Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra ofrece a los usuarios en la posibilidad de cambiar o restablecer su contraseña, sin necesidad de que intervengan el administrador ni el departamento de soporte técnico. Si la cuenta de un usuario está bloqueada o olvida su contraseña, puede seguir las indicaciones para desbloquearse y volver a trabajar. Esta capacidad reduce las llamadas al departamento de soporte técnico y la pérdida de productividad cuando un usuario no puede iniciar sesión en su dispositivo o en una aplicación. Se recomienda este vídeo sobre cómo habilitar y configurar SSPR en Microsoft Entra ID.
Importante
En este artículo conceptual se explica a un administrador cómo funciona el autoservicio de restablecimiento de contraseña. Los usuarios finales registrados para el restablecimiento de contraseña de autoservicio que necesiten volver a su cuenta deben ir a https://aka.ms/sspr.
Si el equipo de TI no ha habilitado la capacidad para restablecer su propia contraseña, póngase en contacto con el departamento de soporte técnico para obtener ayuda adicional.
¿Cómo funciona el proceso de restablecimiento de contraseña?
Un usuario puede restablecer o cambiar su contraseña mediante el portal de SSPR. Primero deben registrar sus métodos de autenticación deseados. Cuando un usuario accede al portal de SSPR, la plataforma Microsoft Entra tiene en cuenta los siguientes factores:
- ¿Cómo se debe localizar la página?
- ¿Es válida la cuenta de usuario?
- ¿A qué organización pertenece el usuario?
- ¿Dónde se administra la contraseña del usuario?
Cuando un usuario selecciona el vínculo No se puede acceder a su cuenta desde una aplicación o página, o va directamente a https://aka.ms/sspr, el idioma usado en el portal de SSPR se basa en las siguientes opciones:
- De forma predeterminada, la configuración regional del explorador se usa para mostrar el SSPR en el idioma adecuado. La experiencia de restablecimiento de contraseña se localiza en los mismos idiomas que admite Microsoft 365.
- Si desea vincular al SSPR en un idioma localizado específico, anexe
?mkt=al final de la dirección URL de restablecimiento de contraseña junto con la configuración regional necesaria.- Por ejemplo, para especificar la configuración regional españolaes-us, use
?mkt=es-us- https://passwordreset.microsoftonline.com/?mkt=es-us.
- Por ejemplo, para especificar la configuración regional españolaes-us, use
Después de que el portal de SSPR se muestre en el idioma necesario, se le pedirá al usuario que escriba un identificador de usuario y pase un captcha. Microsoft Entra ID ahora comprueba que el usuario puede usar SSPR mediante las siguientes comprobaciones:
- Comprueba que el usuario tiene habilitado SSPR.
- Si el usuario no está habilitado para SSPR, se le pedirá que se comunique con su administrador para restablecer su contraseña.
- Comprueba que el usuario tiene los métodos de autenticación adecuados definidos en su cuenta de acuerdo con la directiva de administrador.
- Si la directiva solo requiere un método, compruebe que el usuario tiene los datos adecuados definidos para al menos uno de los métodos de autenticación habilitados por la directiva de administrador.
- Si los métodos de autenticación no están configurados, se recomienda al usuario ponerse en contacto con su administrador para restablecer su contraseña.
- Si la directiva requiere dos métodos, compruebe que el usuario tiene los datos adecuados definidos para al menos dos de los métodos de autenticación habilitados por la directiva de administrador.
- Si los métodos de autenticación no están configurados, se recomienda al usuario ponerse en contacto con su administrador para restablecer su contraseña.
- Si se asigna un rol de administrador de Azure al usuario, se aplica la directiva de contraseña segura de dos puertas. Para obtener más información, consulte diferencias de directiva de restablecimiento de administrador.
- Si la directiva solo requiere un método, compruebe que el usuario tiene los datos adecuados definidos para al menos uno de los métodos de autenticación habilitados por la directiva de administrador.
- Comprueba si la contraseña del usuario se administra localmente, como si el inquilino de Microsoft Entra usa la autenticación federada, la autenticación de paso a través o la sincronización de hash de contraseñas:
- Si la escritura diferida de SSPR está configurada y la contraseña del usuario se administra localmente, el usuario puede continuar con la autenticación y el restablecimiento de su contraseña.
- Si la escritura diferida de SSPR no se implementa y la contraseña del usuario se administra localmente, se le pedirá al usuario que se comunique con su administrador para restablecer su contraseña.
Si todas las comprobaciones anteriores se completan correctamente, el usuario se guía por el proceso para restablecer o cambiar su contraseña.
Nota:
SSPR puede enviar notificaciones por correo electrónico a los usuarios como parte del proceso de restablecimiento de contraseña. Estos correos electrónicos se envían mediante el servicio de retransmisión SMTP, que funciona en modo activo-activo en varias regiones.
Los servicios de retransmisión SMTP reciben y procesan el cuerpo del correo electrónico, pero no los almacenan. El cuerpo del correo electrónico de SSPR que puede contener información proporcionada por el cliente no se almacena en los registros del servicio de retransmisión SMTP. Los registros solo contienen metadatos de protocolo.
Para empezar a trabajar con SSPR, complete el siguiente tutorial:
Requerir que los usuarios se registren cuando inicien sesión
Puede habilitar la opción para requerir que un usuario complete el registro de SSPR si usa la autenticación moderna o el explorador web para iniciar sesión en cualquier aplicación que use el identificador de Microsoft Entra. Este flujo de trabajo incluye las siguientes aplicaciones:
- Microsoft 365
- Centro de administración de Microsoft Entra
- Panel de acceso
- Aplicaciones federadas
- Aplicaciones personalizadas con el identificador de Entra de Microsoft
Cuando no se requiere el registro, no se solicita a los usuarios durante el inicio de sesión, pero pueden registrarse manualmente. Los usuarios pueden visitar https://aka.ms/ssprsetup o seleccionar el vínculo Registrar para el restablecimiento de contraseña en la pestaña Perfil del Panel de acceso.
Nota:
Los usuarios pueden descartar el portal de registro de SSPR seleccionando Cancelar o cerrando la ventana. Sin embargo, se les pedirá que se registren cada vez que inicien sesión hasta que completen su registro.
Esta interrupción para registrarse en SSPR no interrumpe la conexión del usuario si ya ha iniciado sesión.
Volver a confirmar la información de autenticación
Puede requerir que los usuarios confirmen su información de autenticación después de un período de tiempo determinado. Esta opción solo está disponible si habilita la opción Requerir que los usuarios se registren al iniciar sesión .
Los valores válidos para pedir a un usuario que confirme que su información de autenticación es de 0 a 730 días. Establecer este valor en 0 significa que nunca se pide a los usuarios que confirmen su información de autenticación. Los usuarios deben iniciar sesión para poder volver a confirmar su información.
Nota:
Si SSPR requiere más de un método de autenticación, no es necesario que un usuario que elimine un método confirme su información de autenticación hasta que llegue al número de días antes de que se pida a los usuarios que vuelvan a confirmar su información de autenticación.
Métodos de autenticación
Cuando un usuario está habilitado para SSPR, debe registrar al menos un método de autenticación. Se recomienda encarecidamente elegir dos o más métodos de autenticación para que los usuarios tengan más flexibilidad en caso de que no puedan acceder a un método cuando lo necesiten. Para obtener más información, consulte ¿Qué son los métodos de autenticación?.
Están disponibles los siguientes métodos de autenticación:
- Notificación en aplicación móvil
- Código de aplicación móvil
- Token OATH de hardware
- Token OATH de software
- Correo Electrónico
- Teléfono móvil
- Teléfono de oficina (disponible solo para usuarios con suscripciones de pago)
- Preguntas de seguridad
Los usuarios solo pueden restablecer su contraseña si registran un método de autenticación que el administrador ha habilitado.
Advertencia
Las cuentas asignadas a roles de administrador de Azure deben usar métodos según se definen en la sección Diferencias de directiva de restablecimiento del administrador.
Número de métodos de autenticación necesarios
Puede configurar el número de métodos de autenticación disponibles que un usuario debe proporcionar para restablecer o desbloquear su contraseña. Este valor se puede establecer en uno o dos.
Los usuarios deben registrar varios métodos de autenticación para que puedan iniciar sesión de otra manera si no pueden acceder a un método.
Si un usuario no registra el número mínimo de métodos necesarios, verá una página de error cuando intenta usar SSPR. Deben solicitar que un administrador restablezca su contraseña. Para obtener más información, consulte Cambio de métodos de autenticación.
Aplicación móvil y SSPR
Cuando se usa una aplicación móvil como método para el restablecimiento de contraseña, como Microsoft Authenticator, se aplican las siguientes consideraciones si una organización no se ha migrado a la directiva de métodos de autenticación centralizados:
- Cuando los administradores requieren que se use un método para restablecer una contraseña, el código de verificación es la única opción disponible.
- Cuando los administradores requieren que se usen dos métodos para restablecer una contraseña, los usuarios pueden usar el código de verificación OR de notificación además de cualquier otro método habilitado.
| Número de métodos necesarios para restablecer | Uno | Dos |
|---|---|---|
| Características de aplicaciones móviles disponibles | Código | Código o notificación |
Los usuarios pueden registrar su aplicación móvil en https://aka.ms/mfasetupo en el registro de información de seguridad combinado en https://aka.ms/setupsecurityinfo.
Importante
El autenticador no se puede seleccionar como el único método de autenticación cuando solo se requiere un método. Del mismo modo, no se puede seleccionar Authenticator junto con un solo método adicional si se requieren dos métodos.
Al configurar directivas de SSPR que incluyan la aplicación Authenticator como método, se debe seleccionar al menos un método adicional cuando se requiera un método y se deben seleccionar al menos dos métodos adicionales al configurar dos métodos.
Cambio de métodos de autenticación
Si comienza con una directiva que solo tiene un método de autenticación necesario para restablecer o desbloquear registrado y lo cambia a dos métodos, ¿qué ocurre?
| Número de métodos registrados | Número de métodos necesarios | Resultado |
|---|---|---|
| 1 o más | 1 | Capaz de restablecer o desbloquear |
| 1 | 2 | No se puede restablecer o desbloquear |
| 2 o más | 2 | Capaz de restablecer o desbloquear |
Cambiar los métodos de autenticación disponibles también puede causar problemas para los usuarios. Si cambia los métodos de autenticación disponibles, los usuarios sin la cantidad mínima de datos disponibles no pueden usar SSPR.
Considere el escenario de ejemplo siguiente:
- La directiva original se configura con dos métodos de autenticación necesarios. Solo usa el número de teléfono de la oficina y las preguntas de seguridad.
- El administrador cambia la directiva para que ya no use las preguntas de seguridad, pero permite el uso de un teléfono móvil y un correo electrónico alternativo.
- Los usuarios sin el teléfono móvil o los campos de correo electrónico alternativos rellenados ahora no pueden restablecer sus contraseñas.
Notificaciones
Para mejorar el conocimiento de los eventos de contraseña, SSPR le permite configurar notificaciones para los usuarios y los administradores de identidades.
Notificar a los usuarios los restablecimientos de contraseña
Si esta opción está establecida en Sí, los usuarios que restablezcan su contraseña reciben un correo electrónico que les notifica que se ha cambiado su contraseña. El correo electrónico se envía a través del portal de SSPR a sus direcciones de correo electrónico principales y alternativas que se almacenan en microsoft Entra ID. Si no se define ninguna dirección de correo electrónico principal o alternativa, SSPR intentará notificar por correo electrónico a través del nombre principal de usuario (UPN) de los usuarios. Nadie más recibe una notificación del evento de restablecimiento.
Notificar a todos los administradores cuando otros administradores restablezcan sus contraseñas
Si esta opción está establecida en Sí, los administradores globales reciben un correo electrónico a su dirección de correo electrónico principal almacenada en el identificador de Microsoft Entra. El correo electrónico les notifica que otro administrador ha cambiado su contraseña mediante SSPR.
Nota:
Las notificaciones por correo electrónico del servicio SSPR se enviarán desde las siguientes direcciones en función de la nube de Azure con la que trabaja:
- Público: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
- Microsoft Azure operado por 21Vianet (Azure en China): msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
- Azure para la Administración Pública de EE. UU.: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us
Si observa problemas al recibir notificaciones, compruebe la configuración de correo no deseado.
Si quiere que los administradores personalizados reciban los correos electrónicos de notificación, use personalizaciones de SSPR y configure un vínculo o correo electrónico personalizado del departamento de soporte técnico.
Integración local
En un entorno híbrido, puede configurar la sincronización en la nube de Microsoft Entra Connect para escribir eventos de cambio de contraseña desde Microsoft Entra ID en un directorio local.
Microsoft Entra ID comprueba la conectividad híbrida actual y proporciona mensajes en el Centro de administración de Microsoft Entra. Para obtener ayuda para resolver posibles errores, consulte Solución de problemas de Microsoft Entra Connect.
Para empezar con la función de retroescritura de SSPR, complete el siguiente tutorial:
Escribe contraseñas de nuevo en tu directorio local en las instalaciones.
Puede habilitar la escritura diferida de contraseñas mediante el Centro de administración de Microsoft Entra. También puede deshabilitar temporalmente la escritura diferida de contraseñas sin tener que volver a configurar Microsoft Entra Connect.
- Si la opción está establecida en Sí, la escritura diferida está habilitada. Los usuarios que utilicen la autenticación federada de paso a través o la sincronización de hash de contraseña podrán restablecer sus contraseñas.
- Si la opción está establecida en No, la escritura diferida está deshabilitada. Los usuarios federados, con autenticación de paso o sincronizados con hash de contraseña, no pueden restablecer sus contraseñas.
Permitir que los usuarios desbloqueen cuentas sin restablecer su contraseña
De manera predeterminada, Microsoft Entra ID desbloquea las cuentas cuando se realiza un restablecimiento de contraseña. Para proporcionar flexibilidad, puede optar por permitir que los usuarios desbloqueen sus cuentas locales sin tener que restablecer su contraseña. Use esta configuración para separar esas dos operaciones.
- Si se establece en Sí, a los usuarios se les da la opción de restablecer su contraseña y desbloquear la cuenta, o para desbloquear su cuenta sin tener que restablecer la contraseña.
- Si se establece en No, los usuarios solo podrán realizar una operación combinada de restablecimiento de contraseña y desbloqueo de cuenta.
Filtros de contraseña de Active Directory locales
SSPR realiza el equivalente de un restablecimiento de contraseña iniciado por el administrador en Active Directory. Si usa un filtro de contraseña de terceros para aplicar reglas de contraseña personalizadas y requiere que este filtro de contraseña se compruebe durante el autoservicio de restablecimiento de contraseña de Microsoft Entra, asegúrese de que la solución de filtro de contraseña de terceros esté configurada para aplicarse en el escenario de restablecimiento de contraseña de administrador. La protección con contraseña de Microsoft Entra para Active Directory Domain Services es compatible de forma predeterminada.
Restablecimiento de contraseña para usuarios B2B
El restablecimiento y el cambio de contraseña son totalmente compatibles con todas las configuraciones de negocio a negocio (B2B). El restablecimiento de contraseña de usuario B2B se admite en los tres casos siguientes:
- Usuarios de una organización asociada con un inquilino de Microsoft Entra existente: si su asociado tiene un inquilino de Microsoft Entra, respetamos las directivas de restablecimiento de contraseña habilitadas en ese inquilino. Para que el restablecimiento de contraseña funcione, la organización asociada solo debe asegurarse de que Microsoft Entra SSPR está habilitado. No hay ningún otro cargo para los clientes de Microsoft 365.
- Usuarios que se registran a través del registro de autoservicio: Si su compañero usó la función de registro de autoservicio para acceder a un inquilino, les permitimos restablecer la contraseña con el correo electrónico con el que se registraron.
- Usuarios B2B: los nuevos usuarios B2B creados mediante las nuevas funcionalidades de Microsoft Entra B2B también pueden restablecer sus contraseñas con el correo electrónico que registraron durante el proceso de invitación.
Para probar este escenario, vaya a https://passwordreset.microsoftonline.com con uno de estos usuarios asociados. Si el usuario definió un correo electrónico alternativo o un correo electrónico de autenticación, el restablecimiento de contraseña funciona según lo previsto.
Nota:
Las cuentas de Microsoft a las que se concede acceso de invitado al inquilino de Microsoft Entra, como las de Hotmail.com, Outlook.com u otras direcciones de correo electrónico personales, no pueden usar Microsoft Entra SSPR. Para obtener más información, consulte Cuando no puede iniciar sesión en su cuenta Microsoft.
Pasos siguientes
Para empezar a trabajar con SSPR, complete el siguiente tutorial: