Opciones de implementación del Autoservicio de restablecimiento de contraseña

Importante

En septiembre de 2022, Microsoft anunció la entrada en desuso del Servidor Multi-Factor Authentication de Azure. A partir del 30 de septiembre de 2024, las implementaciones del servidor Azure Multi-Factor Authentication ya no atenderán las solicitudes de autenticación multifactor (MFA). Los clientes del servidor Azure Multi-Factor Authentication deben planear el traslado a, en su lugar, usar proveedores de MFA personalizados con SSPR de MIM o Microsoft Entra SSPR en lugar de SSPR de MIM.

Para los nuevos clientes con licencia para Microsoft Entra id. P1 o P2, se recomienda usar Microsoft Entra autoservicio de restablecimiento de contraseña para proporcionar la experiencia del usuario final. Microsoft Entra autoservicio de restablecimiento de contraseña proporciona tanto una experiencia basada en web como integrada en Windows para que un usuario restablezca su propia contraseña y admita muchas de las mismas funcionalidades que MIM, incluido el correo electrónico alternativo y las puertas de Q&A. Al implementar Microsoft Entra autoservicio de restablecimiento de contraseña, puede configurar Microsoft Entra Connect para escribir las nuevas contraseñas en AD DS y el servicio de notificación de cambio de contraseña de MIM se puede usar para reenviar las contraseñas a otros sistemas, como el servidor de directorios de otro proveedor. Para implementar MIM para la administración de contraseñas no es necesario implementar el servicio MIM ni los portales de registro o de autoservicio de restablecimiento de contraseña. En su lugar, puede seguir estos pasos:

• En primer lugar, si necesita enviar contraseñas a directorios distintos de Microsoft Entra ID y AD DS, implemente la sincronización de MIM con conectores para Servicios de dominio de Active Directory y cualquier sistema de destino adicional, configure MIM para la administración de contraseñas e implemente el servicio de notificaciones de cambio de contraseña.
• A continuación, si necesita enviar contraseñas a directorios distintos del identificador de Microsoft Entra, configure Microsoft Entra Connect para volver a escribir las nuevas contraseñas en AD DS.
• Si lo desea, registre previamente los usuarios.
• Por último, implemente Microsoft Entra autoservicio de restablecimiento de contraseña para los usuarios finales.

Para los clientes existentes que habían implementado previamente Forefront Identity Manager (FIM) para el autoservicio de restablecimiento de contraseña y tienen licencia para Microsoft Entra id. P1 o P2, se recomienda planear la transición a Microsoft Entra autoservicio de restablecimiento de contraseña. Puede realizar la transición de los usuarios finales a Microsoft Entra autoservicio de restablecimiento de contraseña sin necesidad de volver a registrarse, mediante la sincronización o configuración mediante la dirección de correo electrónico alternativa de un usuario o el número de teléfono móvil. Una vez registrados los usuarios para Microsoft Entra autoservicio de restablecimiento de contraseña, se puede retirar el portal de restablecimiento de contraseña de FIM.

Para los clientes, que aún no han implementado Microsoft Entra autoservicio de restablecimiento de contraseña para sus usuarios, MIM también proporciona portales de autoservicio de restablecimiento de contraseña. Comparado con FIM, MIM 2016 incluye los siguientes cambios:

• El portal de restablecimiento de contraseña de MIM Self-Service y la pantalla de inicio de sesión de Windows permiten a los usuarios desbloquear sus cuentas sin cambiar sus contraseñas.

• Se ha agregado una nueva puerta de autenticación a MIM, la puerta de teléfono. Esto permite la autenticación de usuarios a través de la llamada telefónica a través del servicio de autenticación multifactor Microsoft Entra.

La versión de MIM 2016 se basa en la versión 4.5.26.0 para descargar un SDK que ha quedado en desuso y las implementaciones existentes deben pasar a usar SSPR de MIM con un proveedor de MFA personalizado o Microsoft Entra autoservicio de restablecimiento de contraseña. Las nuevas implementaciones deben usar un proveedor de MFA personalizado o Microsoft Entra autoservicio de restablecimiento de contraseña.

Implementación de MIM Self-Service portal de restablecimiento de contraseña mediante un proveedor personalizado para la autenticación multifactor

En la sección siguiente se describe cómo implementar el portal de autoservicio de restablecimiento de contraseña de MIM mediante un proveedor para la autenticación multifactor. Estos pasos solo son necesarios para los clientes que no usan Microsoft Entra autoservicio de restablecimiento de contraseña para sus usuarios.

Con MFA, los usuarios se autentican a través del proveedor externo para comprobar su identidad al intentar recuperar el acceso a su cuenta y recursos. La autenticación se puede realizar a través de SMS o de una llamada de teléfono. Cuanto más sólida es la autenticación, mayor será la certeza de que la persona que intenta obtener acceso es realmente quien posee esa identidad. Una vez autenticado, el usuario puede elegir una contraseña nueva para reemplazar la antigua.

Requisitos previos para configurar el desbloqueo de la cuenta de autoservicio y el restablecimiento de contraseña mediante MFA

En esta sección se supone que ha descargado y completado la implementación de los componentes Sincronización de MIM, Servicio MIM y Portal de MIM de Microsoft Identity Manager 2016, incluidos los siguientes componentes y servicios:

• Un servidor Windows Server 2008 R2 o posterior configurado como servidor de Active Directory, incluidos los servicios de dominio y el controlador de dominio de AD con un dominio designado (un dominio "corporativo").

• Una directiva de grupo definida para el bloqueo de cuenta.

• Servicio de sincronización de MIM 2016 instalado y en ejecución en un servidor que esté unido al dominio de AD.

• El servicio MIM 2016 & Portal, incluido el portal de registro de SSPR y el portal de restablecimiento de SSPR, se instalan y ejecutan en un servidor (podría estar ubicado junto con la sincronización).

• El servicio de sincronización de MIM debe estar configurado para la sincronización de identidades de AD-MIM. Esto incluye lo siguiente:

  • Configurar el agente de administración de Active Directory (ADMA) para que tenga conexión con el servidor de dominio de AD y capacidad para importar y exportar datos de identidad de Active Directory.

  • Configurar el agente de administración de MIM (MIM MA) para que tenga conexión con la base de datos del servicio FIM y capacidad para importar y exportar datos de identidad de la base de datos de FIM.

  • Configurar reglas de sincronización en el portal de MIM que permitan la sincronización de datos de usuario y faciliten las actividades de sincronización del servicio MIM.

• Complementos de MIM 2016 & Extensiones, incluido el cliente integrado de inicio de sesión de Windows SSPR, se implementa en el servidor o en un equipo cliente independiente.

Si usa Microsoft Entra autenticación multifactor, este escenario requiere que tenga CAL de MIM para los usuarios, así como la suscripción para Microsoft Entra autenticación multifactor.

Preparación de MIM para trabajar con MFA

Configure MIM Sync para que admita la funcionalidad de restablecimiento de contraseña y desbloqueo de cuenta. Para obtener más información, consulte los artículos Installing the FIM Add-ins nd Extensions (Instalación de complementos y extensiones de FIM), Installing FIM SSPR (Instalación de FIM SSPR), SSPR Authentication Gates (Puertas de autenticación de SSPR) y la guía del laboratorio de pruebas de SSPR.

Configurar la puerta de teléfono o la puerta de SMS de contraseña de un solo uso

1. Inicie Internet Explorer y vaya al portal de MIM, autenticando como administrador de MIM y, a continuación, haga clic en Flujos de trabajo en la barra de navegación izquierda.

   

2. Seleccione Flujo de trabajo de autenticación de restablecimiento de contraseña.

   

3. Haga clic en la pestaña Actividades y desplácese hacia abajo hasta Agregar actividad.

4. Seleccione Puerta de teléfono o Puerta de SMS de contraseña única , haga clic en Seleccionar y, a continuación, en Aceptar.

   Nota:

   Si usa otro proveedor que genera la propia contraseña única, asegúrese de que el campo de longitud configurado anteriormente es la misma longitud que la generada por el proveedor de MFA. Esta longitud debe ser 6 para el servidor Azure Multi-Factor Authentication. Azure Multi-Factor Authentication Server también genera su propio texto de mensaje para que se omita el mensaje de texto SMS.

Ahora los usuarios de su organización podrán registrase para restablecer su contraseña. Durante este proceso, deberán especificar su número de teléfono del trabajo o el número de teléfono móvil para que el sistema sepa cómo llamarlos (o enviarles mensajes SMS).

Registrar usuarios para restablecer la contraseña

1. El usuario debe iniciar un navegador web y desplazarse hasta el Portal de registro de restablecimiento de contraseña de MIM. (Normalmente este portal se configurará con la autenticación de Windows). En el portal, deberán proporcionar su nombre de usuario y la contraseña de nuevo para confirmar su identidad.

   Deben visitar el portal de registro de contraseñas y autenticarse con su nombre de usuario y contraseña.

2. En el campo Número de teléfono o Teléfono móvil , tienen que escribir un código de país, un espacio y el número de teléfono y hacer clic en Siguiente.

   

   

¿Cómo funciona para los usuarios?

Ahora que está todo configurado y funcionando, querrá saber lo que tienen que hacer los usuarios si restablecen la contraseña justo antes de las vacaciones y descubren a su vuelta que han olvidado la contraseña por completo.

Los usuarios pueden usar la funcionalidad de restablecimiento de contraseña y desbloqueo de cuenta de dos maneras: desde la pantalla de inicio de sesión de Windows o desde el portal de autoservicio.

Al instalar las extensiones y complementos de MIM en un equipo unido a un dominio conectado a través de la red de la organización al servicio MIM, los usuarios podrán recuperar una contraseña olvidada en la experiencia de inicio de sesión de escritorio. Los siguientes pasos le guiarán a través del proceso.

Restablecer la contraseña integrada de inicio de sesión de escritorio de Windows

1. Si el usuario escribe la contraseña incorrecta varias veces, en la pantalla de inicio de sesión, tendrá la opción de hacer clic en Problemas al iniciar sesión? .

   

   Este vínculo lleva a la pantalla de restablecimiento de contraseña de MIM, donde puede cambiar su contraseña o desbloquear su cuenta.

   

2. El usuario será dirigido a la autenticación. Si se ha configurado MFA, el usuario recibirá una llamada telefónica.

3. En segundo plano, lo que sucede es que el proveedor de MFA realiza una llamada telefónica al número que dio el usuario cuando ese usuario se registró para el servicio.

4. Cuando un usuario responde al teléfono, es posible que se le pida que interactúe, por ejemplo, para presionar la tecla libra # en el teléfono. A continuación, el usuario hace clic en Siguiente en el portal.

   Si configura también otras puertas, se pedirá al usuario que proporcione más información en las pantallas siguientes.

   Nota:

   Si el usuario se impacienta y hace clic en Siguiente antes de presionar la tecla almohadilla #, se produce un error de autenticación.

5. Cuando la autenticación es correcta, el usuario tiene dos opciones: desbloquear su cuenta y mantener la contraseña actual o establecer una contraseña nueva.

6. Después, el usuario debe escribir la contraseña nueva dos veces y se restablece la contraseña.

Acceso desde el portal de autoservicio

1. Los usuarios pueden abrir un explorador web, acceder al Portal de restablecimiento de contraseña, escribir su nombre de usuario y hacer clic en Siguiente.

   Si se ha configurado MFA, el usuario recibirá una llamada telefónica. En segundo plano, lo que sucede es que Microsoft Entra autenticación multifactor y, a continuación, coloca una llamada telefónica al número que dio el usuario cuando se registró para el servicio.

   Cuando el usuario responde al teléfono, se le pide que pulse la tecla almohadilla # en el teléfono. A continuación, el usuario hace clic en Siguiente en el portal.

2. Si configura también otras puertas, se pedirá al usuario que proporcione más información en las pantallas siguientes.

   Nota:

   Si el usuario se impacienta y hace clic en Siguiente antes de presionar la tecla almohadilla #, se produce un error de autenticación.

3. El usuario tendrá que elegir si desea restablecer su contraseña o desbloquear su cuenta. Si decide desbloquear su cuenta, se desbloqueará la cuenta.

   

4. Después de la autenticación correcta, al usuario se le proporcionarán dos opciones, ya sea para mantener su contraseña actual o para establecer una nueva contraseña.

5. 

6. Si el usuario decide restablecer su contraseña, tendrá que escribir una contraseña nueva dos veces y hacer clic en Siguiente para cambiar la contraseña.