Tutorial: Habilitación de la escritura diferida del autoservicio de restablecimiento de contraseña de Azure Active Directory en un entorno localTutorial: Enable Azure Active Directory self-service password reset writeback to an on-premises environment

Con el autoservicio de restablecimiento de contraseña de Azure Active Directory (Azure AD), los usuarios pueden actualizar sus contraseñas o desbloquear la cuenta mediante un explorador web.With Azure Active Directory (Azure AD) self-service password reset (SSPR), users can update their password or unlock their account using a web browser. En un entorno híbrido en el que se conecta Azure AD a un entorno local de Active Directory Domain Services (AD DS), este escenario puede hacer que las contraseñas sean diferentes entre los dos directorios.In a hybrid environment where Azure AD is connected to an on-premises Active Directory Domain Services (AD DS) environment, this scenario can cause passwords to be different between the two directories.

La escritura diferida de contraseñas se puede utilizar para sincronizar los cambios de contraseñas en Azure AD de vuelta al entorno local de AD DS.Password writeback can be used to synchronize password changes in Azure AD back to your on-premises AD DS environment. Azure AD Connect proporciona un mecanismo seguro para enviar los cambios de contraseñas de vuelta a un directorio local existente desde Azure AD.Azure AD Connect provides a secure mechanism to send these password changes back to an existing on-premises directory from Azure AD.

Importante

En este tutorial se muestra a un administrador cómo habilitar el restablecimiento de contraseña de autoservicio en un entorno local.This tutorial shows an administrator how to enable self-service password reset back to an on-premises environment. Los usuarios finales registrados para el restablecimiento de contraseña de autoservicio que necesiten volver a su cuenta deben ir a https://aka.ms/sspr.If you're an end user already registered for self-service password reset and need to get back into your account, go to https://aka.ms/sspr.

Si el equipo de TI no ha habilitado la capacidad para restablecer su propia contraseña, póngase en contacto con el departamento de soporte técnico para obtener ayuda adicional.If your IT team hasn't enabled the ability to reset your own password, reach out to your helpdesk for additional assistance.

En este tutorial, aprenderá a:In this tutorial, you learn how to:

  • Configurar los permisos requeridos para la escritura diferida de contraseñasConfigure the required permissions for password writeback
  • Habilitar la opción de escritura diferida de contraseñas en Azure AD ConnectEnable the password writeback option in Azure AD Connect
  • Habilitar la escritura diferida de contraseñas en SSPR de Azure ADEnable password writeback in Azure AD SSPR

Requisitos previosPrerequisites

Para completar este tutorial, necesitará los siguientes recursos y privilegios:To complete this tutorial, you need the following resources and privileges:

Configuración de los permisos de cuenta para Azure AD ConnectConfigure account permissions for Azure AD Connect

Azure AD Connect le permite sincronizar usuarios, grupos y credenciales entre un entorno de AD DS local y Azure AD.Azure AD Connect lets you synchronize users, groups, and credential between an on-premises AD DS environment and Azure AD. Normalmente, se instala Azure AD Connect en un equipo con Windows Server 2012 o posterior que esté unido al dominio de AD DS local.You typically install Azure AD Connect on a Windows Server 2012 or later computer that's joined to the on-premises AD DS domain.

Para trabajar correctamente con la escritura diferida del autoservicio de restablecimiento de contraseña, la cuenta especificada en Azure AD Connect debe tener establecidos los permisos y las opciones correspondientes.To correctly work with SSPR writeback, the account specified in Azure AD Connect must have the appropriate permissions and options set. Si no está seguro de qué cuenta está actualmente en uso, abra Azure AD Connect y seleccione la opción Ver la configuración actual.If you're not sure which account is currently in use, open Azure AD Connect and select the View current configuration option. La cuenta a la que necesita agregar los permisos se muestra en Directorios sincronizados.The account that you need to add permissions to is listed under Synchronized Directories. Se deben establecer los siguientes permisos y opciones en la cuenta:The following permissions and options must be set on the account:

  • Restablecimiento de contraseñasReset password
  • Permisos de escritura en lockoutTimeWrite permissions on lockoutTime
  • Permisos de escritura en pwdLastSetWrite permissions on pwdLastSet
  • Derechos extendidos para "Contraseña no expirada" en el objeto raíz de cada dominio de ese bosque, si aún no se ha establecido.Extended rights for "Unexpire Password" on the root object of each domain in that forest, if not already set.

Si no asigna estos permisos, la escritura diferida puede parecer estar configurada correctamente, pero los usuarios encuentran errores al intentar administrar sus contraseñas locales desde la nube.If you don't assign these permissions, writeback may appear to be configured correctly, but users encounter errors when they manage their on-premises passwords from the cloud. Para que aparezca "contraseña sin expiración", los permisos deben aplicarse a Este objeto y todos los descendientes.Permissions must be applied to This object and all descendant objects for "Unexpire Password" to appear.

Sugerencia

Si las contraseñas de algunas cuentas de usuario no se escriben de nuevo en el directorio local, asegúrese de que la herencia no esté deshabilitada para la cuenta en el entorno de AD DS local.If passwords for some user accounts aren't written back to the on-premises directory, make sure that inheritance isn't disabled for the account in the on-prem AD DS environment. Los permisos de escritura para las contraseñas se deben aplicar a los objetos descendientes para que la característica funcione correctamente.Write permissions for passwords must be applied to descendant objects for the feature to work correctly.

Para configurar los permisos adecuados para que se realice la escritura diferida de contraseñas, complete los pasos siguientes:To set up the appropriate permissions for password writeback to occur, complete the following steps:

  1. En el entorno local de AD DS, abra Usuarios y equipos de Active Directory con una cuenta que tenga los permisos de administración de dominio adecuados.In your on-premises AD DS environment, open Active Directory Users and Computers with an account that has the appropriate domain administrator permissions.

  2. En el menú Ver, asegúrese de que la opción Características avanzadas esté activada.From the View menu, make sure that Advanced features are turned on.

  3. En el panel izquierdo, seleccione con el botón derecho el objeto que representa la raíz del dominio y elija Propiedades > Seguridad > Avanzado.In the left panel, right-select the object that represents the root of the domain and select Properties > Security > Advanced.

  4. En la pestaña Permisos, haga clic en Agregar.From the Permissions tab, select Add.

  5. En Entidad de seguridad, seleccione la cuenta a la que se deben aplicar los permisos (la cuenta que usa Azure AD Connect).For Principal, select the account that permissions should be applied to (the account used by Azure AD Connect).

  6. En la lista desplegable Se aplica a, seleccione Descendent User objects (Objetos del usuario descendientes).In the Applies to drop-down list, select Descendant User objects.

  7. En Permisos, active la casilla para la siguiente opción:Under Permissions, select the box for the following option:

    • Restablecimiento de contraseñasReset password
  8. En Propiedades, active las casillas de las siguientes opciones:Under Properties, select the boxes for the following options. Desplácese por la lista para encontrar estas opciones, que ya se pueden establecer de forma predeterminada:Scroll through the list to find these options, which may already be set by default:

    • Escribir lockoutTimeWrite lockoutTime
    • Escribir pwdLastSetWrite pwdLastSet

    Establecimiento de los permisos adecuados en usuarios y equipos activos para la cuenta usada por Azure AD Connect Set the appropriate permissions in Active Users and Computers for the account that is used by Azure AD Connect

  9. Cuando esté preparado, haga clic en Aplicar o Aceptar para aplicar los cambios y salir de los cuadros de diálogo abiertos.When ready, select Apply / OK to apply the changes and exit any open dialog boxes.

Cuando actualiza los permisos, pueden tardar una hora (o más) en replicarse en todos los objetos del directorio.When you update permissions, it might take up to an hour or more for these permissions to replicate to all the objects in your directory.

Las directivas de contraseñas en el entorno de AD DS local pueden impedir que se procesen correctamente los restablecimientos de contraseña.Password policies in the on-premises AD DS environment may prevent password resets from being correctly processed. Para que la escritura diferida de contraseñas funcione de forma más eficaz, la directiva de grupo para la Vigencia mínima de la contraseña debe establecerse en 0.For password writeback to work most efficiently, the group policy for Minimum password age must be set to 0. Esta configuración se puede encontrar en Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas de cuenta en gpedit.msc.This setting can be found under Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies within gpedit.msc.

Si actualiza la directiva de grupo, espere a que la directiva actualizada se replique o use el comando gpupdate /force.If you update the group policy, wait for the updated policy to replicate, or use the gpupdate /force command.

Nota

Para que las contraseñas se cambien inmediatamente, la escritura diferida de contraseñas debe establecerse en 0.For passwords to be changed immediately, password writeback must be set to 0. Sin embargo, si los usuarios se adhieren a las directivas locales y el campo Vigencia mínima de la contraseña se establece en un valor mayor que cero, la escritura diferida de contraseñas sigue funcionando después de que se evalúen las directivas locales.However, if users adhere to the on-premises policies, and the Minimum password age is set to a value greater than zero, password writeback still works after the on-premises policies are evaluated.

Habilitación de la Escritura diferida de contraseñas en Azure AD ConnectEnable password writeback in Azure AD Connect

Una de las opciones de configuración de Azure AD Connect es para la escritura diferida de contraseñas.One of the configuration options in Azure AD Connect is for password writeback. Cuando esta opción está habilitada, los eventos de cambio de contraseña hacen que Azure AD Connect vuelva a sincronizar las credenciales actualizadas con el entorno de AD DS local.When this option is enabled, password change events cause Azure AD Connect to synchronize the updated credentials back to the on-premises AD DS environment.

Para habilitar la reescritura de SSPR, habilite primero la opción de reescritura en Azure AD Connect.To enable SSPR writeback, first enable the writeback option in Azure AD Connect. Desde el servidor de Azure AD Connect, realice los siguientes pasos:From your Azure AD Connect server, complete the following steps:

  1. Inicie sesión en el servidor de Azure AD Connect e inicie el asistente de configuración de Azure AD Connect.Sign in to your Azure AD Connect server and start the Azure AD Connect configuration wizard.

  2. En la página principal, seleccione Configurar.On the Welcome page, select Configure.

  3. En la página Tareas adicionales, seleccione Personalizar las opciones de sincronización y haga clic en Siguiente.On the Additional tasks page, select Customize synchronization options, and then select Next.

  4. En la página Conectar con Azure AD, escriba una credencial de administrador global para el inquilino de Azure y, después, seleccione Siguiente.On the Connect to Azure AD page, enter a global administrator credential for your Azure tenant, and then select Next.

  5. En las páginas de filtrado Conectar directorios y Dominio/Unidad organizativa, seleccione Siguiente.On the Connect directories and Domain/OU filtering pages, select Next.

  6. En la página Características opcionales, active la casilla junto a Escritura diferida de contraseñas y haga clic en Siguiente.On the Optional features page, select the box next to Password writeback and select Next.

    Configuración de Azure AD Connect para escritura diferida de contraseñas

  7. En la página Listo para configurar, haga clic en Configurar y espere a que se complete el proceso.On the Ready to configure page, select Configure and wait for the process to finish.

  8. Cuando finalice la configuración, seleccione Salir.When you see the configuration finish, select Exit.

Habilitación de la escritura diferida de contraseñas para el autoservicio de restablecimiento de contraseñaEnable password writeback for SSPR

Con la escritura diferida de contraseñas habilitada en Azure AD Connect, configure ahora el autoservicio de restablecimiento de contraseña de Azure AD para la escritura diferida.With password writeback enabled in Azure AD Connect, now configure Azure AD SSPR for writeback. Al habilitar el autoservicio de restablecimiento de contraseña para que use la escritura diferida de contraseñas, los usuarios que cambien o restablezcan su contraseña tendrán la contraseña actualizada sincronizada de nuevo en el entorno de AD DS local.When you enable SSPR to use password writeback, users who change or reset their password have that updated password synchronized back to the on-premises AD DS environment as well.

Para habilitar la escritura diferida de contraseñas en SSPR, complete los pasos siguientes:To enable password writeback in SSPR, complete the following steps:

  1. Inicie sesión en Azure Portal con una cuenta de administrador global.Sign in to the Azure portal using a global administrator account.

  2. Vaya a Azure Active Directory, seleccione Restablecer contraseña y, después, elija Integración local.Search for and select Azure Active Directory, select Password reset, then choose On-premises integration.

  3. Establezca la opción ¿Quiere habilitar Escritura diferida de contraseñas en el directorio local? en .Set the option for Write back passwords to your on-premises directory? to Yes.

  4. Establezca la opción ¿Quiere permitir que los usuarios desbloqueen las cuentas sin restablecer la contraseña? en .Set the option for Allow users to unlock accounts without resetting their password? to Yes.

    Habilitación del autoservicio de restablecimiento de contraseña de Azure AD para la escritura diferida de contraseñas

  5. Cuando esté preparado, seleccione Guardar.When ready, select Save.

Limpieza de recursosClean up resources

Si decide que ya no desea utilizar la funcionalidad de escritura diferida del autoservicio de restablecimiento de contraseña que se ha configurado como parte de este tutorial, realice los siguientes pasos:If you no longer want to use the SSPR writeback functionality you have configured as part of this tutorial, complete the following steps:

  1. Inicie sesión en Azure Portal.Sign in to the Azure portal.
  2. Busque y seleccione Azure Active Directory, haga clic en Restablecimiento de contraseña y, después, elija Integración local.Search for and select Azure Active Directory, select Password reset, then choose On-premises integration.
  3. Establezca la opción ¿Quiere habilitar Escritura diferida de contraseñas en el directorio local? en .Set the option for Write back passwords to your on-premises directory? to No.
  4. Establezca la opción ¿Quiere permitir que los usuarios desbloqueen las cuentas sin restablecer la contraseña? en .Set the option for Allow users to unlock accounts without resetting their password? to No.

Si ya no desea usar ninguna funcionalidad de contraseña, siga estos pasos desde el servidor de Azure AD Connect:If you no longer want to use any password functionality, complete the following steps from your Azure AD Connect server:

  1. Inicie sesión en el servidor de Azure AD Connect e inicie el asistente de configuración de Azure AD Connect.Sign in to your Azure AD Connect server and start the Azure AD Connect configuration wizard.
  2. En la página principal, seleccione Configurar.On the Welcome page, select Configure.
  3. En la página Tareas adicionales, seleccione Personalizar las opciones de sincronización y haga clic en Siguiente.On the Additional tasks page, select Customize synchronization options, and then select Next.
  4. En la página Conectar con Azure AD, escriba una credencial de administrador global para el inquilino de Azure y, después, seleccione Siguiente.On the Connect to Azure AD page, enter a global administrator credential for your Azure tenant, and then select Next.
  5. En las páginas de filtrado Conectar directorios y Dominio/Unidad organizativa, seleccione Siguiente.On the Connect directories and Domain/OU filtering pages, select Next.
  6. En la página Características opcionales, desactive la casilla junto a Escritura diferida de contraseñas y haga clic en Siguiente.On the Optional features page, deselect the box next to Password writeback and select Next.
  7. En la página Listo para configurar, haga clic en Configurar y espere a que se complete el proceso.On the Ready to configure page, select Configure and wait for the process to finish.
  8. Cuando finalice la configuración, seleccione Salir.When you see the configuration finish, select Exit.

Pasos siguientesNext steps

En este tutorial, ha habilitado la escritura diferida del autoservicio de restablecimiento de contraseña de Azure AD en un entorno de AD DS local.In this tutorial, you enabled Azure AD SSPR writeback to an on-premises AD DS environment. Ha aprendido a:You learned how to:

  • Configurar los permisos necesarios para la escritura diferida de contraseñasConfigure the required permissions for password writeback
  • Habilitar la opción de escritura diferida de contraseñas en Azure AD ConnectEnable the password writeback option in Azure AD Connect
  • Habilitar la escritura diferida de contraseñas en el autoservicio de restablecimiento de contraseña de Azure ADEnable password writeback in Azure AD SSPR