Prerrellenado de la información de contacto de autenticación de usuarios para el autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra

Para utilizar el autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra, la información de autenticación del usuario debe estar presente. La mayoría de las organizaciones tienen usuarios que registran sus datos de autenticación a la vez que recopilan información para MFA. Algunas organizaciones prefieren arrancar este proceso mediante la sincronización de datos de autenticación que ya existen en Active Directory Domain Services (AD DS). Estos datos sincronizados se ponen a disposición de Microsoft Entra ID y SSPR sin necesidad de la interacción del usuario. Cuando los usuarios tengan que cambiar o restablecer su contraseña, pueden hacerlo aunque no hayan registrado previamente su información de contacto.

Puede rellenar previamente la información de contacto de autenticación si cumple los requisitos siguientes:

  • Ha dado un formato correcto a los datos en su directorio local.
  • Ha configurado Microsoft Entra Connect para el inquilino de Microsoft Entra.

Todos los números de teléfono deben tener el formato +CódigoPaís NúmeroTelefónico, por ejemplo: +1 4251234567.

Oharra

Debe haber un espacio entre el código de país y el número de teléfono.

El restablecimiento de contraseña no admite extensiones de teléfono. Incluso con el formato +1 4251234567X12345, las extensiones se quitan antes de hacer la llamada.

Campos rellenos

Si utiliza la configuración predeterminada en Microsoft Entra Connect, se realizan las siguientes asignaciones para rellenar la información de contacto de autenticación para SSPR:

Active Directory local Microsoft Entra ID
telephoneNumber Teléfono del trabajo
mobile Teléfono móvil

Después de que un usuario verifica el número de teléfono móvil, el campo Teléfono de la Información de contacto para la autenticación de Microsoft Entra ID se rellena también con dicho número.

Información de contacto para la autenticación

En la página Métodos de autenticación de un usuario de Microsoft Entra en el centro de administración Microsoft Entra, los usuarios a los que se haya asignado, como mínimo, el rol de administrador de autenticación con privilegios pueden establecer manualmente la información de contacto de autenticación para cualquiera. Puede revisar los métodos existentes en la sección Métodos de autenticación utilizables o + Agregar métodos de autenticación, tal y como se muestra en la siguiente captura de pantalla de ejemplo:

Captura de pantalla de cómo administrar métodos de autenticación

Las siguientes consideraciones se aplican a esta información de contacto de autenticación:

  • Si se rellena el campo Teléfono y el Teléfono móvil está habilitado en la directiva de SSPR, el usuario ve dicho número en la página de registro de restablecimiento de contraseña y durante el flujo de trabajo de restablecimiento de la contraseña.
  • Si se rellena el campo de Correo electrónico y el Correo electrónico está habilitado en la directiva de SSPR, el usuario ve dicho correo electrónico en la página de registro de restablecimiento de contraseña y durante el flujo de trabajo de restablecimiento de la contraseña.

Preguntas y respuestas de seguridad

Las preguntas y respuestas de seguridad se almacenan de forma segura en el inquilino de Microsoft Entra y los usuarios pueden tener acceso a ellas solo a través de la experiencia de registro combinada de mi información de seguridad. Los administradores no pueden ver, establecer ni modificar el contenido de las preguntas y respuestas de otros usuarios.

Qué ocurre cuando se registra un usuario

Cuando se registre un usuario, la página de registro establecerá los campos siguientes:

  • Teléfono de autenticación
  • Correo electrónico de autenticación
  • Preguntas y respuestas de seguridad

Si especificó un valor para Teléfono móvil o Correo electrónico alternativo, los usuarios podrán utilizarlos inmediatamente para restablecer sus contraseñas, aunque no se hayan registrado para el servicio.

Además, los usuarios ven esos valores cuando se registran por primera vez, y pueden modificarlos si lo desean. Una vez que se registran correctamente, dichos valores se conservan en los campos Teléfono de autenticación y Correo electrónico de autenticación, respectivamente.

Establecimiento y lectura de datos de autenticación mediante PowerShell

Los siguientes campos pueden establecerse mediante PowerShell:

  • Correo electrónico alternativo
  • Teléfono móvil
  • Teléfono del trabajo
    • Solo pueden establecerse si no se sincroniza un directorio en el entorno local.

Puede utilizar Microsoft Graph PowerShell para interactuar con Microsoft Entra ID o usar la API de REST de Microsoft Graph para administrar métodos de autenticación.

Uso de PowerShell de Microsoft Graph

Para empezar, descargue e instale el módulo PowerShell de Microsoft Graph.

Para instalar rápidamente desde versiones recientes de PowerShell compatibles con Install-Module, ejecute los siguientes comandos. La primera línea comprueba si el módulo ya está instalado:

Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"

Una vez instalado el módulo, siga estos pasos para configurar cada campo.

Establecimiento de los datos de autenticación con PowerShell de Microsoft Graph

Connect-MgGraph -Scopes "User.ReadWrite.All"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"

Lectura de los datos de autenticación con PowerShell de Microsoft Graph

Connect-MgGraph -Scopes "User.Read.All"

Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones

Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table

Pasos siguientes

Una vez que la información de contacto de autenticación se ha prerrellenado para los usuarios, complete el siguiente tutorial para habilitar el autoservicio de restablecimiento de contraseña: