Tutorial: Habilitación del autoservicio de restablecimiento de contraseñas de Microsoft Entra para que los usuarios puedan desbloquear su cuenta o restablecer contraseñas

El autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra ofrece a los usuarios en la posibilidad de cambiar o restablecer su contraseña, sin necesidad de que intervengan el administrador ni el departamento de soporte técnico. Si Microsoft Entra ID bloquea la cuenta de un usuario o este se ha olvidado su contraseña, puede seguir las indicaciones para desbloquearla y volver al trabajo. Esta capacidad reduce las llamadas al departamento de soporte técnico y la pérdida de productividad cuando un usuario no puede iniciar sesión en su dispositivo o en una aplicación. Se recomienda este vídeo sobre Cómo habilitar y configurar SSPR en Microsoft Entra ID. También disponemos de un vídeo para los administradores de TI en Resolución de los seis mensajes de error de usuario final más comunes con SSPR.

Importante

Este tutorial muestra al administrador cómo habilitar SSPR. Si es un usuario final registrado para el autoservicio de restablecimiento de contraseña y necesita volver a su cuenta, visite la página de restablecimiento de contraseña de Microsoft Online.

Si el equipo de TI no ha habilitado la capacidad para restablecer su propia contraseña, póngase en contacto con el departamento de soporte técnico para obtener ayuda adicional.

En este tutorial, aprenderá a:

  • Habilitación del autoservicio de restablecimiento de contraseña para un grupo de usuarios de Microsoft Entra
  • Configuración de métodos de autenticación y opciones de registro
  • Probar el proceso SSPR como usuario

Importante

En marzo de 2023, anunciamos el desuso de la administración de métodos de autenticación en las directivas heredadas de autenticación multifactor y autoservicio de restablecimiento de contraseña (SSPR). A partir del 30 de septiembre de 2024, los métodos de autenticación no se pueden administrar en estas directivas heredadas de MFA y SSPR. Se recomienda que los clientes usen el control de migración manual para migrar a la directiva de métodos de autenticación por la fecha de desuso.

Tutorial en vídeo

También puede seguir estos pasos en el vídeo relacionado: Habilitación y configuración de SSPR en Microsoft Entra ID.

Requisitos previos

Para finalizar este tutorial, necesitará los siguientes recursos y privilegios:

  • Un inquilino de Microsoft Entra en funcionamiento con al menos una licencia gratuita o de prueba de Microsoft Entra habilitada. En el nivel Gratis, SSPR solo funciona para los usuarios de la nube en Microsoft Entra ID. En el nivel Gratis es posible cambiar la contraseña, pero no restablecerla.
    • En los tutoriales posteriores de esta serie, se necesita una licencia de Microsoft Entra ID P1 o de prueba para la escritura diferida de contraseñas local.
    • Si es necesario, cree una cuenta de Azure de forma gratuita.
  • Una cuenta con privilegios de administrador global o administrador de directivas de autenticación.
  • Un usuario que no sea administrador con una contraseña que conozca, como usuarioDePrueba. En este tutorial utilizará esta cuenta para probar la experiencia de autoservicio de restablecimiento de contraseña por parte del usuario final.
  • Un grupo del que sea miembro el usuario que no es administrador, como Grupo-prueba-SSPR. En este tutorial, habilitará el autoservicio de restablecimiento de contraseña para este grupo.

Habilitar el autoservicio de restablecimiento de contraseña

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Microsoft Entra ID permite habilitar el autoservicio de restablecimiento de contraseña para Ninguno, Seleccionados o Todos los usuarios. Esta capacidad para pormenorizar permite elegir un subconjunto de usuarios para probar el proceso de registro y el flujo de trabajo de SSPR. Cuando esté familiarizado con el proceso y haya llegado el momento de comunicar los requisitos con un conjunto más amplio de usuarios, podrá seleccionar un grupo de usuarios para habilitarlos en el autoservicio de restablecimiento de contraseña. O bien, podrá habilitar SSPR para todos los usuarios del inquilino de Microsoft Entra.

Nota:

Actualmente, solo se puede habilitar un grupo de Microsoft Entra para SSPR mediante el centro de administración de Microsoft Entra. Como parte de una implementación más amplia del autoservicio de restablecimiento de contraseña, Microsoft Entra ID admite los grupos anidados.

En este tutorial, configurará el autoservicio de restablecimiento de contraseña para un conjunto de usuarios de un grupo de prueba. Use Grupo-prueba-SSPR y proporcione su propio grupo de Microsoft Entra según sea necesario:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.

  2. Vaya a Protección>Restablecimiento de contraseña en el menú de la izquierda.

  3. En la página Propiedades, bajo la opción Se habilitó el restablecimiento de contraseña del autoservicio, elija Seleccionados.

  4. Si el grupo no está visible, elija Ningún grupo seleccionado, busque y seleccione el grupo de Microsoft Entra, como SSPR-Test-Group y, luego, elija Seleccionar.

    Select a group to enable for self-service password reset

  5. Para habilitar SSPR para los usuarios seleccionados, seleccione Guardar.

Selección de métodos de autenticación y opciones de registro

Cuando los usuarios necesitan desbloquear su cuenta o restablecer su contraseña, se les pide otro método de confirmación. Este factor de autenticación adicional garantiza que Microsoft Entra ID finaliza solo los eventos de autoservicio de restablecimiento de contraseña aprobados. Puede elegir los métodos de autenticación que se permitirán, en función de la información de registro que proporciona el usuario.

  1. En el menú de la izquierda de la página Métodos de autenticación, establezca el valor de Número de métodos requeridos para el restablecimiento en 2.

    Si desea mejorar la seguridad, puede aumentar el número de métodos de autenticación necesarios para el autoservicio de restablecimiento de contraseña.

  2. En Métodos disponibles para los usuarios, elija qué métodos desea permitir en la organización. En este tutorial, active las casillas para habilitar los siguientes métodos:

    • Notificación en aplicación móvil
    • Código de aplicación móvil
    • Correo electrónico
    • Teléfono móvil

    Es posible habilitar métodos de autenticación adicionales, como el teléfono del trabajo o preguntas de seguridad, de acuerdo con las necesidades de su empresa.

  3. Para aplicar los métodos de autenticación, seleccione Guardar.

Para que los usuarios puedan desbloquear su cuenta o restablecer una contraseña, deben registrar su información de contacto. Microsoft Entra ID utiliza esta información de contacto para los distintos métodos de autenticación configurados en los pasos anteriores.

Un administrador puede proporcionar manualmente esta información de contacto, o bien los usuarios pueden ir a un portal de registro para proporcionarla ellos mismos. En este tutorial, configure Microsoft Entra ID para solicitar el registro a los usuarios la próxima vez que inicien sesión.

  1. En el menú de la izquierda de la página Registro, seleccione en la opción ¿Desea exigir a los usuarios que se registren al iniciar sesión?

  2. Establezca el valor de Número de días que pasan hasta que se pide a los usuarios que vuelvan a confirmar su información de autenticación en 180.

    Es importante mantener actualizada la información de contacto. Si no está actualizada cuando se inicia un evento de SSPR, es posible que el usuario no pueda desbloquear su cuenta ni restablecer su contraseña.

  3. Para aplicar la configuración de registro, seleccione Guardar.

Nota:

La interrupción de la solicitud para registrar la información de contacto durante el inicio de sesión solo se producirá si se cumplen las condiciones configuradas en la configuración y solo se aplicará a los usuarios y cuentas de administrador habilitadas para restablecer contraseñas mediante el autoservicio de restablecimiento de contraseña de Microsoft Entra.

Configuración de notificaciones y personalizaciones

Para mantener informados a los usuarios sobre la actividad de la cuenta, puede configurar Microsoft Entra ID para que envíe notificaciones por correo electrónico cuando se produzca un evento de SSPR. Estas notificaciones pueden abarcar tanto las cuentas de usuario normales como las cuentas de administrador. En el caso de las cuentas de administrador, esta notificación proporciona otra capa de reconocimiento cuando se restablece la contraseña de una cuenta de administrador con privilegios mediante SSPR. Microsoft Entra ID enviará una notificación a todos los administradores globales cuando alguien use SSPR en una cuenta de administrador.

  1. En el menú de la izquierda de la página Notificaciones, configure las siguientes opciones:

    • Establezca la opción ¿Quiere notificar a los usuarios los restablecimientos de contraseña? en .
    • Establezca ¿Quiere notificar a todos los administradores cuando otros administradores restablezcan su contraseña? en .
  2. Para aplicar las preferencias de notificación, seleccione Guardar.

Si los usuarios necesitan más ayuda con el proceso de SSPR, puede personalizar el vínculo "Póngase en contacto con el administrador". El usuario puede seleccionar esta vínculo en el proceso de registro de SSPR y cuando desbloquea su cuenta o restablece su contraseña. Para asegurarse de que los usuarios obtengan el soporte técnico necesario, se recomienda que indique una dirección URL o un correo electrónico de soporte técnico personalizados.

  1. En el menú de la izquierda de la página Personalización, establezca Personalizar el vínculo del departamento de soporte técnico en .
  2. En el campo Dirección URL o correo electrónico del departamento de soporte técnico personalizados, indique una dirección de correo electrónico o una dirección URL de la página web donde los usuarios puedan obtener más ayuda de su organización, como https://support.contoso.com/.
  3. Para aplicar el vínculo personalizado, seleccione Guardar.

Autoservicio de restablecimiento de contraseña de prueba

Con el autoservicio de restablecimiento de contraseña habilitado y configurado, pruebe este proceso con un usuario que forme parte del grupo que seleccionó en la sección anterior, como Test-SSPR-Group. En el ejemplo siguiente, se usa la cuenta usuarioDePrueba. Indique su propia cuenta de usuario, que forma parte del grupo que ha habilitado para SSPR en la primera sección de este tutorial.

Nota:

Para probar el autoservicio de restablecimiento de contraseña, use una cuenta que no sea de administrador. De forma predeterminada, Microsoft Entra ID habilita el autoservicio de restablecimiento de contraseña para administradores. Deben utilizar dos métodos de autenticación para restablecer la contraseña. Para más información, consulte Diferencias entre directivas de restablecimiento de administrador.

  1. Para ver el proceso de registro manual, abra una nueva ventana del explorador en modo InPrivate o incógnito y vaya a https://aka.ms/ssprsetup. Microsoft Entra ID dirigirá a los usuarios a este portal de registro la próxima vez que inicien sesión.

  2. Inicie sesión con un usuario de prueba que no sea administrador, como usuarioDePrueba y registre la información de contacto de los métodos de autenticación.

  3. Cuando haya terminado, seleccione el botón marcado como Parece correcto y cierre la ventana del explorador.

  4. Abra una nueva ventana del explorador en modo de incógnito o InPrivate y vaya a https://aka.ms/sspr.

  5. Escriba la información de cuenta del usuario de prueba sin privilegios de administrador, como usuarioDePrueba, y los caracteres del CAPTCHA; después, seleccione Siguiente.

    Enter user account information to reset the password

  6. Siga los pasos de comprobación para restablecer la contraseña. Cuando termine, recibirá una notificación por correo electrónico que le notificará que se ha restablecido la contraseña.

Limpieza de recursos

En un tutorial posterior de esta serie, configurará la escritura diferida de contraseñas. Esta característica escribe los cambios de contraseña del autoservicio de restablecimiento de contraseña de Microsoft Entra de nuevo en un entorno de AD local. Si quiere continuar con esta serie de tutoriales para configurar la escritura diferida de contraseñas, no deshabilite SSPR por ahora.

Si ya no desea usar la funcionalidad de SSPR que ha configurado como parte de este tutorial, establezca el estado de SSPR en Ninguno mediante los pasos siguientes:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.
  2. Vaya a Protección>Restablecimiento de contraseña.
  3. En la página Propiedades, bajo la opción Se habilitó el restablecimiento de contraseña del autoservicio, elija Ninguno.
  4. Para aplicar el cambio de SSPR, seleccione Guardar.

Preguntas más frecuentes

En esta sección se explican las preguntas comunes de los administradores y los usuarios finales que prueba el autoservicio de restablecimiento de contraseña (SSPR):

  • ¿Por qué no se muestran las directivas de contraseña locales durante SSPR?

    En este momento, Microsoft Entra Connect y la sincronización en la nube no admiten el uso compartido de los detalles de la directiva de contraseñas con la nube. SSPR solo muestra los detalles de la directiva de contraseñas en la nube y no puede mostrar directivas locales.

  • ¿Por qué los usuarios federados esperan hasta 2 minutos después de ver el mensaje Se ha restablecido su contraseña y antes de usar contraseñas que se sincronizan desde el entorno local?

    En el caso de los usuarios federados cuyas contraseñas están sincronizadas, el origen de autoridad de las contraseñas es el en el entorno local. Como consecuencia, SSPR solo actualiza las contraseñas locales. La sincronización de hash de contraseñas en Microsoft Entra ID está programada para producirse cada 2 minutos.

  • Cuando un usuario recién creado cuyos datos de SSPR se rellenan previamente (por ejemplo, el teléfono y el correo electrónico) visita la página de registro de SSPR, el mensaje Actualización de la propia contraseña se muestra como título de la página. ¿Por qué otros usuarios cuyos datos de SSPR se rellenan previamente no ven el mensaje?

    Un usuario que ve Actualización de la propia contraseña pertenece a los grupos de registro combinado/SSPR configurados para el inquilino. Los usuarios que no ven Actualización de la propia contraseña no pertenecen a los grupos de registro combinado/SSPR.

  • Cuando algunos usuarios pasan por el proceso de SSPR y restablecen la contraseña, ¿por qué no ven el indicador del nivel de seguridad de la contraseña?

    Los usuarios que no ven si el nivel de contraseña es débil o fuerte tienen habilitada la escritura diferida de contraseñas. Dado que SSPR no puede establecer la directiva de contraseñas utilizada en el entorno local del cliente, no podrá confirmar si la contraseña es fuerte o débil.

Pasos siguientes

En este tutorial habilitó el autoservicio de restablecimiento de contraseña en Microsoft Entra para un grupo seleccionado de usuarios. Ha aprendido a:

  • Habilitación del autoservicio de restablecimiento de contraseña para un grupo de usuarios de Microsoft Entra
  • Configuración de métodos de autenticación y opciones de registro
  • Probar el proceso SSPR como usuario