Migración a la autenticación en la nube mediante un lanzamiento preconfigurado

El lanzamiento preconfigurado permite probar de forma selectiva grupos de usuarios con funcionalidad de autenticación en la nube, como la autenticación multifactor de Microsoft Entra, el acceso condicional, la Protección de id. de Microsoft Entra para credenciales filtradas, Identity Governance, etc., antes de transicionar sus dominios. En este artículo se describe cómo realizar el cambio.

Antes de comenzar el lanzamiento preconfigurado, debe tener en cuenta las consecuencias en caso de que se cumplan las condiciones siguientes:

  • Actualmente, usa un servidor Multi-Factor Authentication en el entorno local.
  • Usa tarjetas inteligentes para la autenticación.
  • El servidor actual ofrece ciertas características de solo federación.
  • Va a pasar de una solución de federación de terceros a servicios administrados.

Antes de probar esta característica, le recomendamos que revise la guía sobre cómo elegir el método de autenticación correcto. Para más información, consulte la tabla "Comparación de métodos" de Selección del método de autenticación adecuado para su solución de identidad híbrida de Microsoft Entra.

Para obtener información general sobre la característica, observe este vídeo "¿Qué es el lanzamiento preconfigurado?":

Requisitos previos

  • Tiene un suscriptor de Microsoft Entra con dominios federados.

  • Ha decidido mover una de las siguientes opciones:

    Para ambas opciones, se recomienda habilitar el inicio de sesión único (SSO) para lograr una experiencia de inicio de sesión silenciosa. En el caso de los dispositivos Windows 7 u 8.1 unidos a un dominio, se recomienda usar el SSO de conexión directa. Para obtener más información, consulte ¿Qué es SSO de conexión directa?. Para Windows 10, Windows Server 2016 y versiones posteriores, se recomienda usar el SSO a través del token de actualización principal (PRT) con dispositivos unidos a Microsoft Entra, dispositivos híbridos unidos a Microsoft Entra o dispositivos personales registrados a través de Agregar cuenta profesional o educativa.

  • Ha configurado todas las directivas adecuadas de acceso condicional y personalización de marca del suscriptor que necesita para los usuarios que se van a migrar a la autenticación en la nube.

  • Si ha pasado de la autenticación federada a la autenticación de nube, debe verificar que la configuración de DirSync SynchronizeUpnForManagedUsers está habilitada; de lo contrario, Microsoft Entra ID no permite las actualizaciones de sincronización con el UPN ni el id. de inicio de sesión alternativo para las cuentas de usuario con licencia que usan la autenticación administrada. Para obtener más información, consulte Características del servicio de sincronización de Microsoft Entra Connect.

  • Si tiene previsto usar la autenticación multifactor de Microsoft Entra, le recomendamos que use el registro combinado para el autoservicio de restablecimiento de contraseña (SSPR) y la autenticación multifactor para que los usuarios registren sus métodos de autenticación una sola vez. Nota: cuando se usa SSPR para restablecer la contraseña o cambiar la contraseña mediante la página MyProfile en el lanzamiento preconfigurado, Microsoft Entra Connect necesita sincronizar el nuevo hash de contraseña, lo que puede tardar hasta dos minutos después del restablecimiento.

  • Para usar la característica de lanzamiento preconfigurado, debe ser un administrador de identidad híbrida en el suscriptor.

  • Para habilitar el SSO de conexión directa en un bosque específico de Active Directory, debe ser administrador de dominio.

  • Si implementa la unión híbrida de Microsoft Entra ID o Microsoft Entra, debe actualizar a la actualización de Windows 10 1903.

Escenarios admitidos

Se admiten los siguientes escenarios en el lanzamiento preconfigurado. La característica solo funciona en los siguientes casos:

  • Usuarios que se aprovisionan para Microsoft Entra ID mediante Microsoft Entra Connect. No se aplica a los usuarios solo de nube.

  • El tráfico de inicio de sesión del usuario en los exploradores y clientes de autenticación moderna. Las aplicaciones o los servicios en la nube que usan la autenticación heredada revierten a los flujos de autenticación federada. Un ejemplo de autenticación heredada podría ser Exchange Online con la autenticación moderna desactivada o Outlook 2010, que no admite autenticación moderna.

  • El tamaño de grupo está limitado actualmente a 50 000 usuarios. Si tiene grupos de más de 50 000 usuarios, se recomienda dividir este grupo en varios grupos para el lanzamiento preconfigurado.

  • Adquisición de token de actualización principal de Unión híbrida a Windows 10 o Unión a Microsoft Entra sin línea de visión con el servidor de federación para Windows 10 versión 1903 y posteriores, cuando el UPN del usuario se puede enrutar y el sufijo de dominio se comprueba en Microsoft Entra ID.

  • La inscripción de Autopilot se admite en el lanzamiento preconfigurado con Windows 10 (versión 1909 o posterior).

Escenarios no admitidos

Los siguientes escenarios no se admiten en el lanzamiento preconfigurado:

  • No se admite la autenticación heredada, como POP3 y SMTP.

  • Ciertas aplicaciones envían el parámetro de consulta "domain_hint" a Microsoft Entra ID durante la autenticación. Estos flujos continúan, y los usuarios habilitados para el lanzamiento preconfigurado siguen usando la federación en la autenticación.

  • El administrador puede implementar la autenticación en la nube mediante grupos de seguridad. Para evitar la latencia de la sincronización cuando se usan grupos de seguridad de Active Directory locales, se recomienda usar grupos de seguridad de nube. Se aplican las siguientes condiciones:

    • Puede usar hasta 10 grupos por característica. Es decir, puede usar 10 grupos por cada sincronización de hash de contraseña, autenticación transferida y SSO de conexión directa.
    • No se admiten los grupos anidados.
    • Los grupos dinámicos no se admiten en el lanzamiento preconfigurado.
    • Los objetos de contacto dentro del grupo impiden que se agregue el grupo.
  • La primera vez que se agrega un grupo de seguridad para el lanzamiento preconfigurado, está limitado a 200 usuarios para evitar que se agote el tiempo de espera de la experiencia de usuario. Después de agregar el grupo, puede agregarle más usuarios directamente, según sea necesario.

  • Mientras los usuarios estén en lanzamiento preconfigurado con sincronización de hash de contraseña (PHS), de forma predeterminada no se aplica ninguna expiración de contraseña. La expiración de contraseña se puede aplicar habilitando "CloudPasswordPolicyForPasswordSyncedUsers". Cuando "CloudPasswordPolicyForPasswordSyncedUsers" está habilitado, la directiva de expiración de contraseña se establece en 90 días desde el momento en el que la contraseña se estableció localmente sin la opción de personalizarla. No se admite la actualización mediante programación del atributo PasswordPolicies mientras los usuarios están en el lanzamiento preconfigurado. Para obtener información sobre cómo establecer "CloudPasswordPolicyForPasswordSyncedUsers", consulte Directiva de expiración de contraseñas.

  • Adquisición de token de actualización principal de Unión híbrida a Windows 10 o Unión a Microsoft Entra para versiones de Windows 10 anteriores a la 1903. Este escenario revierte al punto de conexión de WS-Trust del servidor de federación, incluso si el usuario que inicia sesión está en el ámbito del lanzamiento preconfigurado.

  • Adquisición de token de actualización principal de Unión híbrida a Windows 10 o Unión a Microsoft Entra para todas las versiones, cuando el UPN local del usuario no se puede enrutar. Este escenario revierte al punto de conexión de WS-Trust durante el modo de lanzamiento preconfigurado, pero deja de funcionar cuando se completa la migración preconfigurada y el inicio de sesión de usuario ya no depende del servidor de federación.

  • Si tiene una configuración de VDI no persistente con Windows 10 versión 1903 o posterior, debe permanecer en un dominio federado. No se admite el traslado a un dominio administrado en VDI no persistente. Para más información, consulte Identidad del dispositivo y virtualización del escritorio.

  • Si tiene una relación de confianza de certificado híbrido de Windows Hello para empresas con certificados emitidos mediante el servidor de federación que actúa como entidad de registro o usuarios de tarjeta inteligente, el escenario no es compatible con un lanzamiento preconfigurado.

    Nota

    Aún es necesario hacer la transición final de la autenticación federada a la nube mediante Microsoft Entra Connect o PowerShell. El lanzamiento preconfigurado no cambia de dominio federado a administrado. Para más información sobre la transición de dominios, consulte Migración de la federación a la sincronización de hash de contraseña y Migración de la federación a la autenticación transferida.

Introducción al lanzamiento preconfigurado

Para probar el inicio de sesión de sincronización de hash de contraseñas mediante el lanzamiento preconfigurado, siga las instrucciones del trabajo previo en la sección siguiente.

Para información sobre qué cmdlets de PowerShell usar, consulte la versión preliminar de Microsoft Entra ID 2.0.

Trabajo previo para la sincronización de hash de contraseña

  1. Habilite Sincronización de hash de contraseña en la página Características opcionales de Microsoft Entra Connect. 

    Captura de pantalla de la página

  2. Asegúrese de que se ha ejecutado un ciclo completo de sincronización de hash de contraseña de modo que todos los hash de contraseña de los usuarios se hayan sincronizado con Microsoft Entra ID. Para comprobar el estado de la sincronización de hash de contraseña, puede usar el diagnóstico de PowerShell que se describe en Solución de problemas de sincronización de hash de contraseñas con la sincronización de Microsoft Entra Connect.

    Captura de pantalla del registro de solución de problemas de Microsoft Entra Connect

Si quiere probar el inicio de sesión de autenticación transferida con el lanzamiento preconfigurado, siga las instrucciones del trabajo previo de la sección siguiente para habilitarlo.

Trabajo previo para la autenticación transferida

  1. Identifique un servidor que ejecute Windows Server 2012 R2 o posterior en el que quiera ejecutar el agente de autenticación transferida.

    No elija el servidor de Microsoft Entra Connect. Asegúrese de que el servidor esté unido a un dominio, que pueda autenticar a los usuarios seleccionados con Active Directory y que pueda comunicarse con Microsoft Entra ID en direcciones URL y puertos de salida. Para más información, consulte la sección "Paso 1: Comprobación de requisitos previos" del Inicio rápido: Inicio de sesión único de conexión directa de Microsoft Entra.

  2. Descargue el agente de autenticación de Microsoft Entra Connect e instálelo en el servidor. 

  3. Para permitir alta disponibilidad, instale agentes de autenticación adicionales en otros servidores.

  4. Asegúrese de que ha configurado el bloqueo inteligente adecuadamente. De este forma, se garantiza que individuos infiltrados no bloqueen las cuentas de Active Directory locales de los usuarios.

Se recomienda habilitar el SSO de conexión directa con independencia del método de inicio de sesión (sincronización de hash de contraseña o autenticación transferida) que seleccione para el lanzamiento preconfigurado. Para habilitar el SSO conexión directa, siga las instrucciones del trabajo previo de la sección siguiente.

Trabajo previo para el SSO de conexión directa

Habilite el SSO de conexión directa en los bosques de Active Directory mediante PowerShell. Si tiene más de un bosque de Active Directory, habilítelo individualmente para cada uno. El SSO de conexión directa solo se desencadena en los usuarios seleccionados para el lanzamiento preconfigurado. No afecta a la configuración de federación existente.

Para habilitar el SSO de conexión directa, haga las siguientes tareas:

  1. Inicie sesión en el servidor de Microsoft Entra Connect.

  2. Vaya a la carpeta %programfiles%\Microsoft Entra Connect.

  3. Importe el módulo de PowerShell de SSO de conexión directa mediante la ejecución del siguiente comando:

    Import-Module .\AzureADSSO.psd1

  4. Ejecute PowerShell como administrador. En PowerShell, llame a New-AzureADSSOAuthenticationContext. Este comando abre un panel en el que puede especificar sus credenciales de administrador de identidad híbrida del suscriptor.

  5. Llame a Get-AzureADSSOStatus | ConvertFrom-Json. Este comando muestra una lista de bosques de Active Directory (consulte la lista "Dominios") en los que se ha habilitado esta característica. De manera predeterminada, se establece en False en el nivel de suscriptor.

    Ejemplo de la salida de PowerShell

  6. Llame a $creds = Get-Credential. Cuando se le pida, introduzca las credenciales del administrador de dominio correspondientes al bosque de Active Directory deseado.

  7. Llame a Enable-AzureADSSOForest -OnPremCredentials $creds. Este comando crea la cuenta de equipo AZUREADSSOACC del controlador de dominio en el entorno local para este bosque de Active Directory que se necesita para el SSO de conexión directa.

  8. Para el SSO de conexión directa, es necesario que las direcciones URL estén en la zona de intranet. Para implementar estas direcciones URL mediante directivas de grupo, consulte Inicio rápido: Inicio de sesión único de conexión directa de Microsoft Entra.

  9. Para ver un tutorial completo, también puede descargar los planes de implementación para el SSO de conexión directa.

Habilitación del lanzamiento preconfigurado

Para implementar una característica concreta (autenticación transferida, sincronización de hash de contraseña o SSO de conexión directa) en un conjunto seleccionado de usuarios de un grupo, siga las instrucciones de las secciones siguientes.

Habilitación de un lanzamiento preconfigurado de una característica específica en el suscriptor

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Puede implementar una de estas opciones:

  • Sincronización de hash de contraseña + SSO de conexión directa
  • Autenticación transferida + SSO de conexión directa
  • No se admite - Sincronización de hash de contraseña + Autenticación transferida + SSO de conexión directa
  • Configuración de autenticación basada en certificados
  • Autenticación multifactor de Azure

Para configurar el lanzamiento preconfigurado, siga estos pasos:

  1. Inicie sesión en el Centro de administración Microsoft Entra al menos como Administrador de identidad híbrida.

  2. Vaya a Identidad>Administración híbrida>Microsoft Entra Connect>Sincronización de Connect.

  3. En la página Microsoft Entra Connect, en Implementación por fases de la autenticación en la nube, seleccione el vínculo Habilitar el lanzamiento preconfigurado para el inicio de sesión del usuario administrado.

  4. En la página Habilitar la característica de lanzamiento preconfigurado, seleccione las opciones que quiere habilitar: Sincronización de hash de contraseñas, Autenticación transferida, Inicio de sesión único de conexión directa o Autenticación basada en certificados. Por ejemplo, si quiere habilitar Sincronización de hash de contraseña e Inicio de sesión único de conexión directa seleccione Activado.

  5. Agregue grupos a las características seleccionadas. Por ejemplo, la autenticación transferida y SSO de conexión directa. Para evitar tiempo de espera, asegúrese de que los grupos de seguridad no contengan más de 200 miembros inicialmente.

    Nota

    Los miembros de un grupo se habilitan automáticamente para el lanzamiento preconfigurado. No se admiten grupos de pertenencia dinámica ni anidada en el lanzamiento preconfigurado. Al agregar un nuevo grupo, los usuarios del grupo (hasta 200 usuarios para un grupo nuevo) se actualizarán para usar la autenticación administrada de forma inmediata. Al editar un grupo (agregar o eliminar usuarios), los cambios pueden tardar hasta 24 horas en surtir efecto. El SSO de conexión directa solo se aplicará si los usuarios están en el grupo de SSO de conexión directa y también en un grupo de PTA o de PHS.

Auditoría

Se han habilitado eventos de auditoría para las diferentes acciones que se realizan en el lanzamiento preconfigurado:

  • Evento de auditoría cuando se habilita un lanzamiento preconfigurado para la sincronización de hash de contraseñas, la autenticación transferida o el SSO de conexión directa.

    Nota

    Se registra un evento de auditoría cuando se activa el SSO de conexión directa mediante el lanzamiento preconfigurado.

    Panel “Crear directiva de lanzamiento de características”, pestaña “Actividad”

    Panel “Crear directiva de lanzamiento de características”, pestaña “Propiedades modificadas”

  • Evento de auditoría cuando se agrega un grupo a sincronización de hash de contraseñas, autenticación transferida o SSO de conexión directa.

    Nota

    Se registra un evento de auditoría cuando se agrega un grupo a la sincronización de hash de contraseñas en el lanzamiento preconfigurado.

    Panel “Agregar un grupo al lanzamiento de características”, pestaña “Actividad”

    Panel “Agregar un grupo al lanzamiento de características”, pestaña “Propiedades modificadas”

  • Evento de auditoría cuando un usuario que se agregó al grupo está habilitado para el lanzamiento preconfigurado.

    Panel “Agregar un usuario al lanzamiento de características”, pestaña “Actividad”

    Panel “Agregar un usuario al lanzamiento de características”, pestaña “Destinos”

Validación

Para probar el inicio de sesión con sincronización de hash de contraseña o autenticación transferida (inicio de sesión con nombre de usuario y contraseña), haga las siguientes tareas:

  1. En la extranet, vaya a la página Aplicaciones en una sesión privada del navegador y, luego, escriba el UPN (UserPrincipalName) de la cuenta de usuario seleccionada para el lanzamiento preconfigurado.

    Los usuarios destinados al lanzamiento preconfigurado no se redirigen a la página de inicio de sesión federado. En su lugar, se les pide que inicien sesión en la página de inicio de sesión con la marca de suscriptor de Microsoft Entra.

  2. Asegúrese de que el inicio de sesión se muestra correctamente en el Informe de actividad de inicio de sesión de Microsoft Entra mediante el filtrado por UserPrincipalName.

Para probar el inicio de sesión con el SSO de conexión directa:

  1. En la intranet, vaya a la página Aplicaciones con una sesión del navegador y después introduzca el UserPrincipalName (UPN) de la cuenta de usuario seleccionada para el lanzamiento preconfigurado.

    Los usuarios destinados al lanzamiento preconfigurado de SSO de conexión directa reciben un mensaje de intento de inicio de sesión antes de que se inicie sesión en modo silencioso.

  2. Asegúrese de que el inicio de sesión se muestra correctamente en el Informe de actividad de inicio de sesión de Microsoft Entra mediante el filtrado por UserPrincipalName.

    Para hacer un seguimiento de los inicios de sesión de los usuarios seleccionados para el lanzamiento preconfigurado que se siguen produciendo en los Servicios de federación de Active Directory (AD FS), siga las instrucciones que se indican en Solución de problemas de AD FS: eventos y registro. Consulte la documentación del proveedor para saber cómo comprobar esto en los proveedores de federación de terceros.

    Nota

    Mientras los usuarios están en la fase de lanzamiento preconfigurado con PHS, el cambio de contraseñas puede tardar hasta 2 minutos en surtir efecto debido al tiempo de sincronización. Asegúrese de establecer expectativas con los usuarios para evitar llamadas al departamento de soporte técnico cuando cambien la contraseña.

Supervisión

Para supervisar los usuarios y grupos agregados o quitados del lanzamiento preconfigurado y de los inicios de sesión de los usuarios durante el lanzamiento preconfigurado, utilice los nuevos libros de autenticación híbrida del Centro de administración Microsoft Entra.

Libros de autenticación híbrida

Eliminación de un usuario del lanzamiento preconfigurado

Al eliminar un usuario del grupo, se deshabilita el lanzamiento preconfigurado para ese usuario. Para inhabilitar la característica de lanzamiento preconfigurado, deslice el control de nuevo a Desactivado.

Preguntas más frecuentes

P: ¿Se puede usar esta funcionalidad en producción?

R: Sí, esta característica se puede usar en el suscriptor de producción, pero se recomienda que la pruebe primero en el suscriptor de prueba.

P: ¿Se puede usar esta característica para mantener una "coexistencia" permanente, en la que algunos usuarios usan la autenticación federada y otros la autenticación en la nube?

R: No, esta característica está diseñada para probar la autenticación en la nube. Después de pruebas correctas, debe transicionar algunos grupos de usuarios a la autenticación en la nube. No se recomienda un estado mixto permanente, ya que este enfoque podría llevar a flujos de autenticación inesperados.

P: ¿Se puede usar PowerShell para realizar el lanzamiento preconfigurado?

R: Sí. Para información sobre cómo usar PowerShell para realizar el lanzamiento preconfigurado, consulte Versión preliminar de Microsoft Entra ID.

Pasos siguientes