Compartir a través de

Habilitación de la protección con contraseña de Microsoft Entra local

  • Artículo

A menudo, los usuarios crean contraseñas que usan palabras locales comunes, como una escuela, un equipo deportivo o una persona famosa. Estas contraseñas son fáciles de adivinar y no son seguras frente a ataques basados en diccionarios. Para aplicar contraseñas seguras en su organización, La protección con contraseña de Microsoft Entra proporciona una lista global y personalizada de contraseñas prohibidas. Se produce un error en una solicitud de cambio de contraseña si hay una coincidencia en esta lista de contraseñas prohibidas.

Para proteger el entorno local de Active Directory Domain Services (AD DS), puede instalar y configurar la protección con contraseña de Microsoft Entra para que funcione con el controlador de dominio local. En este artículo se muestra cómo habilitar la protección con contraseña de Microsoft Entra para su entorno local.

Para obtener más información sobre cómo funciona La protección con contraseña de Microsoft Entra en un entorno local, vea Cómo aplicar la protección con contraseña de Microsoft Entra para Windows Server Active Directory.

Antes de empezar

En este artículo se muestra cómo habilitar la protección con contraseña de Microsoft Entra para su entorno local. Antes de finalizar este artículo, instale y registre el servicio de proxy de protección de contraseña de Microsoft Entra y los agentes de controlador de dominio (DC) en el entorno local de AD DS.

Habilitación de la protección con contraseña local

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de autenticación como mínimo.

  2. Vaya a Protección>Métodos de autenticación>Protección de contraseña.

  3. Establezca la opción Habilitar protección con contraseña en Windows Server Active Directory en .

    Cuando esta configuración se establece en No, todos los agentes de protección de contraseñas de Microsoft Entra implementados en los controladores de dominio entran en un estado de espera en el que se aceptan todas las contraseñas as-is. No se realizan actividades de validación y no se generan eventos de auditoría.

  4. Se recomienda establecer inicialmente el modo en Auditoría. Cuando esté familiarizado con la característica y el impacto en los usuarios de su organización, puede cambiar el modo a Forzado. Para obtener más información, consulte la sección siguiente sobre modos de operación.

  5. Cuando esté preparado, seleccione Guardar.

    Habilitar la protección con contraseña local en Métodos de autenticación en el Centro de administración de Microsoft Entra

Modos de operación

Al habilitar la protección con contraseña de Microsoft Entra local, puede usar el modo de auditoría o el modo de aplicación. Se recomienda que la implementación inicial y las pruebas siempre comiencen en modo auditoría. Las entradas del registro de eventos se deben supervisar después para tantear si alguno de los procesos operativos existentes se vería perturbado una vez que se habilite el modo Forzado.

Modo Auditoría

El modo Auditoría está previsto como una forma de ejecutar el software en un modo "what if". Cada servicio de agente de controlador de dominio de la protección con contraseña de Microsoft Entra evalúa una contraseña de entrada según la directiva activa en el momento.

Si la directiva actual está configurada para estar en modo auditoría, las contraseñas "incorrectas" producen mensajes de registro de eventos, pero se procesan y actualizan. Este comportamiento es la única diferencia entre el modo de auditoría y aplicación. Todas las demás operaciones se ejecutan igual.

Modo forzado

El modo Forzado está previsto como la configuración final. Como en el anterior modo de auditoría, cada servicio de agente de controlador de dominio de la protección con contraseña de Microsoft Entra evalúa las contraseñas de entrada según la directiva activa en el momento. Sin embargo, cuando se habilita el modo aplicado, se rechaza una contraseña que se considera no segura según la directiva.

Cuando un agente de controlador de dominio de la protección con contraseña de Microsoft Entra rechaza una contraseña en modo Forzado, el usuario final ve un error similar al que percibiría si su contraseña fuese rechazada por la aplicación tradicional de complejidad de la contraseña local. Por ejemplo, un usuario podría ver el siguiente mensaje de error tradicional en la pantalla inicio de sesión de Windows o cambiar la contraseña:

"No se puede actualizar la contraseña. El valor proporcionado para la nueva contraseña no cumple los requisitos de longitud, complejidad o historial del dominio".

Este mensaje es solo un ejemplo de varios resultados posibles. El mensaje de error específico puede variar en función del software o escenario real que intenta establecer una contraseña no segura.

Es posible que los usuarios finales afectados necesiten trabajar con su personal de TI para comprender los nuevos requisitos y elegir contraseñas seguras.

Nota

La protección con contraseña de Microsoft Entra no tiene control sobre el mensaje de error específico que muestra la máquina cliente cuando se rechaza una contraseña débil.

Pasos siguientes

Para personalizar la lista de contraseñas prohibidas de su organización, consulte Configuración de contraseñas prohibidas personalizadas para la protección con contraseña de Microsoft Entra.

Para supervisar los eventos locales, vea Supervisión de la protección de contraseñas de Microsoft Entra.