Tutorial: Habilitación del autoservicio de restablecimiento de contraseñas de Microsoft Entra para que los usuarios puedan desbloquear su cuenta o restablecer contraseñas

El autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra ofrece a los usuarios en la posibilidad de cambiar o restablecer su contraseña, sin necesidad de que intervengan el administrador ni el departamento de soporte técnico. Si Microsoft Entra ID bloquea la cuenta de un usuario o este se ha olvidado su contraseña, puede seguir las indicaciones para desbloquearla y volver al trabajo. Esta capacidad reduce las llamadas al departamento de soporte técnico y la pérdida de productividad cuando un usuario no puede iniciar sesión en su dispositivo o en una aplicación. Se recomienda este vídeo sobre cómo habilitar y configurar SSPR en Microsoft Entra ID. También tenemos un vídeo para los administradores de TI sobre cómo resolver los seis mensajes de error de usuario final más comunes con SSPR.

En este tutorial, aprenderá a:

Tutorial en vídeo

También puede seguir en un vídeo relacionado: Habilitación y configuración de SSPR en Microsoft Entra ID.

Requisitos previos

Para finalizar este tutorial, necesitará los siguientes recursos y privilegios:

• Se requiere un inquilino de Microsoft Entra en funcionamiento con al menos una licencia de Microsoft Entra ID P1 para el restablecimiento de contraseña. Para obtener más información sobre los requisitos de licencia para el cambio de contraseña y el restablecimiento de contraseña en Microsoft Entra ID, consulte Requisitos de licencia para el autoservicio de restablecimiento de contraseña de Microsoft Entra.
• Una cuenta con al menos el rol Administrador de directiva de autenticación.
• Un usuario que no es administrador con una contraseña que conoce, como testuser. En este tutorial utilizará esta cuenta para probar la experiencia de autoservicio de restablecimiento de contraseña por parte del usuario final.
  • Si necesita crear un usuario, consulte Inicio rápido: Incorporación de nuevos usuarios a Microsoft Entra ID.
• Un grupo del que es miembro el usuario que no es administrador, como SSPR-Test-Group. En este tutorial, habilitará el autoservicio de restablecimiento de contraseña para este grupo.
  • Si necesita crear un grupo, consulte Crear un grupo básico y agregar miembros mediante el identificador de Microsoft Entra.

Habilitar el autoservicio de restablecimiento de contraseña

Microsoft Entra ID permite habilitar SSPR para Ninguno, Seleccionado o Todos los usuarios. Esta capacidad para pormenorizar permite elegir un subconjunto de usuarios para probar el proceso de registro y el flujo de trabajo de SSPR. Cuando esté familiarizado con el proceso y haya llegado el momento de comunicar los requisitos con un conjunto más amplio de usuarios, podrá seleccionar un grupo de usuarios para habilitarlos en el autoservicio de restablecimiento de contraseña. O bien, podrá habilitar SSPR para todos los usuarios del inquilino de Microsoft Entra.

En este tutorial, configurará el autoservicio de restablecimiento de contraseña para un conjunto de usuarios de un grupo de prueba. Use el grupo SSPR-Test-Group y proporcione su propio grupo de Microsoft Entra según sea necesario:

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de directivas de autenticación.

2. Vaya a Protección>Restablecimiento de contraseña en el menú de la izquierda.

3. En la página Propiedades , en la opción Autoservicio de restablecimiento de contraseña habilitado, elija Seleccionado.

4. Si el grupo no está visible, elija No grupos seleccionados, busque y seleccione su grupo de Microsoft Entra, como SSPR-Test-Group y, a continuación, elija Seleccionar.

   

5. Para habilitar SSPR para los usuarios seleccionados, seleccione Guardar.

Selección de métodos de autenticación y opciones de registro

Cuando los usuarios necesitan desbloquear su cuenta o restablecer su contraseña, se les pide otro método de confirmación. Este factor de autenticación adicional garantiza que Microsoft Entra ID finaliza solo los eventos de autoservicio de restablecimiento de contraseña aprobados. Puede elegir los métodos de autenticación que se permitirán, en función de la información de registro que proporciona el usuario.

1. En el menú del lado izquierdo de la página Métodos de autenticación, establezca el número de métodos necesarios para restablecerlo a 2.

   Si desea mejorar la seguridad, puede aumentar el número de métodos de autenticación necesarios para el autoservicio de restablecimiento de contraseña.

2. Elija los métodos disponibles para los usuarios que su organización quiere permitir. En este tutorial, active las casillas para habilitar los siguientes métodos:

   • Notificación de aplicación móvil
   • Código de aplicación móvil
   • Correo electrónico
   • Teléfono móvil

   Puede habilitar otros métodos de autenticación, como el teléfono de Office o las preguntas de seguridad, según sea necesario para satisfacer sus requisitos empresariales.

3. Para aplicar los métodos de autenticación, seleccione Guardar.

Para que los usuarios puedan desbloquear su cuenta o restablecer una contraseña, deben registrar su información de contacto. Microsoft Entra ID utiliza esta información de contacto para los distintos métodos de autenticación configurados en los pasos anteriores.

Un administrador puede proporcionar manualmente esta información de contacto, o bien los usuarios pueden ir a un portal de registro para proporcionarla ellos mismos. En este tutorial, configure Microsoft Entra ID para solicitar el registro a los usuarios la próxima vez que inicien sesión.

1. En el menú del lado izquierdo de la página Registro , seleccione Sí para Requerir que los usuarios se registren al iniciar sesión.

2. Establezca Número de días antes de que se pida a los usuarios que vuelvan a confirmar su información de autenticación en 180.

   Es importante mantener actualizada la información de contacto. Si existe información de contacto obsoleta cuando se inicia un evento SSPR, es posible que el usuario no pueda desbloquear su cuenta o restablecer su contraseña.

3. Para aplicar la configuración de registro, seleccione Guardar.

Configuración de notificaciones y personalizaciones

Para mantener informados a los usuarios sobre la actividad de la cuenta, puede configurar Microsoft Entra ID para que envíe notificaciones por correo electrónico cuando se produzca un evento de SSPR. Estas notificaciones pueden abarcar tanto las cuentas de usuario normales como las cuentas de administrador. En el caso de las cuentas de administrador, esta notificación proporciona otra capa de reconocimiento cuando se restablece la contraseña de una cuenta de administrador con privilegios mediante SSPR. Microsoft Entra ID enviará una notificación a todos los administradores globales cuando alguien use SSPR en una cuenta de administrador.

1. En el menú del lado izquierdo de la página Notificaciones , configure las siguientes opciones:

   • Establezca la opción Notificar a los usuarios en los restablecimientos de contraseña enSí.
   • Establezca Notificar a todos los administradores cuando otros administradores restablezcan su contraseña enSí.

2. Para aplicar las preferencias de notificación, seleccione Guardar.

Si los usuarios necesitan más ayuda con el proceso de SSPR, puede personalizar el vínculo "Ponerse en contacto con el administrador ". El usuario puede seleccionar esta vínculo en el proceso de registro de SSPR y cuando desbloquea su cuenta o restablece su contraseña. Para asegurarse de que los usuarios obtengan el soporte técnico necesario, se recomienda que indique una dirección URL o un correo electrónico de soporte técnico personalizados.

1. En el menú del lado izquierdo de la página Personalización , establezca Personalizar vínculo al departamento de soporte técnico en Sí.
2. En el campo Dirección URL o correo electrónico del departamento de soporte técnico personalizado , proporcione una dirección de correo electrónico o una dirección URL de página web donde los usuarios puedan obtener más ayuda de su organización, como https://support.contoso.com/
3. Para aplicar el vínculo personalizado, seleccione Guardar.

Autoservicio de restablecimiento de contraseña de prueba

Con SSPR habilitado y configurado, pruebe el proceso de SSPR con un usuario que forme parte del grupo seleccionado en la sección anterior, como Test-SSPR-Group. En el ejemplo siguiente se usa la cuenta testuser . Indique su propia cuenta de usuario, que forma parte del grupo que ha habilitado para SSPR en la primera sección de este tutorial.

1. Para ver el proceso de registro manual, abra una nueva ventana del explorador en modo InPrivate o incógnito y vaya a https://aka.ms/ssprsetup. Microsoft Entra ID dirige a los usuarios a este portal de registro cuando inicien sesión la próxima vez.

2. Inicie sesión con un usuario de prueba que no sea administrador, como testuser, y registre la información de contacto de los métodos de autenticación.

3. Una vez finalizado, seleccione el botón marcado Aspecto correcto y cierre la ventana del navegador.

4. Abra una nueva ventana del explorador en modo de incógnito o InPrivate y vaya a https://aka.ms/sspr.

5. Escriba la información de la cuenta de los usuarios que no son administradores, como testuser, los caracteres del CAPTCHA y, a continuación, seleccione Siguiente.

   

6. Siga los pasos de comprobación para restablecer la contraseña. Cuando termine, recibirá una notificación por correo electrónico de que se restablece la contraseña.

Limpieza de recursos

En un tutorial posterior de esta serie, configurarás la escritura diferida de contraseñas. Esta característica escribe los cambios de contraseña del autoservicio de restablecimiento de contraseña de Microsoft Entra de nuevo en un entorno de AD local. Si quiere continuar con esta serie de tutoriales para configurar la escritura diferida de contraseñas, no deshabilite SSPR por ahora.

Si ya no desea usar la funcionalidad de SSPR que configuró como parte de este tutorial, establezca el estado de SSPR en Ninguno mediante los pasos siguientes:

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de directivas de autenticación.
2. Vaya a Entra ID>Restablecimiento de Contraseña.
3. En la página Propiedades , en la opción Autoservicio de restablecimiento de contraseña habilitado, seleccione Ninguno.
4. Para aplicar el cambio de SSPR, seleccione Guardar.

Preguntas más frecuentes

En esta sección se explican las preguntas comunes de los administradores y los usuarios finales que prueba el autoservicio de restablecimiento de contraseña (SSPR):

• ¿Por qué no se muestran las directivas de contraseña locales durante SSPR?

  En este momento, Microsoft Entra Connect y la sincronización en la nube no admiten el uso compartido de los detalles de la directiva de contraseñas con la nube. SSPR solo muestra los detalles de la directiva de contraseñas en la nube y no puede mostrar directivas locales.

• ¿Por qué los usuarios federados esperan hasta 2 minutos después de que vean que se ha restablecido la contraseña antes de que puedan usar contraseñas que se sincronizan desde el entorno local?

  En el caso de los usuarios federados cuyas contraseñas están sincronizadas, el origen de autoridad de las contraseñas es el en el entorno local. Como consecuencia, SSPR solo actualiza las contraseñas locales. La sincronización de hash de contraseñas en Microsoft Entra ID está programada para producirse cada 2 minutos.

• Cuando un usuario recién creado rellenado previamente con datos de SSPR, como el teléfono y el correo electrónico, visita la página de registro de SSPR, no pierda el acceso a su cuenta! aparece como el título de la página. ¿Por qué otros usuarios cuyos datos de SSPR se rellenan previamente no ven el mensaje?

  Un usuario que ve ¡No pierdas acceso a tu cuenta! es miembro de los grupos de registro de SSPR/combinados configurados para la entidad. Los usuarios que no ven ¡No pierdan el acceso a su cuenta! no formaban parte de los grupos de registro de SSPR/combinados.

• Cuando algunos usuarios pasan por el proceso de SSPR y restablecen la contraseña, ¿por qué no ven el indicador del nivel de seguridad de la contraseña?

  Los usuarios que no ven si el nivel de contraseña es débil o fuerte tienen habilitada la escritura diferida de contraseñas. Dado que SSPR no puede determinar la directiva de contraseñas del entorno local del cliente, no puede validar la seguridad ni la debilidad de la contraseña.

Pasos siguientes

En este tutorial habilitó el autoservicio de restablecimiento de contraseña en Microsoft Entra para un grupo seleccionado de usuarios. Ha aprendido a: