7 características de Azure Active Directory que tienes que probar!! (2/7): Portal de autoservicio de cambio de contraseña.
Buenos dias a todos desde la bellisima tierra Catalana,
Hoy me gustaria contaros esta herramienta tan interesante y util como es el “Portal de autoservicio de cambio de contraseña”, también denominado Self Service Portal Reset o SSPR.
De esto hay mucha información y es un punto muy interesante para ahorrar €€€ en los Centros de Atención al Usuario. Según un estudio sobre el tiempo que se dedica a este tipo de incidencias, en este artículo de SpecOps nos cuenta que por cada 1000 empleados hay que destinar unas 1000 horas por año de personal para el reestablecimiento de las contraseñas, detalle que con esta magnífica característica solucionamos de una manera solvente esta perdida de tiempo y dinero.
Este servicio nos ofrece un medio sencillo con el que los administradores de TI pueden «permitir que los usuarios» restablezcan o desbloqueen sus cuentas o contraseñas. Ademas, disponemos de informes detallados del seguimiento de acceso de los usuarios al sistema, asi como notificaciones de alerta de posibles abusos o usos indebidos.
Habilitación del portal de autoservicio de restablecimiento de contraseña (SSPR)
Desde Azure Active Directory seleccionaremos Password Reset o Restablecimiento de contraseña.
En el siguiente menu seleccionaremos Propiedades, en Habilitación del portal de autoservicio de restablecimiento de contraseña, nos apareceran las siguientes opciones, donde tendremos que seleccionar una de las tres siguientes:
- Ninguno: nadie puede usar esta funcionalidad u opción de tener este servicio deshabilitado. Es la opción por defecto.
- Seleccionado: donde solo los miembros de un grupo de Azure AD determinado que seleccionaremos podrán usar esta funcionalidad. Detalle importante, si se admite el anidamiento de grupos de seguridad. Os recomiendo empezar con un grupo de prueba con muy pocos usuarios y luego cambiarlo o anidarlo por un grupo con el colectivo de usuarios al que queremos desplegar este servicio.
- Todos: todos los usuarios con cuentas en nuestro Dominio de Azure AD podrán usar la funcionalidad SSPR.
No hay que olvidar que en cualquier momento un administrador puede resetear la contraseña de cualquier usuario, via consola, Powershell, Azure Cli, Para nuestro ejemplo/Prueba de Concepto, vamos a utilizar un grupo denominado SSPR, entones, esta funcionalidad estará disponible para todos aquellos usuarios que pertenezcan a este grupo:
El siguiente parámetro a configurar son los Métodos de autenticación, donde definimos el número de métodos de identificación alternativos que tendran los usuarios de este Directorio de Azure:
- Número de métodos requeridos para el restablecimiento de contraseña: Solo tenemos 2 opciones, uno como mínimo o dos como máximo. Asunto cerrado.
- Métodos disponibles para los usuarios: en este caso, con un método nos vale, pero es recomendable tener al menos dos. Basta con hacer un check encima de cada opción:
- Correo electrónico: se envía un correo electrónico con un código a la dirección de correo electrónico de autenticación configurada del usuario en Azure AD.
- Teléfono móvil: se recibirá una llamada o un mensaje de texto con un código en su número de teléfono móvil configurado en Azure AD.
- Teléfono de la oficina: realiza una llamada al número de teléfono de la oficina configurado del usuario.
- Preguntas de seguridad: En cuanto seleccionais esta opción, nos apaeceran nuevas opciones sobre las preguntas necearias:
- Número de preguntas necesarias para registrarse: Como veis, esta opción permite definir de tres a cinco preguntas y debe ser mayor o igual que el número de preguntas necesarias para el restablecimiento de la contraseña. El usuario puede agregar preguntas personalizadas..
- Número de preguntas necesarias para el restablecimiento: Se puede establecerse de tres a cinco preguntas que responder correctamente para permitir restablecer o desbloquear la contraseña.
Con estas opciones, el Portal de Autoservicio de cambio de contraseña ya estaria funcionado, aunque tenemos otras opciones, como, Registro, Notificación, Personalización, etc., que es conveniente configurar :
- Registro donde proporciona a los administradores las opciones de:
- Exigir a los usuarios que se registren al iniciar sesión.
- Establecer el número de días que pasan hasta que se pide a los usuarios que vuelvan a confirmar su información de autenticación.
- Notificación donde configuramos qué notificaciones llegarán tanto a los usuarios implicados como a los administradores:
- Notificar a los usuarios el restablecimiento de contraseña.
- Notificar a todos los administradores cuando otros administradores restablezcan su contraseña.
- Personalización donde podemos incluir un link o dirección de correo para ponerse en contacto con el departamento de Helpdesk:
- Password WriteBack donde podemos configurar la integración loca, o que cuando cambies la contraseña en Azure AD se replique a Directorio Activo. Por defecto viene deshabilitado y mas adelante me gustaría dedicar un Post a esta funcionalidad.
Registro en el portal.
Una vez hemos habilitado el portal solo nos queda un último paso y es que los usuarios se registren en el Portal de Autoservicio, concretamente en la Página de registro para actualizar la contraseña y validar que la información contenida en Azure AD para contactar con el usuario es correcta.
Dependiendo de la configuación que hayamos realizado anteriormente, nos puede aparecer la siguiente información para validar:
- Teléfono del trabajo: solo el administrador puede tener acceso a esta información.
- Teléfono de autenticación: El usuario tendrá que verificar si ese es su número de teléfono.
- Correo electrónico de autenticación: Igual que en el punto anterior, en esta opción aparecerá una dirección de correo electrónico alternativa a validar por el usuario.
- Preguntas de seguridad: si el administrador ha aprobado una lista de preguntas le aparecerán para que las responda.
Seleccionaremos Finalizar. Ahora ahora si que está completamente configurado nuestro portal SSPR.
Un detalle a tener en cuenta, por motivos obvios de seguridad, es que los datos que el usuario escriba en el número de teléfono o en el correo electrónico de autenticación no serán visibles en el directorio global. Las únicas personas que pueden ver estos datos son el propio usuario y los administradores. Asimismo, solo el propio usuario puede ver las respuestas a las preguntas de seguridad.
Incidencias mas comunes
Las incidencias mas comunes que os podeis encontrar:
Caso de error | ¿Qué tipo de error aparece? | Solución |
---|---|---|
Al escribir el identificador de usuario, no lo encuentra y te redirigie a una página donde nos indica «Póngase en contacto con su administrador« | Póngase en contacto con el administrador.
Hemos detectado que la contraseña de su cuenta de usuario no está administrada por Microsoft. Como consecuencia, no podemos restablecer automáticamente su contraseña. Póngase en contacto con el personal de TI para obtener ayuda adicional. |
Si estas viendo este mensaje es porque el personal de TI administra su contraseña solo en el entorno local y no permite restablecerla desde el servicio SSRP.
Para restablecer la contraseña, habra que ponerse en contacto directamente con el personal de TI.. |
Después de escribir mi identificador de usuario, recibo el error «Su cuenta no está habilitada para el restablecimiento de contraseña«. | La cuenta no está habilitada para restablecer la contraseña.
Su personal de TI no ha configurado la cuenta para utilizarla con este servicio. Si lo desea, podemos ponernos en contacto con un administrador de su organización para que restablezca la contraseña. |
Si aparece este mensaje, es que el personal de TI no ha habilitado el servicio SSRP para su organización o bien no le han autorizado para usar la característica.
Para restablecer la contraseña, seleccione el vínculo Póngase en contacto con un administrador. Se enviará un correo electrónico al personal de TI de su empresa. . |
Después de escribir mi identificador de usuario, recibo el error «No se pudo comprobar su cuenta«. | No se ha podido comprobar su cuenta.
Si lo desea, podemos ponernos en contacto con un administrador de su organización para que restablezca la contraseña. |
Si un usuario ve este mensaje, es que está habilitado para usar el restablecimiento de contraseña, pero no se ha registrado para usar el servicio. Por lo tanto, dicho usuario tendra que registrarse para el restablecimiento de contraseña en el siguiente link: página de registro de restablecimiento de contraseña, obviamente, después de haber recuperado el acceso a su cuenta. |
Deshabilitación del Portal de autoservicio de restablecimiento de contraseña
Como ya hemos comenado al principio, para deshabilitar el portal de autoservicio de restablecimiento de contraseña iremos a Restablecimiento de contraseña > Propiedades y seleccione Ninguno.
Para terminar, os dejo con este video resumen muy ilustrativo:
Que tengais una gran semana, se acercan las vacaciones!!
Un abrazo,
Roberto