Prerrellenado de la información de contacto de autenticación de usuarios para el autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra
Para utilizar el autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra, la información de autenticación del usuario debe estar presente. La mayoría de las organizaciones tienen usuarios que registran sus datos de autenticación a la vez que recopilan información para MFA. Algunas organizaciones prefieren arrancar este proceso mediante la sincronización de datos de autenticación que ya existen en Active Directory Domain Services (AD DS). Estos datos sincronizados se ponen a disposición de Microsoft Entra ID y SSPR sin necesidad de la interacción del usuario. Cuando los usuarios tengan que cambiar o restablecer su contraseña, pueden hacerlo aunque no hayan registrado previamente su información de contacto.
Puede rellenar previamente la información de contacto de autenticación si cumple los requisitos siguientes:
- Ha dado un formato correcto a los datos en su directorio local.
- Ha configurado Microsoft Entra Connect para el inquilino de Microsoft Entra.
Todos los números de teléfono deben tener el formato +CódigoPaís NúmeroTelefónico, por ejemplo: +1 4251234567.
Oharra
Debe haber un espacio entre el código de país y el número de teléfono.
El restablecimiento de contraseña no admite extensiones de teléfono. Incluso con el formato +1 4251234567X12345, las extensiones se quitan antes de hacer la llamada.
Si utiliza la configuración predeterminada en Microsoft Entra Connect, se realizan las siguientes asignaciones para rellenar la información de contacto de autenticación para SSPR:
Active Directory local | Microsoft Entra ID |
---|---|
telephoneNumber | Teléfono del trabajo |
mobile | Teléfono móvil |
Después de que un usuario verifica el número de teléfono móvil, el campo Teléfono de la Información de contacto para la autenticación de Microsoft Entra ID se rellena también con dicho número.
En la página Métodos de autenticación de un usuario de Microsoft Entra en el centro de administración Microsoft Entra, los usuarios a los que se haya asignado, como mínimo, el rol de administrador de autenticación con privilegios pueden establecer manualmente la información de contacto de autenticación para cualquiera. Puede revisar los métodos existentes en la sección Métodos de autenticación utilizables o + Agregar métodos de autenticación, tal y como se muestra en la siguiente captura de pantalla de ejemplo:
Las siguientes consideraciones se aplican a esta información de contacto de autenticación:
- Si se rellena el campo Teléfono y el Teléfono móvil está habilitado en la directiva de SSPR, el usuario ve dicho número en la página de registro de restablecimiento de contraseña y durante el flujo de trabajo de restablecimiento de la contraseña.
- Si se rellena el campo de Correo electrónico y el Correo electrónico está habilitado en la directiva de SSPR, el usuario ve dicho correo electrónico en la página de registro de restablecimiento de contraseña y durante el flujo de trabajo de restablecimiento de la contraseña.
Las preguntas y respuestas de seguridad se almacenan de forma segura en el inquilino de Microsoft Entra y los usuarios pueden tener acceso a ellas solo a través de la experiencia de registro combinada de mi información de seguridad. Los administradores no pueden ver, establecer ni modificar el contenido de las preguntas y respuestas de otros usuarios.
Cuando se registre un usuario, la página de registro establecerá los campos siguientes:
- Teléfono de autenticación
- Correo electrónico de autenticación
- Preguntas y respuestas de seguridad
Si especificó un valor para Teléfono móvil o Correo electrónico alternativo, los usuarios podrán utilizarlos inmediatamente para restablecer sus contraseñas, aunque no se hayan registrado para el servicio.
Además, los usuarios ven esos valores cuando se registran por primera vez, y pueden modificarlos si lo desean. Una vez que se registran correctamente, dichos valores se conservan en los campos Teléfono de autenticación y Correo electrónico de autenticación, respectivamente.
Los siguientes campos pueden establecerse mediante PowerShell:
- Correo electrónico alternativo
- Teléfono móvil
- Teléfono del trabajo
- Solo pueden establecerse si no se sincroniza un directorio en el entorno local.
Puede utilizar Microsoft Graph PowerShell para interactuar con Microsoft Entra ID o usar la API de REST de Microsoft Graph para administrar métodos de autenticación.
Para empezar, descargue e instale el módulo PowerShell de Microsoft Graph.
Para instalar rápidamente desde versiones recientes de PowerShell compatibles con Install-Module
, ejecute los siguientes comandos. La primera línea comprueba si el módulo ya está instalado:
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"
Una vez instalado el módulo, siga estos pasos para configurar cada campo.
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones
Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table
Una vez que la información de contacto de autenticación se ha prerrellenado para los usuarios, complete el siguiente tutorial para habilitar el autoservicio de restablecimiento de contraseña: