Autenticación transferida de Microsoft Entra: preguntas más frecuentes

En este artículo se tratan las preguntas más frecuentes sobre la autenticación transferida de Microsoft Entra. Siga comprobando si hay contenido actualizado.

¿Cuál de los métodos de inicio de sesión, autenticación transferida, sincronización de hash de contraseña y Servicios de federación de Active Directory (AD FS) de Microsoft Entra ID debo elegir?

Consulte esta guía para ver una comparación de los distintos métodos de inicio de sesión de Microsoft Entra y cómo elegir el método correcto para su organización.

¿Es la autenticación de paso a través una característica gratuita?

La autenticación de paso a través es una característica gratuita. No es necesario utilizar ninguna versión de pago de Microsoft Entra ID para usarla.

¿Funciona el acceso condicional con la autenticación de paso a través?

Sí. Todas las funcionalidades de acceso condicional, incluida la autenticación multifactor de Microsoft Entra, funcionan con la autenticación transferida.

¿Admite la autenticación de paso a través "Alternate ID" como nombre de usuario, en lugar de "userPrincipalName"?

Sí, tanto la autenticación transferida (PTA) como la sincronización de hash de contraseñas (PHS) admiten el inicio de sesión con un valor que no sea UPN, como un correo electrónico alternativo. Para obtener más información, consulte acerca del identificador de inicio de sesión alternativo.

¿Actúa la sincronización de hash de contraseña como una reserva de la autenticación de paso a través?

No. La autenticación de paso a través no realiza una conmutación automática por error a la sincronización de hash de contraseña. Para evitar errores de inicio de sesión de usuario, debe configurar la autenticación de paso a través para una alta disponibilidad.

¿Qué ocurre cuando cambio de la sincronización de hash de contraseña a la autenticación de paso a través?

Cuando se usa Microsoft Entra Connect para cambiar el método de inicio de sesión de sincronización de hash de contraseña a la autenticación transferida, esta última se convierte en el método principal de inicio de sesión de los usuarios en dominios administrados. Los hash de contraseña de todos los usuarios que anteriormente se han sincronizado mediante la sincronización de hash de contraseña siguen almacenados en Microsoft Entra ID.

¿Puedo instalar un conector del proxy de aplicación de Microsoft Entra en el mismo servidor que un agente de autenticación transferida?

Sí. Esta configuración es compatible con las nuevas versiones del agente de autenticación de paso a través (versiones 1.5.193.0 o posteriores).

¿Qué versiones de Microsoft Entra Connect y del agente de autenticación transferida necesita?

Para que esta característica funcione, necesita la versión 1.1.750.0 o posterior para Microsoft Entra Connect y 1.5.193.0 o posterior para el agente de autenticación transferida. Instale todo el software servidores con Windows Server 2012 R2 o posterior.

¿Por qué mi conector todavía usa una versión antigua y no se ha actualizado automáticamente a la versión más reciente?

Esto puede deberse a que el servicio del actualizador no funciona correctamente o a que no hay nuevas actualizaciones disponibles que el servicio pueda instalar. El servicio de actualización es correcto si se está ejecutando y no hay ningún error registrado en el registro de eventos (Registros de aplicaciones y servicios -> Microsoft -> AzureADConnect-Agent -> Actualizador -> Administrador).

Solo se publican las versiones principales para la actualización automática. Se recomienda actualizar el agente manualmente solo si es necesario. Por ejemplo, no puede esperar a una versión principal, porque debe corregir un problema conocido o usar una característica nueva. Para más información sobre las nuevas versiones, el tipo de versión (descarga, actualización automática), correcciones de errores y nuevas características, consulte Agente de autenticación transferida de Microsoft Entra: Historial de lanzamiento de versiones.

Para actualizar manualmente un conector:

  • Descargue la última versión del agente. (Lo encontrará en Microsoft Entra Connect autenticación transferida en el centro de administración de Microsoft Entra. También puede encontrar el vínculo en Autenticación transferida de Microsoft Entra: Historial de lanzamiento de versiones.
  • El instalador reinicia los servicios del agente de autenticación de Microsoft Entra Connect. En algunos casos, es necesario reiniciar el servidor si el instalador no puede reemplazar todos los archivos. Por tanto, se recomienda cerrar todas las aplicaciones, es decir el Visor de eventos, antes de iniciar la actualización.
  • Ejecute el instalador. El proceso de actualización es rápido y no es necesario proporcionar ninguna credencial y el agente no se volverá a registrar.

¿Qué ocurre si mi contraseña de usuario ha expirado y se intenta iniciar sesión mediante la autenticación de paso a través?

Si ha configurado la escritura diferida de contraseñas para un usuario concreto y, si el usuario inicia sesión mediante la autenticación de paso a través, puede cambiar o restablecer su contraseña. La contraseña se volverá a escribir en la instancia local de Active Directory, tal como cabría esperar.

Si no ha configurado la escritura diferida de contraseñas para un usuario determinado o si este no tiene una licencia válida de Microsoft Entra ID asignada, el usuario no podrá actualizar la contraseña en la nube. El usuario no puede actualizar la contraseña incluso aunque haya expirado. En su lugar, el usuario ve este mensaje: "La organización no le permite actualizar la contraseña en este sitio. Actualícelo según el método recomendado por su organización o pregunte al administrador si necesita ayuda". El usuario o el administrador deben restablecer su contraseña en el entorno local de Active Directory.

El usuario inicia sesión en Microsoft Entra con credenciales (nombre de usuario, contraseña). Mientras tanto, la contraseña del usuario expira, pero el usuario todavía puede acceder a los recursos de Microsoft Entra. ¿Por qué ocurre esto?

La expiración de la contraseña no desencadena la revocación de tokens de autenticación o cookies. Hasta que los tokens o cookies sean válidos, el usuario puede utilizarlos. Esto se aplica independientemente del tipo de autenticación (PTA, PHS y escenarios federados).

Para más información, consulte la siguiente documentación:

Tokens de acceso de la plataforma de identidad de Microsoft: plataforma de identidad de Microsoft | Microsoft Docs

¿Cómo protege la autenticación de paso a través frente a ataques de contraseña por fuerza bruta?

¿Qué comunican los agentes de autenticación de paso a través mediante los puertos 80 y 443?

  • Los agentes de autenticación realizan las solicitudes HTTPS a través del puerto 443 en todas las operaciones de esta característica.

  • Los agentes de autenticación realizan solicitudes HTTP a través del puerto 80 para la descarga de listas de revocación de certificados (CRL) TLS/SSL.

    Nota:

    Las actualizaciones recientes redujeron el número de puertos que la característica necesita. Si tiene versiones anteriores de Microsoft Entra Connect o del agente de autenticación, mantenga también estos puertos abiertos: 5671, 8080, 9090, 9091, 9350, 9352 y 10100-10120.

¿Se pueden comunicar los agentes de autenticación de paso a través mediante un servidor de proxy web de salida?

Sí. Si la Detección automática de proxy web (WPAD) está habilitada en el entorno local, los agentes de autenticación intentarán automáticamente buscar y usar un servidor proxy web en la red. Para obtener más información sobre el uso de servidores proxy de salida, consulte Trabajo con servidores proxy locales existentes.

Si no tiene WPAD en su entorno, puede agregar información de proxy (como se muestra a continuación) para permitir que un Agente de autenticación de transferida se comunique con Microsoft Entra ID:

  • Configure la información del proxy en Internet Explorer antes de instalar el agente de autenticación de paso a través en el servidor. Esto permite completar la instalación del agente de autenticación, pero seguirá apareciendo como Inactivo en el portal de administración.
  • En el servidor, vaya a "C:\Program Files\Microsoft Azure AD Connect Authentication Agent".
  • Edite el archivo de configuración "AzureADConnectAuthenticationAgentService" y agregue las siguientes líneas (reemplace "http://contosoproxy.com:8080" con su dirección proxy real):
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

¿Puedo instalar dos o más agentes de autenticación de paso a través en el mismo servidor?

No, solo se puede instalar un agente de autenticación de paso a través en un único servidor. Si desea configurar la autenticación de paso a través para alta disponibilidad, siga las instrucciones aquí.

¿Es necesario renovar manualmente los certificados usados por los agentes de autenticación de paso a través?

La comunicación entre cada agente de autenticación transferida y Microsoft Entra ID está protegida mediante la autenticación basada en certificados. Microsoft Entra ID renueva estos certificados automáticamente cada pocos meses. No hay ninguna necesidad de renovar manualmente estos certificados. Puede eliminar los certificados expirados anteriores según sea necesario.

¿Cómo quito un agente de autenticación de paso a través?

Mientras se esté ejecutando un agente de autenticación de paso a través, permanecerá activo y controlará continuamente las solicitudes de inicio de sesión del usuario. Si desea desinstalar un agente de autenticación, vaya a Panel de Control -> Programas -> Programas y características y desinstale los programas Agente de autenticación de Microsoft Entra Connect y Agent Updater de Microsoft Entra Connect.

Si comprueba la hoja de autenticación transferida en el centro de administración de Microsoft Entra como mínimo como administrador de identidad híbrido. después de completar el paso anterior, verá que el Agente de Autenticación aparece como Inactivo. Se espera que esto sea así. El agente de autenticación se quita automáticamente de la lista después de 10 días.

Ya utilizo AD FS para iniciar sesión en Microsoft Entra ID. ¿Cómo se puede cambiar a la autenticación de paso a través?

Si va a realizar la migración desde AD FS (u otra tecnología de federación) a la Autenticación transferida, es muy recomendable que siga nuestra guía de inicio rápido.

¿Se puede usar la autenticación de paso a través en un entorno de bosques múltiples de Active Directory?

Sí. Se admiten entornos de bosques múltiples si hay relaciones de confianza de bosque (bidireccionales) entre los bosques de Active Directory y si el enrutamiento de sufijos de nombre está configurado correctamente.

¿La autenticación de paso a través proporciona equilibrio de carga entre varios agentes de autenticación?

No, la instalación de varios agentes de autenticación de paso a través solo garantiza una alta disponibilidad, No proporciona un equilibrio de carga determinista entre los agentes de autenticación. Cualquier agente de autenticación (de manera aleatoria) puede procesar una solicitud de inicio de sesión de usuario determinada.

¿Cuántos agentes de autenticación de paso a través es necesario instalar?

La instalación de varios agentes de autenticación de paso a través garantiza una alta disponibilidad. Pero no proporciona un equilibrio de carga determinista entre los agentes de autenticación.

Considere la carga máxima y la carga media de las solicitudes de inicio de sesión que espera ver en el inquilino. Como referencia, un solo agente de autenticación puede administrar entre 300 y 400 autenticaciones por segundo en un servidor estándar con CPU de 4 núcleos y 16 GB de RAM.

Para calcular el tráfico de red, use la guía sobre el tamaño siguiente:

  • Cada solicitud tiene un tamaño de carga de trabajo de (500 + 1 000 * número_de_agentes) bytes; es decir, los datos de Microsoft Entra al agente de autenticación. Aquí, "num_of_agents" indica el número de agentes de autenticación que hay registrados en su inquilino.
  • Cada respuesta tiene un tamaño de carga de trabajo de 1 000 bytes; es decir, los datos del Agente de autenticación a Microsoft Entra ID.

Para la mayoría de los clientes, dos o tres agentes de autenticación en total son suficientes para obtener alta disponibilidad y capacidad. Sin embargo, en entornos de producción, se recomienda tener un mínimo de 3 agentes de autenticación en ejecución en el inquilino. Debe instalar agentes de autenticación cerca de los controladores de dominio para mejorar la latencia de inicio de sesión.

Nota:

Hay un límite de sistema de 40 agentes de autenticación por inquilino.

¿Por qué necesito una cuenta de administrador global solo para la nube para habilitar la autenticación de paso a través?

Se recomienda habilitar o deshabilitar la Autenticación transferida con una cuenta de administrador global solo para la nube. Información acerca de la incorporación de una cuenta de administrador global que está solo en la nube. De este modo, se asegura de no quedar bloqueado fuera de su inquilino.

¿Se puede deshabilitar la autenticación de paso a través?

Vuelva a ejecutar al Asistente de Microsoft Entra Connect y cambie el método de inicio de sesión del usuario de autenticación transferida a otro método. Este cambio deshabilita la autenticación de paso a través en el inquilino y desinstala el agente de autenticación del servidor. Debe desinstalar manualmente los agentes de autenticación de los otros servidores.

¿Qué ocurre cuando se desinstala un agente de autenticación de paso a través?

Si desinstala un agente de autenticación de paso a través de un servidor, el servidor deja de aceptar las solicitudes de inicio de sesión. Para evitar anular la funcionalidad de inicio de sesión del usuario en el inquilino, asegúrese de que haya otro agente de autenticación en ejecución antes de desinstalar un agente de autenticación de paso a través.

Tengo un inquilino anterior que originalmente se configuró con AD FS. Recientemente hicimos la migración a PTA, pero ahora no vemos los cambios de UPN sincronizados con Microsoft Entra ID. ¿Por qué los cambios de UPN no se están sincronizando?

En las siguientes circunstancias, es posible que los cambios de UPN en el entorno local no se sincronicen si:

  • El inquilino de Microsoft Entra se creó antes del 15 de junio de 2015.
  • Estaba federado inicialmente con el inquilino de Microsoft Entra mediante AD FS para la autenticación.
  • Cambió para tener usuarios administrados con PTA como autenticación.

Esto se debe a que el comportamiento predeterminado de los inquilinos creados antes del 15 de junio de 2015 era bloquear los cambios de UPN. Si necesita anular el bloqueo de los cambios de UPN, debe ejecutar el cmdlet de PowerShell siguiente:

Set-MsolDirSyncFeature -Feature SynchronizeUpnForManagedUsers -Enable $True

Los inquilinos creados después del 15 de junio de 2015 tienen el comportamiento predeterminado de sincronizar los cambios en los nombres principales de usuario.

¿Cómo capturar el identificador de agente de PTA de los registros de inicio de sesión de Microsoft Entra y el servidor de PTA para validar qué servidor de PTA se usó para un evento de inicio de sesión?

Para validar qué servidor local o agente de autenticación se usó para un evento de inicio de sesión específico:

  1. En el centro de administración de Microsoft Entra, vaya al evento de inicio de sesión.

  2. Seleccione Detalles de autenticación. En la columna Detalles del método de autenticación, los detalles del identificador del agente se muestran con el formato "Autenticación transferida; PTA AgentId: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX".

  3. Para obtener los detalles del identificador del agente que está instalado en el servidor local, inicie sesión en el servidor local y ejecute el siguiente cmdlet:

    Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

    El valor GUID que se devuelve es el identificador de agente del agente de autenticación que está instalado en ese servidor específico. Si tiene varios agentes en su entorno, puede ejecutar este cmdlet en cada servidor del agente y capturar los detalles del identificador de agente.

  4. Correlacione el identificador de agente que obtiene del servidor local y de los registros de inicio de sesión de Microsoft Entra para validar qué agente o servidor ha reconocido la solicitud de inicio de sesión.

Pasos siguientes