Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
La retroalimentación de restablecimiento de contraseña de autoservicio con sincronización en la nube no está soportada en Microsoft Azure operado por 21Vianet. En su lugar, los administradores pueden implementar la escritura diferida de SSPR con Microsoft Entra Connect sync.
Sincronización en la nube de Microsoft Entra puede sincronizar los cambios de contraseña de Microsoft Entra en tiempo real entre usuarios de dominios desconectados de Active Directory Domain Services (AD DS) en entornos locales. Microsoft Entra Cloud Sync puede ejecutarse en paralelo con Microsoft Entra Connect en el nivel de dominio para simplificar la escritura diferida de contraseñas en escenarios adicionales, como los usuarios que están en dominios desconectados debido a una división o combinación de la empresa. Puede configurar cada servicio en dominios diferentes para dirigirse a distintos conjuntos de usuarios en función de sus necesidades. Microsoft Entra Cloud Sync utiliza el agente ligero de aprovisionamiento en la nube de Microsoft Entra para simplificar la configuración de la retroalimentación de restablecimiento de contraseña de autoservicio (SSPR) y proporcionar una manera segura de enviar los cambios de contraseña en la nube de vuelta a un directorio local.
Requisitos previos
- Un inquilino de Microsoft Entra con al menos una licencia de Microsoft Entra ID P1 o de prueba habilitada. Si es necesario, cree uno gratis.
- Una cuenta de administrador de identidad híbrida
- Microsoft Entra ID configurado para el autoservicio de restablecimiento de contraseña. Si es necesario, complete este tutorial para habilitar Microsoft Entra SSPR.
- Un entorno de AD DS local configurado con Microsoft Entra Cloud sync versión 1.1.977.0 o posterior. Obtenga información sobre cómo identificar la versión actual del agente.
Pasos de implementación
- Configurar los permisos de la cuenta de servicio de sincronización en la nube de Microsoft Entra
- Habilitar la retroescritura de contraseñas en la sincronización en la nube de Microsoft Entra Connect
- Habilitación de la escritura diferida de contraseñas para el autoservicio de restablecimiento de contraseña
Configuración de los permisos de la cuenta de servicio de sincronización en la nube de Microsoft Entra
Los permisos para la sincronización en la nube están configurados de manera predeterminada. Si es necesario restablecer los permisos, consulte Solución de problemas para obtener más detalles sobre los permisos específicos necesarios para la escritura diferida de contraseñas y cómo establecerlos mediante PowerShell.
Habilitación de escritura diferida de contraseñas en SSPR
Puede habilitar el aprovisionamiento de sincronización en la nube de Microsoft Entra Connect directamente en el centro de administración de Microsoft Entra o a través de PowerShell.
Habilitación de la escritura diferida de contraseñas en el Centro de administración de Microsoft Entra
Con la escritura diferida de contraseñas habilitada en Microsoft Entra Connect Cloud Sync, ahora puede verificar y configurar el autoservicio de restablecimiento de contraseña de Microsoft Entra (SSPR) para la escritura diferida de contraseñas. Al habilitar SSPR para que use la escritura inversa de contraseñas, los usuarios que cambien o restablezcan su contraseña tendrán esa contraseña actualizada sincronizada de nuevo en el entorno local de AD DS.
Para comprobar y habilitar la escritura diferida de contraseñas en SSPR, complete los pasos siguientes:
Inicie sesión en el centro de administración de Microsoft Entra como al menos un Administrador de Identidad Híbrida.
Vaya a Entra IDRestablecimiento de contraseña y elija Integración local.
Active la opción Habilitar la escritura diferida de contraseñas para los usuarios sincronizados.
(opcional) Si se detectan agentes de aprovisionamiento de Microsoft Entra Connect, también puede comprobar la opción de escribir contraseñas de nuevo con la sincronización en la nube de Microsoft Entra Connect.
Active la opción Permitir que los usuarios desbloqueen cuentas sin restablecer su contraseña en Sí.
Cuando esté listo, seleccione Guardar.
PowerShell
Con PowerShell, puede habilitar la sincronización en la nube de Microsoft Entra Connect mediante el cmdlet Set-AADCloudSyncPasswordWritebackConfiguration en los servidores con los agentes de aprovisionamiento.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Limpieza de recursos
Si ya no desea usar la funcionalidad de escritura diferida de SSPR que configuró como parte de este tutorial, complete los pasos siguientes:
- Inicie sesión en el centro de administración de Microsoft Entra como mínimo con permiso de un Administrador de Identidad Híbrida.
- Vaya a Entra IDRestablecimiento de contraseña y elija Integración local.
- Desactive la opción Habilitar la escritura diferida de contraseñas para los usuarios sincronizados.
- Desactive la opción de Escribir de nuevo las contraseñas con la sincronización en la nube de Microsoft Entra Connect.
- Desactive la opción Permitir que los usuarios desbloqueen cuentas sin restablecer su contraseña.
- Cuando esté listo, seleccione Guardar.
Si ya no desea usar la sincronización en la nube de Microsoft Entra Connect para la funcionalidad de escritura de SSPR, pero desea seguir usando el agente de sincronización de Microsoft Entra Connect para reescrituras, complete los pasos siguientes:
- Inicie sesión en el centro de administración de Microsoft Entra como mínimo un Administrador de identidades híbridas.
- Vaya a Entra IDRestablecimiento de contraseña y elija Integración local.
- Desmarque la opción de Reescribir contraseñas con la sincronización en la nube de Microsoft Entra Connect.
- Cuando esté listo, seleccione Guardar.
También puede usar PowerShell para deshabilitar la sincronización en la nube de Microsoft Entra Connect para la funcionalidad de escritura diferida de SSPR, desde el servidor de sincronización en la nube de Microsoft Entra Connect, ejecute Set-AADCloudSyncPasswordWritebackConfiguration mediante credenciales de administrador de identidades híbridas para deshabilitar la escritura diferida de contraseñas con Microsoft Entra Connect Cloud Sync.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Operaciones compatibles
Las contraseñas se reescriben en las siguientes situaciones para los usuarios finales y los administradores.
| Cuenta | Operaciones compatibles |
|---|---|
| Usuarios finales | Cualquier operación voluntaria de autoservicio de cambio de contraseña del usuario final. Cualquier operación obligatoria de autoservicio de cambio de contraseña del usuario final (por ejemplo, la expiración de la contraseña). Cualquier operación de autoservicio de restablecimiento de contraseña del usuario final que se origina a partir del restablecimiento de contraseña. |
| Administradores | Cualquier operación voluntaria de autoservicio de cambio de contraseña del administrador. Cualquier operación obligatoria de autoservicio de cambio de contraseña del administrador (por ejemplo, la expiración de la contraseña). Cualquier operación de autoservicio de restablecimiento de contraseña del administrador que se origina a partir del restablecimiento de contraseña. Cualquier restablecimiento de contraseña de usuario final iniciado por el administrador desde el centro de administración de Microsoft Entra. Cualquier restablecimiento de contraseña de usuario final iniciado por el administrador de Microsoft Graph API. |
Operaciones no admitidas
Las contraseñas no se vuelven a escribir en ninguna de las situaciones siguientes.
| Cuenta | Operaciones no admitidas |
|---|---|
| Usuarios finales | Cualquier usuario final que restablezca su propia contraseña mediante cmdlets de PowerShell o Microsoft Graph API. |
| Administradores | Cualquier restablecimiento de contraseña de usuario final iniciado por el administrador mediante cmdlets de PowerShell. Cualquier restablecimiento de contraseña de usuario final iniciado por el administrador desde el centro de administración de Microsoft 365. Ningún administrador puede usar la herramienta de restablecimiento de contraseña para restablecer su contraseña ni la de otro administrador en Microsoft Entra ID para la retroalimentación de contraseñas. |
Escenarios de validación
Intente las siguientes operaciones para comprobar escenarios mediante la retroescritura de contraseñas. Todos los escenarios de validación requieren que la sincronización en la nube esté instalada y que el usuario esté en el ámbito de la escritura diferida de contraseñas.
| Escenario | Detalles |
|---|---|
| Restablecer la contraseña desde la página de inicio de sesión | Haga que dos usuarios de dominios y bosques desconectados realicen SSPR. También podría haber implementado Microsoft Entra Connect y sincronización en la nube en paralelo y tener un usuario en el ámbito de la configuración de sincronización en la nube y otro en el ámbito de Microsoft Entra Connect y hacer que esos usuarios restablezcan su contraseña. |
| Forzar el cambio de contraseña caducada | Haga que dos usuarios de dominios y bosques desconectados cambien las contraseñas expiradas. También podría haber implementado Microsoft Entra Connect y sincronización en la nube en paralelo y tener un usuario en el ámbito de la configuración de sincronización en la nube y otro en el ámbito de Microsoft Entra Connect. |
| Cambio de contraseña normal | Haga que dos usuarios de dominios y bosques desconectados realicen un cambio de contraseña rutinario. También podría haber Microsoft Entra Connect y la sincronización en la nube en paralelo y tener un usuario en el ámbito de la configuración de sincronización en la nube y otro en el ámbito de Microsoft Entra Connect. |
| Restablecimiento de la contraseña del usuario por el administrador | Haga que dos usuarios de dominios y bosques desconectados restablezcan su contraseña mediante el centro de administración de Microsoft Entra o el portal de trabajadores de primera línea. También puede tener Microsoft Entra Connect y la sincronización en la nube en paralelo y tener un usuario en el ámbito de la configuración de sincronización en la nube y otro en el ámbito de Microsoft Entra Connect |
| Desbloqueo de cuentas de autoservicio | Haga que dos usuarios de dominios y bosques desconectados desbloqueen cuentas en el portal de SSPR y restablezcan la contraseña. También podría tener Microsoft Entra Connect y la sincronización en la nube operando en paralelo, con un usuario dentro del ámbito de la configuración de sincronización en la nube y otro dentro del ámbito de la configuración de Microsoft Entra Connect. |
Solucionar problemas
La cuenta de servicio administrada del grupo de sincronización en la nube Microsoft Entra Connect debe tener los permisos siguientes establecidos para reescribar las contraseñas de forma predeterminada:
- Restablecimiento de contraseña
- Permisos de escritura en lockoutTime
- Permisos de escritura en pwdLastSet
- Derechos extendidos para "Contraseña no expirada" en el objeto raíz de cada dominio de ese bosque, si aún no se ha establecido.
Si no se establecen estos permisos, puede establecer el permiso PasswordWriteBack en la cuenta de servicio mediante el cmdlet Set-AADCloudSyncPermissions y las credenciales de administrador de empresa locales:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Después de actualizar los permisos, estos permisos pueden tardar hasta una hora o más en replicarse en todos los objetos del directorio.
Si las contraseñas de algunas cuentas de usuario no se reescriben en el directorio local, asegúrese de que la herencia no esté deshabilitada para la cuenta en el entorno local de AD DS. Los permisos de escritura para las contraseñas se deben aplicar a los objetos descendientes para que la característica funcione correctamente.
Las directivas de contraseñas en el entorno de AD DS local pueden impedir que los restablecimientos de contraseña se procesen correctamente. Si va a probar esta característica y desea restablecer la contraseña para los usuarios más de una vez al día, la directiva de grupo para la antigüedad mínima de contraseña debe establecerse en 0. Esta configuración se puede encontrar en Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas de cuentas > Directiva de contraseñas en gpmc.msc.
Si actualiza la directiva de grupo, espere a que la directiva actualizada se replique o use el comando gpupdate /force.
Para que las contraseñas se cambien inmediatamente, la vigencia mínima de la contraseña debe establecerse en 0. Sin embargo, si los usuarios cumplen con las directivas locales y la antigüedad mínima de la contraseña se establece en un valor mayor que cero, la reactivación de contraseñas no funcionará después de evaluar las directivas locales.
Para obtener más información sobre cómo validar o configurar los permisos adecuados, consulte Configurar permisos de cuenta para Microsoft Entra Connect.
Pasos siguientes
- Para obtener más información sobre la sincronización en la nube y una comparación entre Microsoft Entra Connect y la sincronización en la nube, consulte ¿Qué es Microsoft Entra Connect cloud sync?
- Para ver un tutorial sobre cómo configurar la escritura diferida de contraseñas mediante Microsoft Entra Connect, consulte Tutorial: Enable Microsoft Entra self-service password reset writeback to an on-premises environment.