Tutorial: Habilitación de la escritura diferida del autoservicio de restablecimiento de contraseña de Microsoft Entra en un entorno local

Con el autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra, los usuarios pueden actualizar sus contraseñas o desbloquear la cuenta mediante un navegador web. Se recomienda este vídeo sobre Cómo habilitar y configurar SSPR en Microsoft Entra ID. En un entorno híbrido en el que se conecta Microsoft Entra ID a un entorno local de Active Directory Domain Services (AD DS), este escenario puede hacer que las contraseñas sean diferentes entre los dos directorios.

La escritura diferida de contraseñas se puede utilizar para sincronizar los cambios de contraseñas en Microsoft Entra de vuelta al entorno local de AD DS. Microsoft Entra Connect proporciona un mecanismo seguro para enviar los cambios de contraseñas de vuelta a un directorio local existente desde Microsoft Entra ID.

Importante

Este tutorial ofrece a los administradores instrucciones para habilitar el autoservicio de restablecimiento de contraseña en un entorno local. Si es un usuario final registrado para el autoservicio de restablecimiento de contraseña y necesita volver a su cuenta, vaya a https://aka.ms/sspr.

Si el equipo de TI no ha habilitado la capacidad para restablecer su propia contraseña, póngase en contacto con el departamento de soporte técnico para obtener ayuda adicional.

En este tutorial, aprenderá a:

• Configurar los permisos necesarios para la escritura diferida de contraseñas
• Habilitar la opción de escritura diferida de contraseñas en Microsoft Entra Connect
• Habilitar la escritura diferida de contraseñas en el SSPR de Microsoft Entra

Requisitos previos

Para completar este tutorial, necesitará los siguientes recursos y privilegios:

• Un inquilino de Microsoft Entra activo con al menos una instancia de Microsoft Entra ID P1 o una licencia de prueba habilitada.
  • Si es preciso, cree una cuenta gratuita.
  • Para obtener más información, consulte Requisitos de licencias para el SSPR de Microsoft Entra.
• Una cuenta con el administrador de identidades híbridas.
• Microsoft Entra ID está configurado para el autoservicio de restablecimiento de contraseña.
  • En caso necesario, complete el tutorial anterior para habilitar el SSPR de Microsoft Entra.
• Un entorno de AD DS local existente configurado con una versión actual de Microsoft Entra Connect.
  • Si es necesario, configure Microsoft Entra Connect con la configuración rápida o personalizada.
  • Para utilizar la escritura diferida de contraseñas, los controladores de dominio pueden ejecutar cualquier versión compatible de Windows Server.

Configuración de los permisos de cuenta para Microsoft Entra Connect

Microsoft Entra Connect le permite sincronizar usuarios, grupos y credenciales entre un entorno de AD DS local y Microsoft Entra ID. Normalmente, se instala Microsoft Entra Connect en un equipo con Windows Server 2016 o posterior que esté unido al dominio de AD DS local.

Para trabajar correctamente con la escritura diferida del SSPR, la cuenta especificada en Microsoft Entra Connect debe tener establecidos los permisos y las opciones correspondientes. Si no sabe qué cuenta está actualmente en uso, abra Microsoft Entra Connect y seleccione la opción Ver la configuración actual. La cuenta a la que necesita agregar los permisos se muestra en Directorios sincronizados. Se deben establecer los siguientes permisos y opciones en la cuenta:

• Restablecer contraseña
• Cambiar contraseña
• Permisos de escritura en lockoutTime
• Permisos de escritura en pwdLastSet
• Permisos extendidos para "Contraseña no expirada" en el objeto raíz de cada dominio de ese bosque, si aún no se ha establecido.

Si no asignan estos permisos, la escritura diferida puede parecer estar configurada correctamente, pero los usuarios encuentran errores al intentar administrar sus contraseñas locales desde la nube. Al establecer permisos de "Contraseña no expirada" en Active Directory, se debe aplicar a Este objeto y todos los objetos descendientes, Solo este objeto o Todos los objetos descendientes, o este permiso no se mostrará.

Sugerencia

Si las contraseñas de algunas cuentas de usuario no se escriben de nuevo en el directorio local, asegúrese de que la herencia no esté deshabilitada para la cuenta en el entorno de AD DS local. Los permisos de escritura para las contraseñas se deben aplicar a los objetos descendientes para que la característica funcione correctamente.

Para configurar los permisos adecuados para que se realice la escritura diferida de contraseñas, complete los pasos siguientes:

1. En el entorno local de AD DS, abra Usuarios y equipos de Active Directory con una cuenta que tenga los permisos de administración de dominio adecuados.
2. En el menú Ver, asegúrese de que la opción Funciones avanzadas esté activada.
3. En el panel izquierdo, seleccione con el botón derecho el objeto que representa la raíz del dominio y elija Propiedades>Seguridad>Avanzado.
4. En la pestaña Permisos, seleccione Agregar.
5. En Principal, seleccione la cuenta a la que se deben aplicar los permisos (la cuenta usada por Microsoft Entra Connect).
6. En la lista desplegable Aplicar a, seleccione Objetos del usuario descendientes.
7. En Permisos, seleccione la casilla para la siguiente opción:
   • Restablecer contraseña
8. En Propiedades, seleccione las casillas de las siguientes opciones. Desplácese por la lista para encontrar estas opciones, que pueden haberse establecido ya de forma predeterminada:

• Escribir lockoutTime

• Escribir pwdLastSet

  

1. Cuando esté preparado, seleccione Aplicar o Aceptar para aplicar los cambios.
2. En la pestaña Permisos, seleccione Agregar.
3. En Principal, seleccione la cuenta a la que se deben aplicar los permisos (la cuenta usada por Microsoft Entra Connect).
4. En la lista desplegable Aplicar a, seleccione Este objeto y todos los descendientes
5. En Permisos, seleccione la casilla para la siguiente opción:
   • Contraseña no expirada
6. Cuando esté preparado, haga clic en Aplicar o Aceptar para aplicar los cambios y salir de los cuadros de diálogo abiertos.

Cuando actualiza los permisos, estos pueden tardar una hora (o más) en replicarse en todos los objetos del directorio.

Las directivas de contraseñas en el entorno de AD DS local pueden impedir que se procesen correctamente los restablecimientos de contraseña. Para que la escritura diferida de contraseñas funcione de forma más eficaz, la directiva de grupo para la Vigencia mínima de la contraseña debe establecerse en 0. Esta configuración se puede encontrar en Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas de cuenta, dentro de gpmc.msc.

Si actualiza la directiva de grupo, espere a que la directiva actualizada se replique o use el comando gpupdate /force.

Nota

Si necesita permitir que los usuarios cambien o restablezcan las contraseñas más de una vez al día, debe establecer Vigencia mínima de la contraseña en 0. La escritura diferida de contraseñas funcionará después de que se evalúen satisfactoriamente las directivas de contraseñas del entorno local.

Habilitación de la escritura diferida de contraseñas en Microsoft Entra Connect

Una de las opciones de configuración de Microsoft Entra Connect es para la escritura diferida de contraseñas. Cuando esta opción está habilitada, los eventos de cambio de contraseña hacen que Microsoft Entra Connect vuelva a sincronizar las credenciales actualizadas con el entorno de AD DS local.

Para habilitar la escritura diferida de SSPR, primero debe habilitar la opción de escritura diferida en Microsoft Entra Connect. Desde el servidor de Microsoft Entra Connect, realice los siguientes pasos:

1. Inicie sesión en el servidor de Microsoft Entra Connect e inicie el asistente para configuración de Microsoft Entra Connect.
2. En la página de bienvenida, seleccione Configurar.
3. En la página Tareas adicionales, seleccione Personalizar las opciones de sincronización y haga clic en Siguiente.
4. En la página Conectar con Microsoft Entra ID, introduzca una credencial de administrador global para el inquilino de Azure y, después, seleccione Siguiente.
5. En las páginas de filtrado Conectar directorios y Dominio/UO, seleccione Siguiente.
6. En la página Características opcionales, seleccione la casilla junto a Escritura diferida de contraseñas y, después, seleccione Siguiente.
7. En la página Extensiones de directorio, seleccione Siguiente.
8. En la página Listo para configurar, seleccione Configurar y espere a que se complete el proceso.
9. Cuando finalice la configuración, seleccione Salir.

Nota

No se admite la actualización de PasswordWritebackEnabled desde características del servicio OnPremDirectorySynchronization, ya que esta marca de característica no está en uso.

Habilitación de la escritura diferida de contraseñas para el SSPR

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Con la escritura diferida de contraseñas habilitada en Microsoft Entra Connect, configure ahora el SSPR de Microsoft Entra para la escritura diferida. El SSPR se puede configurar para la escritura diferida mediante agentes de sincronización de Microsoft Entra Connect y agentes de aprovisionamiento de Microsoft Entra Connect (sincronización en la nube). Al habilitar el autoservicio de restablecimiento de contraseña para que use la escritura diferida de contraseñas, los usuarios que cambien o restablezcan su contraseña tendrán la contraseña actualizada sincronizada de nuevo en el entorno de AD DS local.

Para habilitar la escritura diferida de contraseñas en SSPR, complete los pasos siguientes:

1. Inicie sesión en el centro de administración Microsoft Entra como administrador global.
2. Vaya a Protección>Restablecimiento de contraseña y seleccione Integración en el entorno local.
3. Active la opción Write back passwords to your on-premises directory (Reescribir contraseñas en el directorio local).
4. (Opcional) Si se detectan agentes de aprovisionamiento de Microsoft Entra Connect, también puede activar la opción de Reescribir contraseñas con la sincronización en la nube de Microsoft Entra Connect.
5. Establezca la opción Permitir a los usuarios desbloquear las cuentas sin restablecer la contraseña en Sí.
6. Cuando esté preparado, seleccione Guardar.

Limpieza de recursos

Si decide que ya no desea utilizar la funcionalidad de escritura diferida del SSPR que se ha configurado como parte de este tutorial, realice los siguientes pasos:

1. Inicie sesión en el centro de administración Microsoft Entra como administrador global.
2. Vaya a Protección>Restablecimiento de contraseña y seleccione Integración en el entorno local.
3. Desactive la opción Reescribir contraseñas en el directorio del entorno local.
4. Desactive la opción Escritura diferida de contraseñas con la sincronización en la nube de Microsoft Entra Connect.
5. Desactive la opción Permitir a los usuarios desbloquear las cuentas sin restablecer la contraseña.
6. Cuando esté preparado, seleccione Guardar.

Si ya no desea utilizar la sincronización en la nube de Microsoft Entra Connect para la funcionalidad de escritura diferida de SSPR, pero quiere seguir usando el agente de sincronización de Microsoft Entra Connect para escrituras diferidas, complete los pasos siguientes:

1. Inicie sesión en el centro de administración Microsoft Entra como administrador global.
2. Vaya a Protección>Restablecimiento de contraseña y seleccione Integración en el entorno local.
3. Desactive la opción Escritura diferida de contraseñas con la sincronización en la nube de Microsoft Entra Connect.
4. Cuando esté preparado, seleccione Guardar.

Si ya no desea utilizar ninguna funcionalidad de contraseña, siga estos pasos desde el servidor de Microsoft Entra Connect:

1. Inicie sesión en el servidor de Microsoft Entra Connect e inicie el asistente para configuración de Microsoft Entra Connect.
2. En la página de bienvenida, seleccione Configurar.
3. En la página Tareas adicionales, seleccione Personalizar las opciones de sincronización y haga clic en Siguiente.
4. En la página Conectar con Microsoft Entra ID, introduzca una credencial de administrador global y seleccione Siguiente.
5. En las páginas de filtrado Conectar directorios y Dominio/UO, seleccione Siguiente.
6. En la página Características opcionales, desactive la casilla junto a Escritura diferida de contraseñas y seleccione en Siguiente.
7. En la página Listo para configurar, seleccione Configurar y espere a que se complete el proceso.
8. Cuando finalice la configuración, seleccione Salir.

Importante

La habilitación de la escritura diferida de contraseñas por primera vez puede desencadenar los eventos de cambio de contraseña 656 y 657, incluso si no se ha producido un cambio de contraseña. Esto se debe a que todos los hashes de contraseña se vuelven a sincronizar después de que se haya ejecutado un ciclo de sincronización de hash de contraseña.

Pasos siguientes

En este tutorial, ha habilitado la escritura diferida del SSPR de Microsoft Entra en un entorno de AD DS local. Ha aprendido a:

• Configurar los permisos necesarios para la escritura diferida de contraseñas
• Habilitar la opción de escritura diferida de contraseñas en Microsoft Entra Connect
• Habilitar la escritura diferida de contraseñas en el SSPR de Microsoft Entra

Evaluación del riesgo en el inicio de sesión