Transición a una implementación sin contraseña
Concienciación y educación del usuario
En este último paso, incluirá el resto de usuarios que se ajusten al rol de trabajo de destino a la implementación sin contraseña. Antes de realizar este paso, quiere invertir en una campaña de concienciación.
Una campaña de reconocimiento presenta a los usuarios la nueva forma de autenticarse en su dispositivo, como el uso de Windows Hello para empresas. La idea de la campaña es promover positivamente el cambio a los usuarios de antemano. Explicar el valor y por qué su empresa está cambiando. La campaña debe proporcionar fechas y fomentar preguntas y comentarios. Esta campaña puede coincidir con la educación del usuario, donde puede mostrar a los usuarios los cambios y, si su entorno lo permite, permitir que los usuarios prueben la experiencia.
Sugerencia
Para facilitar la comunicación del usuario y garantizar una correcta implementación Windows Hello para empresas, puede encontrar material personalizable (plantillas de correo electrónico, pósteres, entrenamientos, etc.) en plantillas de Microsoft Entra.
Incluir los usuarios restantes que se ajusten al rol de trabajo
Ha implementado la campaña de reconocimiento para los usuarios de destino. Estos usuarios están informados y listos para realizar la transición a ser sin contraseña. Agregue el resto de usuarios que coincidan con el rol de trabajo de destino a la implementación.
Validar que ninguno de los usuarios de los usuarios del trabajo necesita contraseñas
Ha realizado correctamente la transición de todos los usuarios para que el rol de trabajo de destino no tenga contraseña. Supervise los usuarios dentro del rol de trabajo para asegurarse de que no encuentran ningún problema mientras trabajan en un entorno sin contraseña.
Realice un seguimiento de todos los problemas notificados. Establezca la prioridad y la gravedad en cada problema notificado y haga que el equipo evalúe los problemas correctamente. A medida que evalúe los problemas, tenga en cuenta las siguientes preguntas:
| Pregunta | |
|---|---|
| 🔲 | ¿El usuario que informa está realizando una tarea fuera del rol de trabajo? |
| 🔲 | ¿El problema notificado afecta a toda la persona de trabajo o solo a usuarios específicos? |
| 🔲 | ¿La interrupción es el resultado de una configuración incorrecta? |
| 🔲 | ¿La interrupción es una brecha ignorada del paso 2? |
La prioridad y la gravedad de cada organización difieren. Sin embargo, la mayoría de las organizaciones consideran que las paradas de trabajo son bastante significativas. El equipo debe predefinidos los niveles de prioridad y gravedad. Con cada uno de estos niveles, cree contratos de nivel de servicio (SLA) para cada combinación de gravedad y prioridad, y haga que todos sean responsables de esos contratos. El planeamiento reactivo permite a los usuarios dedicar más tiempo al problema y resolverlo, y menos tiempo en el proceso.
Resuelva los problemas según los contratos de nivel de servicio. Es posible que los elementos de mayor gravedad requieran devolver parte o la totalidad de la superficie de contraseña del usuario. Está claro que este resultado no es el objetivo final, pero no deje que ralentice el impulso para que se convierta en sin contraseña. Consulte cómo ha reducido la superficie de contraseña del usuario en el paso 2 y avance a una solución, implementándola y validándola.
Sugerencia
Supervise los controladores de dominio para los eventos de autenticación de contraseña. Esto ayuda a identificar de forma proactiva a los usuarios que siguen usando contraseñas y a ponerse en contacto con ellos.
Configuración de cuentas de usuario para evitar la autenticación con contraseña
Ha realizado la transición de todos los usuarios del rol de trabajo de destino a un entorno sin contraseña y ha validado todos sus flujos de trabajo. El último paso para completar la transición sin contraseña es quitar el conocimiento del usuario sobre la contraseña.
Codificación de contraseñas
Aunque no puede quitar completamente la contraseña de la cuenta del usuario, puede impedir que el usuario use la contraseña para autenticarse. El enfoque más sencillo y eficaz es establecer la contraseña en un valor aleatorio. Este enfoque impide que el usuario conozca la contraseña y la use para autenticarse, pero permite al usuario restablecer la contraseña siempre que sea necesario.
Sugerencia
Habilite Microsoft Entra autoservicio de restablecimiento de contraseña (SSPR) para permitir que los usuarios restablezcan su contraseña. Una vez implementados, los usuarios pueden iniciar sesión en sus dispositivos Windows mediante Windows Hello para empresas o una clave de seguridad FIDO2 y restablecer su contraseña desde https://aka.ms/sspr. Combínalo con la escritura diferida de contraseñas para que el restablecimiento de contraseña se sincronice con el Active Directory local.
El siguiente script de PowerShell de ejemplo genera una contraseña aleatoria de 64 caracteres y la establece para el usuario especificado en el nombre de variable $userId en Microsoft Entra ID. Modifique la variable userId del script para que coincida con el entorno (primera línea) y, a continuación, ejecútelo en una sesión de PowerShell. Cuando se le pida que se autentique para Microsoft Entra ID, use las credenciales de una cuenta con un rol capaz de restablecer contraseñas.
$userId = "<UPN of the user>"
function Generate-RandomPassword{
[CmdletBinding()]
param (
[int]$Length = 64
)
$chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()-_=+[]{};:,.<>/?\|`~"
$random = New-Object System.Random
$password = ""
for ($i = 0; $i -lt $Length; $i++) {
$index = $random.Next(0, $chars.Length)
$password += $chars[$index]
}
return $password
}
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph.Users.Actions
Connect-MgGraph -Scopes "UserAuthenticationMethod.ReadWrite.All" -NoWelcome
$passwordParams = @{
UserId = $userId
AuthenticationMethodId = "28c10230-6103-485e-b985-444c60001490"
NewPassword = Generate-RandomPassword
}
Reset-MgUserAuthenticationMethodPassword @passwordParams
Se puede usar un script similar para restablecer la contraseña en Active Directory. Modifique la variable samAccountName del script para que coincida con el entorno (primera línea) y, a continuación, ejecútelo en una sesión de PowerShell.
$samAccountName = <sAMAccountName of the user>
function Generate-RandomPassword{
[CmdletBinding()]
param (
[int]$Length = 64
)
$chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()-_=+[]{};:,.<>/?\|`~"
$random = New-Object System.Random
$password = ""
for ($i = 0; $i -lt $Length; $i++) {
$index = $random.Next(0, $chars.Length)
$password += $chars[$index]
}
return $password
}
$NewPassword = ConvertTo-SecureString -String (Generate-RandomPassword) -AsPlainText -Force
Set-ADAccountPassword -identity $userId -NewPassword $NewPassword -Reset
Si las directivas de la organización lo permiten, puede configurar las contraseñas aleatorias para que nunca expiren o usar un período de expiración largo. Esta configuración impide que se pida al usuario que cambie su contraseña.
Precaución
Ejecute el script solo desde un entorno seguro y de confianza y asegúrese de que el script no está registrado. Trate el host donde se ejecuta el script como un host con privilegios, con el mismo nivel de seguridad que un controlador de dominio.
Antigüedad y rotación de contraseñas
Si su organización no tiene requisitos de rotación de contraseñas, se recomienda deshabilitar la antigüedad de la contraseña.
Si su organización tiene una directiva de rotación de contraseñas, considere la posibilidad de implementar la automatización para rotar la contraseña del usuario con regularidad. Este enfoque garantiza que la contraseña del usuario siempre está aleatoria e impide que el usuario conozca la contraseña.
Para obtener más instrucciones relacionadas con la contraseña, consulte la notas del producto Guía de contraseña.
Pasos siguientes
Microsoft está trabajando duro para que el viaje sin contraseña sea más fácil para usted. Estamos trabajando en nuevas características y funcionalidades para ayudarle a realizar la transición a un entorno sin contraseña y a lograr la promesa de seguridad a largo plazo de un entorno realmente sin contraseña. Vuelva a comprobar a menudo para ver las novedades.