Tutorial: Habilitación de la escritura diferida del autoservicio de restablecimiento de contraseña de Azure Active Directory en un entorno local

Con el autoservicio de restablecimiento de contraseña de Azure Active Directory (Azure AD), los usuarios pueden actualizar sus contraseñas o desbloquear la cuenta mediante un explorador web. Se recomienda este vídeo sobre cómo habilitar y configurar SSPR en Azure AD. En un entorno híbrido en el que se conecta Azure AD a un entorno local de Active Directory Domain Services (AD DS), este escenario puede hacer que las contraseñas sean diferentes entre los dos directorios.

La escritura diferida de contraseñas se puede utilizar para sincronizar los cambios de contraseñas en Azure AD de vuelta al entorno local de AD DS. Azure AD Connect proporciona un mecanismo seguro para enviar los cambios de contraseñas de vuelta a un directorio local existente desde Azure AD.

Importante

En este tutorial se muestra a un administrador cómo habilitar el restablecimiento de contraseña de autoservicio en un entorno local. Los usuarios finales registrados para el restablecimiento de contraseña de autoservicio que necesiten volver a su cuenta deben ir a https://aka.ms/sspr.

Si el equipo de TI no ha habilitado la capacidad para restablecer su propia contraseña, póngase en contacto con el departamento de soporte técnico para obtener ayuda adicional.

En este tutorial, aprenderá a:

  • Configurar los permisos requeridos para la escritura diferida de contraseñas
  • Habilitar la opción de escritura diferida de contraseñas en Azure AD Connect
  • Habilitar la escritura diferida de contraseñas en SSPR de Azure AD

Prerrequisitos

Para completar este tutorial, necesitará los siguientes recursos y privilegios:

Configuración de los permisos de cuenta para Azure AD Connect

Azure AD Connect le permite sincronizar usuarios, grupos y credenciales entre un entorno de AD DS local y Azure AD. Normalmente, se instala Azure AD Connect en un equipo con Windows Server 2016 o posterior que esté unido al dominio de AD DS local.

Para trabajar correctamente con la escritura diferida del autoservicio de restablecimiento de contraseña, la cuenta especificada en Azure AD Connect debe tener establecidos los permisos y las opciones correspondientes. Si no está seguro de qué cuenta está actualmente en uso, abra Azure AD Connect y seleccione la opción Ver la configuración actual. La cuenta a la que necesita agregar los permisos se muestra en Directorios sincronizados. Se deben establecer los siguientes permisos y opciones en la cuenta:

  • Restablecimiento de contraseñas
  • Permisos de escritura en lockoutTime
  • Permisos de escritura en pwdLastSet
  • Derechos extendidos para "Contraseña no expirada" en el objeto raíz de cada dominio de ese bosque, si aún no se ha establecido.

Si no asigna estos permisos, la escritura diferida puede parecer estar configurada correctamente, pero los usuarios encuentran errores al intentar administrar sus contraseñas locales desde la nube. Al establecer permisos de "Contraseña sin expiración" en Active Directory, se debe aplicar a Este objeto y todos los objetos descendientes, Solo este objeto o Todos los objetos descendientes, o este permiso no se mostrará.

Sugerencia

Si las contraseñas de algunas cuentas de usuario no se escriben de nuevo en el directorio local, asegúrese de que la herencia no esté deshabilitada para la cuenta en el entorno de AD DS local. Los permisos de escritura para las contraseñas se deben aplicar a los objetos descendientes para que la característica funcione correctamente.

Para configurar los permisos adecuados para que se realice la escritura diferida de contraseñas, complete los pasos siguientes:

  1. En el entorno local de AD DS, abra Usuarios y equipos de Active Directory con una cuenta que tenga los permisos de administración de dominio adecuados.

  2. En el menú Ver, asegúrese de que la opción Características avanzadas esté activada.

  3. En el panel izquierdo, seleccione con el botón derecho el objeto que representa la raíz del dominio y elija Propiedades>Seguridad>Avanzado.

  4. En la pestaña Permisos, haga clic en Agregar.

  5. En Entidad de seguridad, seleccione la cuenta a la que se deben aplicar los permisos (la cuenta que usa Azure AD Connect).

  6. En la lista desplegable Se aplica a, seleccione Descendent User objects (Objetos del usuario descendientes).

  7. En Permisos, active la casilla para la siguiente opción:

    • Restablecimiento de contraseñas
  8. En Propiedades, active las casillas de las siguientes opciones: Desplácese por la lista para encontrar estas opciones, que ya se pueden establecer de forma predeterminada:

    • Escribir lockoutTime
    • Escribir pwdLastSet

    Establecimiento de los permisos adecuados en usuarios y equipos activos para la cuenta usada por Azure AD Connect

  9. Cuando esté preparado, seleccione Aplicar o Aceptar para aplicar los cambios.

  10. En la pestaña Permisos, haga clic en Agregar.

  11. En Entidad de seguridad, seleccione la cuenta a la que se deben aplicar los permisos (la cuenta que usa Azure AD Connect).

  12. En la lista desplegable Aplicar a, seleccione Este objeto y todos los descendientes.

  13. En Permisos, active la casilla para la siguiente opción:

    • Contraseña sin expiración
  14. Cuando esté preparado, haga clic en Aplicar o Aceptar para aplicar los cambios y salir de los cuadros de diálogo abiertos.

Cuando actualiza los permisos, pueden tardar una hora (o más) en replicarse en todos los objetos del directorio.

Las directivas de contraseñas en el entorno de AD DS local pueden impedir que se procesen correctamente los restablecimientos de contraseña. Para que la escritura diferida de contraseñas funcione de forma más eficaz, la directiva de grupo para la Vigencia mínima de la contraseña debe establecerse en 0. Esta configuración se puede encontrar en Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas de cuenta en gpmc.msc.

Si actualiza la directiva de grupo, espere a que la directiva actualizada se replique o use el comando gpupdate /force.

Nota:

Si necesita permitir que los usuarios cambien o restablezcan las contraseñas más de una vez al día, debe establecer Vigencia mínima de la contraseña en 0. La escritura diferida de contraseñas funcionará después de que se evalúen satisfactoriamente las directivas de contraseñas locales.

Habilitación de la Escritura diferida de contraseñas en Azure AD Connect

Una de las opciones de configuración de Azure AD Connect es para la escritura diferida de contraseñas. Cuando esta opción está habilitada, los eventos de cambio de contraseña hacen que Azure AD Connect vuelva a sincronizar las credenciales actualizadas con el entorno de AD DS local.

Para habilitar la reescritura de SSPR, habilite primero la opción de reescritura en Azure AD Connect. Desde el servidor de Azure AD Connect, realice los siguientes pasos:

  1. Inicie sesión en el servidor de Azure AD Connect e inicie el asistente de configuración de Azure AD Connect.

  2. En la página principal, seleccione Configurar.

  3. En la página Tareas adicionales, seleccione Personalizar las opciones de sincronización y haga clic en Siguiente.

  4. En la página Conectar con Azure AD, escriba una credencial de administrador global para el inquilino de Azure y, después, seleccione Siguiente.

  5. En las páginas de filtrado Conectar directorios y Dominio/Unidad organizativa, seleccione Siguiente.

  6. En la página Características opcionales, active la casilla junto a Escritura diferida de contraseñas y haga clic en Siguiente.

    Configuración de Azure AD Connect para escritura diferida de contraseñas

  7. En la página Extensiones de directorio, seleccione Siguiente.

  8. En la página Listo para configurar, haga clic en Configurar y espere a que se complete el proceso.

  9. Cuando finalice la configuración, seleccione Salir.

Habilitación de la escritura diferida de contraseñas para el autoservicio de restablecimiento de contraseña

Con la escritura diferida de contraseñas habilitada en Azure AD Connect, configure ahora el autoservicio de restablecimiento de contraseña de Azure AD para la escritura diferida. El autoservicio de restablecimiento de contraseña se puede configurar para la escritura diferida mediante agentes de sincronización de Azure AD Connect y agentes de aprovisionamiento de Azure AD Connect (sincronización en la nube). Al habilitar el autoservicio de restablecimiento de contraseña para que use la escritura diferida de contraseñas, los usuarios que cambien o restablezcan su contraseña tendrán la contraseña actualizada sincronizada de nuevo en el entorno de AD DS local.

Para habilitar la escritura diferida de contraseñas en SSPR, complete los pasos siguientes:

  1. Inicie sesión en Azure Portal con una cuenta de administrador de identidades híbridas.

  2. Vaya a Azure Active Directory, seleccione Restablecer contraseña y, después, elija Integración local.

  3. Active la opción Write back passwords to your on-premises directory (Reescribir contraseñas en el directorio local).

  4. (opcional) Si se detectan agentes de aprovisionamiento de Azure AD Connect, también puede activar la opción de Write back passwords with Azure AD Connect cloud sync (Reescribir contraseñas con Azure AD Connect Cloud Sync).

  5. Active la opción Permitir que los usuarios desbloqueen las cuentas sin restablecer la contraseña en .

    Configuración de Azure AD Connect para escritura diferida de contraseñas

  6. Cuando esté preparado, seleccione Guardar.

Limpieza de recursos

Si decide que ya no desea utilizar la funcionalidad de escritura diferida del autoservicio de restablecimiento de contraseña que se ha configurado como parte de este tutorial, realice los siguientes pasos:

  1. Inicie sesión en Azure Portal.
  2. Busque y seleccione Azure Active Directory, haga clic en Restablecimiento de contraseña y, después, elija Integración local.
  3. Desactive la opción Reescribir contraseñas en el directorio local.
  4. Desactive la opción Reescribir contraseñas con Azure AD Connect Cloud Sync.
  5. Desactive la opción Permitir a los usuarios desbloquear las cuentas sin restablecer la contraseña.
  6. Cuando esté preparado, seleccione Guardar.

Si ya no desea usar Azure AD Connect Cloud Sync para la funcionalidad de escritura diferida de SSPR, pero quiere seguir usando el agente de sincronización de Azure AD Connect para escrituras diferidas, complete los pasos siguientes:

  1. Inicie sesión en Azure Portal.
  2. Busque y seleccione Azure Active Directory, haga clic en Restablecimiento de contraseña y, después, elija Integración local.
  3. Desactive la opción Reescribir contraseñas con Azure AD Connect Cloud Sync.
  4. Cuando esté preparado, seleccione Guardar.

Si ya no desea usar ninguna funcionalidad de contraseña, siga estos pasos desde el servidor de Azure AD Connect:

  1. Inicie sesión en el servidor de Azure AD Connect e inicie el asistente de configuración de Azure AD Connect.
  2. En la página principal, seleccione Configurar.
  3. En la página Tareas adicionales, seleccione Personalizar las opciones de sincronización y haga clic en Siguiente.
  4. En la página Conectar con Azure AD, escriba una credencial de administrador global para el inquilino de Azure y, después, seleccione Siguiente.
  5. En las páginas de filtrado Conectar directorios y Dominio/Unidad organizativa, seleccione Siguiente.
  6. En la página Características opcionales, desactive la casilla junto a Escritura diferida de contraseñas y haga clic en Siguiente.
  7. En la página Listo para configurar, haga clic en Configurar y espere a que se complete el proceso.
  8. Cuando finalice la configuración, seleccione Salir.

Importante

La habilitación de la escritura diferida de contraseñas por primera vez puede desencadenar los eventos de cambio de contraseña 656 y 657, incluso si no se ha producido un cambio de contraseña. Esto se debe a que todos los hashes de contraseña se vuelven a sincronizar después de que se haya ejecutado un ciclo de sincronización de hash de contraseña.

Pasos siguientes

En este tutorial, ha habilitado la escritura diferida del autoservicio de restablecimiento de contraseña de Azure AD en un entorno de AD DS local. Ha aprendido a:

  • Configurar los permisos necesarios para la escritura diferida de contraseñas
  • Habilitar la opción de escritura diferida de contraseñas en Azure AD Connect
  • Habilitar la escritura diferida de contraseñas en el autoservicio de restablecimiento de contraseña de Azure AD