Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo puede ayudarle a solucionar un problema en el que la sincronización de hash de contraseñas está habilitada automáticamente en el conector de Microsoft Entra.
Versión del producto original: Microsoft Entra ID
Número de KB original: 4051623
Las siguientes versiones de Microsoft Entra Connect tienen problemas que afectan a la tarea Cambiar inicio de sesión de usuario:
- 1.1.557.0
- 1.1.558.0
- 1.1.561.0
- 1.1.614.0
Estos problemas afectan a los usuarios de autenticación de paso a través que no quieren usar la sincronización de hash de contraseñas.
Los problemas se corrigen en la versión 1.1.644.0 de Microsoft Entra Connect.
Problema 1: La sincronización de contraseñas está habilitada cuando el método de inicio de sesión de usuario está establecido en Autenticación de paso a través
Escenario 1
- Tiene una implementación de Microsoft Entra Connect existente que tiene deshabilitada la sincronización de contraseñas y la autenticación de paso a través.
- Después de habilitar la autenticación de paso a través mediante la tarea Cambiar inicio de sesión de usuario, la sincronización de hash de contraseñas se habilita automáticamente.
Escenario 2
- Tiene una implementación existente de Microsoft Entra Connect que tiene deshabilitada la sincronización de contraseñas y la autenticación de paso a través habilitada.
- Después de habilitar o deshabilitar la opción Inicio de sesión único de conexión directa mediante la tarea Cambiar inicio de sesión de usuario, la sincronización de hash de contraseñas se habilita automáticamente.
Información general sobre este problema
- Antes de la versión 1.1.557.0 de Microsoft Entra Connect, la sincronización de contraseñas era un requisito previo para habilitar la autenticación de paso a través. Por lo tanto, la sincronización de contraseñas se ha habilitado cuando se ha habilitado la autenticación de paso a través.
- Dado que la sincronización de contraseñas ya no es necesaria para la autenticación de paso a través, hemos cambiado este proceso en la versión 1.1.557.0 de Microsoft Entra Connect para que no habilite la sincronización de contraseñas cuando la autenticación de paso a través esté habilitada durante una instalación de Microsoft Entra Connect.
- Sin embargo, no se aplicó el mismo cambio a la tarea Cambiar inicio de sesión de usuario. Si usa la tarea para habilitar la autenticación de paso a través en una implementación existente de Microsoft Entra Connect, la sincronización de contraseñas se habilita automáticamente. Este problema se ha corregido en la versión 1.1.644.0 de Microsoft Entra Connect para asegurarse de que la sincronización de hash de contraseñas permanece deshabilitada cuando la autenticación de paso a través está habilitada mediante la tarea Cambiar inicio de sesión de usuario.
Problema 2: Solicitud incorrecta sobre la sincronización de contraseñas deshabilitada si el método de inicio de sesión de usuario está establecido en Autenticación de paso a través
- Tiene una implementación existente de Microsoft Entra Connect que tiene habilitada la sincronización de contraseñas y la autenticación de paso a través deshabilitada.
- Después de habilitar la autenticación de paso a través mediante la tarea Cambiar inicio de sesión de usuario, la sincronización de hash de contraseñas permanece habilitada.
Información general sobre este problema
Por diseño, si la sincronización de hash de contraseñas está habilitada, al cambiar la tarea de inicio de sesión de usuario a cualquier otra opción no se deshabilita la sincronización de hash de contraseñas. Este problema se ha corregido en la versión 1.1.644.0 de Microsoft Entra Connect para evitar la visualización de la ventana del símbolo del sistema que indica que la sincronización de hash de contraseñas está deshabilitada.
Solución
Para resolver el problema, siga estos pasos:
Ejecute Microsoft Entra Connect y, a continuación, seleccione Ver configuración actual. En el panel de detalles, compruebe si la sincronización de contraseñas está habilitada en el inquilino.
Deshabilite la característica sincronización de contraseñas. Para ello, siga estos pasos:
- Ejecute Microsoft Entra Connect y, a continuación, seleccione Configurar.
- Seleccione la tarea Personalizar opciones de sincronización.
- En la página Características opcionales , desactive la casilla Característica de sincronización de contraseñas.
- Finalice el asistente.
Opcionalmente, si desea borrar los hash de contraseña que ya están sincronizados con el identificador de Entra de Microsoft, siga estos pasos:
Asegúrese de que la característica escritura diferida de contraseñas está deshabilitada en el inquilino. Para ello, siga los pasos que se indican a continuación:
- Ejecute Microsoft Entra Connect y, a continuación, seleccione Configurar.
- Seleccione la tarea Personalizar opciones de sincronización.
- En la página Características opcionales, desactive la casilla Característica de escritura diferida de contraseñas.
- Finalice el asistente.
Use el cmdlet Reset-MgUserAuthenticationMethodPassword para establecer contraseñas aleatorias en todos los usuarios afectados. Tiene que ejecutar este cmdlet cinco veces para cada usuario porque el identificador de Microsoft Entra almacena los últimos cuatro hash de contraseña en el historial de hash de contraseñas.
Nota:
Si el cmdlet no funciona para un usuario de dominio federado, es posible que tenga que cambiar temporalmente el UPN del usuario a un dominio no federado y, a continuación, ejecutar el cmdlet para establecer la contraseña aleatoria. Después, revierta el UPN del usuario al estado original.
Ponte en contacto con nosotros para obtener ayuda
Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.