Planear una implementación de autoservicio de restablecimiento de contraseña de Microsoft Entra
Importante
Este plan de implementación ofrece instrucciones y procedimientos recomendados para implementar el autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra.
Si es un usuario final y necesita volver a su cuenta, vaya a https://aka.ms/sspr .
Autoservicio de restablecimiento de contraseñas (SSPR) es una característica de Microsoft Entra que permite a los usuarios restablecer sus contraseñas sin necesidad de ponerse en contacto con el personal de TI para obtener ayuda. Los usuarios se pueden desbloquear rápidamente ellos mismos y continuar trabajando con independencia de dónde se encuentren o la hora del día. Al permitir que los empleados se desbloqueen ellos mismos, su organización puede reducir el tiempo no productivo y los altos costes de soporte técnico para los problemas más comunes relacionados con las contraseñas.
SSPR ofrece las siguientes funcionalidades clave:
- El autoservicio permite a los usuarios finales restablecer sus contraseñas expiradas o no expiradas sin necesidad de ponerse en contacto con un administrador o el departamento de soporte técnico.
- La escritura diferida de contraseñas permite la administración de contraseñas locales y la resolución de bloqueos de cuenta a través de la nube.
- Los informes de actividad de administración de contraseñas proporcionan a los administradores información sobre una actividad de registro y restablecimiento de contraseña en su organización.
En esta guía de implementación se muestra cómo planear y probar una implementación de SSPR.
Para ver rápidamente SSPR en acción y, a continuación, volver para conocer las consideraciones de implementación adicionales:
Sugerencia
Como complemento de este artículo, recomendamos usar la guía de implementación Planifica tu autoservicio de restablecimiento de contraseña cuando inicies sesión en el Centro de administración de Microsoft 365. Esta guía personalizará tu experiencia en función del entorno. Para revisar los procedimientos recomendados sin iniciar sesión y activar las características de configuración automatizadas, vaya al portal de instalación de M365.
Más información acerca de SSPR
Más información acerca de SSPR. Vea Cómo funciona: Restablecimiento de contraseña de autoservicio de Microsoft Entra.
Ventajas principales
Las ventajas clave de habilitar SSPR son:
Administración del coste. SSPR reduce los costes de soporte técnico de TI al permitir que los usuarios restablezcan las contraseñas por sí mismos. También reduce el coste de tiempo perdido debido a la pérdida de contraseñas y bloqueos.
Experiencia de usuario intuitiva. Proporciona un proceso intuitivo único de registro de usuarios que permite a los usuarios restablecer contraseñas y desbloquear cuentas a petición desde cualquier dispositivo o ubicación. SSPR permite a los usuarios volver a trabajar más rápidamente y ser más productivos.
Flexibilidad y seguridad. SSPR permite a las empresas acceder a la seguridad y la flexibilidad que proporciona una plataforma en la nube. Los administradores pueden cambiar la configuración para adaptarse a los nuevos requisitos de seguridad y aplicar los cambios a los usuarios sin interrumpir su inicio de sesión.
Auditoría y seguimiento del uso sólidos. Una organización puede asegurarse de que los sistemas empresariales permanzcan seguros mientras sus usuarios restablecen sus propias contraseñas. Los registros de auditoría sólidos incluyen información de cada paso del proceso de restablecimiento de contraseña. Estos registros también están disponibles desde una API y permiten al usuario importar estos datos en el sistema de Administración de eventos e información de seguridad (SIEM) de su elección.
Licencias
La licencia de Microsoft Entra ID se otorga por usuario, lo que significa que cada usuario necesita una licencia apropiada para las características que usa. Se recomiendan las licencias basadas en grupos para SSPR.
Para comparar las ediciones y las características y habilitar las licencias basadas en grupos o usuarios, vea Requisitos de licencias para el autoservicio de restablecimiento de contraseña de Microsoft Entra.
Para más información sobre los precios, vea Precios de Microsoft Entra.
Requisitos previos
Un inquilino de Microsoft Entra activo con al menos una licencia de prueba habilitada. Si es preciso, cree una cuenta gratuita.
Una cuenta con privilegios de administrador global.
Tutorial guiado
Para ver un tutorial guiado de muchas de las recomendaciones de este artículo, consulte la guía Planear la implementación del autoservicio de restablecimiento de contraseña cuando inicia sesión en el Centro de administración de Microsoft 365. Para revisar los procedimientos recomendados sin iniciar sesión y activar las características de configuración automatizadas, vaya al portal de instalación de M365.
Recursos de aprendizaje
Arquitectura de la solución
En el ejemplo siguiente se describe la arquitectura de la solución de restablecimiento de contraseña para entornos híbridos habituales.
Descripción del flujo de trabajo
Para restablecer la contraseña, los usuarios van al portal de restablecimiento de contraseña. Deben verificar su método o métodos de autenticación registrados anteriormente para demostrar su identidad. Si restablecen correctamente la contraseña, comenzará el proceso de restablecimiento.
En el caso de los usuarios que solo están en la nube, SSPR almacena la nueva contraseña en Microsoft Entra ID.
Para usuarios híbridos, SSPR vuelve a escribir la contraseña en el Active Directory local a través del servicio Microsoft Entra Connect.
Nota: En el caso de los usuarios que tienen la sincronización de hash de contraseñas (PHS) deshabilitada, SSPR solo almacena las contraseñas localmente en Active Directory.
Procedimientos recomendados
Puede ayudar a los usuarios a registrarse rápidamente mediante la implementación de SSPR junto con otra aplicación o servicio popular en la organización. Esta acción generará un gran número de inicios de sesión e impulsará el registro.
Antes de implementar SSPR, puede optar por determinar el número y el coste medio de cada llamada de restablecimiento de contraseña. Puede usar estos datos después de la implementación para mostrar el valor que SSPR aporta a su organización.
Registro combinado de SSPR y autenticación multifactor de Microsoft Entra
SSPR permite a los usuarios restablecer su contraseña de forma segura usando los mismos métodos que usan para la autenticación multifactor de Microsoft Entra. El registro combinado es un único paso de registro para los usuarios finales que permite el registro de los métodos MFA y SSPR al mismo tiempo. Para asegurarse de comprender la funcionalidad y la experiencia para el usuario final, consulte los conceptos del registro de información de seguridad combinado.
Es fundamental notificar a los usuarios los próximos cambios, los requisitos de registro y las acciones que deben realizar. Con el fin de preparar a los usuarios para la nueva experiencia y ayudar a garantizar un lanzamiento satisfactorio, ponemos a su disposición plantillas de comunicación y documentación para usuarios. Envíe a los usuarios a https://myprofile.microsoft.com para que se registren seleccionando el vínculo de Información de seguridad en esa página.
Planeamiento del proyecto de implementación
Tenga en cuenta las necesidades de su organización al determinar la estrategia de esta implementación en su entorno.
Interactuar con las partes interesadas adecuadas
Cuando fracasan los proyectos tecnológicos, normalmente se debe a expectativas incorrectas relacionadas con el impacto, los resultados y las responsabilidades. Para evitar estos problemas, asegúrese de involucrar a las partes interesadas correctas y que los roles de las partes interesadas en el proyecto se entiendan bien; para ello, documente las partes interesadas y sus aportes y responsabilidades en el proyecto.
Roles de administrador necesarios
| Rol de negocio | Rol de Microsoft Entra (si es necesario) |
|---|---|
| Departamento de soporte técnico de nivel 1 | Administrador de contraseñas |
| Departamento de soporte técnico de nivel 2 | Administrador de usuarios |
| Administrador de SSPR | Administrador global |
Planeamiento de un piloto
Se recomienda que la configuración inicial de SSPR esté en un entorno de prueba. Comience con un grupo piloto habilitando SSPR para un subconjunto de usuarios de la organización. Consulte Procedimientos recomendados para un piloto.
Para crear un grupo, vea cómoCrear un grupo y agregar miembros en Microsoft Entra ID.
Planeamiento de la configuración
La siguiente configuración es necesaria para habilitar SSPR junto con los valores recomendados.
| Área | Configuración | Value |
|---|---|---|
| Propiedades de SSPR | Se habilitó el autoservicio de restablecimiento de contraseña | Grupo Seleccionado para piloto/Todos para producción |
| Métodos de autenticación | Authentication methods required to register (Métodos de autenticación requeridos para registrarse) | Siempre 1 más de los necesarios para el restablecimiento |
| Authentication methods required to reset (Métodos de autenticación requeridos para restablecer) | Uno o dos | |
| Registro | Exigir a los usuarios que se registren al iniciar sesión | Sí |
| Número de días que pasan hasta que se pide a los usuarios que vuelvan a confirmar su información de autenticación | De 90 a 180 días | |
| Notificaciones | ¿Quiere notificar a los usuarios los restablecimientos de contraseña? | Sí |
| ¿Quiere notificar a todos los administradores cuando otros administradores restablezcan su contraseña? | Sí | |
| Personalización | Personalizar el vínculo del departamento de soporte técnico | Sí |
| Dirección URL o correo electrónico del departamento de soporte técnico personalizados | Dirección de correo electrónico o sitio de soporte técnico | |
| Integración local | Escritura diferida de contraseñas al Active Directory local | Sí |
| Allow users to unlock account without resetting password (Permitir a los usuarios desbloquear las cuentas sin restablecer la contraseña) | Sí |
Propiedades de SSPR
Al habilitar SSPR, elija un grupo de seguridad adecuado en el entorno piloto.
- Para exigir el registro de SSPR a todos los usuarios, se recomienda usar la opción Todos.
- En caso contrario, seleccione el grupo de seguridad de Microsoft Entra o AD adecuado.
Métodos de autenticación
Cuando SSPR está habilitado, los usuarios solo pueden restablecer su contraseña si tienen datos en los métodos de autenticación que el administrador haya habilitado. Los métodos incluyen el teléfono, una notificación de la aplicación Authenticator, preguntas de seguridad, etc. Para más información, consulte ¿Qué son los métodos de autenticación?.
Se recomienda la siguiente configuración de método de autenticación:
Establezca Authentication methods required to register (Métodos de autenticación requeridos para registrarse) en al menos uno más que el número necesario para el restablecimiento. Permitir varias autenticaciones ofrece a los usuarios flexibilidad cuando necesiten restablecer la contraseña.
Establezca Número de métodos requeridos para el restablecimiento en un nivel apropiado para su organización. Uno requiere la menor fricción, mientras que Dos puede aumentar la posición de seguridad.
Nota: El usuario debe tener los métodos de autenticación configurados en las Restricciones y directivas de contraseña en Microsoft Entra ID.
Configuración de registro
Establezca Exigir a los usuarios que se registren al iniciar sesión en Sí. Esta configuración requiere que los usuarios se registren cuando inician sesión, lo que garantiza que todos los usuarios estén protegidos.
Establezca Número de días que pasan hasta que se pide a los usuarios que vuelvan a confirmar su información de autenticación entre 90 y 180 días, a menos que su organización tenga una necesidad de negocio para un plazo de tiempo más corto.
Configuración de notificaciones
Configure tanto ¿Quiere notificar a los usuarios los restablecimientos de contraseña? como ¿Quiere notificar a todos los administradores cuando otros administradores restablezcan su contraseña? en Sí. Al seleccionar Sí en ambos se aumenta la seguridad asegurándose de que los usuarios son conscientes de que se restablece la contraseña. También garantiza que todos los administradores son conscientes de que un administrador cambia una contraseña. Si los usuarios o administradores reciben una notificación y no han comenzado el cambio, pueden denunciar de inmediato un problema de seguridad potencial.
Nota:
Las notificaciones de correo electrónico del servicio SSPR se enviarán desde las siguientes direcciones en función de la nube de Azure con la que trabaje:
- Pública: msonlineservicesteam@microsoft.com
- China: msonlineservicesteam@oe.21vianet.com
- Administración pública: msonlineservicesteam@azureadnotifications.us
Si tiene problemas para recibir notificaciones, compruebe la configuración del correo no deseado.
Configuración de personalización
Es fundamental personalizar el correo electrónico o la dirección URL del departamento de soporte técnico para asegurarse de que los usuarios que tengan problemas puedan obtener ayuda inmediatamente. Establezca esta opción en una dirección de correo electrónico o página web de soporte técnico comunes con los que los usuarios estén familiarizados.
Para obtener más información, vea Personalización de la funcionalidad de Microsoft Entra para el autoservicio de restablecimiento de contraseña.
Escritura diferida de contraseñas
La escritura diferida de contraseñas se habilita con Microsoft Entra Connect y escribe en diferido los restablecimientos de contraseña en la nube en un directorio local existente en tiempo real. Para más información, consulte ¿Qué es la escritura diferida de contraseñas?
Se recomienda la configuración siguiente:
- Asegúrese de que Escritura diferida de contraseñas al Active Directory local esté establecido en Sí.
- Establezca Allow users to unlock account without resetting password (Permitir a los usuarios desbloquear las cuentas sin restablecer la contraseña) en Sí.
De forma predeterminada, Microsoft Entra ID desbloquea las cuentas cuando se realiza un restablecimiento de contraseña.
Configuración de la contraseña de administrador
Las cuentas de administrador tienen permisos elevados. Los administradores empresariales o de dominios locales no pueden restablecer su contraseña mediante SSPR. Las cuentas de administrador locales tienen las siguientes restricciones:
- Solo pueden cambiar su contraseña en su entorno local.
- Nunca pueden usar las preguntas y respuestas secretas como método para restablecer su contraseña.
Se recomienda no sincronizar las cuentas de administración locales de Active Directory con Microsoft Entra ID.
Entornos con varios sistemas de administración de identidades
Algunos entornos tienen varios sistemas de administración de identidades. Los administradores de identidades locales, como Oracle IAM y SiteMinder, requieren la sincronización con AD para las contraseñas. Para ello, puede usar una herramienta como el servicio de notificación de cambio de contraseña (PCNS) con Microsoft Identity Manager (MIM). Para información sobre el escenario más complejo, consulte el artículo Implementación del servicio de notificación de cambio de contraseña de MIM en un controlador de dominio.
Planeamiento de pruebas y soporte técnico
En cada fase de la implementación, desde los grupos piloto iniciales hasta toda la organización, asegúrese de que los resultados sean los esperados.
Planeamiento de pruebas
Para asegurarse de que la implementación funciona según lo previsto, planee un conjunto de casos de prueba para validar la implementación. Para evaluar los casos de prueba, necesita un usuario de prueba que no sea administrador con una contraseña. Si necesita crear un usuario, vea Agregar nuevos usuarios a Microsoft Entra ID.
En la tabla siguiente se incluyen escenarios de prueba útiles que puede usar para documentar los resultados esperados por la organización según las directivas.
| Oportunidad de negocio | Resultados esperados |
|---|---|
| Se puede acceder al portal de SSPR desde la red corporativa | Determinado por la organización |
| Se puede acceder al portal de SSPR desde fuera de la red corporativa | Determinado por la organización |
| Restablecer la contraseña del usuario desde el explorador cuando el usuario no está habilitado para el restablecimiento de contraseña | El usuario no puede acceder al flujo de restablecimiento de contraseña |
| Restablecer la contraseña del usuario desde el explorador cuando el usuario no se ha registrado para el restablecimiento de contraseña | El usuario no puede acceder al flujo de restablecimiento de contraseña |
| El usuario inicia sesión cuando se exige el registro de restablecimiento de contraseña | Se solicita al usuario que registre información de seguridad |
| El usuario inicia sesión cuando se completa el registro de restablecimiento de contraseña | Se solicita al usuario que registre información de seguridad |
| Se puede acceder al portal de SSPR cuando el usuario no tiene una licencia | Es accesible |
| Restablecer la contraseña de usuario desde la pantalla de bloqueo del dispositivo unido a Microsoft Entra de Windows 10 o unido a Microsoft Entra híbrido | El usuario puede restablecer la contraseña |
| Los datos de uso y de registro de SSPR están disponibles para los administradores casi en tiempo real | Están disponibles a través de los registros de auditoría |
También puede consultar Completar una prueba piloto de autoservicio de restablecimiento de contraseña de Microsoft Entra. En este tutorial, habilitará una implementación piloto de SSPR de Azure AD en la organización y la probará con una cuenta sin privilegios de administrador.
Planeamiento de soporte técnico
Aunque SSPR no suele crear problemas de usuario, es importante preparar al personal de soporte técnico para afrontar los problemas que puedan surgir. Para allanar el camino del equipo de soporte técnico, puede crear una página de P+F basada en las preguntas que reciba de los usuarios. Estos son algunos ejemplos:
| Escenarios | Descripción |
|---|---|
| El usuario no tiene disponible ningún método de autenticación registrado. | Un usuario intenta restablecer la contraseña, pero no tiene disponible ninguno de los métodos de autenticación que ha registrado (ejemplo: se ha dejado el teléfono móvil en casa y no puede acceder al correo electrónico). |
| El usuario no recibe mensajes de texto ni llamadas en su teléfono móvil o laboral. | Un usuario intenta verificar su identidad mediante mensaje de texto o una llamada, pero no recibe ni un mensaje de texto ni una llamada. |
| El usuario no puede acceder al portal de restablecimiento de contraseñas. | Un usuario quiere restablecer su contraseña, pero no está habilitado para restablecer la contraseña y no puede acceder a la página para actualizar las contraseñas. |
| El usuario no puede establecer una contraseña nueva. | Un usuario finaliza la verificación durante el flujo de restablecimiento de contraseña, pero no puede establecer una contraseña nueva. |
| El usuario no ve un vínculo de restablecimiento de contraseña en un dispositivo Windows 10. | Un usuario intenta restablecer la contraseña desde la pantalla de bloqueo de Windows 10, pero el dispositivo no está unido a Microsoft Entra ID o no está habilitada la directiva de dispositivos de Microsoft Intune |
Planeamiento de la reversión
Para revertir la implementación:
Para un solo usuario, quite el usuario del grupo de seguridad
Para un grupo, quite el grupo de la configuración de SSPR
Para todos los usuarios, deshabilite SSPR para el inquilino de Microsoft Entra
Implementación de SSPR
Antes de la implementación, asegúrese de haber realizado lo siguiente:
Determinó los parámetros de configuración adecuados.
Identificó los usuarios y los grupos para los entornos piloto y de producción.
Determinó los parámetros de configuración para el registro y el autoservicio.
Configuró la escritura diferida de contraseñas si tiene un entorno híbrido.
¡Ahora ya puede realizar la implementación de SSPR!
Consulte Habilitar el autoservicio de restablecimiento de contraseña para obtener instrucciones paso a paso sobre la configuración de las áreas siguientes.
Habilitar SSPR en Windows
En el caso de los equipos que ejecutan Windows 7, 8, 8.1 y 10, puede permitir que los usuarios restablezcan su contraseña en la pantalla de inicio de sesión de Windows.
Administrar SSPR
Microsoft Entra ID puede proporcionar información adicional sobre el rendimiento de su SSPR a través de auditorías e informes.
Informes de actividad de administración de contraseñas
Puede usar informes pregenerados en el centro de administración de Microsoft Entra para medir el rendimiento de SSPR. Si está debidamente protegido por licencia, también puede crear consultas personalizadas. Para obtener más información, vea Opciones de informes para Microsoft Entra administración de contraseñas
Nota:
Debe ser administrador global y habilitar la opción para que estos datos se recopilen para su organización. Para participar, debe visitar la pestaña Informes o los registros de auditoría en el centro de administración de Microsoft Entra como mínimo una vez. Hasta entonces, los datos no se recopilan para su organización.
Los registros de auditoría para el registro y el restablecimiento de contraseña están disponibles durante 30 días. Si la auditoría de seguridad dentro de la empresa requiere una retención más prolongada, los registros deben exportarse y consumirse en una herramienta SIEM, como Microsoft Sentinel, Splunk o ArcSight.
Métodos de autenticación: uso y conclusiones
El uso y las conclusiones le permiten comprender cómo funcionan en su organización los métodos de autenticación para características como la autenticación multifactor de Microsoft Entra y SSPR. Esta funcionalidad de informes proporciona a la organización los medios para comprender qué métodos se registran y cómo usarlos.
Solución de problemas
Consulte Solución de problemas del autoservicio de restablecimiento de contraseñas
Siga Preguntas más frecuentes sobre la administración de contraseñas
Documentación útil
Cómo funciona: ¿Restablecimiento de contraseña de autoservicio de Microsoft Entra?
Directivas y restricciones de contraseñas en Microsoft Entra ID