azure AD para un grupo seleccionado de usuarios.In this tutorial, you enabled Azure AD self-service password reset for a selected group of users. Ha aprendido a:You learned how to:

  • Habilitar el autoservicio de restablecimiento de contraseña para un grupo de usuarios de Azure ADEnable self-service password reset for a group of Azure AD users
  • Configuración de métodos de autenticación y opciones de registroSet up authentication methods and registration options
  • Probar el proceso SSPR como usuarioTest the SSPR process as a user