Migración a la autenticación en la nube mediante un lanzamiento preconfigurado

Información general

La implementación preconfigurada (SRO) está pensada como un mecanismo de prueba temporal para las organizaciones con dominios federados y permite probar la autenticación en la nube con un grupo de usuarios antes de realizar la transición de todo el dominio de federado a administrado. Estas características incluyen la autenticación multifactor de Microsoft Entra, el acceso condicional, Identity Protection para credenciales filtradas, Identity Governance, etc. Este enfoque permite validar la funcionalidad y la experiencia del usuario antes de realizar la transición completa de los dominios de federado a administrado.

Antes de comenzar el lanzamiento preconfigurado, debe tener en cuenta las consecuencias en caso de que se cumplan las condiciones siguientes:

• Actualmente usa un servidor Azure MFA local.
• Usa tarjetas inteligentes para la autenticación.
• El servidor actual ofrece ciertas características de solo federación.
• Va a pasar de una solución de federación de terceros a servicios administrados.

Antes de probar esta característica, le recomendamos que revise la guía sobre cómo elegir el método de autenticación correcto. Para más información, consulte la tabla "Comparación de métodos" de Selección del método de autenticación adecuado para su solución de identidad híbrida de Microsoft Entra.

Para obtener información general sobre la característica, observe este vídeo "¿Qué es el lanzamiento preconfigurado?":

Nota

El despliegue gradual no está diseñado para ser una configuración permanente. Las organizaciones deben mantener un proveedor de identidades federado (IdP) como respaldo durante las pruebas de despliegue gradual. Seguir usando la implementación preconfigurada después de migrar a la autenticación administrada sin un IdP federado puede provocar errores de autenticación inesperados y experiencias de usuario degradadas. Para garantizar una transición fluida, se recomienda completar la migración del dominio a la autenticación administrada una vez que las pruebas se realicen correctamente.

Procedimientos recomendados para usar el lanzamiento escalonado

• Usa la implementación gradual solo para los grupos piloto para validar el comportamiento de la autenticación en la nube antes de realizar cambios en todo el dominio.
• Mantenga su IdP federado durante las pruebas de SRO para garantizar una ruta de reserva para la autenticación.
• Evite poner a todos los usuarios en la implementación progresiva a menos que tenga un plan de transición claro hacia la autenticación administrada.
• Supervise los flujos de autenticación durante las pruebas para detectar anomalías al principio.
• Planee una transición puntual a la autenticación administrada una vez que las pruebas se realicen correctamente.

Requisitos previos

• Tiene un inquilino de Microsoft Entra con dominios federados.

• Ha decidido mover una de las siguientes opciones:

  • Sincronización de hash de contraseña (sincronización). Para más información, consulte ¿Qué es la sincronización de hash de contraseña?
  • Autenticación transferida Para más información, consulte ¿Qué es la autenticación de paso a través?
  • Configuración de la autenticación basada en certificados (CBA) de Microsoft Entra. Para obtener más información, vea Información general sobre la autenticación basada en certificados de Microsoft Entra

  Para ambas opciones, se recomienda habilitar el inicio de sesión único (SSO) para lograr una experiencia de inicio de sesión silenciosa. En el caso de los dispositivos Windows 7 u 8.1 unidos a un dominio, se recomienda usar el SSO de conexión directa. Para obtener más información, consulte ¿Qué es SSO de conexión directa? Para Windows 10, Windows Server 2016 y versiones posteriores, use SSO a través del token de actualización principal (PRT). En el caso de los dispositivos unidos a Microsoft Entra, los dispositivos híbridos unidos a Microsoft Entra o los dispositivos registrados personales, use Agregar cuenta profesional o educativa.

• Debe configurar todas las directivas de personalización de marca de inquilino y acceso condicional adecuadas que necesite para los usuarios que se migran a la autenticación en la nube.

• Si se ha movido de la autenticación federada a la autenticación en la nube, debe comprobar que la configuración de DirSync synchronizeUpnForManagedUsersEnabled está establecida correctamente en true, de lo contrario, Microsoft Entra ID no permite las actualizaciones de sincronización del nombre principal de usuario (UPN) o del identificador de inicio de sesión alternativo para las cuentas de usuario que usan autenticación administrada y tienen licencia. Para obtener más información, consulte Características del servicio de sincronización de Microsoft Entra Connect.

• Si tiene previsto usar la autenticación multifactor de Microsoft Entra, se recomienda habilitar el registro combinado. Esto permite a los usuarios registrar sus métodos de autenticación una vez para el autoservicio de restablecimiento de contraseña (SSPR) y la autenticación multifactor. Nota: cuando se usa SSPR para restablecer la contraseña o cambiar la contraseña mediante la página MyProfile en el lanzamiento preconfigurado, Microsoft Entra Connect necesita sincronizar el nuevo hash de contraseña, lo que puede tardar hasta dos minutos después del restablecimiento.

• Para usar la característica de lanzamiento preconfigurado, debe ser un administrador de identidad híbrida en el inquilino.

• Para habilitar el inicio de sesión único de conexión directa en un bosque específico de Active Directory, debe ser administrador de dominio.

• Si implementa la unión híbrida de Microsoft Entra ID o Microsoft Entra, debe actualizar a la actualización de Windows 10 1903.

Escenarios admitidos

Se admiten los siguientes escenarios en el lanzamiento preconfigurado. La característica solo funciona en los siguientes casos:

• Usuarios que se aprovisionan para Microsoft Entra ID mediante Microsoft Entra Connect. No se aplica a los usuarios solo de nube.

• El tráfico de inicio de sesión del usuario en los exploradores y clientes de autenticación moderna. Las aplicaciones o los servicios en la nube que usan la autenticación heredada revierten a los flujos de autenticación federada. Un ejemplo de autenticación heredada podría ser Exchange Online con la autenticación moderna desactivada o Outlook 2010, que no admite autenticación moderna.

• El tamaño del grupo está limitado actualmente a 50 000 usuarios. Si tiene grupos que son mayores de 50 000 usuarios, se recomienda dividir este grupo en varios otros para la implementación por etapas. Además, puede usar un máximo de 10 grupos por característica, 10 grupos cada uno para la sincronización de hash de contraseñas, la autenticación de paso a través y el inicio de sesión único sin problemas.

• Adquisición de token de actualización principal de Unión híbrida a Windows 10 o Unión a Microsoft Entra sin línea de visión con el servidor de federación para Windows 10 versión 1903 y posteriores, cuando el UPN del usuario se puede enrutar y el sufijo de dominio se comprueba en Microsoft Entra ID.

• La inscripción de Autopilot se admite en el lanzamiento preconfigurado con Windows 10 (versión 1909 o posterior).

Escenarios no admitidos

Los siguientes escenarios no se admiten en el lanzamiento preconfigurado:

• No se admite la autenticación heredada, como POP3 y SMTP.

• El autoservicio de restablecimiento de contraseña (SSPR) con reescritura en un dominio local no se admite cuando el lanzamiento preconfigurado está habilitado para un grupo de seguridad. Aunque funciona en algunos casos, no se puede garantizar que SSPR funcione de manera coherente cuando se habilita el despliegue gradual.

• Ciertas aplicaciones envían el parámetro de consulta "domain_hint" a Microsoft Entra ID durante la autenticación. Estos flujos continúan, y los usuarios habilitados para el lanzamiento preconfigurado siguen usando la federación en la autenticación.

• El administrador puede implementar la autenticación en la nube mediante grupos de seguridad. Para evitar la latencia de la sincronización cuando se usan grupos de seguridad de Active Directory locales, se recomienda usar grupos de seguridad de nube. Se aplican las siguientes condiciones:

  • Puede usar hasta 10 grupos por característica. Es decir, puede usar 10 grupos por cada sincronización de hash de contraseña, autenticación transferida e inicio de sesión único de conexión directa.
  • No se admiten los grupos anidados.
  • Los grupos dinámicos no se admiten en el lanzamiento preconfigurado.
  • Los objetos de contacto dentro del grupo impiden que se agregue el grupo.

• La primera vez que se agrega un grupo de seguridad para el lanzamiento preconfigurado, está limitado a 200 usuarios para evitar que se agote el tiempo de espera de la experiencia de usuario. Después de agregar el grupo, puede agregarle más usuarios directamente, según sea necesario.

• Mientras los usuarios estén en lanzamiento preconfigurado con sincronización de hash de contraseña (PHS), de forma predeterminada no se aplica ninguna expiración de contraseña. La expiración de contraseña se puede aplicar habilitando "CloudPasswordPolicyForPasswordSyncedUsersEnabled". Cuando "CloudPasswordPolicyForPasswordSyncedUsersEnabled" está habilitado, la directiva de expiración de contraseña se establece en 90 días desde el momento en el que la contraseña se estableció localmente sin la opción de personalizarla. No se admite la actualización mediante programación del atributo PasswordPolicies mientras los usuarios están en el lanzamiento preconfigurado. Para obtener información sobre cómo establecer "CloudPasswordPolicyForPasswordSyncedUsers", consulte Directiva de expiración de contraseñas.

• Adquisición de token de actualización principal de Unión híbrida a Windows 10 o Unión a Microsoft Entra para versiones de Windows 10 anteriores a la 1903. Este escenario revierte al punto de conexión de WS-Trust del servidor de federación, incluso si el usuario que inicia sesión está en el ámbito del lanzamiento preconfigurado.

• Adquisición de token de actualización principal de Unión híbrida a Windows 10 o Unión a Microsoft Entra para todas las versiones, cuando el UPN local del usuario no se puede enrutar. Este escenario revierte al punto de conexión de WS-Trust durante el modo de implementación por fases, pero deja de funcionar cuando se completa la migración por fases y el inicio de sesión de usuario ya no depende del servidor de federación.

• Si tiene una configuración de VDI no persistente con Windows 10 versión 1903 o posterior, debe permanecer en un dominio federado. No se admite el traslado a un dominio administrado en VDI no persistente. Para más información, consulte Identidad de dispositivo y virtualización del escritorio.

• Si tiene una relación de confianza de certificado híbrido de Windows Hello para empresas con certificados emitidos mediante el servidor de federación que actúa como Autoridad de registro o usuarios de tarjeta inteligente, el escenario no es compatible con un lanzamiento preconfigurado.

  Nota

  Todavía tiene que realizar la migración final de la autenticación federada a la nube mediante Microsoft Entra Connect o PowerShell. El lanzamiento preconfigurado no cambia de dominio federado a administrado. Para obtener más información sobre la migración de dominio, consulte Conversión de dominio de federado a administrado.

Introducción al lanzamiento preconfigurado

Para probar el inicio de sesión de sincronización de hash de contraseñas mediante el lanzamiento preconfigurado, siga las instrucciones del trabajo previo en la sección siguiente.

Para información sobre qué cmdlets de PowerShell usar, consulte la versión preliminar de Microsoft Entra ID 2.0.

Trabajo previo para la sincronización de hash de contraseña

1. Habilite Sincronización de hash de contraseña en la página Características opcionales de Microsoft Entra Connect. 

   

2. Asegúrese de que se ha ejecutado un ciclo completo de sincronización de hash de contraseña de modo que todos los hash de contraseña de los usuarios se hayan sincronizado con Microsoft Entra ID. Para comprobar el estado de la sincronización de hash de contraseña, puede usar el diagnóstico de PowerShell que se describe en Solución de problemas de sincronización de hash de contraseñas con la sincronización de Microsoft Entra Connect.

   

Si quiere probar el inicio de sesión de autenticación transferida con el lanzamiento preconfigurado, siga las instrucciones del trabajo previo de la sección siguiente para habilitarlo.

Trabajo previo para la autenticación transferida

1. Identifique un servidor que ejecute Windows Server 2012 R2 o posterior en el que quiera ejecutar el agente de autenticación de paso a través.

   No elija el servidor de Microsoft Entra Connect. Asegúrese de que el servidor esté unido a un dominio, que pueda autenticar a los usuarios seleccionados con Active Directory y que pueda comunicarse con Microsoft Entra ID en los puertos y direcciones URL de salida. Para más información, consulte la sección "Paso 1: Comprobación de requisitos previos" del Inicio rápido: Inicio de sesión único de conexión directa de Microsoft Entra.

2. Descargue el agente de autenticación de Microsoft Entra Connect e instálelo en el servidor. 

3. Para permitir alta disponibilidad, instale agentes de autenticación adicionales en otros servidores.

4. Asegúrese de que ha configurado el bloqueo inteligente adecuadamente. De este forma se garantiza que individuos infiltrados no bloqueen las cuentas de Active Directory locales de los usuarios.

Se recomienda habilitar el inicio de sesión único de conexión directa con independencia del método de inicio de sesión (sincronización de hash de contraseña o autenticación transferida) que seleccione para el lanzamiento preconfigurado. Para habilitar el inicio de sesión único de conexión directa, siga las instrucciones del trabajo previo de la sección siguiente.

Trabajo previo para el inicio de sesión único de conexión directa

Habilite el inicio de sesión único de conexión directa en los bosques de Active Directory mediante PowerShell. Si tiene más de un bosque de Active Directory, habilítelo individualmente para cada uno.  El inicio de sesión de conexión directa solo se activa en los usuarios seleccionados para el lanzamiento preconfigurado. No afecta a la configuración de federación existente.

Para habilitar el inicio de sesión único de conexión directa, haga las siguientes tareas:

1. Inicie sesión en el servidor de Microsoft Entra Connect.

2. Vaya a la carpeta %programfiles%\Microsoft Entra Connect.

3. Importe el módulo de PowerShell de inicio de sesión único de conexión directa mediante la ejecución del siguiente comando:

   Import-Module .\AzureADSSO.psd1

4. Ejecute PowerShell como administrador. En PowerShell, llame a New-AzureADSSOAuthenticationContext. Este comando abre un panel en el que puede especificar sus credenciales de administrador de identidad híbrida del inquilino.

5. Llame a Get-AzureADSSOStatus | ConvertFrom-Json. Este comando muestra una lista de bosques de Active Directory (consulte la lista "Dominios") en los que se ha habilitado esta característica. De forma predeterminada, se establece en False en el nivel de inquilino.

   

6. Llame a $creds = Get-Credential. Cuando se le pida, escriba las credenciales del administrador de dominio correspondientes al bosque de Active Directory deseado.

7. Llame a Enable-AzureADSSOForest -OnPremCredentials $creds. Este comando crea la cuenta de equipo AZUREADSSOACC del controlador de dominio local para este bosque de Active Directory que se necesita para el inicio de sesión único de conexión directa.

8. Para el inicio de sesión único de conexión directa es necesario que las direcciones URL estén en la zona de intranet. Para implementar estas direcciones URL mediante directivas de grupo, consulte Inicio rápido: Inicio de sesión único de conexión directa de Microsoft Entra.

9. Para ver un tutorial completo, también puede descargar los planes de implementación para el inicio de sesión único de conexión directa.

Habilitación del lanzamiento preconfigurado

Para implementar una característica concreta (autenticación de paso a través, sincronización de hash de contraseña o inicio de sesión único de conexión directa) en un conjunto seleccionado de usuarios de un grupo, siga las instrucciones de las secciones siguientes.

Habilitación de un lanzamiento preconfigurado de una característica específica en el inquilino

Puede implementar una de estas opciones:

• Sincronización de hash de contraseña + Inicio de sesión único de conexión directa
• Autenticación transferida + Inicio de sesión único de conexión directa
• No soportado - Sincronización de hash de contraseña + Autenticación transferida + Inicio de sesión único de conexión directa
• Configuración de la autenticación basada en certificados
• Autenticación multifactor de Azure

Para configurar el lanzamiento preconfigurado, sigue estos pasos:

1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Administrador de identidad híbrida.

2. Vaya a Entra ID>Entra Connect>Connect Sync.

3. En la página Microsoft Entra Connect, en Implementación por fases de la autenticación en la nube, seleccione el vínculo Habilitar el lanzamiento preconfigurado para el inicio de sesión del usuario administrado.

4. En la página Habilitar la característica de lanzamiento preconfigurado, seleccione las opciones que quiere habilitar: Sincronización de hash de contraseñas, Autenticación de paso a través, Inicio de sesión único de conexión directa o Autenticación basada en certificados. Por ejemplo, si quiere habilitar Sincronización de hash de contraseña e Inicio de sesión de conexión directa seleccione Activado.

5. Agregue grupos a las características seleccionadas. Por ejemplo, la autenticación transferida y el inicio de sesión único de conexión directa. Para evitar tiempo de espera, asegúrese de que los grupos de seguridad no contengan más de 200 miembros inicialmente.

   Nota

   Los miembros de un grupo se habilitan automáticamente para el lanzamiento preconfigurado. No se admiten grupos de pertenencia anidados y dinámicos para el lanzamiento preconfigurado. Al agregar un nuevo grupo, los usuarios del grupo (hasta 200 usuarios para un grupo nuevo) se actualizarán para usar la autenticación administrada de forma inmediata. Al editar un grupo (agregar o eliminar usuarios), los cambios pueden tardar hasta 24 horas en surtir efecto. El inicio de sesión único de conexión directa solo se aplicará si los usuarios están en el grupo de SSO de conexión directa y también en un grupo de PTA o de PHS.

Comportamiento de autenticación del usuario durante las transiciones de despliegue escalonado

Cuando se agrega un usuario a un grupo de Despliegue por Fases (SR) o cuando se agrega un grupo al que pertenece a SR, su método de autenticación pasará de federado a administrado. Este cambio surte efecto después de que el usuario complete un inicio de sesión más interactivo con su inicio de sesión federado existente. Después de este inicio de sesión, Microsoft Entra aplica la experiencia de autenticación administrada para los inicios de sesión posteriores.

Del mismo modo, cuando se quita un usuario del grupo SR o cuando se quita su grupo de SR, seguirá usando la autenticación administrada hasta que complete un inicio de sesión más interactivo. Después, la federación se vuelve a aplicar y los inicios de sesión futuros se redirigirán al proveedor de identidades federado.

Este comportamiento garantiza una transición sin problemas entre los métodos de autenticación mientras se mantiene la continuidad y la seguridad del acceso de los usuarios.

Auditoría

Se han habilitado eventos de auditoría para las diferentes acciones que se realizan en el lanzamiento preconfigurado:

• Evento de auditoría cuando se habilita un lanzamiento preconfigurado para la sincronización de hash de contraseñas, la autenticación transferida o el inicio de sesión único de conexión directa.

  Nota

  Se registra un evento de auditoría cuando se activa el inicio de sesión único de conexión directa mediante el lanzamiento preconfigurado.

  

  

• Evento de auditoría cuando se agrega un grupo a sincronización de hash de contraseñas, autenticación transferida o inicio de sesión único de conexión directa.

  Nota

  Se registra un evento de auditoría cuando se agrega un grupo a la sincronización de hash de contraseñas en el lanzamiento preconfigurado.

  

  

• Evento de auditoría cuando un usuario que se agregó al grupo está habilitado para el lanzamiento preconfigurado.

  

  

Validación

Para probar el inicio de sesión con sincronización de hash de contraseña o autenticación transferida (inicio de sesión con nombre de usuario y contraseña), haga las siguientes tareas:

1. En la extranet, vaya a la página Aplicaciones en una sesión privada del explorador y, luego, escriba el UPN (UserPrincipalName) de la cuenta de usuario seleccionada para el lanzamiento preconfigurado.

   Los usuarios que han sido destinados al lanzamiento preconfigurado no se redirigen a la página de inicio de sesión federado. En su lugar, se les pide que inicien sesión en la página de inicio de sesión con la marca de inquilino Microsoft Entra.

2. Asegúrese de que el inicio de sesión se muestra correctamente en el Informe de actividad de inicio de sesión de Microsoft Entra mediante el filtrado por UserPrincipalName.

Para probar el inicio de sesión con inicio de sesión único de conexión directa:

1. En la intranet, vaya a la página Aplicaciones en una sesión de navegador y, a continuación, escriba el UPN (UserPrincipalName) de la cuenta de usuario seleccionada para el lanzamiento preconfigurado.

   Los usuarios que han sido destinados al lanzamiento preconfigurado de inicio de sesión único de conexión directa reciben un mensaje de intento de inicio de sesión antes de que se inicie sesión en modo silencioso.

2. Asegúrese de que el inicio de sesión se muestra correctamente en el Informe de actividad de inicio de sesión de Microsoft Entra mediante el filtrado por UserPrincipalName.

   Para realizar un seguimiento de los inicios de sesión de los usuarios seleccionados para el lanzamiento preconfigurado que se siguen produciendo en los Servicios de federación de Active Directory (AD FS), siga las instrucciones que se indican en Solución de problemas de AD FS: eventos y registro. Consulte la documentación del proveedor para saber cómo comprobar esto en los proveedores de federación de terceros.

   Nota

   Mientras los usuarios están en la fase de lanzamiento preconfigurado con PHS, el cambio de contraseñas puede tardar hasta 2 minutos en surtir efecto debido al tiempo de sincronización. Asegúrese de establecer expectativas con los usuarios para evitar llamadas al departamento de soporte técnico cuando cambien la contraseña.

Supervisión

Para supervisar los usuarios y grupos agregados o quitados del lanzamiento preconfigurado y de los inicios de sesión de los usuarios durante el lanzamiento preconfigurado, utilice los nuevos libros de autenticación híbrida del centro de administración de Microsoft Entra.

Eliminación de un usuario del lanzamiento preconfigurado

Al eliminar un usuario del grupo, se deshabilita el lanzamiento preconfigurado para ese usuario. Para deshabilitar la característica de lanzamiento preconfigurado, deslice el control de nuevo a Desactivado.

Importante

Al quitar un usuario de un grupo en el lanzamiento preconfigurado para la autenticación basada en certificados, donde el usuario ha iniciado sesión en dispositivos Windows con un certificado, se recomienda mantener el usuario habilitado para el método de autenticación basado en certificados en Entra ID. El usuario debe permanecer habilitado para la autenticación basada en certificados después de ser eliminado del despliegue gradual durante el tiempo suficiente para que pueda iniciar sesión en Windows y actualizar su token de actualización primario mediante el proveedor de identidades federado.

Preguntas más frecuentes

P: ¿Se puede usar esta funcionalidad en producción?

A. Sí, esta característica se puede usar en el inquilino de producción, pero se recomienda que la pruebe primero en el inquilino de prueba.

P: ¿Se puede usar esta característica para mantener una "coexistencia" permanente, en la que algunos usuarios usan la autenticación federada y otros la autenticación en la nube?

A. No, esta característica está diseñada para probar la autenticación en la nube. Después de probar con éxito, algunos grupos de usuarios, debe pasar a la autenticación en la nube. No se recomienda un estado mixto permanente, ya que este enfoque podría llevar a flujos de autenticación inesperados.

P: ¿Se puede usar PowerShell para realizar el lanzamiento preconfigurado?

A. Sí. Para información sobre cómo usar PowerShell para realizar el lanzamiento preconfigurado, consulte Versión preliminar de Microsoft Entra ID.

Pasos siguientes

• Versión preliminar de Microsoft Entra ID 2.0
• Cambio del método de inicio de sesión a sincronización de hash de contraseña
• Cambio del método de inicio de sesión a la autenticación transferida