Configuración del identificador de inicio de sesión alternativo

¿Qué es el identificador de inicio de sesión alternativo?

En la mayoría de los escenarios, los usuarios usan su UPN (nombres principales de usuario) para iniciar sesión en sus cuentas. Sin embargo, en algunos entornos debido a directivas corporativas o dependencias de aplicaciones de línea de negocio locales, es posible que los usuarios usen algún otro tipo de inicio de sesión.

Nota:

Los procedimientos recomendados de Microsoft son hacer coincidir el UPN con la dirección SMTP principal. En este artículo, se aborda el pequeño porcentaje de clientes que no pueden ajustar los UPN para que coincidan adecuadamente.

Por ejemplo, pueden usar su identificador de correo electrónico para el inicio de sesión y este pueda ser diferente de su UPN. Esto es especialmente común en escenarios en los que la UPN no es enrutable. Considere la posibilidad de usar un usuario Jane Doe con UPN jdoe@contoso.local y dirección jdoe@contoso.comde correo electrónico . Es posible que Jane ni siquiera sea consciente del UPN, ya que siempre ha usado su identificador de correo electrónico para iniciar sesión. El uso de cualquier otro método de inicio de sesión en lugar de UPN constituye un identificador alternativo. Para obtener más información sobre cómo se crea el UPN, consulte Rellenado de UserPrincipalName de Microsoft Entra.

Los Servicios de federación de Active Directory (AD FS) permiten a las aplicaciones federadas que usan AD FS iniciar sesión con un identificador alternativo. Esto permite a los administradores especificar una alternativa al UPN predeterminado que se usará para el inicio de sesión. AD FS ya admite el uso de cualquier forma de identificador de usuario aceptado por Active Directory Domain Services (AD DS). Cuando se configura para un identificador alternativo, AD FS permite a los usuarios iniciar sesión con el valor de identificador alternativo configurado, como el identificador de correo electrónico. El uso del identificador alternativo le permite adoptar proveedores saaS como Office 365 sin modificar los UPN locales. También permite admitir aplicaciones de servicio de línea de negocio con identidades aprovisionadas por el consumidor.

Id. alternativo en Microsoft Entra ID

Es posible que una organización tenga que usar un identificador alternativo en los escenarios siguientes:

1. El nombre de dominio local no es enrutable, como contoso.local, y como resultado, el nombre principal de usuario predeterminado no es enrutable (jdoe@contoso.local). No se puede cambiar el UPN existente debido a las dependencias de la aplicación local o a las políticas de la empresa. El identificador de Microsoft Entra y Office 365 requieren que todos los sufijos de dominio asociados con el directorio de Microsoft Entra sean totalmente enrutables en Internet.
2. El UPN local no es el mismo que la dirección de correo electrónico del usuario y para iniciar sesión en Office 365, los usuarios usan la dirección de correo electrónico y el UPN no se pueden usar debido a restricciones organizativas. En los escenarios mencionados anteriormente, el identificador alternativo con AD FS permite a los usuarios iniciar sesión en microsoft Entra ID sin modificar los UPN locales.

Configuración del identificador de inicio de sesión alternativo

Con Microsoft Entra Connect se recomienda usar Microsoft Entra Connect para configurar el identificador de inicio de sesión alternativo para su entorno.

• Para una nueva configuración de Microsoft Entra Connect, consulte Conexión a Microsoft Entra ID para obtener instrucciones detalladas sobre cómo configurar un identificador alternativo y una granja de AD FS.
• Para las instalaciones existentes de Microsoft Entra Connect, consulte Cambio del método de inicio de sesión de usuario para obtener instrucciones sobre cómo cambiar el método de inicio de sesión a AD FS.

Cuando se proporcionan a Microsoft Entra Connect detalles sobre el entorno de AD FS, comprueba automáticamente la presencia de la actualización KB correcta en AD FS y configura AD FS para un identificador alternativo, incluidas todas las reglas de notificación adecuadas necesarias para la confianza de federación de Microsoft Entra. No se requiere ningún paso adicional fuera del asistente para configurar el identificador alternativo.

Nota:

Microsoft recomienda usar Microsoft Entra Connect para configurar el identificador de inicio de sesión alternativo.

Configuración manual del identificador alternativo

Para configurar el identificador de inicio de sesión alternativo, debe realizar las siguientes tareas:

Configurar las relaciones de confianza del proveedor de notificaciones de AD FS para habilitar el identificador de inicio de sesión alternativo

1. Si tiene Windows Server 2012 R2, asegúrese de que tiene KB2919355 instalado en todos los servidores de AD FS. Puedes obtenerlo a través de Windows Update Services o descargarlo directamente.

2. Actualice la configuración de AD FS ejecutando el siguiente cmdlet de PowerShell en cualquiera de los servidores de federación de la granja (si tiene una granja WID, deberá ejecutar este comando en el servidor de AD FS principal de la granja):

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID <attribute> -LookupForests <forest domain>

AlternateLoginID es el nombre LDAP del atributo que desea usar para el inicio de sesión.

LookupForests es la lista de DNS de bosque a la que pertenecen los usuarios.

Para habilitar la característica de identificador de inicio de sesión alternativo, debe configurar los parámetros -AlternateLoginID y -LookupForests con un valor válido que no sea NULL.

En el ejemplo siguiente, habilitará la funcionalidad de identificador de inicio de sesión alternativo para que los usuarios con cuentas en los bosques contoso.com y fabrikam.com puedan iniciar sesión en aplicaciones habilitadas para AD FS con su atributo "mail".

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests contoso.com,fabrikam.com

3. Para deshabilitar esta característica, establezca el valor de ambos parámetros como NULL.

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID $NULL -LookupForests $NULL

Autenticación moderna híbrida con identificador alternativo

Importante

Lo siguiente solo se ha probado en AD FS y no en proveedores de identidades de terceros.

Exchange y Skype Empresarial

Si usa un identificador de inicio de sesión alternativo con Exchange y Skype Empresarial, la experiencia del usuario varía en función de si usa HMA o no.

Nota:

Para obtener la mejor experiencia del usuario final, Microsoft recomienda usar la autenticación moderna híbrida.

o más información, consulte Introducción a la autenticación moderna híbrida.

Requisitos previos para Exchange y Skype Empresarial

Posteriormente se muestran los requisitos previos para lograr el inicio de sesión único con un identificador alternativo.

• Exchange Online debe tener activada la autenticación moderna.
• Skype Empresarial (SFB) Online debe tener activada la autenticación moderna.
• Exchange local debe tener activada la autenticación moderna. Exchange 2013 CU19 o Exchange 2016 CU18 y versiones posteriores son necesarios en todos los servidores de Exchange. No hay Exchange 2010 en el entorno.
• Skype Empresarial local debe tener activada la autenticación moderna.
• Debe usar clientes de Exchange y Skype que tengan habilitada la autenticación moderna. Todos los servidores deben ejecutar SFB Server 2015 CU5.
• Clientes de Skype Empresarial compatibles con autenticación moderna
  • iOS, Android, Windows Phone
  • SFB 2016 (MA está activado de forma predeterminada, pero asegúrese de que no se ha deshabilitado).
  • SFB 2013 (MA está desactivado de forma predeterminada, por lo que asegúrese de que MA se ha activado).
  • SFB para Mac (escritorio)
• Clientes de Exchange que son compatibles con la autenticación moderna y admiten las claves regkey altID
  • Office Pro Plus 2016 solo

Versión de Office compatible

Configuración del directorio para el inicio de sesión único con un identificador alternativo

El uso de id. alternativo puede provocar solicitudes adicionales de autenticación si no se completan estas configuraciones adicionales. Consulte el artículo para conocer el posible impacto en la experiencia del usuario con el identificador alternativo.

Con la siguiente configuración adicional, la experiencia del usuario se ha mejorado significativamente y puede lograr casi cero solicitudes de autenticación para usuarios de id. alternativos en su organización.

Paso 1: Actualización a la versión de Office necesaria

La versión 1712 de Office (compilación 8827.2148) y versiones posteriores han actualizado la lógica de autenticación para controlar el escenario de identificador alternativo. Para aprovechar la nueva lógica, las máquinas cliente deben actualizarse a la versión 1712 de Office (compilación 8827.2148) y versiones posteriores.

Paso 2: Actualización a la versión de Windows necesaria

La versión 1709 y posteriores de Windows han actualizado la lógica de autenticación para controlar el escenario de identificador alternativo. Para aprovechar la nueva lógica, las máquinas cliente deben actualizarse a windows versión 1709 y posteriores.

Paso 3: Configuración del registro para usuarios afectados mediante la directiva de grupo

Las aplicaciones de Office dependen de la información proporcionada por el administrador de directorios para identificar el entorno de ID Alternativo. Las siguientes claves del Registro deben configurarse para ayudar a las aplicaciones de Office a autenticar al usuario con el identificador alternativo sin mostrar ningún aviso adicional.

Clave del Registro que se va a agregar	Nombre, tipo y valor de datos regkey	Windows 7/8	Windows 10	Descripción
HKEY_CURRENT_USER\Software\Microsoft\AuthN	DomainHint REG_SZ contoso.com	Obligatorio	Obligatorio	El valor de esta clave del Registro es un nombre de dominio personalizado verificado en el inquilino de la organización. Por ejemplo, la empresa Contoso puede proporcionar un valor de Contoso.com en esta clave del Registro si Contoso.com es uno de los nombres de dominio personalizados verificados en el inquilino Contoso.onmicrosoft.com.
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity	EnableAlternateIdSupport REG_DWORD 1	Necesario para Outlook 2016 ProPlus	Necesario para Outlook 2016 ProPlus	El valor de esta clave de registro puede ser 1 / 0 para indicar a la aplicación de Outlook si debe utilizar la lógica de autenticación mejorada del ID alternativo.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contoso.com\sts	* REG_DWORD 1	Obligatorio	Obligatorio	Esta clave de registro se puede usar para establecer el STS como una zona de confianza en la configuración de Internet. La implementación de AD FS estándar recomienda agregar el espacio de nombres de AD FS a la zona de intranet local para Internet Explorer.

Nuevo flujo de autenticación después de la configuración adicional

1. a: el usuario se aprovisiona en Microsoft Entra ID mediante el identificador alternativo
   b: el administrador de directorios inserta la configuración de clave del Registro necesaria en las máquinas cliente afectadas
2. El usuario se autentica en el equipo local y abre una aplicación de office
3. La aplicación de Office toma las credenciales de sesión local
4. La aplicación de Office se autentica en Microsoft Entra ID utilizando la sugerencia de dominio proporcionada por el administrador y las credenciales locales.
5. Microsoft Entra ID autentica correctamente al usuario dirigiéndolo al dominio de federación correcto y emitiendo un token.

Aplicaciones y experiencia del usuario después de la configuración adicional

Clientes que no son de Exchange y Skype Empresarial

Cliente	Declaración de compatibilidad	Observaciones
Equipos de Microsoft	Admitido	Microsoft Teams admite AD FS (SAML-P, WS-Fed, WS-Trust y OAuth) y autenticación moderna. Las funcionalidades principales de Microsoft Teams, como canales, chats y archivos, funcionan con el identificador de inicio de sesión alternativo. El cliente debe investigar por separado las aplicaciones de primera y de terceros. Esto se debe a que cada aplicación tiene sus propios protocolos de autenticación de compatibilidad.
OneDrive para la Empresa	Compatible: clave del Registro del lado cliente recomendada	Con el identificador alternativo configurado, verá que el UPN local se rellena previamente en el campo de verificación. Debe cambiarse a la identidad alternativa que se está usando. Se recomienda usar la clave del Registro del lado cliente indicada en este artículo: Office 2013 y Lync 2013 solicita periódicamente credenciales a SharePoint Online, OneDrive y Lync Online.
Cliente móvil de OneDrive para la Empresa	Admitido
Página de activación de Office 365 Pro Plus	Compatible: clave del Registro del lado cliente recomendada	Con el identificador alternativo configurado, verá que el UPN local se rellena previamente en el campo de verificación. Debe cambiarse a la identidad alternativa que se está usando. Se recomienda usar la clave del Registro del lado cliente indicada en este artículo: Office 2013 y Lync 2013 solicita periódicamente credenciales a SharePoint Online, OneDrive y Lync Online.

Clientes de Exchange y Skype Empresarial

Cliente	Instrucción de compatibilidad: con HMA	Instrucción de compatibilidad: sin HMA
Perspectiva	Compatible, sin avisos adicionales	Compatible con la autenticación moderna para Exchange Online: compatible con la autenticación normal para Exchange Online: compatible con las siguientes advertencias: Debe estar en una máquina unida a un dominio y estar conectada a la red corporativa. Solo puede usar el identificador alternativo en entornos que no permitan el acceso externo a los usuarios del buzón. Esto significa que los usuarios solo pueden autenticarse en su buzón de correo de una manera compatible cuando están conectados y unidos a la red corporativa, en una VPN o conectados a través de máquinas de Direct Access, pero obtendrá un par de avisos adicionales al configurar el perfil de Outlook.
Carpetas públicas híbridas	Soportado, sin avisos adicionales.	Con la autenticación moderna para Exchange Online: compatible con la autenticación normal para Exchange Online: no compatible Las carpetas públicas híbridas no pueden expandirse si se usan identificadores alternativos y, por tanto, no deben usarse hoy en día con métodos de autenticación normales.
Delegación entre instalaciones locales	Consulte Configuración de Exchange para admitir permisos de buzón delegados en una implementación híbrida.	Consulte Configuración de Exchange para admitir permisos de buzón delegados en una implementación híbrida.
Acceso al buzón de archivo (buzón local: archivo en la nube)	Compatible, sin avisos adicionales	Compatible: los usuarios reciben una solicitud adicional de credenciales al acceder al archivo, tienen que proporcionar su identificador alternativo cuando se le solicite.
Acceso web de Outlook	Admitido	Admitido
Outlook Mobile Apps para Android, IOS y Windows Phone	Admitido	Admitido
Skype Empresarial/ Lync	Compatible, sin avisos adicionales	Se admite (excepto como se indica), pero existe una posibilidad de confusión para el usuario. En los clientes móviles, el Identificador Alternativo solo se admite si la dirección SIP = dirección de correo electrónico = Identificador Alternativo. Es posible que los usuarios necesiten iniciar sesión dos veces en el cliente de escritorio de Skype Empresarial, primero con el UPN local y, a continuación, usar el identificador alternativo. (Tenga en cuenta que la "dirección de inicio de sesión" es realmente la dirección SIP que puede no ser la misma que el "Nombre de usuario", aunque a menudo es). Cuando se le solicite por primera vez un nombre de usuario, el usuario debe escribir el UPN, incluso si se rellena previamente incorrectamente con el identificador alternativo o la dirección SIP. Después de que el usuario haga clic en iniciar sesión con el UPN, vuelve a aparecer el campo de nombre de usuario, esta vez rellenado previamente con el UPN. Esta vez, el usuario debe reemplazarlo por el identificador alternativo y haga clic en Iniciar sesión para completar el proceso de inicio de sesión. En los clientes móviles, los usuarios deben escribir el identificador de usuario local en la página avanzada, con el formato de estilo SAM (dominio\nombredeusuario), no el formato UPN. Después de iniciar sesión correctamente, si Skype Empresarial o Lync dice "Exchange necesita sus credenciales", debe proporcionar las credenciales válidas para dónde se encuentra el buzón. Si el buzón está en la nube, debe proporcionar el identificador alternativo. Si el buzón es local, debe proporcionar el UPN local.

Detalles y consideraciones adicionales

• Microsoft Entra ID ofrece diferentes características relacionadas con "Id. de inicio de sesión alternativo".

  • La característica de configuración del identificador de inicio de sesión alternativo de AD FS para entornos de infraestructura de identidad federada¹ que se describe en este artículo.
  • La configuración de Microsoft Entra Connect Sync que define qué atributo local se usa como nombre de usuario de Microsoft Entra (userPrincipalName) para los entornos de infraestructura de identidad federada¹ o administrada², lo cual se cubre parcialmente en este artículo.
  • La función de Iniciar sesión en Microsoft Entra ID con el correo electrónico como identificador de inicio de sesión alternativo para entornos de infraestructura de identidad administrada².

• La característica Id. de inicio de sesión alternativo que se describe en este artículo está disponible para entornos de infraestructura de identidad federada¹ . No se admite en los escenarios siguientes:

  • Un atributo AlternateLoginID con dominios no enrutables (por ejemplo, Contoso.local) que Microsoft Entra ID no puede comprobar.
  • Entornos administrados que no tienen implementado AD FS. Consulte la documentación de Microsoft Entra Connect Sync o la documentación de inicio de sesión en Microsoft Entra ID con correo electrónico como identificador alternativo de inicio de sesión. Si decide ajustar la configuración de Microsoft Entra Connect Sync en un entorno de infraestructura de identidad administrada² , las aplicaciones y la experiencia del usuario después de la sección de configuración adicional de este artículo pueden seguir siendo aplicables mientras que la configuración específica de AD FS ya no se aplica, ya que no se implementa AD FS en un entorno de infraestructura de identidad administrada² .

• Cuando se habilita, la característica de identificador de inicio de sesión alternativo solo está disponible para la autenticación de nombre de usuario y contraseña en todos los protocolos de autenticación de nombre de usuario y contraseña admitidos por AD FS (SAML-P, WS-Fed, WS-Trust y OAuth).

• Cuando se realiza la autenticación integrada de Windows (WIA) (por ejemplo, cuando los usuarios intentan acceder a una aplicación corporativa en una máquina unida a un dominio desde la intranet y el administrador de AD FS ha configurado la directiva de autenticación para usar WIA para intranet), se usa UPN para la autenticación. Si ha configurado reglas de notificación para los usuarios de confianza para la característica de identificador de inicio de sesión alternativo, debe asegurarse de que esas reglas siguen siendo válidas en el caso de WIA.

• Cuando está habilitada, la característica de identificador de inicio de sesión alternativo requiere que se pueda acceder al menos a un servidor de catálogo global desde el servidor de AD FS para cada bosque de cuentas de usuario compatible con AD FS. Si no se tiene acceso a un servidor de catálogo global en el bosque de cuentas de usuario, AD FS vuelve a usar UPN. De forma predeterminada, todos los controladores de dominio son servidores de catálogo global.

• Cuando está habilitado, si el servidor de AD FS encuentra más de un objeto de usuario con el mismo valor de identificador de inicio de sesión alternativo especificado en todos los bosques de cuentas de usuario configurados, se produce un error en el inicio de sesión.

• Cuando se habilita la característica de identificador de inicio de sesión alternativo, AD FS intenta autenticar al usuario final con el identificador de inicio de sesión alternativo y, a continuación, pasa a usar el identificador de usuario principal (UPN) si no encuentra una cuenta que se pueda identificar mediante el identificador de inicio de sesión alternativo. Debe asegurarse de que no haya conflictos entre el identificador de inicio de sesión alternativo y el UPN si desea seguir admitiendo el inicio de sesión de UPN. Por ejemplo, establecer el atributo de correo con el UPN del otro impide que el otro usuario inicie sesión con su UPN.

• Si uno de los bosques configurados por el administrador está inactivo, AD FS sigue buscando una cuenta de usuario con un identificador de inicio de sesión alternativo en otros bosques configurados. Si el servidor de AD FS encuentra objetos de usuario únicos en los bosques que ha buscado, un usuario inicia sesión correctamente.

• Además, puede personalizar la página de inicio de sesión de AD FS para proporcionar a los usuarios finales alguna sugerencia sobre el identificador de inicio de sesión alternativo. Para ello, agregue la descripción de la página de inicio de sesión personalizada (para obtener más información, vea Personalización de las páginas de inicio de sesión de AD FS o personalización de la cadena "Iniciar sesión con una cuenta de organización" encima del campo de nombre de usuario (para obtener más información, vea Personalización avanzada de páginas de inicio de sesión de AD FS.

• El nuevo tipo de notificación que contiene el valor de identificador de inicio de sesión alternativo es http:schemas.microsoft.com/ws/2013/11/alternateloginid

^{1 Un} entorno de infraestructura de identidad federada representa un entorno con un proveedor de identidades como AD FS u otro IDP de terceros.

² Un entorno de infraestructura de identidad administrada representa un entorno con Microsoft Entra ID como proveedor de identidad implementado con sincronización de hash de contraseña (PHS) o transferencia autenticación (PTA).

Eventos y contadores de rendimiento

Se han agregado los siguientes contadores de rendimiento para medir el rendimiento de los servidores de AD FS cuando se habilita el identificador de inicio de sesión alternativo:

• Autenticaciones de identificador de inicio de sesión alternativas: número de autenticaciones realizadas mediante el identificador de inicio de sesión alternativo

• Autenticaciones de ID de inicio de sesión alternativo por segundo: número de autenticaciones realizadas por segundo mediante el ID de inicio de sesión alternativo

• Promedio de latencia de búsqueda para el Id. de inicio de sesión alternativo: promedio de latencia de búsqueda en los bosques que un administrador ha configurado para el identificador de inicio de sesión alternativo

A continuación se muestran varios casos de error y el impacto correspondiente en la experiencia de inicio de sesión de un usuario con eventos registrados por AD FS:

Casos de error	Impacto en la experiencia de inicio de sesión	Evento
No se puede obtener un valor para SAMAccountName para el objeto de usuario	Error de inicio de sesión	Id. de evento 364 con el mensaje de excepción MSIS8012: No se puede encontrar samAccountName para el usuario: "{0}".
El atributo CanonicalName no es accesible	Error de inicio de sesión	Identificador de evento 364 con el mensaje de excepción MSIS8013: CanonicalName: "{0}" del usuario: "{1}" tiene un formato incorrecto.
Se encuentran varios objetos de usuario en un bosque	Error de inicio de sesión	Identificador de evento 364 con el mensaje de excepción MSIS8015: Se encontraron varias cuentas de usuario con la identidad "{0}" en el bosque "{1}" con identidades: {2}
Se encuentran varios objetos de usuario en varios bosques	Error de inicio de sesión	ID de evento 364 con mensaje de excepción MSIS8014: se encontraron varias cuentas de usuario con la identidad "{0}" en bosques: {1}

Véase también

Operaciones de AD FS