Funcionamiento: Autoservicio de restablecimiento de contraseña de Microsoft Entra
El autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra ofrece a los usuarios en la posibilidad de cambiar o restablecer su contraseña, sin necesidad de que intervengan el administrador ni el departamento de soporte técnico. Si la cuenta de un usuario está bloqueada o se ha olvidado su contraseña, puede seguir las indicaciones para desbloquearse y volver al trabajo. Esta capacidad reduce las llamadas al departamento de soporte técnico y la pérdida de productividad cuando un usuario no puede iniciar sesión en su dispositivo o en una aplicación. Se recomienda este vídeo sobre Cómo habilitar y configurar el SSPR en Microsoft Entra ID.
Importante
Este artículo teórico explica al administrador cómo funciona el autoservicio de restablecimiento de contraseña. Los usuarios finales registrados para el restablecimiento de contraseña de autoservicio que necesiten volver a su cuenta deben ir a https://aka.ms/sspr.
Si el equipo de TI no ha habilitado la capacidad para restablecer su propia contraseña, póngase en contacto con el departamento de soporte técnico para obtener ayuda adicional.
¿Cómo funciona el proceso de restablecimiento de contraseña?
Un usuario puede restablecer o cambiar su contraseña desde el portal de SSPR. Primero es necesario que registren los métodos de autenticación que deseen utilizar. Cuando un usuario accede al portal de SSPR, la plataforma Microsoft Entra tiene en cuenta las siguientes cuestiones:
- ¿Cómo se debe localizar la página?
- ¿Es válida la cuenta de usuario?
- ¿A qué organización pertenece el usuario?
- ¿Dónde se administra la contraseña del usuario?
Cuando un usuario selecciona el vínculo No se puede tener acceso a la cuenta desde una aplicación o página, o bien accede directamente a https://aka.ms/sspr, el idioma utilizado en el portal de SSPR se basa en las siguientes opciones:
- De forma predeterminada, se utiliza la configuración regional del explorador para mostrar el portal de SSPR en el idioma correspondiente. La experiencia de restablecimiento de contraseña está traducida a los mismos idiomas que admite Microsoft 365.
- Si desea crear un vínculo al portal de SSPR en un idioma traducido específico, anexe
?mkt=
al final de la dirección URL de restablecimiento de contraseña, junto con la configuración regional necesaria.- Por ejemplo, para especificar la configuración regional de español es-us, utilice
?mkt=es-us
- https://passwordreset.microsoftonline.com/?mkt=es-us.
- Por ejemplo, para especificar la configuración regional de español es-us, utilice
Una vez que el portal de SSPR se muestra en el idioma necesario, se solicita al usuario que especifique un Id. de usuario y verifique un captcha. Microsoft Entra ID verifica que el usuario pueda utilizar el SSPR. Para ello, lleva a cabo las siguientes comprobaciones:
- Comprueba si el usuario tiene habilitado SSPR.
- Si el usuario no tiene habilitado SSPR, se le solicitará que se ponga en contacto con el administrador para restablecer la contraseña.
- Comprueba que el usuario tiene los métodos de comprobación correctos definidos en la cuenta según la directiva del administrador.
- Si la directiva requiere un único método de autenticación, comprueba que el usuario tenga definidos los datos adecuados para al menos uno de los métodos de autenticación habilitados por la directiva del administrador.
- Si los métodos de autenticación no están configurados, es aconsejable que el usuario se ponga en contacto con el administrador para restablecer la contraseña.
- Si la directiva requiere dos métodos, comprueba que el usuario tiene definidos los datos adecuados para al menos dos de los métodos de autenticación habilitados por la directiva del administrador.
- Si los métodos de autenticación no están configurados, es aconsejable que el usuario se ponga en contacto con el administrador para restablecer la contraseña.
- Si se asigna un rol de administrador de Azure al usuario, se aplica la directiva de contraseñas seguras de dos puertas. Para más información, consulte Diferencias entre directivas de restablecimiento de administrador.
- Si la directiva requiere un único método de autenticación, comprueba que el usuario tenga definidos los datos adecuados para al menos uno de los métodos de autenticación habilitados por la directiva del administrador.
- Comprueba si la contraseña del usuario se administra localmente, por ejemplo, como cuando un inquilino de Microsoft Entra ID utiliza la autenticación federada de paso a través, o bien la sincronización de hash de contraseña:
- Si la escritura diferida de SSPR se ha configurado y la contraseña del usuario se administra localmente, el usuario puede continuar con la autenticación y restablecer la contraseña.
- Si la escritura diferida de SSPR no se ha implementado y la contraseña del usuario se administra localmente, se solicitará al usuario que se ponga en contacto con el administrador para restablecer la contraseña.
Si todas las comprobaciones anteriores se han completado correctamente, se guiará al usuario a través del proceso de restablecimiento o cambio de contraseña.
Nota:
SSPR puede enviar notificaciones por correo electrónico a los usuarios como parte del proceso de restablecimiento de contraseña. Estos mensajes de correo electrónico se envían mediante el servicio de retransmisión SMTP, que funciona en modo activo/activo en varias regiones.
Los servicios de retransmisión SMTP reciben y procesan el cuerpo del correo electrónico, pero no lo almacenan. El cuerpo del correo electrónico de SSPR que podría contener información proporcionada por el cliente no se almacena en los registros del servicio de retransmisión SMTP. Los registros solo contienen metadatos de protocolo.
Para empezar a trabajar con SSPR, complete el siguiente tutorial:
Exigir a los usuarios que se registren al iniciar sesión
Esta opción se puede habilitar para exigir que un usuario complete el registro del SSPR si utiliza autenticación moderna o un explorador web para iniciar sesión en cualquier aplicación mediante Microsoft Entra ID. Este flujo de trabajo incluye las siguientes aplicaciones:
- Microsoft 365
- Centro de administración de Microsoft Entra
- Panel de acceso
- Aplicaciones federadas
- Aplicaciones personalizadas que usan el identificador de Microsoft Entra
Cuando el registro no sea un requisito, no se instará a los usuarios a completar el registro durante el inicio de sesión, pero podrán registrarse manualmente. Los usuarios pueden visitar https://aka.ms/ssprsetup o bien seleccionar el vínculo Registrarme para restablecer la contraseña en la pestaña Perfil del Panel de acceso.
Nota:
Para descartar el portal de registro SSPR, los usuarios tienen que seleccionar Cancelar o cerrar la ventana. Sin embargo, se les solicitará que se registren cada vez que inician sesión hasta que completen el registro.
Esta interrupción para solicitar el registro no afecta a la conexión del usuario si ya ha iniciado sesión.
Volver a confirmar la información de autenticación
Para asegurarse de que los métodos de autenticación sean correctos cuando es necesario restablecer o cambiar la contraseña de los usuarios, puede exigir que estos confirmen la información que hayan registrado transcurrido un periodo de tiempo determinado. Esta opción solo está disponible si habilita la opción Exigir a los usuarios que se registren al iniciar sesión.
Los valores válidos para solicitar a un usuario que confirme los métodos que ha registrado abarcan de 0 a 730 días. Si el valor se establece en 0, nunca se solicitará a los usuarios que confirmen la información de autenticación. Al usar la experiencia de registro combinada, los usuarios deberán confirmar su identidad antes de volver a confirmar su información.
Métodos de autenticación
Cuando un usuario está habilitado para SSPR, tiene que registrar al menos un método de autenticación. Es muy recomendable elegir dos o más métodos de autenticación. De este modo, los usuarios tendrán más flexibilidad en el caso de que no puedan acceder a uno de los métodos cuando lo necesiten. Para más información, consulte ¿Qué son los métodos de autenticación?.
Están disponibles los siguientes métodos de autenticación:
- Notificación en aplicación móvil
- Código de aplicación móvil
- Teléfono móvil
- Teléfono de la oficina (disponible solo para inquilinos con suscripciones de pago)
- Preguntas de seguridad
Los usuarios solo pueden restablecer su contraseña si registran un método de autenticación que el administrador haya habilitado.
Advertencia
Las cuentas que tienen asignados roles de administrador de Azure deben utilizar los métodos definidos en la sección Diferencias entre directivas de restablecimiento de administrador.
Número de métodos de autenticación requeridos
El número de métodos de autenticación disponibles que un usuario debe proporcionar para restablecer o desbloquear su contraseña se puede configurar. El valor se puede establecer en uno o dos.
Los usuarios deben registrar varios métodos de autenticación para iniciar sesión de otra manera si no pudieran acceder a un método.
Si un usuario no registrase el número mínimo de métodos necesarios, verá una página de error cuando intente usar el autoservicio de restablecimiento de contraseña. Deberán solicitar que un administrador restablezca su contraseña. Para obtener más información, consulte: Cambiar métodos de autenticación.
Aplicación móvil y SSPR
Cuando se usa una aplicación móvil como método para el restablecimiento de contraseña, como Microsoft Authenticator, se aplican las siguientes consideraciones si una organización no migró a la directiva de métodos de autenticación centralizada:
- Cuando los administradores requieren que se utilice un método para restablecer una contraseña, el código de verificación es la única opción disponible.
- Cuando los administradores requieren que se utilicen dos métodos para restablecer una contraseña, los usuarios podrán utilizar una notificación, o bien un código de verificación, además de cualquier otro método habilitado.
Número de métodos requeridos para el restablecimiento | Uno | Dos |
---|---|---|
Características de las aplicaciones móviles disponibles | Código | Código o notificación |
Pueden registrar su aplicación móvil en https://aka.ms/mfasetup o en la página de registro de información de seguridad combinada en https://aka.ms/setupsecurityinfo.
Importante
Authenticator no se puede seleccionar como único método de autenticación cuando se requiere solo un método. De forma similar, tampoco es posible seleccionar Authenticator y un único método adicional si se requieren dos métodos.
Al configurar directivas de SSPR que incluyan la aplicación autenticadora como método, es necesario seleccionar al menos un método adicional cuando se requiere un método, y al menos dos métodos adicionales cuando se requieren dos métodos.
Cambio de métodos de autenticación
¿Qué sucede si empieza con una directiva que solo tiene registrado un método de autenticación requerido para el restablecimiento o el desbloqueo y cambia a dos métodos?
Número de métodos registrados | Número de métodos requeridos | Resultado |
---|---|---|
1 o más | 1 | Permite restablecer o desbloquear |
1 | 2 | No permite restablecer o desbloquear |
2 o más | 2 | Permite restablecer o desbloquear |
Cambiar los métodos de autenticación disponibles también puede plantear problemas a los usuarios. Si cambia los métodos de autenticación disponibles, los usuarios sin la cantidad mínima de datos disponibles no podrán usar SSPR.
Considere el escenario de ejemplo siguiente:
- La directiva original se configura con dos métodos de autenticación necesarios. Solo usa el número de teléfono de la oficina y las preguntas de seguridad.
- El administrador cambia la directiva para dejar de usar las preguntas de seguridad, pero permite el uso de un teléfono móvil y de un correo electrónico alternativo.
- Los usuarios que tengan vacíos los campos de teléfono móvil o correo electrónico alternativo en este momento no podrán restablecer sus contraseñas.
Notificaciones
Para mejorar el reconocimiento de los eventos de contraseña, SSPR permite configurar notificaciones para los usuarios y los administradores de identidades.
¿Quiere notificar a los usuarios los restablecimientos de contraseña?
Si esta opción se ha establecida en Sí, los usuarios que restablezcan la contraseña recibirán un correo electrónico para informarles de que la contraseña se ha cambiado. El correo electrónico se envía a través del portal del SSPR a las direcciones de correo electrónico principal y alternativa que se hayan almacenado en Microsoft Entra ID. Si no se define una dirección de correo electrónico principal o alternativa, el SSPR intentará enviar una notificación por correo electrónico a través del nombre principal de usuario (UPN). A ningún otro usuario se le informa del evento de restablecimiento.
Notificación a todos los administradores cuando otros administradores restablecen sus contraseñas
Si esta opción está establecida en Sí, los administradores globales reciben un correo electrónico a su dirección de correo electrónico principal almacenada en Microsoft Entra ID. En el correo electrónico se les notifica que otro administrador ha cambiado su contraseña mediante SSPR.
Nota:
Las notificaciones de correo electrónico del servicio SSPR se enviarán desde las siguientes direcciones en función de la nube de Azure con la que trabaje:
- Pública: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
- Microsoft Azure operado por 21Vianet (Azure en China): msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
- Azure para la Administración Pública de Estados Unidos: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us
Si tiene problemas para recibir notificaciones, compruebe la configuración del correo no deseado.
Si quiere que los administradores personalizados reciban los correos electrónicos de notificación, use personalizaciones de SSPR y configure un vínculo o correo electrónico personalizado del departamento de soporte técnico.
Integración local
En un entorno híbrido, configure la sincronización en la nube de Microsoft Entra Connect para volver a escribir eventos de cambio de contraseña desde Microsoft Entra ID a un directorio local.
Microsoft Entra ID comprueba la conectividad híbrida actual y proporciona los mensajes del Centro de administración de Microsoft Entra: Para obtener ayuda para resolver posibles errores, consulte Solucionar problemas de Microsoft Entra Connect.
Para empezar a trabajar con la escritura diferida de SSPR, realice el siguiente tutorial:
Escritura diferida de contraseñas en un directorio local
Puede habilitar la escritura diferida de contraseñas mediante el centro de administración de Microsoft Entra. También puede deshabilitar temporalmente la escritura diferida de contraseñas sin necesidad de volver a configurar Microsoft Entra Connect.
- Si la opción se ha establecido en Sí, la escritura diferida estará habilitada. Los usuarios que utilicen la autenticación federada de paso a través o la sincronización de hash de contraseña podrán restablecer sus contraseñas.
- Si la opción se ha establecido en No, la escritura diferida estará deshabilitada. Los usuarios que utilicen la autenticación federada de paso a través o la sincronización de hash de contraseña no podrán restablecer sus contraseñas.
Permitir a los usuarios desbloquear las cuentas sin restablecer la contraseña
De forma predeterminada, Microsoft Entra ID desbloquea las cuentas cuando se realiza un restablecimiento de contraseña. Para proporcionar flexibilidad, puede permitir que los usuarios desbloqueen sus cuentas locales sin tener que restablecer la contraseña. Utilice esta opción para separar esas dos operaciones.
- Si se establece en Sí, los usuarios tienen la opción de restablecer su contraseña y desbloquear la cuenta, o bien de desbloquear la cuenta sin tener que restablecer la contraseña.
- Si se establece en No, los usuarios solo pueden realizar una operación combinada de restablecimiento de contraseña y desbloqueo de cuenta.
Filtros de la contraseña de Active Directory local
SSPR efectúa una operación equivalente a un restablecimiento de contraseña iniciado por el administrador en Active Directory. Si utiliza un filtro de contraseñas de terceros para aplicar reglas de contraseñas personalizadas y requiere que este filtro de contraseñas se compruebe durante el autoservicio de restablecimiento de contraseña de Microsoft Entra, asegúrese de que el filtro de contraseña de terceros se haya configurado para utilizarse en el escenario de restablecimiento de contraseña del administrador. De forma predeterminada, se proporciona compatibilidad con la protección con contraseña de Microsoft Entra para Windows Server Active Directory.
Restablecimiento de contraseña para usuarios B2B
El restablecimiento y el cambio de contraseña son totalmente compatibles con todas las configuraciones negocio a negocio (B2B). Se admiten los tres casos siguientes para el restablecimiento de contraseña de usuario B2B:
- Usuarios de una organización asociada con un inquilino de Microsoft Entra existente: si el asociado tuviera un inquilino de Microsoft Entra, se respetarán todas las directivas de restablecimiento de contraseña que estén habilitadas en dicho inquilino. Para que el restablecimiento de contraseña funcione, la organización asociada solo tiene que asegurarse de que el SSPR de Microsoft Entra está habilitado. No tiene otros costes para los clientes de Microsoft 365.
- Usuarios que se registran mediante el registro de autoservicio: si el asociado usó la característica de registro de autoservicio para acceder a un inquilino, se permitirá que restablezca la contraseña con el correo electrónico que registró.
- Usuarios B2B: cualquier nuevo usuario B2B creado con la nueva funcionalidad B2B de Microsoft Entra podrá restablecer su contraseña con el correo electrónico que haya registrado durante el proceso de invitación.
Para probar este escenario, vaya a https://passwordreset.microsoftonline.com
con uno de estos usuarios asociados. Si el usuario definió un correo electrónico alternativo o de autenticación, el restablecimiento de contraseña funcionará según lo esperado.
Nota:
Las cuentas de Microsoft que tengan acceso de invitado al inquilino de Microsoft Entra, como las de Hotmail.com, Outlook.com u otras direcciones de correo electrónico personales, no podrán utilizar el SSPR de Microsoft Entra. Para obtener más información, consulte Cuando no es posible iniciar sesión en la cuenta Microsoft.
Pasos siguientes
Para empezar a trabajar con SSPR, complete el siguiente tutorial: