Tutorial: Habilitación de la escritura diferida del autoservicio de restablecimiento de contraseña de sincronización en la nube en un entorno local

La sincronización en la nube de Microsoft Entra Connect puede sincronizar los cambios de contraseña de Microsoft Entra en tiempo real entre los usuarios de dominios de Active Directory Domain Services (AD DS) local desconectados. La sincronización en la nube de Microsoft Entra Connect se puede ejecutar en paralelo con Microsoft Entra Connect en el nivel de dominio para simplificar la escritura diferida de contraseñas en escenarios adicionales, como los usuarios que están en dominios desconectados debido a una división o combinación de la empresa. Puede configurar cada servicio en dominios diferentes para dirigirse a distintos conjuntos de usuarios en función de sus necesidades. La sincronización en la nube de Microsoft Entra Connect usa el agente ligero de aprovisionamiento en la nube de Microsoft Entra para simplificar la configuración de la escritura diferida del autoservicio de restablecimiento de contraseña (SSPR) y proporcionar una manera segura de enviar los cambios de contraseña en la nube de vuelta a un directorio local.

Requisitos previos

Pasos de implementación

  1. Configuración de los permisos de la cuenta del servicio de sincronización en la nube de Microsoft Entra Connect
  2. Habilitación de la escritura diferida de contraseñas de la sincronización en la nube de Microsoft Entra Connect
  3. Habilitación de la escritura diferida de contraseñas para el autoservicio de restablecimiento de contraseña

Configuración de los permisos de la cuenta del servicio de sincronización en la nube de Microsoft Entra Connect

Los permisos para la sincronización en la nube están configurados de manera predeterminada. Si es necesario restablecer los permisos, vea Solución de problemas para obtener más detalles sobre los permisos específicos necesarios para la escritura diferida de contraseñas y cómo establecerlos mediante PowerShell.

Habilitación de escritura diferida de contraseñas en SSPR

Puede habilitar el aprovisionamiento de la sincronización en la nube de Microsoft Entra Connect directamente en el centro de administración de Microsoft Entra o mediante PowerShell.

Habilitación de la escritura diferida de contraseñas en el centro de administración de Microsoft Entra

Argibidea

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Con la escritura diferida de contraseñas habilitada en la sincronización en la nube de Microsoft Entra Connect, compruebe y configure el autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra para la escritura diferida de contraseñas. Al habilitar el autoservicio de restablecimiento de contraseña para que use la escritura diferida de contraseñas, los usuarios que cambien o restablezcan su contraseña tendrán la contraseña actualizada sincronizada de nuevo en el entorno de AD DS local.

Para comprobar y habilitar la escritura diferida de contraseñas en SSPR, complete los pasos siguientes:

  1. Inicie sesión en el Centro de administración Microsoft Entra al menos como Administrador de identidad híbrida.

  2. Vaya a Protección>Restablecimiento de contraseña y seleccione Integración local.

  3. Active la opción Habilitar la reescritura de contraseñas para los usuarios sincronizados.

  4. (Opcional) Si se detectan agentes de aprovisionamiento de Microsoft Entra Connect, también puede activar la opción de Reescribir contraseñas con la sincronización en la nube de Microsoft Entra Connect.

  5. Establezca la opción Permitir a los usuarios desbloquear las cuentas sin restablecer la contraseña en .

    Habilitación del autoservicio de restablecimiento de contraseña de Microsoft Entra para la escritura diferida de contraseñas

  6. Cuando esté a punto, seleccione Guardar.

PowerShell

Con PowerShell puede habilitar la sincronización en la nube de Microsoft Entra Connect mediante el cmdlet Set-AADCloudSyncPasswordWritebackConfiguration en los servidores con los agentes de aprovisionamiento.

Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll' 
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Limpieza de recursos

Si decide que ya no quiere utilizar la funcionalidad de escritura diferida del autoservicio de restablecimiento de contraseña que se ha configurado como parte de este tutorial, realice los siguientes pasos:

  1. Inicie sesión en el Centro de administración Microsoft Entra al menos como Administrador de identidad híbrida.
  2. Vaya a Protección>Restablecimiento de contraseña y seleccione Integración local.
  3. Desactive la opción Habilitar reescritura de contraseñas para los usuarios sincronizados.
  4. Desactive la opción Escritura diferida de contraseñas con la sincronización en la nube de Microsoft Entra Connect.
  5. Desactive la opción Permitir a los usuarios desbloquear las cuentas sin restablecer la contraseña.
  6. Cuando esté a punto, seleccione Guardar.

Si ya no quiere usar la sincronización en la nube de Microsoft Entra Connect para la funcionalidad de escritura diferida de SSPR, pero quiere seguir usando el agente de sincronización de Microsoft Entra Connect para escrituras diferidas, complete los pasos siguientes:

  1. Inicie sesión en el Centro de administración Microsoft Entra al menos como Administrador de identidad híbrida.
  2. Vaya a Protección>Restablecimiento de contraseña y seleccione Integración local.
  3. Desactive la opción Escritura diferida de contraseñas con la sincronización en la nube de Microsoft Entra Connect.
  4. Cuando esté a punto, seleccione Guardar.

También puede usar PowerShell para deshabilitar la sincronización en la nube de Microsoft Entra Connect para la funcionalidad de escritura diferida de SSPR, desde el servidor de sincronización en la nube de Microsoft Entra Connect, ejecute Set-AADCloudSyncPasswordWritebackConfiguration mediante credenciales de administrador de identidades híbridas para deshabilitar la escritura diferida de contraseñas con la sincronización en la nube de Microsoft Entra Connect.

Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ 
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)

Operaciones admitidas

Las contraseñas se reescriben en las siguientes situaciones para los usuarios finales y los administradores.

Cuenta Operaciones admitidas
Usuarios finales Cualquier operación voluntaria de autoservicio de cambio de contraseña del usuario final.
Cualquier operación obligatoria de autoservicio de cambio de contraseña del usuario final (por ejemplo, la expiración de la contraseña).
Cualquier operación de autoservicio de restablecimiento de contraseña del usuario final que se origina a partir del restablecimiento de contraseña.
Administradores Cualquier operación voluntaria de autoservicio de cambio de contraseña del administrador.
Cualquier operación obligatoria de autoservicio de cambio de contraseña del administrador (por ejemplo, la expiración de la contraseña).
Cualquier operación de autoservicio de restablecimiento de contraseña del administrador que se origina a partir del restablecimiento de contraseña.
Cualquier operación de restablecimiento de contraseña del usuario final que inicie el administrador desde el centro de administración de Microsoft Entra.
Cualquier operación de restablecimiento de contraseña del usuario final que inicie el administrador desde API de Microsoft Graph.

Operaciones no admitidas

Las contraseñas no se vuelven a escribir en ninguna de las situaciones siguientes.

Cuenta Operaciones no admitidas
Usuarios finales Cualquier usuario final que restablezca su propia contraseña mediante cmdlets de PowerShell o Microsoft Graph API.
Administradores Cualquier restablecimiento de contraseña de usuario final iniciado por el administrador mediante cmdlets de PowerShell.
Cualquier operación de restablecimiento de contraseña del usuario final que inicie el administrador desde el Centro de administración de Microsoft 365.
Ningún administrador puede usar la herramienta de restablecimiento de contraseña para restablecer su propia contraseña, así como ningún otro administrador de Microsoft Entra para la escritura diferida de contraseñas.

Escenarios de validación

Pruebe las siguientes operaciones para validar escenarios mediante la escritura diferida de contraseñas. Todos los escenarios de validación requieren que la sincronización en la nube esté instalada y que el usuario esté en el ámbito de la escritura diferida de contraseñas.

Escenario Detalles
Restablecimiento de contraseña desde la página de inicio de sesión Haga que dos usuarios de dominios y bosques desconectados realicen SSPR. También podría tener Microsoft Entra Connect y la sincronización en la nube implementados en paralelo, así como un usuario en el ámbito de la configuración de sincronización en la nube y otro en el ámbito de Microsoft Entra Connect y hacer que restablezcan su contraseña.
Forzado del cambio de contraseña expirada Haga que dos usuarios de dominios y bosques desconectados cambien las contraseñas expiradas. También podría tener Microsoft Entra Connect y la sincronización en la nube implementados en paralelo, así como un usuario en el ámbito de la configuración de sincronización en la nube y otro en el ámbito de Microsoft Entra Connect.
Cambio de contraseña normal Haga que dos usuarios de dominios y bosques desconectados realicen un cambio de contraseña rutinario. También podría tener Microsoft Entra Connect y la sincronización en la nube en paralelo, así como un usuario en el ámbito de la configuración de sincronización en la nube y otro en el ámbito de Microsoft Entra Connect.
Administración del restablecimiento de contraseña de usuario Haga que dos usuarios de dominios y bosques desconectados restablezcan su contraseña desde el centro de administración de Microsoft Entra o el portal de trabajo de Frontline. También podría tener Microsoft Entra Connect y la sincronización en la nube en paralelo, así como un usuario en el ámbito de la configuración de sincronización en la nube y otro en el ámbito de Microsoft Entra Connect
Desbloqueo de cuentas de autoservicio Haga que dos usuarios de dominios y bosques desconectados desbloqueen cuentas en el portal de SSPR y restablezcan la contraseña. También podría tener Microsoft Entra Connect y la sincronización en la nube en paralelo, así como un usuario en el ámbito de la configuración de sincronización en la nube y otro en el ámbito de Microsoft Entra Connect.

Solución de problemas

  • La cuenta de servicio administrado de la sincronización en la nube de Microsoft Entra Connect debe tener los permisos siguientes establecidos para reescribir contraseñas de manera predeterminada:

    • Restablecimiento de contraseñas
    • Permisos de escritura en lockoutTime
    • Permisos de escritura en pwdLastSet
    • Derechos extendidos para "Contraseña no expirada" en el objeto raíz de cada dominio de ese bosque, si aún no se ha establecido.

    Si no se establecen estos permisos, puede establecer el permiso PasswordWriteBack en la cuenta de servicio mediante el cmdlet Set-AADCloudSyncPermissions y las credenciales de administrador de empresa local:

    Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ 
    Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)
    

    Después de actualizar los permisos, pueden tardar una hora (o más) en replicarse en todos los objetos del directorio.

  • Si las contraseñas de algunas cuentas de usuario no se reescriben en el directorio local, asegúrese de que la herencia no esté deshabilitada para la cuenta en el entorno local de AD DS. Los permisos de escritura para las contraseñas se deben aplicar a los objetos descendientes para que la característica funcione correctamente.

  • Las directivas de contraseñas en el entorno de AD DS local pueden impedir que se procesen correctamente los restablecimientos de contraseña. Si va a probar esta característica y quiere restablecer la contraseña de los usuarios más de una vez al día, la directiva de grupo de Vigencia mínima de la contraseña debe establecerse en 0. Esta configuración se puede encontrar en Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas de cuenta > Directiva de contraseñas en gpmc.msc.

  • Si actualiza la directiva de grupo, espere a que la directiva actualizada se replique o use el comando gpupdate /force.

  • Para que las contraseñas se cambien inmediatamente, la vigencia mínima de la contraseña debe establecerse en 0. Pero si los usuarios se adhieren a las directivas locales y el campo Vigencia mínima de la contraseña se establece en un valor mayor que cero, la escritura diferida de contraseñas no funcionará después de que se evalúen las directivas locales.

Para obtener más información sobre cómo validar o configurar los permisos adecuados, vea Configuración de permisos de cuenta para Microsoft Entra Connect.

Pasos siguientes