Tutorial: Habilitación de la escritura diferida del autoservicio de restablecimiento de contraseña de Microsoft Entra en un entorno local

Con el autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra, los usuarios pueden actualizar sus contraseñas o desbloquear la cuenta mediante un explorador web. Se recomienda este vídeo sobre Cómo habilitar y configurar el SSPR en Microsoft Entra ID. En un entorno híbrido en el que se conecta Microsoft Entra ID a un entorno local de Active Directory Domain Services (AD DS), este escenario puede hacer que las contraseñas sean diferentes entre los dos directorios.

La escritura diferida de contraseñas se puede utilizar para sincronizar los cambios de contraseñas en Microsoft Entra de vuelta al entorno local de AD DS. Microsoft Entra Connect proporciona un mecanismo seguro para enviar los cambios de contraseñas de vuelta a un directorio local existente desde Microsoft Entra ID.

Importante

En este tutorial se muestra a un administrador cómo habilitar el restablecimiento de contraseña de autoservicio en un entorno local. Los usuarios finales registrados para el restablecimiento de contraseña de autoservicio que necesiten volver a su cuenta deben ir a https://aka.ms/sspr.

Si el equipo de TI no ha habilitado la capacidad para restablecer su propia contraseña, póngase en contacto con el departamento de soporte técnico para obtener ayuda adicional.

En este tutorial, aprenderá a:

• Configurar los permisos requeridos para la escritura diferida de contraseñas
• Habilitar la opción de escritura diferida de contraseñas en Microsoft Entra Connect.
• Habilitar la escritura diferida de contraseñas en el SSPR de Microsoft Entra.

Requisitos previos

Para completar este tutorial, necesitará los siguientes recursos y privilegios:

• Un inquilino de Microsoft Entra activo con al menos una instancia de Microsoft Entra ID P1 o una licencia de prueba habilitada.
  • Si es preciso, cree una cuenta gratuita.
  • Para obtener más información, consulte Requisitos de licencias para el autoservicio de restablecimiento de contraseña de Microsoft Entra.
• Una cuenta con el administrador de identidades híbridas.
• Microsoft Entra ID está configurado para el autoservicio de restablecimiento de contraseña.
  • En caso necesario, complete el tutorial anterior para habilitar el SSPR de Microsoft Entra.
• Un entorno de AD DS local existente configurado con una versión actual de Microsoft Entra Connect.
  • Si es necesario, configure Microsoft Entra Connect.con la configuración rápida o personalizada.
  • Para usar la escritura diferida de contraseñas, los controladores de dominio pueden ejecutar cualquier versión compatible de Windows Server.

Configuración de los permisos de cuenta para Microsoft Entra Connect

Microsoft Entra Connect le permite sincronizar usuarios, grupos y credenciales entre un entorno de AD DS local y Microsoft Entra ID. Normalmente, se instala Microsoft Entra Connect en un equipo con Windows Server 2016 o posterior que esté unido al dominio de AD DS local.

Para trabajar correctamente con la escritura diferida del autoservicio de restablecimiento de contraseña, la cuenta especificada en Microsoft Entra Connect debe tener establecidos los permisos y las opciones correspondientes. Si no sabe qué cuenta está actualmente en uso, abra Microsoft Entra Connect y seleccione la opción Ver la configuración actual. La cuenta a la que necesita agregar los permisos se muestra en Directorios sincronizados. Se deben establecer los siguientes permisos y opciones en la cuenta:

• Restablecimiento de contraseñas
• Haga clic en Cambiar contraseña.
• Permisos de escritura en lockoutTime
• Permisos de escritura en pwdLastSet
• Derechos extendidos para "Contraseña no expirada" en el objeto raíz de cada dominio de ese bosque, si aún no se ha establecido.

Si no asigna estos permisos, la escritura diferida puede parecer estar configurada correctamente, pero los usuarios encuentran errores al intentar administrar sus contraseñas locales desde la nube. Al establecer permisos de "Contraseña sin expiración" en Active Directory, se debe aplicar a Este objeto y todos los objetos descendientes, Solo este objeto o Todos los objetos descendientes, o este permiso no se mostrará.

Sugerencia

Si las contraseñas de algunas cuentas de usuario no se escriben de nuevo en el directorio local, asegúrese de que la herencia no esté deshabilitada para la cuenta en el entorno de AD DS local. Los permisos de escritura para las contraseñas se deben aplicar a los objetos descendientes para que la característica funcione correctamente.

Para configurar los permisos adecuados para que se realice la escritura diferida de contraseñas, complete los pasos siguientes:

1. En el entorno local de AD DS, abra Usuarios y equipos de Active Directory con una cuenta que tenga los permisos de administración de dominio adecuados.

2. En el menú Ver, asegúrese de que la opción Características avanzadas esté activada.

3. En el panel izquierdo, seleccione con el botón derecho el objeto que representa la raíz del dominio y elija Propiedades>Seguridad>Avanzado.

4. En la pestaña Permisos, haga clic en Agregar.

5. En Entidad de seguridad, seleccione la cuenta a la que se deben aplicar los permisos (la cuenta usada por Microsoft Entra).

6. En la lista desplegable Se aplica a, seleccione Descendent User objects (Objetos del usuario descendientes).

7. En Permisos, active la casilla para la siguiente opción:

   • Restablecimiento de contraseñas

8. En Propiedades, active las casillas de las siguientes opciones: Desplácese por la lista para encontrar estas opciones, que ya se pueden establecer de forma predeterminada:

   • Escribir lockoutTime
   • Escribir pwdLastSet

   

9. Cuando esté preparado, seleccione Aplicar o Aceptar para aplicar los cambios.

10. En la pestaña Permisos, haga clic en Agregar.

11. En Entidad de seguridad, seleccione la cuenta a la que se deben aplicar los permisos (la cuenta usada por Microsoft Entra).

12. En la lista desplegable Aplicar a, seleccione Este objeto y todos los descendientes.

13. En Permisos, active la casilla para la siguiente opción:

    • Contraseña sin expiración

14. Cuando esté preparado, haga clic en Aplicar o Aceptar para aplicar los cambios y salir de los cuadros de diálogo abiertos.

Cuando actualiza los permisos, pueden tardar una hora (o más) en replicarse en todos los objetos del directorio.

Las directivas de contraseñas en el entorno de AD DS local pueden impedir que se procesen correctamente los restablecimientos de contraseña. Para que la escritura diferida de contraseñas funcione de forma más eficaz, la directiva de grupo para la Vigencia mínima de la contraseña debe establecerse en 0. Esta configuración se puede encontrar en Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas de cuenta en gpmc.msc.

Si actualiza la directiva de grupo, espere a que la directiva actualizada se replique o use el comando gpupdate /force.

Nota:

Si necesita permitir que los usuarios cambien o restablezcan las contraseñas más de una vez al día, debe establecer Vigencia mínima de la contraseña en 0. La escritura diferida de contraseñas funcionará después de que se evalúen satisfactoriamente las directivas de contraseñas locales.

Habilitación de la escritura diferida de contraseñas en Microsoft Entra Connect

Una de las opciones de configuración de Microsoft Entra Connect es para la escritura diferida de contraseñas. Cuando esta opción está habilitada, los eventos de cambio de contraseña hacen que Microsoft Entra Connect vuelva a sincronizar las credenciales actualizadas con el entorno de AD DS local.

Para habilitar la escritura diferida de SSPR, primero debe habilitar la opción de escritura diferida en Microsoft Entra Connect. Desde el servidor de Microsoft Entra Connect, realice los siguientes pasos:

1. Inicie sesión en el servidor de Microsoft Entra Connect e inicie el asistente de configuración de Microsoft Entra Connect.
2. En la página principal, seleccione Configurar.
3. En la página Tareas adicionales, seleccione Personalizar las opciones de sincronización y haga clic en Siguiente.
4. En la página Conectar con Microsoft Entra ID, escriba una credencial de administrador global para el inquilino de Azure y, después, seleccione Siguiente.
5. En las páginas de filtrado Conectar directorios y Dominio/Unidad organizativa, seleccione Siguiente.
6. En la página Características opcionales, active la casilla junto a Escritura diferida de contraseñas y haga clic en Siguiente.
7. En la página Extensiones de directorio, seleccione Siguiente.
8. En la página Listo para configurar, haga clic en Configurar y espere a que se complete el proceso.
9. Cuando finalice la configuración, seleccione Salir.

Habilitación de la escritura diferida de contraseñas para el autoservicio de restablecimiento de contraseña

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Con la escritura diferida de contraseñas habilitada en Microsoft Entra Connect, configure ahora el SSPR de Microsoft Entra para la escritura diferida. El SSPR se puede configurar para la escritura diferida mediante agentes de sincronización de Microsoft Entra Connect y agentes de aprovisionamiento de Microsoft Entra Connect (sincronización en la nube). Al habilitar el autoservicio de restablecimiento de contraseña para que use la escritura diferida de contraseñas, los usuarios que cambien o restablezcan su contraseña tendrán la contraseña actualizada sincronizada de nuevo en el entorno de AD DS local.

Para habilitar la escritura diferida de contraseñas en SSPR, complete los pasos siguientes:

1. Inicie sesión en el centro de administración de Microsoft Entra como administrador global.
2. Vaya a Protección>Restablecimiento de contraseña y seleccione Integración local.
3. Active la opción Write back passwords to your on-premises directory (Reescribir contraseñas en el directorio local).
4. (Opcional) Si se detectan agentes de aprovisionamiento de Microsoft Entra Connect, también puede activar la opción de Reescribir contraseñas con la sincronización en la nube de Microsoft Entra Connect.
5. Establezca la opción Permitir a los usuarios desbloquear las cuentas sin restablecer la contraseña en Sí.
6. Cuando esté preparado, seleccione Guardar.

Limpieza de recursos

Si decide que ya no desea utilizar la funcionalidad de escritura diferida del autoservicio de restablecimiento de contraseña que se ha configurado como parte de este tutorial, realice los siguientes pasos:

1. Inicie sesión en el centro de administración de Microsoft Entra como administrador global.
2. Vaya a Protección>Restablecimiento de contraseña y seleccione Integración local.
3. Desactive la opción Reescribir contraseñas en el directorio local.
4. Desactive la opción Escritura diferida de contraseñas con la sincronización en la nube de Microsoft Entra Connect.
5. Desactive la opción Permitir a los usuarios desbloquear las cuentas sin restablecer la contraseña.
6. Cuando esté preparado, seleccione Guardar.

Si ya no desea usar la sincronización en la nube de Microsoft Entra Connect para la funcionalidad de escritura diferida de SSPR, pero quiere seguir usando el agente de sincronización de Microsoft Entra Connect para escrituras diferidas, complete los pasos siguientes:

1. Inicie sesión en el centro de administración de Microsoft Entra como administrador global.
2. Vaya a Protección>Restablecimiento de contraseña y seleccione Integración local.
3. Desactive la opción Escritura diferida de contraseñas con la sincronización en la nube de Microsoft Entra Connect.
4. Cuando esté preparado, seleccione Guardar.

Si ya no desea usar ninguna funcionalidad de contraseña, siga estos pasos desde el servidor de Microsoft Entra Connect:

1. Inicie sesión en el servidor de Microsoft Entra Connect e inicie el asistente de configuración de Microsoft Entra Connect.
2. En la página principal, seleccione Configurar.
3. En la página Tareas adicionales, seleccione Personalizar las opciones de sincronización y haga clic en Siguiente.
4. En la página Conectar con Microsoft Entra ID, escriba una credencial de administrador global para el inquilino de Azure y, después, seleccione Siguiente.
5. En las páginas de filtrado Conectar directorios y Dominio/Unidad organizativa, seleccione Siguiente.
6. En la página Características opcionales, desactive la casilla junto a Escritura diferida de contraseñas y haga clic en Siguiente.
7. En la página Listo para configurar, haga clic en Configurar y espere a que se complete el proceso.
8. Cuando finalice la configuración, seleccione Salir.

Importante

La habilitación de la escritura diferida de contraseñas por primera vez puede desencadenar los eventos de cambio de contraseña 656 y 657, incluso si no se ha producido un cambio de contraseña. Esto se debe a que todos los hashes de contraseña se vuelven a sincronizar después de que se haya ejecutado un ciclo de sincronización de hash de contraseña.

Pasos siguientes

En este tutorial, ha habilitado la escritura diferida del autoservicio de restablecimiento de contraseña de Microsoft Entra en un entorno de AD DS local. Ha aprendido a:

• Configurar los permisos necesarios para la escritura diferida de contraseñas
• Habilitar la opción de escritura diferida de contraseñas en Microsoft Entra Connect.
• Habilitar la escritura diferida de contraseñas en el SSPR de Microsoft Entra.

Evaluación del riesgo en el inicio de sesión