Compartir vía

Habilitar el autoservicio de restablecimiento de contraseña de Microsoft Entra en la pantalla de inicio de sesión de Windows

  • Artículo

El autoservicio de restablecimiento de contraseña (SSPR) proporciona a los usuarios de Microsoft Entra ID la capacidad de cambiar o restablecer su contraseña, sin intervención del administrador ni del departamento de soporte técnico. Normalmente, los usuarios abren un explorador web en otro dispositivo para acceder al portal de SSPR de . Para mejorar la experiencia en equipos que ejecutan Windows 7, 8, 8.1, 10 y 11, puede permitir que los usuarios restablezcan su contraseña en la pantalla de inicio de sesión de Windows.

Ejemplo de pantallas de inicio de sesión de Windows con el vínculo SSPR mostrado

Importante

En este tutorial se enseña a un administrador cómo activar SSPR para dispositivos Windows en una empresa.

Si el equipo de TI no ha habilitado la capacidad de usar SSPR desde el dispositivo Windows o tiene problemas durante el inicio de sesión, póngase en contacto con el departamento de soporte técnico para obtener ayuda adicional.

Limitaciones generales

Las limitaciones siguientes se aplican al uso de SSPR desde la pantalla de inicio de sesión de Windows:

  • El restablecimiento de contraseña no se admite actualmente desde Escritorio remoto ni sesiones mejoradas de Hyper-V.
  • Algunos proveedores de credenciales de terceros son conocidos por causar problemas con esta función.
  • Se sabe que la deshabilitación de UAC mediante la modificación de la clave del registro EnableLUA provoca problemas.
  • Esta característica no funciona para redes con autenticación de red 802.1x implementada y la opción "Realizar inmediatamente antes del inicio de sesión del usuario". En el caso de las redes con la autenticación de red 802.1x implementada, se recomienda usar la autenticación de máquina para habilitar esta característica.
  • Las máquinas unidas a Microsoft Entra de tipo híbrido deben tener una línea de visión de conectividad de red a un controlador de dominio para usar las nuevas credenciales en caché de contraseña y actualización. Esto significa que los dispositivos deben estar en la red interna de la organización o en una VPN con acceso de red a un controlador de dominio local. Si SSPR es el único requisito, no se requiere la línea de conexión de red al controlador de dominio.
  • Si usa una imagen, antes de ejecutar sysprep, asegúrese de que la caché web está desactivada para el administrador integrado antes de realizar el paso CopyProfile. Puede encontrar más información sobre este paso en el artículo de soporte técnico rendimiento deficiente al usar el perfil de usuario predeterminado personalizado.
  • Se sabe que la siguiente configuración interfiere con la capacidad de usar y restablecer contraseñas en dispositivos Windows 10:
    • Si las notificaciones de la pantalla de bloqueo están desactivadas, tampoco funcionará Restablecer contraseña.
    • HideFastUserSwitching está establecido en habilitado o 1
    • DontDisplayLastUserName está establecido en habilitado o 1
    • NoLockScreen está establecido en activado o 1
    • BlockNonAdminUserInstall está establecido en habilitado o 1
    • EnableLostMode se establece en el dispositivo
    • Explorer.exe se reemplaza por un shell personalizado
    • Inicio de sesión interactivo: Requerir que la tarjeta inteligente esté establecida en habilitada o 1
  • La combinación de los siguientes tres valores específicos puede hacer que esta característica no funcione.
    • Inicio de sesión interactivo: No requiere CTRL+ALT+SUPR = Deshabilitado (solo para Windows 10 versión 1710 y anteriores)
    • DisableLockScreenAppNotifications = 1 o Habilitado
    • Windows SKU es Home Edition

Nota

Estas limitaciones también se aplican al restablecimiento del PIN de Windows Hello para empresas desde la pantalla de bloqueo del dispositivo.

Restablecimiento de contraseña de Windows 11 y Windows 10

Para configurar un dispositivo Windows 11 o Windows 10 para SSPR en la pantalla de inicio de sesión, revise los siguientes requisitos previos y pasos de configuración.

Requisitos previos de Windows 11 y Windows 10

Habilitar para Windows 11 y Windows 10 con Microsoft Intune

Implementar el cambio de configuración para habilitar SSPR desde la pantalla de inicio de sesión mediante Microsoft Intune es el método más flexible. Microsoft Intune permite implementar el cambio de configuración en un grupo específico de máquinas que defina. Este método requiere la inscripción en Microsoft Intune del dispositivo.

Creación de una directiva de configuración de dispositivos en Microsoft Intune

  1. Inicie sesión en el centro de administración de Microsoft Intune .

  2. Cree un perfil de configuración de dispositivo; para ello, vaya a Configuración de dispositivos>Perfilesy, después, seleccione + Crear perfil

    • En Plataforma, elija Windows 10 y versiones posteriores
    • Para Tipo de perfil, elija Plantillas y, a continuación, seleccione la plantilla personalizada siguiente.

  3. Seleccione Crear y escriba un nombre descriptivo para el perfil, como SSPR en la pantalla de inicio de sesión de Windows 11

    Opcionalmente, proporcione una descripción significativa del perfil y seleccione Siguiente.

  4. En Opciones de configuración, seleccione Agregar y proporcione la siguiente configuración OMA-URI para habilitar el vínculo de restablecimiento de contraseña:

    • Especifique un nombre descriptivo para explicar qué hace el ajuste, como Agregar vínculo SSPR.
    • Opcionalmente, proporcione una descripción significativa de la configuración.
    • OMA-URI establecido en ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
    • Tipo de datos establecido en Entero
    • Valor establecido en 1

    Seleccione Agregary después Siguiente.

  5. La directiva se puede asignar a usuarios, dispositivos o grupos específicos. Asigne primero el perfil como desee para su entorno, idealmente a un grupo de pruebas de dispositivos y, después, seleccione Siguiente.

    Para más información, consulte Asignación de perfiles de usuario y de dispositivo en Microsoft Intune.

  6. Configure las reglas de aplicabilidad que desee para su entorno, como Asignar perfil si la edición del sistema operativo es Windows 10 Enterprisey, a continuación, seleccione Siguiente.

  7. Revise el perfil y, a continuación, seleccione Crear.

Habilitar para Windows 11 y Windows 10 mediante el Registro

Para habilitar SSPR en la pantalla de inicio de sesión mediante una clave del Registro, complete los pasos siguientes:

  1. Inicie sesión en el equipo Windows con credenciales administrativas.

  2. Presione Windows + R para abrir el cuadro de diálogo Ejecutar y, a continuación, ejecute regedit como administrador

  3. Establezca la siguiente clave del Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
   "AllowPasswordReset"=dword:00000001

Solución de problemas de restablecimiento de contraseña de Windows 11 y Windows 10

Si tiene problemas con el uso de SSPR desde la pantalla de inicio de sesión de Windows, el registro de auditoría de Microsoft Entra incluye información sobre la dirección IP y ClientType dónde se produjo el restablecimiento de contraseña, como se muestra en la salida del ejemplo siguiente:

ejemplo de restablecimiento de contraseña de Windows 7 en el registro de auditoría de Microsoft Entra

Cuando los usuarios restablecen su contraseña desde la pantalla de inicio de sesión de un dispositivo Windows 11 o 10, se crea una cuenta temporal con pocos privilegios denominada defaultuser1. Esta cuenta se usa para mantener el proceso de restablecimiento de contraseña seguro.

La propia cuenta tiene una contraseña generada aleatoriamente, que se valida en una directiva de contraseñas de organizaciones, no se muestra para el inicio de sesión del dispositivo y se quita automáticamente después de que el usuario restablezca su contraseña. Pueden existir varios perfiles de defaultuser, pero se pueden omitir de forma segura.

Configuraciones de proxy para el restablecimiento de contraseña de Windows

Durante el restablecimiento de contraseña, SSPR crea una cuenta de usuario local temporal para conectarse a https://passwordreset.microsoftonline.com/n/passwordreset. Cuando un proxy está configurado para la autenticación de usuario, puede producir un error "Se produjo un error. Inténtelo de nuevo más tarde." Esto se debe a que la cuenta de usuario local no está autorizada para usar el proxy autenticado.

En este caso, puede usar una de las siguientes soluciones alternativas:

  • Configure una configuración de proxy para toda la máquina que no dependa del tipo de usuario que inició sesión en la máquina. Por ejemplo, puede habilitar la directiva de grupo Establecer la configuración de proxy por máquina (en lugar de por usuario) para las estaciones de trabajo.

  • También puede usar la configuración Per-User proxy para SSPR si modifica la plantilla del Registro para la cuenta predeterminada. Los comandos son los siguientes:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
reg unload "hku\Default"

  • El error "Algo salió mal" también se puede producir cuando cualquier cosa interrumpe la conectividad con la dirección URL https://passwordreset.microsoftonline.com/n/passwordreset. Por ejemplo, este error puede producirse cuando el software antivirus se ejecuta en la estación de trabajo sin exclusiones para direcciones URL passwordreset.microsoftonline.com, ajax.aspnetcdn.comy ocsp.digicert.com. Deshabilite este software temporalmente para probar si el problema se resuelve o no.

Restablecimiento de contraseña de Windows 7, 8 y 8.1

Para configurar un dispositivo Windows 7, 8 o 8.1 para SSPR en la pantalla de inicio de sesión, revise los siguientes requisitos previos y pasos de configuración.

Requisitos previos de Windows 7, 8 y 8.1

Advertencia

TLS 1.2 debe estar habilitado, no solo configurado para negociación automática.

Instalar

Para Windows 7, 8 y 8.1, se debe instalar un componente pequeño en la máquina para habilitar SSPR en la pantalla de inicio de sesión. Para instalar este componente de SSPR, complete los pasos siguientes:

  1. Descargue el instalador adecuado para la versión de Windows que desea habilitar.

    El instalador de software está disponible en el Centro de descarga de Microsoft en https://aka.ms/sspraddin

  2. Inicie sesión en la máquina donde desea instalar y ejecute el instalador.

  3. Después de la instalación, se recomienda encarecidamente reiniciar.

  4. Después del reinicio, en la pantalla de inicio de sesión, elija un usuario y seleccione "Olvidé la contraseña?" para iniciar el flujo de trabajo de restablecimiento de contraseña.

  5. Complete el flujo de trabajo siguiendo los pasos en pantalla para restablecer la contraseña.

Ejemplo de flujo de SSPR de Windows 7 después de hacer clic en

Instalación silenciosa

El componente SSPR se puede instalar o desinstalar sin avisos mediante los siguientes comandos:

  • Para la instalación silenciosa, use el comando "msiexec /i SsprWindowsLogon.PROD.msi /qn"
  • Para la desinstalación silenciosa, use el comando "msiexec /x SsprWindowsLogon.PROD.msi /qn"

Solución de problemas de restablecimiento de contraseña de Windows 7, 8 y 8.1

Si tiene problemas con el uso de SSPR desde la pantalla de inicio de sesión de Windows, los eventos se registran tanto en la máquina como en el identificador de Microsoft Entra. Los eventos de Microsoft Entra incluyen información sobre la dirección IP y ClientType donde se produjo el restablecimiento de contraseña, como se muestra en la salida del ejemplo siguiente:

ejemplo de restablecimiento de contraseña de Windows 7 en el registro de auditoría de Microsoft Entra

Si se requiere un registro adicional, se puede cambiar una clave del Registro en la máquina para habilitar el registro detallado. Habilite el registro detallado para la solución de problemas únicamente con el siguiente valor de clave del Registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Para habilitar el registro detallado, cree un REG_DWORD: "EnableLogging" y establézcalo en 1.
  • Para deshabilitar el registro detallado, cambie REG_DWORD: "EnableLogging" a 0.
  • Revise el registro de depuración en el registro de eventos de Application en el origen AADPasswordResetCredentialProvider.

¿Qué ven los usuarios?

Con SSPR configurado para los dispositivos Windows, ¿qué cambios hay para el usuario? ¿Cómo saben que pueden restablecer su contraseña en la pantalla de inicio de sesión? En las capturas de pantalla de ejemplo siguientes se muestran las opciones adicionales para que un usuario restablezca su contraseña mediante SSPR:

Ejemplo de pantallas de inicio de sesión de Windows 7 y 10 con el vínculo SSPR mostrado

Cuando los usuarios intentan iniciar sesión, ven un Restablecer contraseña o ¿Olvidó su contraseña? enlace que les lleva a la experiencia de autoservicio para restablecer la contraseña en la pantalla de inicio de sesión. Esta funcionalidad permite a los usuarios restablecer su contraseña sin tener que usar otro dispositivo para acceder a un explorador web.

Puede encontrar más información para los usuarios sobre el uso de esta característica en Restablecer la contraseña profesional o educativa

Pasos siguientes

Para simplificar la experiencia de registro de usuarios, puede rellenar previamente la información de contacto de autenticación de usuario para SSPR.