Solución de problemas de registro de información de seguridad combinado

Artículo
10/14/2024

La información de este artículo está pensada como guía para los administradores que solucionan problemas notificados por los usuarios de la experiencia de registro combinado.

Registros de auditoría

Los eventos registrados para un registro combinado están en el servicio de métodos de autenticación en los registros de auditoría de Microsoft Entra.

Interfaz de registros de auditoría de Microsoft Entra con los eventos de registro

En la siguiente tabla se muestran todos los eventos de auditoría generados por el registro combinado:

Actividad	Estado	Motivo	Descripción
El usuario registró toda la información de seguridad necesaria	Correcto	El usuario registró toda la información de seguridad necesaria.	Este evento se produce cuando un usuario ha completado correctamente el registro.
El usuario registró toda la información de seguridad necesaria	Error	El usuario canceló el registro de información de seguridad.	Este evento se produce cuando un usuario cancela el registro del modo de interrupción.
El usuario registró información de seguridad	Correcto	El usuario registró el método.	Este evento se produce cuando un usuario registra un método individual. El método puede ser una aplicación de autenticación, un teléfono, una dirección de correo electrónico, preguntas de seguridad, una contraseña de aplicación, un teléfono alternativo, etc.
El usuario revisó la información de seguridad	Correcto	Información de seguridad revisada correctamente por el usuario.	Este evento se produce cuando un usuario selecciona Looks good (Parece correcto) en la página de revisión de información de seguridad.
El usuario revisó la información de seguridad	Error	El usuario no pudo revisar la información de seguridad.	Este evento se produce cuando un usuario selecciona Looks good (Parece correcto) en la página de revisión de información de seguridad, pero se ha producido algún problema en el back-end.
El usuario eliminó información de seguridad	Correcto	El usuario eliminó el método.	Este evento se produce cuando un usuario elimina un método individual. El método puede ser una aplicación de autenticación, un teléfono, una dirección de correo electrónico, preguntas de seguridad, una contraseña de aplicación, un teléfono alternativo, etc.
El usuario eliminó información de seguridad	Error	El usuario no pudo eliminar el método.	Este evento se produce cuando un usuario intenta eliminar un método pero el intento falla por alguna razón. El método puede ser una aplicación de autenticación, un teléfono, una dirección de correo electrónico, preguntas de seguridad, una contraseña de aplicación, un teléfono alternativo, etc.
El usuario cambió la información de seguridad predeterminada	Correcto	El usuario cambió la información de seguridad predeterminada para el método.	Este evento se produce cuando un usuario cambia el método predeterminado. El método puede ser una notificación de la aplicación de autenticación, un código de mi aplicación de autenticación o un token, una llamada al número +X XXXXXXXXXX, un envío de mensaje de un mensaje de texto al número +X XXXXXXXXX, etc.
El usuario cambió la información de seguridad predeterminada	Error	El usuario no pudo cambiar la información de seguridad predeterminada para el método.	Este evento se produce cuando un usuario intenta cambiar el método predeterminado, pero el intento falla por alguna razón. El método puede ser una notificación de la aplicación de autenticación, un código de mi aplicación de autenticación o un token, una llamada al número +X XXXXXXXXXX, un envío de mensaje de un mensaje de texto al número +X XXXXXXXXX, etc.

Solución de problemas del modo de interrupción

Síntoma	Pasos para solucionar problemas
No veo los métodos que esperaba ver.	1. Compruebe si el usuario tiene un rol de administrador de Microsoft Entra. Si es así, vea las diferencias de la directiva de administración de autoservicio de restablecimiento de contraseña. 2. Determine si se ha interrumpido al usuario debido a la exigencia del registro de autenticación multifactor o de autoservicio de restablecimiento de contraseña. Consulte el diagrama de flujo en "Modos de registro combinado" para determinar qué métodos se deben mostrar. 3. Determine cómo se cambió recientemente la directiva de autenticación multifactor o de autoservicio de restablecimiento de contraseña. Si el cambio es reciente, puede que la actualización de la directiva tarde en aplicarse.

Síntoma

Pasos para solucionar problemas

No veo los métodos que esperaba ver.

1. Compruebe si el usuario tiene un rol de administrador de Microsoft Entra. Si es así, vea las diferencias de la directiva de administración de autoservicio de restablecimiento de contraseña.
2. Determine si se ha interrumpido al usuario debido a la exigencia del registro de autenticación multifactor o de autoservicio de restablecimiento de contraseña. Consulte el diagrama de flujo en "Modos de registro combinado" para determinar qué métodos se deben mostrar.
3. Determine cómo se cambió recientemente la directiva de autenticación multifactor o de autoservicio de restablecimiento de contraseña. Si el cambio es reciente, puede que la actualización de la directiva tarde en aplicarse.

Solución de problemas de modo de administración

Síntoma	Pasos para solucionar problemas
No tengo la opción de agregar un método determinado.	1. Determine si el método está habilitado para la autenticación multifactor o para el autoservicio de restablecimiento de contraseña. 2. Si el método está habilitado, vuelva a guardar las directivas y espere entre 1 y 2 horas antes de volver a probar. 3. Si el método está habilitado, asegúrese de que el usuario no lo haya configurado el número máximo de veces que puede hacerlo.

Procedimientos para revertir a los usuarios

Si usted, como administrador, quiere restablecer la configuración de autenticación multifactor de un usuario, puede usar el script de PowerShell proporcionado en la siguiente sección. El script borrará la propiedad StrongAuthenticationMethods de la aplicación móvil o el número de teléfono de un usuario. Si ejecuta este script para los usuarios, se tendrán que volver a registrar para la autenticación multifactor cuando la necesiten. Se recomienda probar la reversión con uno o dos usuarios antes de revertir a todos los usuarios afectados.

Los pasos siguientes le ayudarán a revertir a un usuario o grupo de usuarios.

Requisitos previos

Nota:

Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lee la actualización de desuso. Desde esta fecha, el soporte de estos módulos se limita a la asistencia de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.

Se recomienda migrar a PowerShell de Microsoft Graph para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para preguntas comunes sobre la migración, consulte las Preguntas frecuentes sobre migración. Nota: versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.

Instale los módulos de Azure AD PowerShell adecuados. En una ventana de PowerShell, ejecute estos comandos para instalar los módulos:
```
Install-Module -Name MSOnline
Import-Module MSOnline
```
Guarde la lista de los identificadores de objetos de usuario afectados en el equipo como un archivo de texto con un identificador por línea. Tome nota de la ubicación del archivo.

Guarde el siguiente script en el equipo y tome nota de su ubicación:

<# 
//********************************************************
//*                                                      *
//*   Copyright (C) Microsoft. All rights reserved.      *
//*                                                      *
//********************************************************
#>

param($path)

# Define Remediation Fn
function RemediateUser {

    param  
    (
        $ObjectId
    )

    $user = Get-MsolUser -ObjectId $ObjectId

    Write-Host "Checking if user is eligible for rollback: UPN: "  $user.UserPrincipalName  " ObjectId: "  $user.ObjectId -ForegroundColor Yellow

    $hasMfaRelyingParty = $false
    foreach($p in $user.StrongAuthenticationRequirements)
    {
        if ($p.RelyingParty -eq "*")
        {
            $hasMfaRelyingParty = $true
            Write-Host "User was enabled for per-user MFA." -ForegroundColor Yellow
        }
    }

    if ($user.StrongAuthenticationMethods.Count -gt 0 -and -not $hasMfaRelyingParty)
    {
        Write-Host $user.UserPrincipalName " is eligible for rollback" -ForegroundColor Yellow
        Write-Host "Rolling back user ..." -ForegroundColor Yellow
        Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName $user.UserPrincipalName
        Write-Host "Successfully rolled back user " $user.UserPrincipalName -ForegroundColor Green
    }
    else
    {
        Write-Host $user.UserPrincipalName " is not eligible for rollback. No action required."
    }

    Write-Host ""
    Start-Sleep -Milliseconds 750
}

# Connect
Import-Module MSOnline
Connect-MsolService

foreach($line in Get-Content $path)
{
    RemediateUser -ObjectId $line
}

Reversión

En una ventana de PowerShell, ejecute el comando siguiente y proporcione el script y las ubicaciones de archivo del usuario. Proporcione al menos credenciales de administrador de autenticación con privilegios cuando se le solicite. El script generará el resultado de cada operación de actualización de usuarios.

<script location> -path <user file location>

Pasos siguientes

Más información sobre el registro combinado para el autoservicio de restablecimiento de contraseña y la autenticación multifactor de Microsoft Entra

Compartir a través de