Habilitar el autoservicio de restablecimiento de contraseña de Microsoft Entra en la pantalla de inicio de sesión de Windows
El autoservicio de restablecimiento de contraseña (SSPR) ofrece a los usuarios de Microsoft Entra ID la posibilidad de cambiar o restablecer su contraseña, sin necesidad de que intervengan el administrador ni el departamento de soporte técnico. Normalmente, los usuarios abren un explorador web en otro dispositivo para acceder al portal de SSPR. Para mejorar la experiencia en equipos que ejecutan Windows 7, 8, 8.1, 10 y 11, puede permitir que los usuarios restablezcan su contraseña en la pantalla de inicio de sesión de Windows.
Importante
En este tutorial se muestra a un administrador cómo habilitar SSPR para dispositivos Windows en una empresa.
Si el equipo de TI no ha habilitado la capacidad de usar SSPR desde un dispositivo Windows o si tiene problemas para iniciar sesión, póngase en contacto con el departamento de soporte técnico para obtener ayuda adicional.
Limitaciones generales
Las siguientes limitaciones se aplican al uso de SSPR desde la pantalla de inicio de sesión de Windows:
- El restablecimiento de contraseña no se admite actualmente desde Escritorio remoto ni sesiones mejoradas de Hyper-V.
- Se sabe que algunos proveedores de credenciales externos provocan problemas con esta característica.
- Se sabe que la deshabilitación de UAC mediante la modificación de la clave del registro EnableLUA provoca problemas.
- Esta característica no funciona para las redes con la autenticación de red 802.1x implementada y la opción "Realizar inmediatamente antes de que el usuario inicie sesión". Para las redes con la autenticación de red 802.1X implementada se recomienda usar la autenticación del equipo para habilitar esta característica.
- Las máquinas unidas a Microsoft Entra de tipo híbrido deben tener una línea de visión de conectividad de red a un controlador de dominio para usar las nuevas credenciales en caché de contraseña y actualización. Esto significa que los dispositivos deben estar en la red interna de la organización o en una VPN con acceso de red a un controlador de dominio local.
- Si se usa una imagen, antes de ejecutar sysprep, asegúrese de que se borra la caché web para la cuenta predefinida de administrador antes de realizar el paso de CopyProfile. Puede encontrar más información sobre este paso en el artículo de soporte técnico Rendimiento deficiente cuando se usa el perfil de usuario predeterminado personalizado.
- Se sabe que los valores siguientes interfieren con la capacidad de usar y restablecer contraseñas en dispositivos con Windows 10:
- Si las notificaciones de la pantalla de bloqueo están desactivadas, tampoco funcionará Restablecer contraseña.
- HideFastUserSwitching está establecido en habilitado o 1.
- DontDisplayLastUserName está establecido en habilitado o 1.
- NoLockScreen está establecido en habilitado o 1.
- BlockNonAdminUserInstall está establecido en habilitado o 1.
- EnableLostMode se establece en el dispositivo.
- Explorer.exe se reemplaza por un shell personalizado
- Inicio de sesión interactivo: requerir tarjeta inteligente está establecido en habilitado o 1
- La combinación de las tres configuraciones específicas siguientes puede hacer que esta característica no funcione.
- Inicio de sesión interactivo: no requerir CTRL+ALT+SUPR = Deshabilitado (solo para Windows 10 versión 1710 y anteriores)
- DisableLockScreenAppNotifications = 1 o Habilitado
- Windows SKU es Home Edition
Nota:
Estas limitaciones también se aplican al restablecimiento del PIN de Windows Hello para empresas desde la pantalla de bloqueo del dispositivo.
Restablecimiento de contraseña de Windows 11 y 10
Para configurar un dispositivo con Windows 11 o 10 para SSPR en la pantalla de inicio de sesión, revise los requisitos previos y pasos de configuración a continuación.
Requisitos previos de Windows 11 y 10
- Inicie sesión en el Centro de administración de Microsoft Entra como mínimo como Administrador de directivas de autenticación y habilite el autoservicio de restablecimiento de contraseña de Microsoft Entra.
- Los usuarios deben registrarse para SSPR antes de usar esta característica en https://aka.ms/ssprsetup
- No solo en el uso de SSPR desde la pantalla de inicio de sesión de Windows, todos los usuarios deben proporcionar la información de contacto de autenticación para poder restablecer su contraseña.
- Requisitos del proxy de red:
- Puerto 443 para
passwordreset.microsoftonline.com
yajax.aspnetcdn.com
- Los dispositivos Windows 10 requieren una configuración de proxy de nivel de equipo o una configuración de proxy con ámbito para la cuenta defaultuser1 temporal que se usa para realizar un SSPR (consulte la sección Resolución de problemas para obtener más detalles).
- Puerto 443 para
- Ejecute al menos la actualización de abril de 2018 (v1803) de Windows 10, y los dispositivos deben estar:
- Unido a Microsoft Entra
- Unido a Microsoft Entra
Habilitación para Windows 11 y 10 mediante Microsoft Intune
La implementación de cambios de configuración para habilitar SSPR desde la pantalla de inicio de sesión mediante Microsoft Intune es el método más flexible. Microsoft Intune le permite implementar el cambio de configuración en un grupo específico de máquinas que defina. Este método requiere la inscripción en Microsoft Intune del dispositivo.
Creación de una directiva de configuración de dispositivos en Microsoft Intune
Inicie sesión en el Centro de administración de Microsoft Intune.
Cree un nuevo perfil de configuración de dispositivo; para ello, vaya a Configuración del dispositivo>Perfiles, a continuación, seleccione + Crear perfil.
- En Plataforma, elija Windows 10 y versiones posteriores.
- En Tipo de perfil, elija Plantillas y, a continuación, seleccione la plantilla personalizada siguiente
Seleccione Crear y escriba un nombre descriptivo para el perfil, como SSPR en la pantalla de inicio de sesión de Windows 11.
Opcionalmente, escriba una descripción detallada del perfil y seleccione Siguiente.
En Opciones de configuración, seleccione Agregar y proporcione la siguiente configuración OMA-URI para habilitar el vínculo de restablecimiento de contraseña:
- Escriba un nombre descriptivo para explicar lo que hace la opción, como Agregar vínculo de SSPR.
- De manera opcional, escriba una descripción detallada de la opción.
- OMA-URI establecido en
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
- Tipo de datos establecido en Entero
- Valor establecido en 1
Seleccione Agregar y, luego, Siguiente.
La directiva se puede asignar a usuarios, dispositivos o grupos específicos. Asigne primero el perfil que desee para su entorno, idealmente a un grupo de prueba de dispositivos y, a continuación, seleccione Siguiente.
Para más información, consulte Asignación de perfiles de usuario y de dispositivo en Microsoft Intune.
Configure las reglas de aplicabilidad como desee para su entorno, por ejemplo, para Assign profile if OS edition is Windows 10 Enterprise (Asignar perfil si la edición del SO es Windows 10 Enterprise) y, después, seleccione Siguiente.
Revise el perfil y seleccione Crear.
Habilitación para Windows 11 y 10 con el Registro
Para habilitar SSPR en la pantalla de inicio de sesión mediante una clave del registro, siga los pasos a continuación:
Inicie sesión en el equipo Windows con credenciales administrativas
Presione Windows + R para abrir el cuadro de diálogo Ejecutar y, a continuación, ejecute regedit como administrador.
Establezca la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount "AllowPasswordReset"=dword:00000001
Solución de problemas de restablecimiento de contraseña de Windows 11 y 10
Si tiene problemas con el uso de SSPR desde la pantalla de inicio de sesión de Windows, el registro de auditoría de Microsoft Entra incluye información sobre la dirección IP y el elemento ClientType donde se produjo el restablecimiento de la contraseña, como se muestra en la siguiente salida de ejemplo:
Cuando los usuarios restablecen su contraseña desde la pantalla de inicio de sesión de un dispositivo con Windows 11 o 10, se crea una cuenta temporal con pocos privilegios denominada defaultuser1
. Esta cuenta se usa para proteger el proceso de restablecimiento de contraseña.
La propia cuenta tiene una contraseña generada aleatoriamente, que se valida con una directiva de contraseñas de organizaciones, no se muestra para el inicio de sesión del dispositivo y se quita automáticamente después de que el usuario restablezca su contraseña. Pueden existir varios perfiles defaultuser
, pero se pueden omitir con seguridad.
Configuraciones de proxy para restablecer la contraseña Windows
Durante el restablecimiento de contraseña, SSPR crea una cuenta de usuario local temporal para conectarse a https://passwordreset.microsoftonline.com/n/passwordreset
. Cuando se configura un proxy para la autenticación de usuario, puede producirse el error «Algo salió mal. Inténtelo de nuevo más adelante». Esto se debe a que la cuenta de usuario local no está autorizada para usar el proxy autenticado.
En este caso, puede usar una de las siguientes soluciones alternativas:
Configure los ajustes de proxy para todo el equipo que no dependa del tipo de usuario que haya iniciado sesión en la máquina. Por ejemplo, puede habilitar la configuración del proxy de la directiva de grupo por máquina (en lugar de por usuario) para las estaciones de trabajo.
También puede usar la configuración Per-User proxy para SSPR si modifica la plantilla del Registro para la cuenta predeterminada. Los comandos son los siguientes:
reg load "hku\Default" "C:\Users\Default\NTUSER.DAT" reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f reg unload "hku\Default"
El error «Algo salió mal» también puede producirse cuando algo interrumpe la conectividad a la dirección URL
https://passwordreset.microsoftonline.com/n/passwordreset
. Por ejemplo, este error puede producirse cuando el software antivirus se ejecuta en la estación de trabajo sin exclusiones para las direcciones URLpasswordreset.microsoftonline.com
,ajax.aspnetcdn.com
yocsp.digicert.com
. Deshabilite este software temporalmente para probar si el problema se resuelve o no.
Restablecimiento de contraseña de Windows 7, 8 y 8.1
Para configurar un dispositivo con Windows 7, 8 u 8.1 para SSPR en la pantalla de inicio de sesión, revise los requisitos previos y pasos de configuración a continuación.
Requisitos previos de Windows 7, 8 y 8.1
- Inicie sesión en el Centro de administración de Microsoft Entra como mínimo como Administrador de directivas de autenticación y habilite el autoservicio de restablecimiento de contraseña de Microsoft Entra.
- Los usuarios deben registrarse para SSPR antes de usar esta característica en https://aka.ms/ssprsetup
- No solo en el uso de SSPR desde la pantalla de inicio de sesión de Windows, todos los usuarios deben proporcionar la información de contacto de autenticación para poder restablecer su contraseña.
- Requisitos del proxy de red:
- Puerto 443 para
passwordreset.microsoftonline.com
- Puerto 443 para
- Sistema operativo Windows 7 o Windows 8.1 revisado.
- TLS 1.2 habilitada mediante las instrucciones que se encuentran en Configuración del registro de TLS.
- Si en el equipo hay más de un proveedor de credenciales de terceros habilitado, los usuarios ven más de un perfil de usuario en la pantalla de inicio de sesión.
Advertencia
Se debe habilitar TLS 1.2, no hay solo que establecerla en negociación automática.
Instalar
En Windows 7, 8 y 8,1, se debe instalar un componente pequeño en la máquina para habilitar SSPR en la pantalla de inicio de sesión. Para instalar este componente de SSPR, complete los pasos siguientes:
Descargue el instalador adecuado para la versión de Windows que desea habilitar.
El instalador de software está disponible en el centro de descarga de Microsoft en https://aka.ms/sspraddin
Inicie sesión en la máquina donde desea instalar y ejecutar el instalador.
Después de la instalación, se recomienda encarecidamente reiniciar el equipo.
Después del reinicio, en la pantalla de inicio de sesión, elija un usuario y seleccione "¿Olvidó la contraseña?" para iniciar el flujo de trabajo de restablecimiento de la contraseña.
Complete el flujo de trabajo siguiendo los pasos que aparecen en la pantalla para restablecer su contraseña.
Instalación silenciosa
El componente de SSPR se puede instalar o desinstalar sin avisos mediante los siguientes comandos:
- Para una instalación silenciosa, use el comando "msiexec /i SsprWindowsLogon.PROD.msi /qn".
- Para una desinstalación silenciosa, use el comando "msiexec /x SsprWindowsLogon.PROD.msi /qn".
Solución de problemas de restablecimiento de contraseña de Windows 7, 8 y 8.1
Si tiene problemas con el uso de SSPR desde la pantalla de inicio de sesión de Windows, los eventos se registran tanto en la máquina como en Microsoft Entra ID. Los eventos de Microsoft Entra incluyen información sobre la dirección IP y el elemento ClientType donde se produjo el restablecimiento de contraseña, como se muestra en la salida de ejemplo siguiente:
Si se requiere un registro adicional, se puede cambiar una clave del Registro en la máquina para habilitar el registro detallado. Habilite el registro detallado para la solución de problemas únicamente con el siguiente valor de clave del Registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
- Para habilitar el registro detallado, cree un
REG_DWORD: "EnableLogging"
y establézcalo en 1. - Para deshabilitar el registro detallado, cambie
REG_DWORD: "EnableLogging"
a 0. - Revise el registro de depuración en el registro de eventos de Application en el origen AADPasswordResetCredentialProvider.
Lo que ven los usuarios
Con SSPR configurado para los dispositivos Windows, ¿qué cambia para el usuario? ¿Cómo sabe que puede restablecer su contraseña en la pantalla de inicio de sesión? Las capturas de pantallas de ejemplo siguientes muestran las opciones adicionales para que un usuario restablezca su contraseña mediante SSPR:
Cuando los usuarios intenten iniciar sesión, verán un vínculo Restablecer contraseña o ¿Olvidó la contraseña? que abre la experiencia de autoservicio de restablecimiento de contraseña en la pantalla de inicio de sesión. Esta funcionalidad permite a los usuarios restablecer su contraseña sin tener que usar otro dispositivo para acceder a un explorador web.
Los usuarios pueden encontrar más información sobre el uso de esta característica en Restablecimiento de la contraseña profesional o educativa.
Pasos siguientes
Para simplificar la experiencia de registro de usuarios, puede rellenar previamente la información de contacto de autenticación de usuario para SSPR.