Autoservicio de restablecimiento de contraseña para dispositivos Windows - Microsoft Entra ID

2025-07-03

Al utilizar el autoservicio de restablecimiento de contraseña (SSPR) en Microsoft Entra ID, los usuarios pueden cambiar o restablecer su contraseña sin intervención del administrador o del servicio de asistencia técnica. Normalmente, los usuarios abren un explorador web en otro dispositivo para acceder al portal de SSPR de . Para mejorar la experiencia en computadoras con Windows 7, 8, 8.1, 10 y 11, puede permitir a los usuarios restablecer su contraseña en la pantalla de inicio de sesión de Windows.

Captura de pantalla que muestra ejemplos de pantallas de inicio de sesión de Windows con el enlace SSPR.

Este artículo muestra a los administradores cómo habilitar SSPR para dispositivos Windows en una empresa.

Si su equipo de TI no ha habilitado la posibilidad de utilizar SSPR desde su dispositivo Windows o tiene problemas durante el inicio de sesión, póngase en contacto con el servicio de asistencia para obtener más ayuda.

Limitaciones generales

Las limitaciones siguientes se aplican al uso de SSPR desde la pantalla de inicio de sesión de Windows:

El restablecimiento de contraseña no se admite actualmente desde Escritorio remoto ni sesiones mejoradas de Hyper-V.
Se sabe que algunos proveedores de credenciales que no son de Microsoft causan problemas con esta función.
Se sabe que deshabilitar el control de cuentas de usuario mediante la modificación de la clave de registro EnableLUA puede causar problemas.
Esta característica no funciona para las redes con la autenticación de red 802.1x implementada y la opción Realizar inmediatamente antes de que el usuario inicie sesión. Para las redes con la autenticación de red 802.1X implementada se recomienda usar la autenticación del equipo para habilitar esta característica.
Las máquinas unidas a Microsoft Entra de tipo híbrido deben tener una línea de visión de conectividad de red a un controlador de dominio para usar las nuevas credenciales en caché de contraseña y actualización. Los dispositivos deben estar en la red interna de la organización o en una red privada virtual con acceso de red a un controlador de dominio local. Si SSPR es el único requisito, la línea de conexión de red al controlador de dominio no es necesaria.
Si utiliza una imagen, antes de ejecutar sysprep asegúrese de que la caché web está borrada para el administrador incorporado antes de realizar el paso CopyProfile. Para obtener más información, consulte Rendimiento deficiente al utilizar el perfil de usuario predeterminado personalizado.
Se sabe que los valores siguientes interfieren con la capacidad de usar y restablecer contraseñas en dispositivos con Windows 10:
- Si las notificaciones de la pantalla de bloqueo están desactivadas, tampoco funcionará Restablecer contraseña.
- HideFastUserSwitching está configurado como Habilitado o 1.
- DontDisplayLastUserName está configurado como Habilitado o 1.
- NoLockScreen está configurado como Habilitado o 1.
- BlockNonAdminUserInstall está configurado como Habilitado o 1.
- EnableLostMode está configurado en el dispositivo.
- Explorer.exe se reemplaza por un shell personalizado.
- Inicio de sesión interactivo: requerir tarjeta inteligente está establecido en habilitado o 1.
La combinación de los siguientes tres valores específicos puede hacer que esta característica no funcione.
- Inicio de sesión interactivo: no requerir CTRL+ALT+SUPR está configurado como Deshabilitado (solo para Windows 10 versión 1710 y anteriores).
- DisableLockScreenAppNotifications está configurado como Habilitado o 1.
- La versión de Windows es la edición Home.

Nota

Estas limitaciones también se aplican al restablecimiento del PIN de Windows Hello para empresas desde la pantalla de bloqueo del dispositivo.

Restablecimiento de contraseña de Windows 11 y Windows 10

Para configurar un dispositivo Windows 11 o Windows 10 para SSPR en la pantalla de inicio de sesión, revise los siguientes requisitos previos y pasos de configuración.

Requisitos previos de Windows 11 y Windows 10

Inicie sesión en el Centro de administración de Microsoft Entra como mínimo como Administrador de políticas de autenticación y habilite Microsoft Entra SSPR.
Los usuarios deben registrarse en SSPR antes de utilizar esta función en la pantalla de inicio de sesión de Windows.
- Todos los usuarios deben proporcionar información de contacto de autenticación antes de que puedan restablecer su contraseña, lo cual no es exclusivo del uso de SSPR desde la pantalla de inicio de sesión de Windows.
Requisitos de proxy de red:
- Puerto 443 a passwordreset.microsoftonline.com y ajax.aspnetcdn.com.
- Los dispositivos Windows 10 requieren una configuración de proxy a nivel de máquina o una configuración de proxy de alcance para la cuenta temporal defaultuser1 que se utiliza para realizar SSPR. Para más información, vea la sección Solución de problemas .
Ejecute al menos Windows 10, versión de abril de 2018 Update (v1803) y los dispositivos deben ser:
- Unido a Microsoft Entra.
- Unión híbrida a Microsoft Entra.

Habilitación para Windows 11 y Windows 10 mediante Intune

La implementación del cambio de configuración para habilitar SSPR desde la pantalla de inicio de sesión de Windows mediante Intune es el método más flexible. Con Intune, puede implementar el cambio de configuración en un grupo específico de equipos que defina. Este método requiere la inscripción en Intune del dispositivo.

Creación de una directiva de configuración de dispositivo en Intune

Inicie sesión en el centro de administración de Microsoft Intune .
Cree un nuevo perfil de configuración de dispositivos yendo a Configuración de dispositivos>Perfiles y, a continuación, seleccionando + Crear perfil:
- En Plataforma, elija Windows 10 y versiones posteriores.
- En Tipo de perfil, elija Plantillas y, a continuación, seleccione la plantilla personalizada.
Seleccione Crear y escriba un nombre descriptivo para el perfil, como SSPR en la pantalla de inicio de sesión de Windows 11.

Opcionalmente, escriba una descripción detallada del perfil y seleccione Siguiente.
En Opciones de configuración, seleccione Agregar y proporcione la siguiente configuración OMA-URI para habilitar el vínculo de restablecimiento de contraseña:
- Escriba un nombre descriptivo para explicar lo que hace la opción, como Agregar vínculo de SSPR.
- De manera opcional, escriba una descripción detallada de la opción.
- Establezca OMA-URI en ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset.
- Establezca Tipo de datos en Entero.
- Establezca Valor en 1
Seleccione Agregar y, a continuación, Siguiente.
Puede asignar la política a usuarios, dispositivos o grupos específicos. Asigne el perfil que desee para su entorno. La mejor práctica consiste en asignarlo primero a un grupo de dispositivos de prueba y, a continuación, seleccionar Siguiente.

Para más información, consulte Asignación de perfiles de usuario y de dispositivo en Microsoft Intune.
Configure las reglas de aplicabilidad como desee para su entorno, por ejemplo, para Asignar perfil si la edición del SO es Windows 10 Enterprise y, después, seleccione Siguiente.
Revise el perfil y seleccione Crear.

Habilitación para Windows 11 y Windows 10 mediante el uso del registro

Para habilitar SSPR en la pantalla de inicio de sesión de Windows mediante el uso de una clave de registro, siga estos pasos:

Inicie sesión en el PC con Windows utilizando credenciales administrativas.
Presione Windows + R para abrir el cuadro de diálogo Ejecutar y, a continuación, ejecute regedit como administrador.

Establezca la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
   "AllowPasswordReset"=dword:00000001

Solución de problemas de restablecimiento de contraseñas de Windows 11 y Windows 10

Si tiSi tiene problemas para utilizar el SSPR desde la pantalla de inicio de sesión de Windows, el registro de auditoría de Microsoft Entra incluye información sobre la dirección IP y ClientType, donde se produjo el restablecimiento de contraseña, como se muestra en la siguiente salida de ejemplo.

Captura de pantalla que muestra un ejemplo de restablecimiento de contraseña de Windows 7 en el registro de auditoría de Microsoft Entra.

Cuando los usuarios restablecen su contraseña desde la pantalla de inicio de sesión de un dispositivo Windows 11 o 10, se crea una cuenta temporal con pocos privilegios denominada defaultuser1. Esta cuenta se usa para mantener el proceso de restablecimiento de contraseña seguro.

La cuenta en sí tiene una contraseña generada aleatoriamente, que se valida contra la política de contraseñas de la organización. La contraseña no aparece para el inicio de sesión del dispositivo y se elimina automáticamente después de que el usuario restablece su contraseña. Es posible que existan varios perfiles defaultuser, pero puede ignorarlos sin problemas.

Configuraciones de proxy para el restablecimiento de contraseña de Windows

Durante el restablecimiento de contraseña, SSPR crea una cuenta de usuario local temporal para conectarse a https://passwordreset.microsoftonline.com/n/passwordreset. Cuando se configura un proxy para la autenticación de usuario, puede fallar con el error "Algo salió mal. Por favor, inténtelo de nuevo más tarde". Este error se produce porque la cuenta de usuario local no está autorizada a utilizar el proxy autenticado.

En este caso, utilice una de las siguientes soluciones:

Configure un proxy para toda la máquina que no dependa del tipo de usuario conectado a la máquina. Por ejemplo, puede habilitar la directiva de grupo Establecer la configuración de proxy por máquina (en lugar de por usuario) para las estaciones de trabajo.

También puede utilizar la configuración de proxy por usuario para SSPR si modifica la plantilla de registro para la cuenta predeterminada. Los comandos son los siguientes:

reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
reg unload "hku\Default"

El error "Algo salió mal" también puede producirse cuando algo interrumpe la conectividad a la dirección URL https://passwordreset.microsoftonline.com/n/passwordreset. Por ejemplo, este error puede producirse cuando el software antivirus se ejecuta en la estación de trabajo sin exclusiones para las direcciones URL passwordreset.microsoftonline.com, ajax.aspnetcdn.comy ocsp.digicert.com. Deshabilite este software temporalmente para probar si el problema se resuelve o no.

Restablecimiento de contraseña de Windows 7, 8 y 8.1

Para configurar un dispositivo Windows 7, 8 u 8.1 para SSPR en la pantalla de inicio de sesión de Windows, revise los siguientes requisitos previos y pasos de configuración.

Requisitos previos de Windows 7, 8 y 8.1

Inicie sesión en el Centro de administración de Microsoft Entra como mínimo como Administrador de políticas de autenticación y habilite Microsoft Entra SSPR.
Los usuarios deben registrarse para SSPR en la pantalla de inicio de sesión de Windows antes de utilizar esta función.
- Todos los usuarios deben proporcionar información de contacto de autenticación antes de que puedan restablecer su contraseña, lo cual no es exclusivo del uso de SSPR desde la pantalla de inicio de sesión de Windows.
Requisitos de proxy de red:
- Puerto 443 para passwordreset.microsoftonline.com.
Sistema operativo Windows 7 o Windows 8.1 revisado.
TLS 1.2 habilitada mediante las instrucciones que se encuentran en Configuración del registro de Seguridad de la capa de transporte (TLS).
Si hay más de un proveedor de credenciales ajeno a Microsoft habilitado en el equipo, los usuarios verán más de un perfil de usuario en la pantalla de inicio de sesión de Windows.

Advertencia

Se debe habilitar TLS 1.2, no hay solo que establecerla en negociación automática.

Instale el componente SSPR

Para Windows 7, 8 y 8.1, se debe instalar un pequeño componente en el equipo para habilitar SSPR en la pantalla de inicio de sesión de Windows. Para instalar este componente SSPR, siga estos pasos:

Descargue el instalador apropiado para la versión de Windows que desea habilitar.

El instalador de software está disponible en el Centro de descargas de Microsoft.
Inicie sesión en el equipo en el que desea realizar la instalación y ejecute el instalador.
Tras la instalación, le recomendamos que reinicie el sistema.
Después del reinicio, en la pantalla de inicio de sesión de Windows, elija un usuario y seleccione ¿Ha olvidado la contraseña? para iniciar el flujo de trabajo de restablecimiento de contraseña.
Siga los pasos para restablecer la contraseña.

Instalación silenciosa

Para instalar o desinstalar el componente SSPR sin avisos, utilice los siguientes comandos:

Instalación silenciosa: Utilice msiexec /i SsprWindowsLogon.PROD.msi /qn.
Desinstalación silenciosa: Utilice msiexec /x SsprWindowsLogon.PROD.msi /qn.

Solución de problemas de restablecimiento de contraseña de Windows 7, 8 y 8.1

Si tiene problemas al utilizar SSPR desde la pantalla de inicio de sesión de Windows, se registran eventos en la máquina y en Microsoft Entra ID. Los eventos de Microsoft Entra incluyen información sobre la dirección IP y el parámetro ClientType donde se produjo el restablecimiento de la contraseña.

Captura de pantalla que muestra un ejemplo de restablecimiento de contraseña de Windows 7 en el registro de auditoría de Microsoft Entra.

Si se requiere más registro, cambie una clave de registro en la máquina para habilitar el registro detallado. Habilite el registro detallado para la solución de problemas únicamente con el siguiente valor de clave del Registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

Para habilitar el registro detallado, cree REG_DWORD: "EnableLogging" y ajústelo a 1.
Para deshabilitar el registro detallado, cambie REG_DWORD: "EnableLogging" a 0.
Revise el registro de depuración en el registro de eventos de la aplicación en el origen AADPasswordResetCredentialProvider.

¿Qué ven los usuarios?

Con SSPR configurado para sus dispositivos Windows, ¿cuáles son los cambios para el usuario? ¿Cómo saben que pueden restablecer su contraseña en la pantalla de inicio de sesión? Las siguientes capturas de pantalla de ejemplo muestran otras opciones para que un usuario restablezca su contraseña utilizando SSPR.

Captura de pantalla que muestra las pantallas de inicio de sesión de Windows 7 y 10 con el enlace SSPR.

Cuando los usuarios intentan iniciar sesión, ven un enlace Restablecer contraseña o Olvidé la contraseña que abre la experiencia SSPR en la pantalla de inicio de sesión. Ahora los usuarios pueden restablecer su contraseña sin tener que utilizar otro dispositivo para acceder a un navegador web.

Para obtener más información sobre cómo utilizar esta función, consulte Restablecer la contraseña del trabajo o de la escuela.

Para simplificar la experiencia de registro de usuarios, puede rellenar previamente la información de contacto de autenticación de usuario para SSPR.