Editar

Compartir a través de


Preguntas frecuentes acerca del autoservicio de restablecimiento de contraseña

Estas son algunas preguntas frecuentes sobre todos los aspectos relacionados con el autoservicio de restablecimiento de contraseña.

Si tiene alguna pregunta general acerca de Microsoft Entra ID y el autoservicio de restablecimiento de contraseña (SSPR) que no haya sido respondida aquí, puede pedir ayuda a la comunidad en la página de preguntas de Microsoft Q&A para Microsoft Entra ID. La comunidad está formada por ingenieros, jefes de producto, MVP y profesionales de TI.

Estas preguntas frecuentes se dividen en las siguientes secciones:

  • Preguntas acerca del registro de restablecimiento de contraseña
  • Preguntas acerca del restablecimiento de contraseña
  • Preguntas acerca del cambio de contraseña
  • Preguntas acerca de los informes de la administración de contraseñas
  • Preguntas acerca de la escritura diferida de contraseñas

Registro del restablecimiento de contraseña

¿Pueden mis usuarios registrar sus propios datos para el restablecimiento de contraseña?

Sí. Siempre que el restablecimiento de contraseña esté habilitado y los usuarios cuenten con licencia, pueden ir al portal de registro de restablecimiento de contraseña (https://aka.ms/ssprsetup) para registrar su información de autenticación. Los usuarios también pueden registrarse a través del Panel de acceso (https://myapps.microsoft.com). Para ello, en el panel de acceso deben seleccionar su imagen de perfil y, después, Perfil y la opción Registrarme para restablecer la contraseña.

Si habilita el registro combinado, los usuarios pueden registrarse tanto en SSPR como en la autenticación multifactor de Microsoft Entra al mismo tiempo.

Si habilito el restablecimiento de contraseña de un grupo y decido habilitarla para todo el mundo, ¿deben volver a registrarse mis usuarios?

No. No es necesario que los usuarios cuyos datos de autenticación estén rellenados vuelvan a registrarse.

¿Puedo definir datos de restablecimiento de contraseña en nombre de mis usuarios?

¿Puedo sincronizar los datos de las preguntas de seguridad desde el entorno local?

No es posible actualmente.

¿Mis usuarios pueden registrar datos de forma que otros usuarios no puedan verlos?

Sí. Cuando los usuarios utilizan el portal de registro de restablecimiento de contraseña para registrar datos, estos se guardan en campos de autenticación privados que solo pueden ver los administradores de autenticación globales con privilegios y el propio usuario.

¿Deben registrarse mis usuarios para poder utilizar el restablecimiento de contraseña?

No. Si define información de autenticación suficiente en nombre de sus usuarios, estos no tendrán que registrarse. El restablecimiento de contraseña funciona siempre que tenga los datos con formato correcto almacenados en los campos adecuados del directorio.

¿Puedo sincronizar o definir los campos Teléfono de autenticación, Correo electrónico de autenticación o Teléfono de autenticación alternativo en nombre de mis usuarios?

Los campos que puede establecer un administrador de autenticación con privilegios se definen en el artículo Requisitos de datos de SSPR.

¿Cómo determina el portal de registro cuáles son las opciones que tiene que mostrar a mis usuarios?

En el portal de registro de restablecimiento de contraseña solo se muestran las opciones habilitadas para los usuarios. Estas opciones se encuentran en la sección Políticas de restablecimiento de contraseña del usuario de la pestaña Configurar del directorio. Por ejemplo, si no habilita las preguntas de seguridad, los usuarios no podrán registrarse para obtener esa opción.

¿Cuándo se considera que un usuario está registrado?

Se considera que un usuario está registrado para SSPR cuando ha registrado al menos el Número de métodos necesarios para restablecer una contraseña que ha establecido en el Centro de administración Microsoft Entra.

Restablecer contraseña

¿Se impide que los usuarios realicen varios intentos para restablecer una contraseña en un breve período de tiempo?

Sí, existen características de seguridad integradas en el restablecimiento de contraseña a fin de ofrecer protección frente al uso indebido.

Los usuarios pueden intentar validar su información (por ejemplo, su número de teléfono), pero si no pueden demostrar su identidad cinco veces en un período de 24 horas, quedan bloqueados durante 24 horas.

Los usuarios pueden intentar validar un número de teléfono, usar una aplicación de autenticación, enviar un mensaje de texto o validar preguntas y respuestas de seguridad solo cinco veces en un período de una hora antes de quedar bloqueados durante 24 horas.

Los usuarios pueden enviar un correo electrónico un máximo de 10 veces en un período de 10 minutos antes de que se les bloquee durante 24 horas.

Los contadores se restablecen una vez que un usuario restablece su contraseña.

¿Cuánto tiempo debo esperar para recibir un correo electrónico, un mensaje de texto o una llamada telefónica para el restablecimiento de contraseña?

Los mensajes de correo electrónico, los mensajes de texto y las llamadas telefónicas se recibirán en menos de un minuto. Lo más común es que tarden entre 5 y 20 segundos. Si no recibe la notificación en este período de tiempo:

  • Compruebe la carpeta de correo no deseado.
  • Compruebe que el número o el correo electrónico de contacto sean los esperados.
  • Compruebe que los datos de autenticación del directorio tengan el formato correcto (por ejemplo: +1 4255551234 o user@contoso.com).

¿Qué idiomas son compatibles con el restablecimiento de contraseña?

La UI del restablecimiento de contraseña, los mensajes de texto y las llamadas de voz están localizados en los mismos idiomas que admite Microsoft 365.

¿En qué partes de la experiencia de restablecimiento de contraseña aparece mi marca si defino los objetos de personalización de marca de mi organización en la pestaña de configuración del directorio?

El portal de restablecimiento de contraseña muestra el logotipo de su organización y también le permite configurar el vínculo "Póngase en contacto con el administrador" para dirigirlo a una dirección URL o un correo electrónico personalizado. Todo correo electrónico enviado por el proceso de restablecimiento de contraseña incluye el logotipo, los colores y el nombre de su organización en el cuerpo del correo electrónico y se personaliza a partir de una configuración específica.

¿Cómo puedo informar a mis usuarios acerca de dónde acudir para restablecer sus contraseñas?

Pruebe algunas de las sugerencias de nuestro artículo sobre la implementación del autoservicio de restablecimiento de contraseña (SSPR).

¿Puedo usar esta página desde un dispositivo móvil?

Sí, esta página funciona en dispositivos móviles.

¿Se admite el desbloqueo de cuentas locales de Active Directory cuando los usuarios restablecen sus contraseñas?

Sí. Cuando un usuario restablece la contraseña y se ha implementado la escritura diferida de contraseñas mediante Microsoft Entra Connect, esa cuenta de usuario se desbloquea automáticamente al restablecer la contraseña.

¿Cómo puedo integrar directamente el restablecimiento de contraseña en la experiencia de inicio de sesión de escritorio de mi usuario?

Si es cliente de Microsoft Entra ID P1 o P2, puede instalar Microsoft Identity Manager sin coste adicional e implementar la solución de restablecimiento de contraseña en el entorno local.

¿Es posible establecer preguntas de seguridad diferentes para distintas configuraciones regionales?

No es posible actualmente.

¿Cuántas preguntas se pueden configurar en la opción de autenticación de preguntas de seguridad?

Puede configurar hasta 20 preguntas de seguridad personalizadas en el Centro de administración Microsoft Entra.

¿Qué longitud pueden tener las preguntas de seguridad?

Las preguntas de seguridad pueden tener entre 3 y 200 caracteres.

¿Qué longitud pueden tener las respuestas a las preguntas de seguridad?

Las respuestas pueden tener entre 3 y 40 caracteres.

¿Se rechazan las respuestas duplicadas a las preguntas de seguridad?

Sí, rechazaremos las respuestas duplicadas a las preguntas de seguridad.

¿Puede un usuario registrar la misma pregunta de seguridad más de una vez?

No. Después de que un usuario registre una pregunta específica, no podrá volver a registrarla.

¿Es posible establecer un límite mínimo de preguntas de seguridad para el registro y el restablecimiento?

Sí, es posible establecer un límite para el registro y otro para el restablecimiento. Se pueden requerir entre tres y cinco preguntas de seguridad tanto para el registro como para el restablecimiento.

He configurado mi directiva para que requiera que los usuarios utilicen preguntas de seguridad para realizar el restablecimiento, pero parece que los administradores de Azure están configurados de otra forma.**

Este es el comportamiento esperado. Microsoft exige una directiva segura de restablecimiento de contraseña de dos puertas de manera predeterminada para cualquier rol de administrador de Azure. De este modo se evita que los administradores usen preguntas de seguridad. Para más información acerca de esta directiva, lea el artículo Restricciones y directivas de contraseñas en Microsoft Entra ID.

Si un usuario ha registrado más del número máximo de preguntas necesarias para el restablecimiento, ¿cómo se seleccionan las preguntas de seguridad durante el proceso de restablecimiento?

De manera aleatoria se seleccionan N preguntas de seguridad del número total de preguntas para las cuales se ha registrado un usuario, donde N es la cantidad establecida para la opción Número de preguntas necesarias para el restablecimiento. Por ejemplo, si un usuario ha registrado cinco preguntas de seguridad pero solo se requieren tres para restablecer una contraseña, se seleccionarán aleatoriamente tres de las cinco preguntas para presentarlas tras el restablecimiento. Si el usuario se equivoca al responder las preguntas, el proceso de selección volverá a ejecutarse para evitar la repetición (hammering) de las preguntas.

¿Durante cuánto tiempo son válidos los códigos de acceso de un solo uso que se reciben por correo electrónico o mensaje de texto?

La duración de la sesión de restablecimiento de contraseña es de 15 minutos. Desde el inicio de la operación de restablecimiento de contraseña, el usuario tiene 15 minutos para restablecer la contraseña. Los códigos de acceso de un solo uso son válidos durante 5 minutos mientras dura la sesión de restablecimiento de contraseña.

¿Puedo impedir que los usuarios restablezcan su contraseña?

Sí, si utiliza un grupo para habilitar SSPR, puede eliminar a un usuario individual del grupo que permite a los usuarios restablecer su contraseña. Si el usuario es un administrador de autenticación con privilegios, puede restablecer su contraseña y dicho restablecimiento no se podrá deshabilitar.

Cambio de contraseña

¿Dónde deberían ir los usuarios para cambiar las contraseñas?

Los usuarios pueden cambiar sus contraseñas en cualquier lugar en que vean su icono o imagen de perfil, como en la esquina superior derecha de las experiencias del portal de Office 365 o el Panel de acceso. Los usuarios pueden cambiar las contraseñas en la página de perfil del Panel de acceso. Los usuarios también deben cambiar automáticamente sus contraseñas en la página de inicio de sesión de Microsoft Entra en caso de que hayan expirado. Por último, los usuarios pueden ir directamente al portal de cambio de contraseñas de Microsoft Entra si quieren cambiar su contraseña.

¿Los usuarios pueden recibir una notificación en el portal de Office cuando expira la contraseña local?

Sí, es posible hoy si usa los Servicios de federación de Active Directory (AD FS). Si utiliza AD FS, siga las instrucciones que se muestran en el artículo en el que se detalla el envío de notificaciones de directivas de contraseña con AD FS. Hoy esto no es posible si utiliza la sincronización de hash de contraseña. No sincronizamos las directivas de contraseña de directorios de entorno local, por lo que no es posible publicar notificaciones de expiración en las experiencias en la nube. En cualquier caso, también es posible notificar a los usuarios cuyas contraseñas están a punto de expirar a través de PowerShell.

¿Puedo impedir que los usuarios cambien su contraseña?

No se pueden bloquear los cambios de contraseña de usuarios que estén solo en la nube. En el caso de los usuarios en el entorno local, puede seleccionar la opción El usuario no puede cambiar la contraseña. Los usuarios seleccionados no podrán cambiar su contraseña.

Informes de administración de contraseñas

¿Cuánto tiempo tardan en aparecer los datos en los informes de administración de contraseñas?

Los datos se mostrarán en los informes de administración de contraseñas en un plazo de entre cinco y diez minutos. En algunas instancias, es posible que tarden hasta una hora.

¿Cómo puedo filtrar los informes de administración de contraseñas?

Para filtrar los informes de administración de contraseñas, seleccione la lupa pequeña que se muestra en el extremo derecho de las etiquetas de columna, cerca de la parte superior del informe. Si quiere realizar un filtrado más completo, puede descargar el informe a Excel y crear una tabla dinámica.

¿Cuál es el número de eventos máximos que se almacenan en los informes de administración de contraseñas?

Hasta 75 000 eventos de restablecimiento de contraseña o de registro de restablecimiento de contraseña se almacenan en los informes de administración de contraseñas, los que abarcan los últimos 30 días. Estamos trabajando para expandir este número e incluir más eventos.

¿Hasta cuándo se remontan los informes de administración de contraseñas?

Los informes de administración de contraseñas muestran las operaciones generadas durante los últimos 30 días. Por ahora, si desea archivar estos datos, puede descargar periódicamente los informes y guardarlos en una ubicación independiente.

¿Hay un número máximo de filas que pueden aparecer en los informes de administración de contraseñas?

Sí. Pueden mostrarse un máximo de 75 000 filas en cualquiera de los informes de administración de contraseñas, ya sea que se muestren en la UI o se descarguen.

¿Existe una API para acceder a los datos de informes de registro o de restablecimiento de contraseña?

Sí, puede obtener esta información del informe Actividad de los métodos de autenticación o de la API para obtener la actividad de restablecimiento de contraseña. También puede utilizar la API de registros de auditoría y filtrar por eventos SSPR.

Escritura diferida de contraseñas

¿Cómo funciona la escritura diferida de contraseñas en segundo plano?

Vea el artículo Funcionamiento de la escritura diferida de contraseñas para obtener una explicación de lo que ocurre cuando se habilita la escritura diferida de contraseñas, además de cómo fluyen los datos por el sistema para volver al entorno local.

¿Cuánto tarda en funcionar la escritura diferida de contraseñas? ¿Existe un retraso en la sincronización como ocurre con la sincronización de hash de contraseñas?

El servicio de Escritura diferida de contraseñas es inmediato. Se trata de una canalización sincrónica que funciona de forma totalmente distinta a la sincronización de hash de contraseña. La escritura diferida de contraseñas permite que los usuarios obtengan comentarios en tiempo real acerca del éxito de su operación de cambio o restablecimiento de contraseña. El tiempo promedio para la escritura diferida correcta de una contraseña es de menos de 500 ms.

Si mi cuenta en el entorno local está deshabilitada, ¿en qué afecta esto a mi acceso y mi cuenta en la nube?

Si el identificador en el entorno local está deshabilitado, el acceso y el identificador de la nube también se deshabilitarán durante el próximo intervalo de sincronización a través de Microsoft Entra Connect. De manera predeterminada, la sincronización se realiza cada 30 minutos.

Si mi cuenta en el entorno local está restringida por una directiva de contraseñas de Active Directory local, ¿SSPR se atiene a esta directiva si cambio mi contraseña?

Sí, SSPR se basa en la directiva de contraseñas de Active Directory local y se rige por esta. Esta directiva incluye la directiva de contraseñas de dominio de Active Directory estándar, así como las directivas de contraseñas definidas específicas que se aplican a un usuario.

¿Con qué tipos de cuentas funciona la escritura diferida de contraseñas?

La escritura diferida de contraseñas funciona con cuentas de usuario que están sincronizadas entre Active Directory local y Microsoft Entra ID, lo que incluye hash de contraseña federado sincronizado y usuarios de autenticación transferida.

¿La escritura diferida de contraseñas aplica las directivas de contraseñas de mi dominio?

Sí. La escritura diferida de contraseñas aplica la antigüedad, el historial, la complejidad y los filtros de contraseñas, además de cualquier otra restricción que pueda aplicar sobre las contraseñas en su dominio local.

¿Es segura la escritura diferida de contraseñas? ¿Cómo puedo estar seguro de no ser víctima del ataque de un hacker?

Sí, la escritura diferida de contraseñas es segura. Para más información sobre los distintos niveles de seguridad que implementa el servicio de escritura diferida de contraseñas, consulte la sección Seguridad de la escritura diferida de contraseñas del artículo Información general sobre la escritura diferida de contraseñas.