¿Qué es el autoservicio de restablecimiento de contraseña de Microsoft Entra ID?
Se le ha pedido que evalúe las maneras de reducir los costos del departamento de soporte técnico en la organización comercial. Se ha detectado que el personal de soporte técnico dedica gran parte de su tiempo a restablecer las contraseñas de los usuarios. A menudo, los usuarios se quejan de retrasos con este proceso y estos retrasos afectan a su productividad. Queremos saber cómo podemos configurar Azure para permitir que los usuarios administren sus propias contraseñas.
En esta unidad, veremos cómo funciona el autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra ID.
¿Por qué usar SSPR?
En Microsoft Entra ID, cualquier usuario puede cambiar su contraseña si ya ha iniciado sesión. pero si no ha iniciado sesión y ha olvidado su contraseña o ha expirado, deberá restablecer su contraseña. Con SSPR, los usuarios pueden restablecer sus contraseñas en un explorador web o en una pantalla de inicio de sesión de Windows para poder volver a acceder a Azure, Microsoft 365 y cualquier otra aplicación que use Microsoft Entra ID para la autenticación.
El SSPR reduce la carga de los administradores, ya que los usuarios pueden solucionar los problemas relacionados con sus contraseñas por sí mismos, sin tener que acudir al departamento de soporte técnico. Además, reduce el impacto en la productividad que conlleva una contraseña olvidada o caducada. Los usuarios no tienen que esperar a que un administrador esté disponible para restablecer su contraseña.
Cómo funciona SSPR
El usuario inicia un restablecimiento de contraseña yendo directamente al portal de restablecimiento de contraseña o seleccionando el vínculo No puede acceder a su cuenta en una página de inicio de sesión. En el portal de restablecimiento se llevan a cabo estos pasos:
- Localización: El portal comprueba la configuración regional del explorador y representa la página SSPR en el idioma correspondiente.
- Comprobación: el usuario escribe su nombre de usuario y pasa un captcha para garantizar que es un usuario, y no un robot.
- Autenticación: el usuario escribe los datos necesarios para autenticar su identidad; por ejemplo, podría escribir un código o responder preguntas de seguridad.
- Restablecimiento de contraseña: Si el usuario pasa las pruebas de autenticación, puede escribir una nueva contraseña y confirmarla.
- Notificación: se envía un mensaje al usuario para confirmar el restablecimiento.
Existen diversas formas de personalizar la experiencia de usuario de SSPR. Por ejemplo, podemos agregar el logotipo de la empresa a la página de inicio de sesión para que los usuarios sepan que están en el lugar adecuado para restablecer la contraseña.
Autenticación de un restablecimiento de contraseña
Antes de permitir un restablecimiento de contraseña, es fundamental confirmar la identidad de un usuario. Los usuarios malintencionados podrían aprovechar cualquier debilidad del sistema para suplantar a ese usuario. Azure admite seis maneras diferentes de autenticar solicitudes de restablecimiento.
Como administrador, puede elegir los métodos que se van a usar al configurar el SSPR. Habilite dos o más de estos métodos para que los usuarios puedan elegir los que pueden usar con facilidad. Los métodos son los siguientes:
| Método de autenticación | Cómo registrarse | Cómo autenticar un restablecimiento de contraseña |
|---|---|---|
| Notificación en aplicación móvil | Instale la aplicación Microsoft Authenticator en el dispositivo móvil y regístrela en la página de configuración de la autenticación multifactor. | Azure envía una notificación a la aplicación, que se puede confirmar o denegar. |
| Código de aplicación móvil | Este método también usa la aplicación Authenticator y se instala y registra de la misma manera. | Escriba el código de la aplicación. |
| Correo electrónico | Indique una dirección de correo electrónico que sea ajena a Azure y Microsoft 365. | Azure envía un código a la dirección, que hay que introducir en el asistente de restablecimiento. |
| Teléfono móvil | Indique un número de teléfono móvil. | Azure envía un código al teléfono en un mensaje SMS, que se escribe en el Asistente para restablecer. También puede optar por recibir una llamada automatizada. |
| Teléfono del trabajo | Proporcione un número de teléfono no móvil. | Se recibirá una llamada automatizada a dicho número, y habrá que presionar #. |
| Preguntas de seguridad | Seleccione preguntas como "¿En qué ciudad nació su madre?" y guarde las respuestas. | Responda las preguntas. |
En las organizaciones de Microsoft Entra gratuitas y de prueba no se admiten las opciones de llamada de teléfono.
Requerimiento del número mínimo de métodos de autenticación
Se puede especificar un número mínimo de métodos que el usuario debe configurar: uno o dos. Por ejemplo, puede habilitar los métodos de código de aplicación móvil, correo electrónico, teléfono de la oficina y preguntas de seguridad y especificar un mínimo de dos métodos. Después, los usuarios pueden elegir los dos métodos que prefieran, como el correo electrónico y el código de la aplicación móvil.
En el caso del método de preguntas de seguridad, puede especificar un número mínimo de preguntas que el usuario debe configurar para registrarse para este método. También puede especificar un número mínimo de preguntas que estos deben responder correctamente para restablecer la contraseña.
Una vez que los usuarios registren la información necesaria para el número mínimo de métodos que ha especificado, se consideran registrados para SSPR.
Recomendaciones
- Habilite dos o más métodos de solicitud de restablecimiento de autenticación.
- Use códigos o notificaciones de aplicación móvil como método principal, pero habilite también los métodos de teléfono de la oficina o de correo electrónico para dar cabida a los usuarios que no tengan dispositivos móviles.
- El método del teléfono móvil no es un método recomendado, ya que se pueden enviar mensajes SMS fraudulentos.
- La opción de preguntas de seguridad es el método menos recomendable porque existe la posibilidad de que otras personas conozcan las respuestas a esas preguntas. Use el método de preguntas de seguridad únicamente en combinación con, al menos, otro de los métodos.
Cuentas asociadas a roles de administrador
- Las cuentas con un rol de administrador siempre tienen aplicada una directiva de autenticación de dos métodos muy sólida, independientemente de la configuración de otros usuarios.
- El método de preguntas de seguridad no está disponible en las cuentas asociadas a un rol de administrador.
Configuración de notificaciones
Los administradores pueden elegir cómo se va a notificar a los usuarios de los cambios de contraseña. Se pueden habilitar dos opciones:
- ¿Quiere notificar a los usuarios los restablecimientos de contraseña?: el usuario que restablezca su propia contraseña recibirá una notificación en sus direcciones de correo electrónico principal y secundaria. Si el restablecimiento lo ha realizado un usuario malintencionado, dicha notificación avisará al usuario, que puede tomar medidas de mitigación de riesgos.
- ¿Quiere notificar a todos los administradores cuando otros administradores restablezcan su contraseña?: cuando un administrador restablezca su contraseña, se notificará a todos los demás administradores.
Requisitos de licencia
Existen tres ediciones de Microsoft Entra ID: gratis, Premium P1 y Premium P2. La funcionalidad de restablecimiento de contraseña que puede usar dependerá de la edición.
Cualquier usuario que haya iniciado sesión puede cambiar su contraseña, independientemente de la edición de Microsoft Entra ID que posea.
Si no ha iniciado sesión y ha olvidado la contraseña, o esta ha expirado, puede usar SSPR en Microsoft Entra ID P1 o P2. También está disponible con Aplicaciones de Microsoft 365 para negocios o Microsoft 365.
En una situación híbrida donde haya Active Directory en un entorno local y Microsoft Entra ID en la nube, cualquier cambio de contraseña en la nube se debe volver a escribir en el directorio local. Esta compatibilidad con escritura diferida está disponible en Microsoft Entra ID, tanto P1 como P2. También está disponible con Aplicaciones de Microsoft 365 para negocios.
Opciones de implementación de SSPR
Puede implementar el SSPR con escritura diferida de contraseñas mediante Microsoft Entra Connect o Cloud Sync en la nube, en función de las necesidades de los usuarios. Puede implementar cada opción en paralelo en dominios diferentes para dirigirse a distintos conjuntos de usuarios. Esto ayuda a los usuarios existentes locales a reescribir los cambios de contraseña, al tiempo que se agrega una opción para los usuarios de dominios desconectados debido a una fusión o división de la empresa. Los usuarios de un dominio local existente pueden utilizar Microsoft Entra Connect, mientras que los nuevos usuarios de una fusión pueden utilizar la sincronización en la nube en otro dominio. La sincronización en la nube también puede proporcionar una mayor disponibilidad porque no se basa en una sola instancia de Microsoft Entra Connect. Para obtener una comparación de características entre las dos opciones de implementación, consulte Comparación entre Microsoft Entra Connect y la sincronización en la nube.