Migración a la autenticación en la nube mediante un lanzamiento preconfigurado
El lanzamiento preconfigurado permite probar de forma selectiva grupos de usuarios con funcionalidad de autenticación en la nube, como la autenticación multifactor de Microsoft Entra, el acceso condicional, la Protección de id. de Microsoft Entra para credenciales filtradas, Identity Governance, etc., antes de transicionar sus dominios. En este artículo se describe cómo realizar el cambio.
Antes de comenzar el lanzamiento preconfigurado, debe tener en cuenta las consecuencias en caso de que se cumplan las condiciones siguientes:
- Actualmente usa un servidor Azure MFA local.
- Usa tarjetas inteligentes para la autenticación.
- El servidor actual ofrece ciertas características de solo federación.
- Va a pasar de una solución de federación de terceros a servicios administrados.
Antes de probar esta característica, le recomendamos que revise la guía sobre cómo elegir el método de autenticación correcto. Para más información, consulte la tabla "Comparación de métodos" de Selección del método de autenticación adecuado para su solución de identidad híbrida de Microsoft Entra.
Para obtener información general sobre la característica, observe este vídeo "¿Qué es el lanzamiento preconfigurado?":
Requisitos previos
Tiene un inquilino de Microsoft Entra con dominios federados.
Ha decidido mover una de las siguientes opciones:
- Sincronización de hash de contraseña (sincronización). Para más información, consulte ¿Qué es la sincronización de hash de contraseña?
- Autenticación de paso a través. Para más información, consulte ¿Qué es la autenticación de paso a través?
- Configuración de la autenticación basada en certificados (CBA) de Microsoft Entra. Para obtener más información, vea Información general sobre la autenticación basada en certificados de Microsoft Entra
Para ambas opciones, se recomienda habilitar el inicio de sesión único (SSO) para lograr una experiencia de inicio de sesión silenciosa. En el caso de los dispositivos Windows 7 u 8.1 unidos a un dominio, se recomienda usar el SSO de conexión directa. Para obtener más información, consulte ¿Qué es SSO de conexión directa? Para Windows 10, Windows Server 2016 y versiones posteriores, se recomienda usar el SSO a través del token de actualización principal (PRT) con dispositivos unidos a Microsoft Entra, dispositivos híbridos unidos a Microsoft Entra o dispositivos personales registrados a través de Agregar cuenta profesional o educativa.
Ha configurado todas las directivas adecuadas de acceso condicional y personalización de marca del inquilino que necesita para los usuarios que se van a migrar a la autenticación en la nube.
Si ha pasado de la autenticación federada a la autenticación de nube, debe comprobar que la configuración de DirSync
SynchronizeUpnForManagedUsers
está habilitada; de lo contrario, Microsoft Entra ID no permite las actualizaciones de sincronización con el UPN ni el identificador de inicio de sesión alternativo para las cuentas de usuario con licencia que usan la autenticación administrada. Para obtener más información, consulte Características del servicio de sincronización de Microsoft Entra Connect.Si tiene previsto usar la autenticación multifactor de Microsoft Entra, le recomendamos que use el registro combinado para el autoservicio de restablecimiento de contraseña (SSPR) y la autenticación multifactor para que los usuarios registren sus métodos de autenticación una sola vez. Nota: cuando se usa SSPR para restablecer la contraseña o cambiar la contraseña mediante la página MyProfile en el lanzamiento preconfigurado, Microsoft Entra Connect necesita sincronizar el nuevo hash de contraseña, lo que puede tardar hasta dos minutos después del restablecimiento.
Para usar la característica de lanzamiento preconfigurado, debe ser un administrador de identidad híbrida en el inquilino.
Para habilitar el inicio de sesión único de conexión directa en un bosque específico de Active Directory, debe ser administrador de dominio.
Si implementa la unión híbrida de Microsoft Entra ID o Microsoft Entra, debe actualizar a la actualización de Windows 10 1903.
Escenarios admitidos
Se admiten los siguientes escenarios en el lanzamiento preconfigurado. La característica solo funciona en los siguientes casos:
Usuarios que se aprovisionan para Microsoft Entra ID mediante Microsoft Entra Connect. No se aplica a los usuarios solo de nube.
El tráfico de inicio de sesión del usuario en los exploradores y clientes de autenticación moderna. Las aplicaciones o los servicios en la nube que usan la autenticación heredada revierten a los flujos de autenticación federada. Un ejemplo de autenticación heredada podría ser Exchange Online con la autenticación moderna desactivada o Outlook 2010, que no admite autenticación moderna.
El tamaño de grupo está limitado actualmente a 50 000 usuarios. Si tiene grupos de más de 50 000 usuarios, se recomienda dividir este grupo en varios grupos para el lanzamiento preconfigurado.
Adquisición de token de actualización principal de Unión híbrida a Windows 10 o Unión a Microsoft Entra sin línea de visión con el servidor de federación para Windows 10 versión 1903 y posteriores, cuando el UPN del usuario se puede enrutar y el sufijo de dominio se comprueba en Microsoft Entra ID.
La inscripción de Autopilot se admite en el lanzamiento preconfigurado con Windows 10 (versión 1909 o posterior).
Escenarios no admitidos
Los siguientes escenarios no se admiten en el lanzamiento preconfigurado:
No se admite la autenticación heredada, como POP3 y SMTP.
Ciertas aplicaciones envían el parámetro de consulta "domain_hint" a Microsoft Entra ID durante la autenticación. Estos flujos continúan, y los usuarios habilitados para el lanzamiento preconfigurado siguen usando la federación en la autenticación.
El administrador puede implementar la autenticación en la nube mediante grupos de seguridad. Para evitar la latencia de la sincronización cuando se usan grupos de seguridad de Active Directory locales, se recomienda usar grupos de seguridad de nube. Se aplican las siguientes condiciones:
- Puede usar hasta 10 grupos por característica. Es decir, puede usar 10 grupos por cada sincronización de hash de contraseña, autenticación de paso a través e inicio de sesión único de conexión directa.
- No se admiten los grupos anidados.
- Los grupos dinámicos no se admiten en el lanzamiento preconfigurado.
- Los objetos de contacto dentro del grupo impiden que se agregue el grupo.
La primera vez que se agrega un grupo de seguridad para el lanzamiento preconfigurado, está limitado a 200 usuarios para evitar que se agote el tiempo de espera de la experiencia de usuario. Después de agregar el grupo, puede agregarle más usuarios directamente, según sea necesario.
Mientras los usuarios estén en lanzamiento preconfigurado con sincronización de hash de contraseña (PHS), de forma predeterminada no se aplica ninguna expiración de contraseña. La expiración de contraseña se puede aplicar habilitando "CloudPasswordPolicyForPasswordSyncedUsers". Cuando "CloudPasswordPolicyForPasswordSyncedUsers" está habilitado, la directiva de expiración de contraseña se establece en 90 días desde el momento en el que la contraseña se estableció localmente sin la opción de personalizarla. No se admite la actualización mediante programación del atributo PasswordPolicies mientras los usuarios están en el lanzamiento preconfigurado. Para obtener información sobre cómo establecer "CloudPasswordPolicyForPasswordSyncedUsers", consulte Directiva de expiración de contraseñas.
Adquisición de token de actualización principal de Unión híbrida a Windows 10 o Unión a Microsoft Entra para versiones de Windows 10 anteriores a la 1903. Este escenario revierte al punto de conexión de WS-Trust del servidor de federación, incluso si el usuario que inicia sesión está en el ámbito del lanzamiento preconfigurado.
Adquisición de token de actualización principal de Unión híbrida a Windows 10 o Unión a Microsoft Entra para todas las versiones, cuando el UPN local del usuario no se puede enrutar. Este escenario revierte al punto de conexión de WS-Trust durante el modo de implementación por fases, pero deja de funcionar cuando se completa la migración por fases y el inicio de sesión de usuario ya no depende del servidor de federación.
Si tiene una configuración de VDI no persistente con Windows 10 versión 1903 o posterior, debe permanecer en un dominio federado. No se admite el traslado a un dominio administrado en VDI no persistente. Para más información, consulte Identidad de dispositivo y virtualización del escritorio.
Si tiene una relación de confianza de certificado híbrido de Windows Hello para empresas con certificados emitidos mediante el servidor de federación que actúa como Autoridad de registro o usuarios de tarjeta inteligente, el escenario no es compatible con un lanzamiento preconfigurado.
Nota:
Sigue siendo necesario realizar el traslado final de la autenticación federada a la nube mediante Microsoft Entra Connect o PowerShell. El lanzamiento preconfigurado no cambia de dominio federado a administrado. Para más información sobre la migración de dominios, consulte Migración de la federación a la sincronización de hash de contraseña y Migración de la federación a la autenticación de paso a través.
Introducción al lanzamiento preconfigurado
Para probar el inicio de sesión de sincronización de hash de contraseñas mediante el lanzamiento preconfigurado, siga las instrucciones del trabajo previo en la sección siguiente.
Para información sobre qué cmdlets de PowerShell usar, consulte la versión preliminar de Microsoft Entra ID 2.0.
Trabajo previo para la sincronización de hash de contraseña
Habilite Sincronización de hash de contraseña en la página Características opcionales de Microsoft Entra Connect.
Asegúrese de que se ha ejecutado un ciclo completo de sincronización de hash de contraseña de modo que todos los hash de contraseña de los usuarios se hayan sincronizado con Microsoft Entra ID. Para comprobar el estado de la sincronización de hash de contraseña, puede usar el diagnóstico de PowerShell que se describe en Solución de problemas de sincronización de hash de contraseñas con la sincronización de Microsoft Entra Connect.
Si quiere probar el inicio de sesión de autenticación transferida con el lanzamiento preconfigurado, siga las instrucciones del trabajo previo de la sección siguiente para habilitarlo.
Trabajo previo para la autenticación transferida
Identifique un servidor que ejecute Windows Server 2012 R2 o posterior en el que quiera ejecutar el agente de autenticación de paso a través.
No elija el servidor de Microsoft Entra Connect. Asegúrese de que el servidor esté unido a un dominio, que pueda autenticar a los usuarios seleccionados con Active Directory y que pueda comunicarse con Microsoft Entra ID en los puertos y direcciones URL de salida. Para más información, consulte la sección "Paso 1: Comprobación de requisitos previos" del Inicio rápido: Inicio de sesión único de conexión directa de Microsoft Entra.
Descargue el agente de autenticación de Microsoft Entra Connect e instálelo en el servidor.
Para permitir alta disponibilidad, instale agentes de autenticación adicionales en otros servidores.
Asegúrese de que ha configurado el bloqueo inteligente adecuadamente. De este forma se garantiza que individuos infiltrados no bloqueen las cuentas de Active Directory locales de los usuarios.
Se recomienda habilitar el inicio de sesión único de conexión directa con independencia del método de inicio de sesión (sincronización de hash de contraseña o autenticación transferida) que seleccione para el lanzamiento preconfigurado. Para habilitar el inicio de sesión único de conexión directa, siga las instrucciones del trabajo previo de la sección siguiente.
Trabajo previo para el inicio de sesión único de conexión directa
Habilite el inicio de sesión único de conexión directa en los bosques de Active Directory mediante PowerShell. Si tienes más de un bosque de Active Directory, habilítalo individualmente para cada uno. El SSO de conexión directa solo se desencadena en los usuarios seleccionados para el lanzamiento preconfigurado. No afecta a la configuración de federación existente.
Para habilitar el inicio de sesión único de conexión directa, haz las siguientes tareas:
Inicia sesión en el servidor de Microsoft Entra Connect.
Ve a la carpeta %programfiles%\Microsoft Entra Connect.
Importa el módulo de PowerShell de inicio de sesión único de conexión directa mediante la ejecución del siguiente comando:
Import-Module .\AzureADSSO.psd1
Ejecuta PowerShell como administrador. En PowerShell, llama a
New-AzureADSSOAuthenticationContext
. Este comando abre un panel en el que puedes especificar tus credenciales de administrador de identidad híbrida del inquilino.Llama a
Get-AzureADSSOStatus | ConvertFrom-Json
. Este comando muestra una lista de bosques de Active Directory (consulte la lista "Dominios") en los que se ha habilitado esta característica. De forma predeterminada, se establece en False en el nivel de inquilino.Llame a
$creds = Get-Credential
. Cuando se le pida, escriba las credenciales del administrador de dominio correspondientes al bosque de Active Directory deseado.Llame a
Enable-AzureADSSOForest -OnPremCredentials $creds
. Este comando crea la cuenta de equipo AZUREADSSOACC del controlador de dominio local para este bosque de Active Directory que se necesita para el inicio de sesión único de conexión directa.Para el inicio de sesión único de conexión directa, es necesario que las direcciones URL estén en la zona de intranet. Para implementar estas direcciones URL mediante directivas de grupo, consulta Inicio rápido: Inicio de sesión único de conexión directa de Microsoft Entra.
Para ver un tutorial completo, también puedes descargar los planes de implementación para el inicio de sesión único de conexión directa.
Habilitación del lanzamiento preconfigurado
Para implementar una característica concreta (autenticación de paso a través, sincronización de hash de contraseña o inicio de sesión único de conexión directa) en un conjunto seleccionado de usuarios de un grupo, sigue las instrucciones de las secciones siguientes.
Habilitación de un lanzamiento preconfigurado de una característica específica en el inquilino
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Puedes implementar una de estas opciones:
- Sincronización de hash de contraseña + Inicio de sesión único de conexión directa
- Autenticación de paso a través + Inicio de sesión único de conexión directa
- No se admite - Sincronización de hash de contraseña + Autenticación de paso a través + Inicio de sesión único de conexión directa
- Conceptos básicos de la autenticación basada en certificados
- Autenticación multifactor de Azure
Para configurar el lanzamiento preconfigurado, sigue estos pasos:
Inicia sesión en el Centro de administración Microsoft Entra al menos como Administrador de identidad híbrida.
Ve a Identidad>Administración híbrida>Microsoft Entra Connect>Sincronización de Connect.
En la página Microsoft Entra Connect, en Implementación por fases de la autenticación en la nube, selecciona el vínculo Habilitar el lanzamiento preconfigurado para el inicio de sesión del usuario administrado.
En la página Habilitar la característica de lanzamiento preconfigurado, selecciona las opciones que quiere habilitar: Sincronización de hash de contraseñas, Autenticación de paso a través, Inicio de sesión único de conexión directa o Autenticación basada en certificados. Por ejemplo, si quieres habilitar Sincronización de hash de contraseña e Inicio de sesión de conexión directa selecciona Activado.
Agrega grupos a las características seleccionadas. Por ejemplo, la autenticación de paso a través y el inicio de sesión único de conexión directa. Para evitar tiempo de espera, asegúrate de que los grupos de seguridad no contengan más de 200 miembros inicialmente.
Nota
Los miembros de un grupo se habilitan automáticamente para el lanzamiento preconfigurado. No se admiten grupos de pertenencia anidada y dinámica en el lanzamiento preconfigurado. Al agregar un nuevo grupo, los usuarios del grupo (hasta 200 usuarios para un grupo nuevo) se actualizarán para usar la autenticación administrada de forma inmediata. Al editar un grupo (agregar o eliminar usuarios), los cambios pueden tardar hasta 24 horas en surtir efecto. El inicio de sesión único de conexión directa solo se aplicará si los usuarios están en el grupo de SSO de conexión directa y también en un grupo de PTA o de PHS.
Auditoría
Se han habilitado eventos de auditoría para las diferentes acciones que se realizan en el lanzamiento preconfigurado:
Evento de auditoría cuando se habilita un lanzamiento preconfigurado para la sincronización de hash de contraseñas, la autenticación transferida o el inicio de sesión único de conexión directa.
Nota
Se registra un evento de auditoría cuando se activa el inicio de sesión único de conexión directa mediante el lanzamiento preconfigurado.
Evento de auditoría cuando se agrega un grupo a sincronización de hash de contraseñas, autenticación de paso a través o inicio de sesión único de conexión directa.
Nota:
Se registra un evento de auditoría cuando se agrega un grupo a la sincronización de hash de contraseñas en el lanzamiento preconfigurado.
Evento de auditoría cuando un usuario que se agregó al grupo está habilitado para el lanzamiento preconfigurado.
Validation
Para probar el inicio de sesión con sincronización de hash de contraseña o autenticación transferida (inicio de sesión con nombre de usuario y contraseña), haga las siguientes tareas:
En la extranet, vaya a la página Aplicaciones en una sesión privada del explorador y, luego, escriba el UPN (UserPrincipalName) de la cuenta de usuario seleccionada para el lanzamiento preconfigurado.
Los usuarios que han sido destinados al lanzamiento preconfigurado no se redirigen a la página de inicio de sesión federado. En su lugar, se les pide que inicien sesión en la página de inicio de sesión con la marca de inquilino Microsoft Entra.
Asegúrese de que el inicio de sesión se muestra correctamente en el Informe de actividad de inicio de sesión de Microsoft Entra mediante el filtrado por UserPrincipalName.
Para probar el inicio de sesión con el SSO de conexión directa:
En la intranet, ve a la página Aplicaciones usando una sesión de explorador y después escribe el UserPrincipalName (UPN) de la cuenta de usuario seleccionada para el lanzamiento preconfigurado.
Los usuarios destinados al lanzamiento preconfigurado de SSO de conexión directa reciben un mensaje de intento de inicio de sesión antes de que se inicie sesión en modo silencioso.
Asegúrese de que el inicio de sesión se muestra correctamente en el Informe de actividad de inicio de sesión de Microsoft Entra mediante el filtrado por UserPrincipalName.
Para realizar un seguimiento de los inicios de sesión de los usuarios seleccionados para el lanzamiento preconfigurado que se siguen produciendo en los Servicios de federación de Active Directory (AD FS), siga las instrucciones que se indican en Solución de problemas de AD FS: eventos y registro. Consulte la documentación del proveedor para saber cómo comprobar esto en los proveedores de federación de terceros.
Nota
Mientras los usuarios están en la fase de lanzamiento preconfigurado con PHS, el cambio de contraseñas puede tardar hasta 2 minutos en surtir efecto debido al tiempo de sincronización. Asegúrese de establecer expectativas con los usuarios para evitar llamadas al departamento de soporte técnico cuando cambien la contraseña.
Supervisión
Para supervisar los usuarios y grupos agregados o quitados del lanzamiento preconfigurado y de los inicios de sesión de los usuarios durante el lanzamiento preconfigurado, utilice los nuevos libros de autenticación híbrida del centro de administración de Microsoft Entra.
Eliminación de un usuario del lanzamiento preconfigurado
Al eliminar un usuario del grupo, se deshabilita el lanzamiento preconfigurado para ese usuario. Para deshabilitar la característica de lanzamiento preconfigurado, deslice el control de nuevo a Desactivado.
Preguntas más frecuentes
P: ¿Se puede usar esta funcionalidad en producción?
A. Sí, esta característica se puede usar en el inquilino de producción, pero se recomienda que la pruebe primero en el inquilino de prueba.
P: ¿Se puede usar esta característica para mantener una "coexistencia" permanente, en la que algunos usuarios usan la autenticación federada y otros la autenticación en la nube?
A. No, esta característica está diseñada para probar la autenticación en la nube. Después de probar con éxito, algunos grupos de usuarios, debe pasar a la autenticación en la nube. No se recomienda un estado mixto permanente, ya que este enfoque podría llevar a flujos de autenticación inesperados.
P: ¿Se puede usar PowerShell para realizar el lanzamiento preconfigurado?
R: Sí. Para información sobre cómo usar PowerShell para realizar el lanzamiento preconfigurado, consulte Versión preliminar de Microsoft Entra ID.