Tutorial: Habilitación de la escritura diferida del autoservicio de restablecimiento de contraseña de sincronización en la nube en un entorno local
La sincronización en la nube de Microsoft Entra Connect puede sincronizar los cambios de contraseña de Microsoft Entra en tiempo real entre los usuarios de dominios de Active Directory Domain Services (AD DS) local desconectados. La sincronización en la nube de Microsoft Entra Connect se puede ejecutar en paralelo con Microsoft Entra Connect en el nivel de dominio para simplificar la escritura diferida de contraseñas en escenarios adicionales, como los usuarios que están en dominios desconectados debido a una división o combinación de la empresa. Puede configurar cada servicio en dominios diferentes para dirigirse a distintos conjuntos de usuarios en función de sus necesidades. La sincronización en la nube de Microsoft Entra Connect usa el agente ligero de aprovisionamiento en la nube de Microsoft Entra para simplificar la configuración de la escritura diferida del autoservicio de restablecimiento de contraseña (SSPR) y proporcionar una manera segura de enviar los cambios de contraseña en la nube de vuelta a un directorio local.
Requisitos previos
- Un inquilino de Microsoft Entra con al menos una licencia de prueba o Microsoft Entra ID P1 habilitados. Si es preciso, cree una cuenta gratuita.
- Una cuenta de Administrador de identidad híbrida.
- Microsoft Entra ID está configurado para el autoservicio de restablecimiento de contraseña. En caso necesario, complete este tutorial para habilitar Microsoft Entra SSPR.
- Un entorno de AD DS local configurado con la versión 1.1.977.0 o posterior de la sincronización en la nube de Microsoft Entra Connect. Obtenga información sobre cómo identificar la versión actual del agente. Si es necesario, configure la sincronización en la nube de Microsoft Entra Connect mediante este tutorial.
Pasos de implementación
- Configuración de los permisos de la cuenta del servicio de sincronización en la nube de Microsoft Entra Connect
- Habilitación de la escritura diferida de contraseñas de la sincronización en la nube de Microsoft Entra Connect
- Habilitación de la escritura diferida de contraseñas para el autoservicio de restablecimiento de contraseña
Configuración de los permisos de la cuenta del servicio de sincronización en la nube de Microsoft Entra Connect
Los permisos para la sincronización en la nube están configurados de manera predeterminada. Si es necesario restablecer los permisos, vea Solución de problemas para obtener más detalles sobre los permisos específicos necesarios para la escritura diferida de contraseñas y cómo establecerlos mediante PowerShell.
Habilitación de escritura diferida de contraseñas en SSPR
Puede habilitar el aprovisionamiento de la sincronización en la nube de Microsoft Entra Connect directamente en el centro de administración de Microsoft Entra o mediante PowerShell.
Habilitación de la escritura diferida de contraseñas en el centro de administración de Microsoft Entra
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Con la escritura diferida de contraseñas habilitada en la sincronización en la nube de Microsoft Entra Connect, compruebe y configure el autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra para la escritura diferida de contraseñas. Al habilitar el autoservicio de restablecimiento de contraseña para que use la escritura diferida de contraseñas, los usuarios que cambien o restablezcan su contraseña tendrán la contraseña actualizada sincronizada de nuevo en el entorno de AD DS local.
Para comprobar y habilitar la escritura diferida de contraseñas en SSPR, complete los pasos siguientes:
Inicie sesión en el Centro de administración Microsoft Entra al menos como Administrador de identidad híbrida.
Vaya a Protección>Restablecimiento de contraseña y seleccione Integración local.
Active la opción Habilitar la reescritura de contraseñas para los usuarios sincronizados.
(Opcional) Si se detectan agentes de aprovisionamiento de Microsoft Entra Connect, también puede activar la opción de Reescribir contraseñas con la sincronización en la nube de Microsoft Entra Connect.
Establezca la opción Permitir a los usuarios desbloquear las cuentas sin restablecer la contraseña en Sí.
Cuando esté a punto, seleccione Guardar.
PowerShell
Con PowerShell puede habilitar la sincronización en la nube de Microsoft Entra Connect mediante el cmdlet Set-AADCloudSyncPasswordWritebackConfiguration en los servidores con los agentes de aprovisionamiento.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Limpieza de recursos
Si decide que ya no quiere utilizar la funcionalidad de escritura diferida del autoservicio de restablecimiento de contraseña que se ha configurado como parte de este tutorial, realice los siguientes pasos:
- Inicie sesión en el Centro de administración Microsoft Entra al menos como Administrador de identidad híbrida.
- Vaya a Protección>Restablecimiento de contraseña y seleccione Integración local.
- Desactive la opción Habilitar reescritura de contraseñas para los usuarios sincronizados.
- Desactive la opción Escritura diferida de contraseñas con la sincronización en la nube de Microsoft Entra Connect.
- Desactive la opción Permitir a los usuarios desbloquear las cuentas sin restablecer la contraseña.
- Cuando esté a punto, seleccione Guardar.
Si ya no quiere usar la sincronización en la nube de Microsoft Entra Connect para la funcionalidad de escritura diferida de SSPR, pero quiere seguir usando el agente de sincronización de Microsoft Entra Connect para escrituras diferidas, complete los pasos siguientes:
- Inicie sesión en el Centro de administración Microsoft Entra al menos como Administrador de identidad híbrida.
- Vaya a Protección>Restablecimiento de contraseña y seleccione Integración local.
- Desactive la opción Escritura diferida de contraseñas con la sincronización en la nube de Microsoft Entra Connect.
- Cuando esté a punto, seleccione Guardar.
También puede usar PowerShell para deshabilitar la sincronización en la nube de Microsoft Entra Connect para la funcionalidad de escritura diferida de SSPR, desde el servidor de sincronización en la nube de Microsoft Entra Connect, ejecute Set-AADCloudSyncPasswordWritebackConfiguration mediante credenciales de administrador de identidades híbridas para deshabilitar la escritura diferida de contraseñas con la sincronización en la nube de Microsoft Entra Connect.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Operaciones admitidas
Las contraseñas se reescriben en las siguientes situaciones para los usuarios finales y los administradores.
| Cuenta | Operaciones admitidas |
|---|---|
| Usuarios finales | Cualquier operación voluntaria de autoservicio de cambio de contraseña del usuario final. Cualquier operación obligatoria de autoservicio de cambio de contraseña del usuario final (por ejemplo, la expiración de la contraseña). Cualquier operación de autoservicio de restablecimiento de contraseña del usuario final que se origina a partir del restablecimiento de contraseña. |
| Administradores | Cualquier operación voluntaria de autoservicio de cambio de contraseña del administrador. Cualquier operación obligatoria de autoservicio de cambio de contraseña del administrador (por ejemplo, la expiración de la contraseña). Cualquier operación de autoservicio de restablecimiento de contraseña del administrador que se origina a partir del restablecimiento de contraseña. Cualquier operación de restablecimiento de contraseña del usuario final que inicie el administrador desde el centro de administración de Microsoft Entra. Cualquier operación de restablecimiento de contraseña del usuario final que inicie el administrador desde API de Microsoft Graph. |
Operaciones no admitidas
Las contraseñas no se vuelven a escribir en ninguna de las situaciones siguientes.
| Cuenta | Operaciones no admitidas |
|---|---|
| Usuarios finales | Cualquier usuario final que restablezca su propia contraseña mediante cmdlets de PowerShell o Microsoft Graph API. |
| Administradores | Cualquier restablecimiento de contraseña de usuario final iniciado por el administrador mediante cmdlets de PowerShell. Cualquier operación de restablecimiento de contraseña del usuario final que inicie el administrador desde el Centro de administración de Microsoft 365. Ningún administrador puede usar la herramienta de restablecimiento de contraseña para restablecer su propia contraseña, así como ningún otro administrador de Microsoft Entra para la escritura diferida de contraseñas. |
Escenarios de validación
Pruebe las siguientes operaciones para validar escenarios mediante la escritura diferida de contraseñas. Todos los escenarios de validación requieren que la sincronización en la nube esté instalada y que el usuario esté en el ámbito de la escritura diferida de contraseñas.
| Escenario | Detalles |
|---|---|
| Restablecimiento de contraseña desde la página de inicio de sesión | Haga que dos usuarios de dominios y bosques desconectados realicen SSPR. También podría tener Microsoft Entra Connect y la sincronización en la nube implementados en paralelo, así como un usuario en el ámbito de la configuración de sincronización en la nube y otro en el ámbito de Microsoft Entra Connect y hacer que restablezcan su contraseña. |
| Forzado del cambio de contraseña expirada | Haga que dos usuarios de dominios y bosques desconectados cambien las contraseñas expiradas. También podría tener Microsoft Entra Connect y la sincronización en la nube implementados en paralelo, así como un usuario en el ámbito de la configuración de sincronización en la nube y otro en el ámbito de Microsoft Entra Connect. |
| Cambio de contraseña normal | Haga que dos usuarios de dominios y bosques desconectados realicen un cambio de contraseña rutinario. También podría tener Microsoft Entra Connect y la sincronización en la nube en paralelo, así como un usuario en el ámbito de la configuración de sincronización en la nube y otro en el ámbito de Microsoft Entra Connect. |
| Administración del restablecimiento de contraseña de usuario | Haga que dos usuarios de dominios y bosques desconectados restablezcan su contraseña desde el centro de administración de Microsoft Entra o el portal de trabajo de Frontline. También podría tener Microsoft Entra Connect y la sincronización en la nube en paralelo, así como un usuario en el ámbito de la configuración de sincronización en la nube y otro en el ámbito de Microsoft Entra Connect |
| Desbloqueo de cuentas de autoservicio | Haga que dos usuarios de dominios y bosques desconectados desbloqueen cuentas en el portal de SSPR y restablezcan la contraseña. También podría tener Microsoft Entra Connect y la sincronización en la nube en paralelo, así como un usuario en el ámbito de la configuración de sincronización en la nube y otro en el ámbito de Microsoft Entra Connect. |
Solución de problemas
La cuenta de servicio administrado de la sincronización en la nube de Microsoft Entra Connect debe tener los permisos siguientes establecidos para reescribir contraseñas de manera predeterminada:
- Restablecimiento de contraseñas
- Permisos de escritura en lockoutTime
- Permisos de escritura en pwdLastSet
- Derechos extendidos para "Contraseña no expirada" en el objeto raíz de cada dominio de ese bosque, si aún no se ha establecido.
Si no se establecen estos permisos, puede establecer el permiso PasswordWriteBack en la cuenta de servicio mediante el cmdlet Set-AADCloudSyncPermissions y las credenciales de administrador de empresa local:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Después de actualizar los permisos, pueden tardar una hora (o más) en replicarse en todos los objetos del directorio.
Si las contraseñas de algunas cuentas de usuario no se reescriben en el directorio local, asegúrese de que la herencia no esté deshabilitada para la cuenta en el entorno local de AD DS. Los permisos de escritura para las contraseñas se deben aplicar a los objetos descendientes para que la característica funcione correctamente.
Las directivas de contraseñas en el entorno de AD DS local pueden impedir que se procesen correctamente los restablecimientos de contraseña. Si va a probar esta característica y quiere restablecer la contraseña de los usuarios más de una vez al día, la directiva de grupo de Vigencia mínima de la contraseña debe establecerse en 0. Esta configuración se puede encontrar en Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas de cuenta > Directiva de contraseñas en gpmc.msc.
Si actualiza la directiva de grupo, espere a que la directiva actualizada se replique o use el comando gpupdate /force.
Para que las contraseñas se cambien inmediatamente, la vigencia mínima de la contraseña debe establecerse en 0. Pero si los usuarios se adhieren a las directivas locales y el campo Vigencia mínima de la contraseña se establece en un valor mayor que cero, la escritura diferida de contraseñas no funcionará después de que se evalúen las directivas locales.
Para obtener más información sobre cómo validar o configurar los permisos adecuados, vea Configuración de permisos de cuenta para Microsoft Entra Connect.
Pasos siguientes
- Para obtener más información sobre la sincronización en la nube y una comparación entre Microsoft Entra Connect y la sincronización en la nube, vea ¿Qué es la sincronización en la nube de Microsoft Entra Connect?
- Para obtener un tutorial sobre cómo configurar la escritura diferida de contraseñas mediante Microsoft Entra Connect, vea Tutorial: Habilitación de la escritura diferida del autoservicio de restablecimiento de contraseña de Microsoft Entra en un entorno local.