Rellenar previamente la información de contacto de autenticación de usuarios para el autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra
Para usar el autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra, la información de autenticación del usuario debe estar presente. La mayoría de las organizaciones tienen usuarios que registran sus datos de autenticación a la vez que recopilan información para MFA. Algunas organizaciones prefieren arrancar este proceso mediante la sincronización de datos de autenticación que ya existen en Servicios de dominio de Active Directory (AD DS). Estos datos sincronizados se ponen a disposición de Microsoft Entra ID y SSPR sin necesidad de la interacción del usuario. Cuando los usuarios tengan que cambiar o restablecer su contraseña, pueden hacerlo aunque no hayan registrado previamente su información de contacto.
Puede rellenar previamente la información de contacto de autenticación si cumple los requisitos siguientes:
- Ha dado un formato correcto a los datos en su directorio local.
- Ha configurado Microsoft Entra Connect para el inquilino de Microsoft Entra.
Todos los números de teléfono deben tener el formato +CódigoPaís NúmeroTelefónico, por ejemplo: +1 4251234567.
Nota:
Debe haber un espacio entre el código de país y el número de teléfono.
El restablecimiento de contraseña no admite extensiones telefónicas. Incluso con el formato +1 4251234567X12345, las extensiones se quitan antes de hacer la llamada.
Campos rellenos
Si usa la configuración predeterminada en Microsoft Entra Connect, se realizan las siguientes asignaciones para rellenar la información de contacto de autenticación para SSPR:
| Active Directory local | Microsoft Entra ID |
|---|---|
| telephoneNumber | Teléfono del trabajo |
| mobile | Teléfono móvil |
Después de que un usuario verifica el número de teléfono móvil, el campo Teléfono de la Información de contacto para la autenticación de Microsoft Entra se rellena también con dicho número.
Información de contacto para la autenticación
En la página Métodos de autenticación de un usuario de Microsoft Entra en el centro de administración de Microsoft Entra, un administrador global puede establecer manualmente la información del contacto de autenticación. Puede revisar los métodos existentes en la sección Métodos de autenticación utilizables o + Agregar métodos de autenticación, como se muestra en la siguiente captura de pantalla de ejemplo:
Las siguientes consideraciones se aplican a esta información de contacto de autenticación:
- Si se rellena el campo Teléfono y el Teléfono móvil está habilitado en la directiva de SSPR, el usuario ve dicho número en la página de registro de restablecimiento de la contraseña y durante el flujo de trabajo de restablecimiento de la contraseña.
- Si se rellena el campo de Correo electrónico y el Correo electrónico está habilitado en la directiva de SSPR, el usuario ve dicho correo electrónico en la página de registro de restablecimiento de la contraseña y durante el flujo de trabajo de restablecimiento de la contraseña.
Preguntas y respuestas de seguridad
Las preguntas y respuestas de seguridad se almacenan de forma segura en el inquilino de Microsoft Entra y los usuarios pueden tener acceso a ellas solo a través de la experiencia de registro combinada de mi información de seguridad. Los administradores no pueden ver, establecer ni modificar el contenido de las preguntas y respuestas de otros usuarios.
Qué ocurre cuando se registra un usuario
Cuando se registre un usuario, la página de registro establecerá los campos siguientes:
- Teléfono de autenticación
- Correo electrónico de autenticación
- Preguntas y respuestas de seguridad
Si especificó un valor para Teléfono móvil o Correo electrónico alternativo, los usuarios podrán usarlos inmediatamente para restablecer sus contraseñas, aunque no se hayan registrado para el servicio.
Además, los usuarios ven esos valores cuando se registran por primera vez, y pueden modificarlos si lo desean. Una vez que se registran correctamente, dichos valores se conservan en los campos Teléfono de autenticación y Correo electrónico de autenticación, respectivamente.
Establecimiento y lectura de datos de autenticación mediante PowerShell
Los siguientes campos pueden establecerse mediante PowerShell:
- Correo electrónico alternativo
- Teléfono móvil
- Teléfono del trabajo
- Solo puede establecerse si no se sincroniza un directorio local.
Puede usar Microsoft Graph PowerShell para interactuar con Microsoft Entra ID o usar la API rest de Microsoft Graph para administrar métodos de autenticación.
Use Microsoft Graph PowerShell
Para empezar, descargue e instale el módulo Microsoft Graph PowerShell.
Para instalar rápidamente desde versiones recientes de PowerShell compatibles con Install-Module, ejecute los siguientes comandos. La primera línea comprueba si el módulo ya está instalado:
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"
Una vez instalado el módulo, siga estos pasos para configurar cada campo.
Establecimiento de los datos de autenticación con Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
Leer los datos de autenticación con PowerShell de Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones
Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table
Pasos siguientes
Una vez que la información de contacto de autenticación se ha rellenado previamente para los usuarios, complete el siguiente tutorial para habilitar el autoservicio de restablecimiento de contraseña: