Planear una implementación de autoservicio de restablecimiento de contraseña de Microsoft Entra
Importante
Este plan de implementación ofrece instrucciones y procedimientos recomendados para implementar el autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra.
Si es un usuario final y necesita volver a su cuenta, vaya a https://aka.ms/sspr.
Autoservicio de restablecimiento de contraseña (SSPR) es una característica de Microsoft Entra que permite a los usuarios restablecer sus contraseñas sin ponerse en contacto con el personal de TI para obtener ayuda. Los usuarios se pueden desbloquear rápidamente y seguir trabajando con independencia de dónde estén o a la hora del día. Al permitir que los empleados se desbloqueen, su organización puede reducir el tiempo no productivo y los altos costos de soporte técnico para los problemas más comunes relacionados con la contraseña.
SSPR ofrece las siguientes funcionalidades clave:
- El autoservicio permite a los usuarios finales restablecer sus contraseñas expiradas o no expiradas sin ponerse en contacto con un administrador o un departamento de soporte técnico para obtener soporte técnico.
- La escritura diferida de contraseñas permite la administración de contraseñas locales y la resolución de bloqueos de cuenta a través de la nube.
- Los informes de actividad de administración de contraseñas proporcionan a los administradores información sobre el restablecimiento de contraseña y la actividad de registro que se produce en su organización.
En esta guía de implementación se muestra cómo planear y probar una implementación de SSPR.
Para ver rápidamente SSPR en acción y, a continuación, volver para conocer las consideraciones de implementación adicionales:
Sugerencia
Como complemento de este artículo, se recomienda usar la guía de implementación Planear el autoservicio de restablecimiento de contraseña al iniciar sesión en el Centro de administración de Microsoft 365. En esta guía se personaliza la experiencia en función del entorno. Para revisar los procedimientos recomendados sin iniciar sesión y activar las características de configuración automatizadas, vaya al portal de instalación de M365.
Obtener información acerca de SSPR
Más información acerca de SSPR. Consulte Cómo funciona: Autoservicio de restablecimiento de contraseña de Microsoft Entra.
Ventajas principales
Las ventajas clave de habilitar SSPR son:
Administración del coste. SSPR reduce los costes de soporte técnico de TI al permitir que los usuarios restablezcan las contraseñas por sí mismos. También reduce el coste de tiempo perdido debido a la pérdida de contraseñas y bloqueos.
Experiencia de usuario intuitiva. Proporciona un proceso intuitivo único de registro de usuarios que permite a los usuarios restablecer contraseñas y desbloquear cuentas a petición desde cualquier dispositivo o ubicación. SSPR permite a los usuarios volver a trabajar más rápidamente y ser más productivos.
Flexibilidad y seguridad. SSPR permite a las empresas acceder a la seguridad y la flexibilidad que proporciona una plataforma en la nube. Los administradores pueden cambiar la configuración para adaptarse a los nuevos requisitos de seguridad y aplicar los cambios a los usuarios sin interrumpir su inicio de sesión.
Auditoría y seguimiento del uso sólidos. Una organización puede asegurarse de que los sistemas empresariales permanecen seguros mientras sus usuarios restablecen sus propias contraseñas. Los registros de auditoría sólidos incluyen información de cada paso del proceso de restablecimiento de contraseña. Estos registros también están disponibles desde una API y permiten al usuario importar estos datos en el sistema de Administración de eventos e información de seguridad (SIEM) de su elección.
Licencias
Microsoft Entra ID tiene licencia por usuario, lo que significa que cada usuario requiere una licencia adecuada para las características que usan. Se recomienda la concesión de licencias basadas en grupos para SSPR.
Para comparar las ediciones y características y habilitar las licencias basadas en grupos o usuarios, consulte Requisitos de licencias para el autoservicio de restablecimiento de contraseña de Microsoft Entra.
Para obtener más información sobre los precios, consulte precios de Microsoft Entra.
Requisitos previos
Un inquilino de Microsoft Entra en funcionamiento con al menos una licencia de prueba habilitada. Si es necesario, crear uno de forma gratuita.
Debe tener asignado al menos un rol de Administrador de directivas de autenticación.
Tutorial guiado
Para ver un tutorial guiado de muchas de las recomendaciones de este artículo, consulte el Planear la implementación de restablecimiento de contraseña de autoservicio guía al iniciar sesión en el Centro de administración de Microsoft 365. Para revisar los procedimientos recomendados sin iniciar sesión y activar las características de configuración automatizadas, vaya al portal de instalación de M365.
Recursos de entrenamiento
Arquitectura de la solución
En el ejemplo siguiente se describe la arquitectura de la solución de restablecimiento de contraseña para entornos híbridos comunes.
Descripción del flujo de trabajo
Para restablecer la contraseña, los usuarios van al portal de restablecimiento de contraseña. Deben verificar su método o métodos de autenticación registrados anteriormente para demostrar su identidad. Si restablecen correctamente la contraseña, inician el proceso de restablecimiento.
Para los usuarios solo en la nube, SSPR almacena la nueva contraseña en Microsoft Entra ID.
Para los usuarios híbridos, SSPR escribe la contraseña de nuevo en el Active Directory local a través del servicio Microsoft Entra Connect.
Nota
Para los usuarios que tienen Sincronización de hash de contraseña (PHS ) deshabilitada, SSPR solo almacena las contraseñas en Active Directory local.
Procedimientos recomendados
Puede ayudar a los usuarios a registrarse rápidamente mediante la implementación de SSPR junto con otra aplicación o servicio popular en la organización. Esta acción genera un gran volumen de inicios de sesión y fomenta el registro.
Antes de implementar SSPR, puede optar por determinar el número y el costo medio de cada llamada de restablecimiento de contraseña. Puede usar estos datos después de la implementación para mostrar el valor que SSPR está trayendo a la organización.
Registro combinado para la autenticación multifactor de SSPR y Microsoft Entra
SSPR permite a los usuarios restablecer su contraseña de forma segura mediante los mismos métodos que usan para la autenticación multifactor de Microsoft Entra. Registro combinado es un único paso de registro para los usuarios finales que habilitan el registro de métodos MFA y SSPR al mismo tiempo. Para asegurarse de comprender la funcionalidad y la experiencia del usuario final, consulte losConceptos de registro de información de seguridad combinado.
Es fundamental notificar a los usuarios los próximos cambios, los requisitos de registro y las acciones que deben realizar. Con el fin de preparar a los usuarios para la nueva experiencia y ayudar a garantizar un lanzamiento satisfactorio, ponemos a su disposición plantillas de comunicación y documentación para usuarios. Envíe a los usuarios a https://myprofile.microsoft.com para que se registren, para lo que deben seleccionar el vínculo Información de seguridad en esa página.
Planear el proyecto de implementación
Tenga en cuenta las necesidades de la organización mientras determina la estrategia para esta implementación en su entorno.
Participación de las partes interesadas adecuadas
Cuando se produce un error en los proyectos tecnológicos, normalmente lo hacen debido a expectativas no coincidentes en el impacto, los resultados y las responsabilidades. Para evitar estos problemas, asegurarse de que está involucrando a las partes interesadas adecuadas y que los roles de las partes interesadas en el proyecto están bien entendidos mediante la documentación de las partes interesadas y sus entradas y cuentas del proyecto.
Roles de administrador necesarios
| Business Role/Persona | Rol de Microsoft Entra (si es necesario) |
|---|---|
| Departamento de soporte técnico de nivel 1 | Administrador de contraseñas |
| Departamento de soporte técnico de nivel 2 | Administrador de usuarios |
| Administrador de SSPR | Administrador de autenticación |
Planeamiento de un piloto
Se recomienda que la configuración inicial de SSPR esté en un entorno de prueba. Comience con un grupo piloto habilitando SSPR para un subconjunto de usuarios de su organización. Consulte Procedimientos recomendados para un piloto.
Para crear un grupo, consulte cómo Crear un grupo y agregar miembros en Microsoft Entra ID.
Configuración del plan
Se requiere la siguiente configuración para habilitar SSPR junto con los valores recomendados.
| Área | Configuración | Valor |
|---|---|---|
| Propiedades de SSPR | Se habilitó el autoservicio de restablecimiento de contraseña | Grupo seleccionado para piloto o Todas para producción |
| Métodos de autenticación | Métodos de autenticación necesarios para registrar | Siempre 1 más de los necesarios para el restablecimiento |
| Métodos de autenticación necesarios para restablecer | Uno o dos | |
| Registro | Requerir que los usuarios se registren al iniciar sesión | Sí |
| Número de días antes de que se pida a los usuarios que vuelvan a confirmar su información de autenticación | De 90 a 180 días | |
| Notificaciones | Notificar a los usuarios los restablecimientos de contraseña | Sí |
| Notificar a todos los administradores cuando otros administradores restablezcan su contraseña | Sí | |
| Personalización | Personalización del vínculo del departamento de soporte técnico | Sí |
| Dirección URL o correo electrónico del departamento de soporte técnico personalizado | Sitio de soporte técnico o dirección de correo electrónico | |
| Integración local | Escritura diferida de contraseñas en AD local | Sí |
| Permitir que los usuarios desbloqueen la cuenta sin restablecer la contraseña | Sí |
Propiedades de SSPR
Al habilitar SSPR, elija un grupo de seguridad adecuado en el entorno piloto.
- Para aplicar el registro de SSPR para todos los usuarios, se recomienda usar la opción Todos.
- De lo contrario, seleccione el identificador de Entrada de Microsoft o el grupo de seguridad de AD adecuado.
Métodos de autenticación
Cuando SSPR está habilitado, los usuarios solo pueden restablecer su contraseña si tienen datos presentes en los métodos de autenticación que el administrador ha habilitado. Los métodos incluyen teléfono, notificación de aplicación Authenticator, preguntas de seguridad, etc. Para obtener más información, consulte ¿Qué son los métodos de autenticación?.
Se recomienda la siguiente configuración de método de autenticación:
Establezca Authentication methods required to register (Métodos de autenticación requeridos para registrarse) en al menos uno más que el número necesario para el restablecimiento. Permitir varias autenticaciones ofrece a los usuarios flexibilidad cuando necesiten restablecer la contraseña.
Establezca Número de métodos necesarios para restablecer a un nivel adecuado para su organización. Uno requiere la menor fricción, mientras que dos pueden aumentar la posición de seguridad.
Nota: El usuario debe tener los métodos de autenticación configurados en las Directivas y restricciones de contraseña en Microsoft Entra ID.
Configuración de registro
Establezca Requerir que los usuarios se registren al iniciar sesión en Sí. Esta configuración requiere que los usuarios se registren cuando inician sesión, lo que garantiza que todos los usuarios estén protegidos.
Establezca Número de días que pasan hasta que se pide a los usuarios que vuelvan a confirmar su información de autenticación entre 90 y 180 días, a menos que su organización tenga una necesidad de negocio para un plazo de tiempo más corto.
Configuración de notificaciones
Configure tanto ¿Quiere notificar a los usuarios los restablecimientos de contraseña? como ¿Quiere notificar a todos los administradores cuando otros administradores restablezcan su contraseña? en Sí. Al seleccionar Sí en ambos se aumenta la seguridad asegurándose de que los usuarios son conscientes de que se restablece la contraseña. También garantiza que todos los administradores son conscientes de que un administrador cambia una contraseña. Si los usuarios o administradores reciben una notificación y no han iniciado el cambio, pueden notificar inmediatamente un posible problema de seguridad.
Nota
Las notificaciones por correo electrónico del servicio SSPR se envían desde las siguientes direcciones en función de la nube de Azure con la que trabaje:
- Público: msonlineservicesteam@microsoft.com
- China: msonlineservicesteam@oe.21vianet.com
- Gobierno: msonlineservicesteam@azureadnotifications.us
Si observa problemas al recibir las notificaciones, compruebe la configuración de correo no deseado.
Configuración de personalización
Es fundamental personalizar el correo electrónico o la dirección URL del departamento de soporte técnico para asegurarse de que los usuarios que tengan problemas puedan obtener ayuda inmediatamente. Establezca esta opción en una dirección de correo electrónico del departamento de soporte técnico común o una página web con la que están familiarizados los usuarios.
Para obtener más información, consulte Personalizar la funcionalidad de Microsoft Entra para el autoservicio de restablecimiento de contraseña.
Escritura diferida de contraseñas
Escritura diferida de contraseñas está habilitada con Microsoft Entra Connect y escribe restablecimientos de contraseña en la nube en un directorio local existente en tiempo real. Para obtener más información, consulte ¿Qué es la escritura diferida de contraseñas?
Se recomienda la configuración siguiente:
- Asegúrese de que Escritura diferida de contraseñas al Active Directory local esté establecido en Sí.
- Establezca el Permitir que los usuarios desbloqueen la cuenta sin restablecer la contraseña en Sí.
De manera predeterminada, Microsoft Entra ID desbloquea las cuentas cuando se realiza un restablecimiento de contraseña.
Configuración de la contraseña de administrador
Las cuentas de administrador tienen permisos elevados. Los administradores empresariales o de dominios locales no pueden restablecer su contraseña mediante SSPR. Las cuentas de administrador locales tienen las restricciones siguientes:
- Solo se puede cambiar la contraseña en el entorno local.
- Nunca se pueden usar las preguntas y respuestas secretas como método para restablecer su contraseña.
Se recomienda no sincronizar las cuentas de administrador de Active Directory locales con Microsoft Entra ID.
Entornos con varios sistemas de administración de identidades
Algunos entornos tienen varios sistemas de administración de identidades. Los administradores de identidades locales, como Oracle IAM y SiteMinder, requieren sincronización con AD para contraseñas. Puede hacerlo mediante una herramienta como el Servicio de notificaciones de cambio de contraseña (PCNS) con Microsoft Identity Manager (MIM). Para obtener información sobre este escenario más complejo, consulte el artículo Implementación del servicio de notificación de cambio de contraseña de MIM en un controlador de dominio.
Planeamiento de pruebas y soporte técnico
En cada fase de la implementación, desde los grupos piloto iniciales hasta toda la organización, asegúrese de que los resultados son los esperados.
Planeación de pruebas
Para asegurarse de que la implementación funciona según lo previsto, planee un conjunto de casos de prueba para validar la implementación. Para evaluar los casos de prueba, necesita un usuario de prueba que no sea administrador con una contraseña. Si necesita crear un usuario, consulte Agregar nuevos usuarios a Microsoft Entra ID.
En la tabla siguiente se incluyen escenarios de prueba útiles que puede usar para documentar los resultados esperados de las organizaciones en función de las directivas.
| Caso de negocio | Resultados esperados |
|---|---|
| Se puede acceder al portal de SSPR desde la red corporativa | Determinado por su organización |
| El portal de SSPR es accesible desde fuera de la red corporativa | Determinado por su organización |
| Restablecer la contraseña de usuario desde el explorador cuando el usuario no está habilitado para el restablecimiento de contraseña | El usuario no puede acceder al flujo de restablecimiento de contraseña |
| Restablecer la contraseña de usuario desde el explorador cuando el usuario no se ha registrado para el restablecimiento de contraseña | El usuario no puede acceder al flujo de restablecimiento de contraseña |
| El usuario inicia sesión cuando se exige el registro de restablecimiento de contraseña | Se solicita al usuario que registre información de seguridad |
| El usuario inicia sesión cuando se completa el registro de restablecimiento de contraseña | Pide al usuario que registre la información de seguridad |
| Se puede acceder al portal de SSPR cuando el usuario no tiene una licencia | Es accesible |
| Restablecer la contraseña de usuario de la pantalla de bloqueo de dispositivos unidos a Windows 10 Microsoft Entra o unido a Dispositivos unidos a Microsoft Entra | El usuario puede restablecer la contraseña |
| Los datos de uso y registro de SSPR están disponibles para los administradores casi en tiempo real | Está disponible a través de registros de auditoría |
También puede consultar Completar una implementación piloto de autoservicio de restablecimiento de contraseña de Microsoft Entra. En este tutorial, habilitará una implementación piloto de SSPR en la organización y la probará mediante una cuenta que no es de administrador.
Planear el soporte técnico
Aunque SSPR no suele generar problemas de usuario, es importante preparar al personal de soporte técnico para tratar los que puedan surgir. Para posibilitar el éxito de su equipo de soporte, puede crear una sección de preguntas frecuentes basada en las consultas que reciba de sus usuarios. Estos son algunos ejemplos:
| Escenarios | Descripción |
|---|---|
| El usuario no tiene ningún método de autenticación registrado disponible | Un usuario intenta restablecer la contraseña, pero no tiene disponible ninguno de los métodos de autenticación que ha registrado (ejemplo: se ha dejado el teléfono móvil en casa y no puede acceder al correo electrónico). |
| El usuario no recibe un texto o una llamada en su oficina o teléfono celular | Un usuario intenta verificar su identidad mediante mensaje de texto o una llamada, pero no recibe ni un mensaje de texto ni una llamada. |
| El usuario no puede acceder al portal de restablecimiento de contraseñas. | Un usuario quiere restablecer su contraseña, pero no está habilitado para restablecer la contraseña y no puede acceder a la página para actualizar las contraseñas. |
| El usuario no puede establecer una contraseña nueva. | Un usuario finaliza la verificación durante el flujo de restablecimiento de contraseña, pero no puede establecer una contraseña nueva. |
| El usuario no ve un vínculo Restablecer contraseña en un dispositivo Windows 10 | Un usuario está intentando restablecer la contraseña desde la pantalla de bloqueo de Windows 10, pero el dispositivo no está unido a Microsoft Entra ID o la directiva de dispositivos de Microsoft Intune no está habilitada |
Reversión del plan
Para revertir la implementación:
Para un solo usuario, quite el usuario del grupo de seguridad
Para un grupo, quite el grupo de la configuración de SSPR
Para todos, deshabilite SSPR para el inquilino de Microsoft Entra.
Implementación de SSPR
Antes de realizar la implementación, asegúrese de que ha hecho lo siguiente:
Determinó las opciones de configuración adecuadas.
Identificó los usuarios y los grupos para los entornos piloto y de producción.
Determinó los parámetros de configuración para el registro y el autoservicio.
Configuró la escritura diferida de contraseñas si tiene un entorno híbrido.
¡Ahora ya puede realizar la implementación de SSPR!
Consulte Habilitar el autoservicio de restablecimiento de contraseña para obtener instrucciones paso a paso sobre la configuración de las áreas siguientes.
Habilitación de SSPR en Windows
En el caso de los equipos que ejecutan Windows 7, 8, 8.1 y 10, puede permitir que los usuarios restablezcan su contraseña en la pantalla de inicio de sesión de Windows.
Administración de SSPR
Microsoft Entra ID puede proporcionar información adicional sobre el rendimiento de SSPR a través de auditorías e informes.
Informes de actividad de administración de contraseñas
Puede usar informes pregenerados en el Centro de administración de Microsoft Entra para medir el rendimiento de SSPR. Si tiene una licencia adecuada, también puede crear consultas personalizadas. Para obtener más información, consulte Opciones de informes para la administración de contraseñas de Microsoft Entra.
Nota
Debe participar para que estos datos se recopilen para su organización. Para participar, debe visitar la pestaña Informes o los registros de auditoría en el Centro de administración de Microsoft Entra al menos una vez. Hasta entonces, los datos no recopilan para su organización.
Los registros de auditoría para el registro y el restablecimiento de contraseña están disponibles durante 30 días. Si la auditoría de seguridad dentro de la empresa requiere una retención más prolongada, los registros deben exportarse y consumirse en una herramienta SIEM, como Microsoft Sentinel, Splunk o ArcSight.
Métodos de autenticación: uso e información
Uso e información le permiten comprender cómo funcionan los métodos de autenticación para características como la autenticación multifactor de Microsoft Entra y SSPR en su organización. Esta funcionalidad de informes proporciona a su organización los medios para comprender qué métodos se registran y cómo usarlos.
Solucionar problemas
Consulte Solución de problemas del autoservicio de restablecimiento de contraseñas
Siga Preguntas más frecuentes sobre la administración de contraseñas
Documentación útil
¿Cómo funciona: Autoservicio de restablecimiento de contraseña de Microsoft Entra?
Directivas y restricciones de contraseñas en Microsoft Entra ID