Opciones de implementación de autoservicio de restablecimiento de contraseña

Importante

En septiembre de 2022, Microsoft anunció la entrada en desuso del Servidor Multi-Factor Authentication de Azure. A partir del 30 de septiembre de 2024, las implementaciones del servidor Azure Multi-Factor Authentication ya no prestan servicios a solicitudes de autenticación multifactor (MFA). Los clientes de Azure Multi-Factor Authentication Server deben pasar a usar en su lugar proveedores de MFA personalizados con MIM SSPR o Microsoft Entra SSPR en lugar de MIM SSPR.

Para los nuevos clientes con licencia de Microsoft Entra ID P1 o P2, se recomienda usar el autoservicio de restablecimiento de contraseña de Microsoft Entra para proporcionar la experiencia del usuario final. El autoservicio de restablecimiento de contraseña de Microsoft Entra proporciona una experiencia basada en web e integrada en Windows para que un usuario restablezca su propia contraseña y admita muchas de las mismas funcionalidades que MIM, incluido el correo electrónico alternativo y las puertas de preguntas y respuestas. Al implementar el autoservicio de restablecimiento de contraseña de Microsoft Entra, puede configurar Microsoft Entra Connect para escribir las nuevas contraseñas en AD DS y el servicio de notificación de cambio de contraseña de MIM se puede usar para reenviar las contraseñas a otros sistemas, como el servidor de directorios de otro proveedor. La implementación de MIM para la administración de contraseñas no requiere que se implemente el servicio MIM ni el autoservicio de restablecimiento de contraseña de MIM ni los portales de registro. En su lugar, puede seguir estos pasos:

• En primer lugar, si necesita enviar contraseñas a directorios distintos de Microsoft Entra ID y AD DS, implemente la sincronización de MIM con conectores para Servicios de dominio de Active Directory y cualquier sistema de destino adicional, configure MIM para la administración de contraseñas e implemente el servicio de notificación de cambio de contraseña.
• A continuación, si necesita enviar contraseñas a directorios distintos de Microsoft Entra ID, configure Microsoft Entra Connect para volver a escribir las nuevas contraseñas en AD DS.
• Opcionalmente, registre previamente a los usuarios.
• Por último, implemente el autoservicio de restablecimiento de contraseña de Microsoft Entra a los usuarios finales.

Para los clientes de Forefront Identity Manager (FIM) o MIM con licencia para Microsoft Entra ID P1 o P2, se recomienda planear la transición al autoservicio de restablecimiento de contraseña de Microsoft Entra. Puede realizar la transición de los usuarios finales al autoservicio de restablecimiento de contraseña de Microsoft Entra sin necesidad de volver a registrarse, sincronizando o estableciendo mediante PowerShell una dirección de correo electrónico alternativa o un número de teléfono móvil de un usuario. Una vez registrados los usuarios para el autoservicio de restablecimiento de contraseña de Microsoft Entra, se puede retirar el portal de restablecimiento de contraseña de FIM.

Las implementaciones de MIM 2016 que usaban Microsoft Entra MFA deben pasar a usar SSPR de MIM con un proveedor de MFA personalizado o el autoservicio de restablecimiento de contraseña de Microsoft Entra. Las nuevas implementaciones deben usar un proveedor de MFA personalizado o un autoservicio de restablecimiento de contraseña de Microsoft Entra.

Implementación del portal de autoservicio de restablecimiento de contraseña de MIM mediante un proveedor personalizado para la autenticación multifactor

En la sección siguiente se describe cómo implementar el portal de autoservicio de restablecimiento de contraseña de MIM mediante un proveedor para la autenticación multifactor. Estos pasos solo son necesarios para los clientes que no usan el autoservicio de restablecimiento de contraseña de Microsoft Entra para sus usuarios.

Con MFA, los usuarios se autentican a través del proveedor externo para comprobar su identidad al intentar recuperar el acceso a su cuenta y recursos. La autenticación se puede realizar a través de SMS o de una llamada de teléfono. Cuanto mayor sea la autenticación, mayor será la confianza de que la persona que intenta obtener acceso es, de hecho, el usuario real que posee la identidad. Una vez autenticado, el usuario puede elegir una contraseña nueva para reemplazar la antigua.

Requisitos previos para configurar el desbloqueo de la cuenta de autoservicio y el restablecimiento de contraseña mediante MFA

En esta sección se da por supuesto que ha descargado y completado la implementación de los componentes sincronización de MIM de Microsoft Identity Manager 2016, servicio MIM y portal de MIM, incluidos los siguientes componentes y servicios:

• Controlador de Dominio de Active Directory con un dominio designado (un dominio "corporativo")

• Una directiva de grupo definida para el bloqueo de cuenta.

• El servicio de sincronización (sincronización) de MIM 2016 se instala y se ejecuta en un servidor unido a un dominio al dominio de AD.

• MiM 2016 Service & Portal, incluido el Portal de registro de SSPR y el Portal de restablecimiento de SSPR, se instalan y ejecutan en un servidor (podría estar coubicándose con sync)

• La sincronización de MIM está configurada para la sincronización de identidades de AD-MIM, entre las que se incluyen:

  • Configurar el Agente de administración de Active Directory (ADMA) para la conectividad con AD DS y ejecutar perfiles para importar datos de identidad desde y exportarlos a Active Directory.

  • Configurar el Agente de administración de MIM (MIM MA) para la conectividad con la base de datos del servicio FIM y ejecutar perfiles para importar datos de identidad desde y exportarlos a la base de datos FIM.

  • Configurar reglas de sincronización en el portal de MIM que permitan la sincronización de datos de usuario y faciliten las actividades de sincronización del servicio MIM.

• Complementos y extensiones de MIM 2016, incluido el cliente integrado de inicio de sesión de Windows SSPR se implementa en el servidor o en un equipo cliente independiente.

Preparación de MIM para trabajar con MFA

Configure MIM Sync para que admita la funcionalidad de restablecimiento de contraseña y desbloqueo de cuenta. Para obtener más información, consulte Instalación de complementos y extensiones de FIM, Instalación de SSPR de FIM, puertas de autenticación de SSPR y la Guía del laboratorio de pruebas de SSPR.

Configurar la puerta de teléfono o la puerta de SMS de contraseña de un solo uso

1. Inicie Internet Explorer y vaya al portal de MIM, autentique como administrador de MIM y, a continuación, haga clic en Flujos de trabajo en la barra de navegación izquierda.

   

2. Compruebe el flujo de trabajo de autenticación de restablecimiento de contraseña.

   

3. Haga clic en la pestaña Actividades y desplácese hacia abajo hasta Agregar actividad.

4. Seleccione Puerta de teléfono o Puerta de SMS contraseña única, haga clic en Seleccionar y, a continuación, en Aceptar.

   Nota:

   Si usa otro proveedor que genera la propia contraseña única, asegúrese de que el campo de longitud configurado sea la misma longitud que la generada por el proveedor de MFA.

Ahora los usuarios de su organización podrán registrase para restablecer su contraseña. Durante este proceso, deberán especificar su número de teléfono del trabajo o el número de teléfono móvil para que el sistema sepa cómo llamarlos (o enviarles mensajes SMS).

Registrar usuarios para restablecer la contraseña

1. Un usuario iniciará un explorador web y navegará al portal de registro de restablecimiento de contraseña de MIM. (Normalmente este portal se configurará con la autenticación de Windows). En el portal, deberán proporcionar su nombre de usuario y la contraseña de nuevo para confirmar su identidad.

   Deben visitar el portal de registro de contraseñas y autenticarse con su nombre de usuario y contraseña.

2. En el campo Número de teléfono o Teléfono móvil, tienen que escribir un código de país, un espacio y el número de teléfono y hacer clic en Siguiente.

   

   

¿Cómo funciona para los usuarios?

Ahora que está todo configurado y funcionando, querrá saber lo que tienen que hacer los usuarios si restablecen la contraseña justo antes de las vacaciones y descubren a su vuelta que han olvidado la contraseña por completo.

Hay dos maneras en que un usuario puede usar la funcionalidad de desbloqueo de cuentas y restablecimiento de contraseña, ya sea desde la pantalla de inicio de sesión de Windows o desde el portal de autoservicio.

Al instalar las extensiones y complementos de MIM en un equipo unido a un dominio conectado a través de la red de la organización al servicio MIM, los usuarios podrán recuperar una contraseña olvidada en la experiencia de inicio de sesión de escritorio. Los pasos siguientes le guiarán por el proceso.

Restablecer la contraseña integrada de inicio de sesión de escritorio de Windows

1. Si el usuario escribe la contraseña incorrecta varias veces, en la pantalla de inicio de sesión, tendrá la opción de hacer clic en Problemas de inicio de sesión? .

   

   Al hacer clic en este vínculo, se le llevará a la pantalla de restablecimiento de contraseña de MIM, donde pueden cambiar su contraseña o desbloquear su cuenta.

   

2. El usuario será dirigido a la autenticación. Si se ha configurado MFA, el usuario recibirá una llamada telefónica.

3. En segundo plano, lo que sucede es que el proveedor de MFA realiza una llamada telefónica al número que dio el usuario cuando ese usuario se registró para el servicio.

4. Cuando un usuario responde al teléfono, se le puede pedir que interactúe, por ejemplo, para presionar la tecla de libra # en el teléfono. A continuación, el usuario hace clic en Siguiente en el portal.

   Si configura también otras puertas, se pedirá al usuario que proporcione más información en las pantallas siguientes.

   Nota:

   Si el usuario está impaciente y hace clic en Siguiente antes de presionar la tecla libra #, se produce un error en la autenticación.

5. Cuando la autenticación es correcta, el usuario tiene dos opciones: desbloquear su cuenta y mantener la contraseña actual o establecer una contraseña nueva.

6. Después, el usuario debe escribir la contraseña nueva dos veces y se restablece la contraseña.

Acceso desde el portal de autoservicio

1. Los usuarios pueden abrir un explorador web, ir al portal de restablecimiento de contraseña y escribir su nombre de usuario y hacer clic en Siguiente.

   Si se ha configurado MFA, el usuario recibirá una llamada telefónica. En segundo plano, lo que sucede es que la autenticación multifactor de Microsoft Entra realiza una llamada telefónica al número que dio el usuario cuando se registró para el servicio.

   Cuando el usuario responde al teléfono, se le pide que pulse la tecla almohadilla # en el teléfono. A continuación, el usuario hace clic en Siguiente en el portal.

2. Si configura también otras puertas, se pedirá al usuario que proporcione más información en las pantallas siguientes.

   Nota:

   Si el usuario está impaciente y hace clic en Siguiente antes de presionar la tecla libra #, se produce un error en la autenticación.

3. El usuario tendrá que elegir si desea restablecer su contraseña o desbloquear su cuenta. Si decide desbloquear su cuenta, se desbloqueará la cuenta.

   

4. Después de la autenticación correcta, al usuario se le proporcionarán dos opciones, ya sea para mantener su contraseña actual o para establecer una nueva contraseña.

5. 

6. Si el usuario decide restablecer su contraseña, tendrá que escribir una nueva contraseña dos veces y hacer clic en Siguiente para cambiar la contraseña.