Autenticación transferida de Microsoft Entra: preguntas más frecuentes

Consulte esta guía para ver una comparación de los distintos métodos de inicio de sesión de Microsoft Entra y cómo elegir el método correcto para su organización.

La autenticación de paso a través es una característica gratuita. No es necesario utilizar ninguna versión de pago de Microsoft Entra ID para usarla.

Sí. Todas las funcionalidades de acceso condicional, incluida la autenticación multifactor de Microsoft Entra, funcionan con la autenticación transferida.

Sí, tanto la autenticación transferida (PTA) como la sincronización de hash de contraseñas (PHS) admiten el inicio de sesión con un valor que no sea UPN, como un correo electrónico alternativo. Para obtener más información, consulte acerca del identificador de inicio de sesión alternativo.

No. La autenticación de paso a través no realiza una conmutación automática por error a la sincronización de hash de contraseña. Para evitar errores de inicio de sesión de usuario, debe configurar la autenticación de paso a través para una alta disponibilidad.

Cuando se usa Microsoft Entra Connect para cambiar el método de inicio de sesión de sincronización de hash de contraseña a la autenticación transferida, esta última se convierte en el método principal de inicio de sesión de los usuarios en dominios administrados. Los hash de contraseña de todos los usuarios que anteriormente se han sincronizado mediante la sincronización de hash de contraseña siguen almacenados en Microsoft Entra ID.

Sí. Esta configuración es compatible con las nuevas versiones del agente de autenticación de paso a través (versiones 1.5.193.0 o posteriores).

Para que esta característica funcione, necesita la versión 1.1.750.0 o posterior para Microsoft Entra Connect y 1.5.193.0 o posterior para el agente de autenticación transferida. Instale todo el software servidores con Windows Server 2012 R2 o posterior.

Esto puede deberse a que el servicio del actualizador no funciona correctamente o a que no hay nuevas actualizaciones disponibles que el servicio pueda instalar. El servicio de actualización es correcto si se está ejecutando y no hay ningún error registrado en el registro de eventos (Registros de aplicaciones y servicios -> Microsoft -> AzureADConnect-Agent -> Actualizador -> Administrador).

Solo se publican las versiones principales para la actualización automática. Se recomienda actualizar el agente manualmente solo si es necesario. Por ejemplo, no puede esperar a una versión principal, porque debe corregir un problema conocido o usar una característica nueva. Para más información sobre las nuevas versiones, el tipo de versión (descarga, actualización automática), correcciones de errores y nuevas características, consulte Agente de autenticación transferida de Microsoft Entra: Historial de lanzamiento de versiones.

Para actualizar manualmente un conector:

• Descargue la última versión del agente. (Lo encontrará en Microsoft Entra Connect autenticación transferida en el centro de administración de Microsoft Entra. También puede encontrar el vínculo en Autenticación transferida de Microsoft Entra: Historial de lanzamiento de versiones.
• El instalador reinicia los servicios del agente de autenticación de Microsoft Entra Connect. En algunos casos, es necesario reiniciar el servidor si el instalador no puede reemplazar todos los archivos. Por tanto, se recomienda cerrar todas las aplicaciones, es decir el Visor de eventos, antes de iniciar la actualización.
• Ejecute el instalador. El proceso de actualización es rápido y no es necesario proporcionar ninguna credencial y el agente no se volverá a registrar.

Si ha configurado la escritura diferida de contraseñas para un usuario concreto y, si el usuario inicia sesión mediante la autenticación de paso a través, puede cambiar o restablecer su contraseña. La contraseña se volverá a escribir en la instancia local de Active Directory, tal como cabría esperar.

Si no ha configurado la escritura diferida de contraseñas para un usuario determinado o si este no tiene una licencia válida de Microsoft Entra ID asignada, el usuario no podrá actualizar la contraseña en la nube. El usuario no puede actualizar la contraseña incluso aunque haya expirado. En su lugar, el usuario ve este mensaje: "La organización no le permite actualizar la contraseña en este sitio. Actualícelo según el método recomendado por su organización o pregunte al administrador si necesita ayuda". El usuario o el administrador deben restablecer su contraseña en el entorno local de Active Directory.

La expiración de la contraseña no desencadena la revocación de tokens de autenticación o cookies. Hasta que los tokens o cookies sean válidos, el usuario puede utilizarlos. Esto se aplica independientemente del tipo de autenticación (PTA, PHS y escenarios federados).

Para más información, consulte la siguiente documentación:

Tokens de acceso de la plataforma de identidad de Microsoft: plataforma de identidad de Microsoft | Microsoft Docs

Lea la información sobre el Bloqueo inteligente.

• Los agentes de autenticación realizan las solicitudes HTTPS a través del puerto 443 en todas las operaciones de esta característica.

• Los agentes de autenticación realizan solicitudes HTTP a través del puerto 80 para la descarga de listas de revocación de certificados (CRL) TLS/SSL.

  Nota:

  Las actualizaciones recientes redujeron el número de puertos que la característica necesita. Si tiene versiones anteriores de Microsoft Entra Connect o del agente de autenticación, mantenga también estos puertos abiertos: 5671, 8080, 9090, 9091, 9350, 9352 y 10100-10120.

Sí. Si la Detección automática de proxy web (WPAD) está habilitada en el entorno local, los agentes de autenticación intentarán automáticamente buscar y usar un servidor proxy web en la red. Para más información sobre el uso de servidores proxy de salida, consulte Trabajo con servidores proxy locales existentes.

Si no tiene WPAD en su entorno, puede agregar información de proxy (como se muestra a continuación) para permitir que un Agente de autenticación de transferida se comunique con Microsoft Entra ID:

• Configure la información del proxy en Internet Explorer antes de instalar el agente de autenticación de paso a través en el servidor. Esto permite completar la instalación del agente de autenticación, pero seguirá apareciendo como Inactivo en el portal de administración.
• En el servidor, vaya a "C:\Program Files\Microsoft Azure AD Connect Authentication Agent".
• Edite el archivo de configuración "AzureADConnectAuthenticationAgentService" y agregue las siguientes líneas (reemplace "http://contosoproxy.com:8080" con su dirección proxy real):

   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

No, solo se puede instalar un agente de autenticación de paso a través en un único servidor. Si desea configurar la autenticación de paso a través para alta disponibilidad, siga las instrucciones aquí.

La comunicación entre cada agente de autenticación transferida y Microsoft Entra ID está protegida mediante la autenticación basada en certificados. Microsoft Entra ID renueva estos certificados automáticamente cada pocos meses. No hay ninguna necesidad de renovar manualmente estos certificados. Puede eliminar los certificados expirados anteriores según sea necesario.

Mientras se esté ejecutando un agente de autenticación de paso a través, permanecerá activo y controlará continuamente las solicitudes de inicio de sesión del usuario. Si desea desinstalar un agente de autenticación, vaya a Panel de Control -> Programas -> Programas y características y desinstale los programas Agente de autenticación de Microsoft Entra Connect y Agent Updater de Microsoft Entra Connect.

Si comprueba la hoja de autenticación transferida en el centro de administración de Microsoft Entra como mínimo como administrador de identidad híbrido. después de completar el paso anterior, verá que el Agente de Autenticación aparece como Inactivo. Se espera que esto sea así. El agente de autenticación se quita automáticamente de la lista después de 10 días.

Si va a realizar la migración desde AD FS (u otra tecnología de federación) a la Autenticación transferida, es muy recomendable que siga nuestra guía de inicio rápido.

Sí. Se admiten entornos de bosques múltiples si hay relaciones de confianza de bosque (bidireccionales) entre los bosques de Active Directory y si el enrutamiento de sufijos de nombre está configurado correctamente.

No, la instalación de varios agentes de autenticación de paso a través solo garantiza una alta disponibilidad, No proporciona un equilibrio de carga determinista entre los agentes de autenticación. Cualquier agente de autenticación (de manera aleatoria) puede procesar una solicitud de inicio de sesión de usuario determinada.

La instalación de varios agentes de autenticación de paso a través garantiza una alta disponibilidad. Pero no proporciona un equilibrio de carga determinista entre los agentes de autenticación.

Considere la carga máxima y la carga media de las solicitudes de inicio de sesión que espera ver en el inquilino. Como referencia, un solo agente de autenticación puede administrar entre 300 y 400 autenticaciones por segundo en un servidor estándar con CPU de 4 núcleos y 16 GB de RAM.

Para calcular el tráfico de red, use la guía sobre el tamaño siguiente:

• Cada solicitud tiene un tamaño de carga de trabajo de (500 + 1 000 * número_de_agentes) bytes; es decir, los datos de Microsoft Entra al agente de autenticación. Aquí, "num_of_agents" indica el número de agentes de autenticación que hay registrados en su inquilino.
• Cada respuesta tiene un tamaño de carga de trabajo de 1 000 bytes; es decir, los datos del Agente de autenticación a Microsoft Entra ID.

Para la mayoría de los clientes, dos o tres agentes de autenticación en total son suficientes para obtener alta disponibilidad y capacidad. Sin embargo, en entornos de producción, se recomienda tener un mínimo de 3 agentes de autenticación en ejecución en el inquilino. Debe instalar agentes de autenticación cerca de los controladores de dominio para mejorar la latencia de inicio de sesión.

Se recomienda habilitar o deshabilitar la Autenticación transferida con una cuenta de administrador global solo para la nube. Información acerca de la incorporación de una cuenta de administrador global que está solo en la nube. De este modo, se asegura de no quedar bloqueado fuera de su inquilino.

Vuelva a ejecutar al Asistente de Microsoft Entra Connect y cambie el método de inicio de sesión del usuario de autenticación transferida a otro método. Este cambio deshabilita la autenticación de paso a través en el inquilino y desinstala el agente de autenticación del servidor. Debe desinstalar manualmente los agentes de autenticación de los otros servidores.

Si desinstala un agente de autenticación de paso a través de un servidor, el servidor deja de aceptar las solicitudes de inicio de sesión. Para evitar anular la funcionalidad de inicio de sesión del usuario en el inquilino, asegúrese de que haya otro agente de autenticación en ejecución antes de desinstalar un agente de autenticación de paso a través.

En las siguientes circunstancias, es posible que los cambios de UPN en el entorno local no se sincronicen si:

• El inquilino de Microsoft Entra se creó antes del 15 de junio de 2015.
• Estaba federado inicialmente con el inquilino de Microsoft Entra mediante AD FS para la autenticación.
• Cambió para tener usuarios administrados con PTA como autenticación.

Esto se debe a que el comportamiento predeterminado de los inquilinos creados antes del 15 de junio de 2015 era bloquear los cambios de UPN. Si necesita anular el bloqueo de los cambios de UPN, debe ejecutar el cmdlet de PowerShell siguiente. Obtenga el identificador mediante el cmdlet Get-MgDirectoryOnPremiseSynchronization.

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

Los inquilinos creados después del 15 de junio de 2015 tienen el comportamiento predeterminado de sincronizar los cambios en los nombres principales de usuario.

Para validar qué servidor local o agente de autenticación se usó para un evento de inicio de sesión específico:

1. En el centro de administración de Microsoft Entra, vaya al evento de inicio de sesión.

2. Seleccione Detalles de autenticación. En la columna Detalles del método de autenticación, los detalles del identificador del agente se muestran con el formato "Autenticación transferida; PTA AgentId: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX".

3. Para obtener los detalles del identificador del agente que está instalado en el servidor local, inicie sesión en el servidor local y ejecute el siguiente cmdlet:

   Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

   El valor GUID que se devuelve es el identificador de agente del agente de autenticación que está instalado en ese servidor específico. Si tiene varios agentes en su entorno, puede ejecutar este cmdlet en cada servidor del agente y capturar los detalles del identificador de agente.

4. Correlacione el identificador de agente que obtiene del servidor local y de los registros de inicio de sesión de Microsoft Entra para validar qué agente o servidor ha reconocido la solicitud de inicio de sesión.

Pasos siguientes

• Limitaciones actuales: conozca los escenarios admitidos y los no admitidos.
• Inicio rápido: Póngase en marcha con la autenticación transferida de Microsoft Entra.
• Migrar las aplicaciones a Microsoft Entra ID: recursos para ayudarle a migrar el acceso y la autenticación de aplicaciones a Microsoft Entra ID.
• Bloqueo inteligente: Obtenga información sobre cómo configurar la funcionalidad de bloqueo inteligente en el inquilino para proteger las cuentas de usuario.
• Profundización técnica: Conozca cómo funciona la característica de autenticación de paso a través.
• Solución de problemas: Obtenga información sobre cómo resolver problemas comunes relacionados con la característica de autenticación de paso a través.
• Análisis a fondo de la seguridad: Obtenga información técnica detallada sobre la característica de autenticación de paso a través.
• Unión híbrida a Microsoft Entra: Configure la funcionalidad de unión híbrida a Microsoft Entra en el inquilino para el inicio de sesión único en los recursos locales y en la nube.
• SSO de conexión directa de Microsoft Entra: Más información sobre esta característica complementaria.
• UserVoice: Use el foro de Microsoft Entra para solicitar nuevas características.