Descripciones de características de Microsoft 365

User account management

Microsoft admite los métodos siguientes para crear, administrar y autenticar usuarios. Sin embargo, este tema no incluye información sobre las características de seguridad que permiten o prohíben el acceso a recursos individuales de Microsoft (por ejemplo, el control de acceso basado en rol en Microsoft Exchange Online o la configuración de la seguridad en Microsoft Office SharePoint Online). Para obtener más información sobre estas características, vea la descripción del servicio Exchange Online y la descripción del servicio SharePoint Online. Si necesita información sobre las herramientas que pueden ayudarle a realizar tareas administrativas, consulte Herramientas para administrar cuentas de Microsoft. Para obtener información sobre cómo realizar tareas de administración diarias, consulte Tareas de administración comunes.

¿Necesita ayuda para iniciar sesión, instalar o desinstalar o cancelar la suscripción?: Obtenga ayuda con: inicio de sesión | Instalación o desinstalación de Office | Canceling Office 365

Para ver otros problemas, visite el Centro de soporte técnico de Microsoft. Para obtener soporte técnico para Office 365 operado por 21Vianet en China, póngase en contacto con el equipo de soporte técnico de 21Vianet.

Opciones de inicio de sesión: Microsoft tiene dos sistemas que se pueden usar para identidades de usuario: cuenta profesional o educativa (identidad en la nube) y cuenta federada (identidad federada). El tipo de identidad influye en la experiencia del usuario y en las opciones de administración de cuentas de usuario, así como en los requisitos de hardware y software y en otras consideraciones de la implementación.

Cuenta profesional o educativa (identidad en la nube): los usuarios reciben Microsoft Entra credenciales en la nube(independientes de otras credenciales corporativas o de escritorio) para iniciar sesión en los servicios en la nube de Microsoft. Esta es la identidad predeterminada y se recomienda para poder minimizar la complejidad de la implementación. Las contraseñas para cuentas profesionales o educativas usan la directiva de contraseñas de Microsoft Entra ID.

Cuenta federada (identidad federada): para todas las suscripciones de organizaciones con Active Directory local que usan el inicio de sesión único (SSO), los usuarios pueden iniciar sesión en los servicios de Microsoft con sus credenciales de Active Directory. El Active Directory corporativo almacena y controla la directiva de contraseñas. Para obtener información sobre el SSO, vea Plan de desarrollo del inicio de sesión único.

Inicio de sesión único: En el caso de las organizaciones que usan el inicio de sesión único, todos los usuarios de un dominio deben usar el mismo sistema de identidad: identidad en la nube o identidad federada. Por ejemplo, podría tener un grupo de usuarios que solo necesita una identidad en la nube porque no tienen acceso a sistemas locales y otro grupo de usuarios que usan microsoft y sistemas locales. Agregaría dos dominios a Office 365, como contractors.contoso.com y staff.contoso.com, y solo configuraría el inicio de sesión único para uno de ellos. Un dominio completo de identidad de nube puede convertirse a identidad federada, o viceversa.

Autenticación: A excepción de los sitios de Internet para el acceso anónimo creado con SharePoint Online, los usuarios deben autenticarse al acceder a los servicios de Microsoft. Autenticación moderna, autenticación de identidad en la nube y autenticación de identidad federada. Microsoft usa la autenticación basada en formularios y el tráfico de autenticación a través de la red siempre se cifra con TLS/SSL mediante el puerto 443. El tráfico de autenticación usa un porcentaje insignificante de ancho de banda para los servicios de Microsoft.

Autenticación moderna : la autenticación moderna lleva el inicio de sesión basado en la biblioteca de autenticación de Microsoft a las aplicaciones cliente de Office en todas las plataformas. De esta forma se habilitan las características de inicio de sesión, como la autenticación multifactor (MFA), los proveedores de identidad de terceros basada en SAML con aplicaciones de cliente de Office, y la autenticación basada en certificados y la tarjeta inteligente. También elimina la necesidad de que Microsoft Outlook use el protocolo de autenticación básica. Para obtener más información, incluida la disponibilidad de la autenticación moderna en todas las aplicaciones de Office, vea Cómo funciona la autenticación moderna para las aplicaciones cliente de Office 2013 y Office 2016. La autenticación moderna está activada de forma predeterminada para Exchange Online. Para obtener información sobre cómo activarla o desactivarla, consulte Habilitación de la autenticación moderna en Exchange Online.

Autenticación de identidad en la nube: los usuarios con identidades en la nube se autentican mediante el desafío o la respuesta tradicionales. El explorador web se redirige al servicio de inicio de sesión de Microsoft, donde escribe el nombre de usuario y la contraseña de la cuenta profesional o educativa. El servicio de inicio de sesión autentica las credenciales y genera un token de servicio, que el explorador web publica en el servicio solicitado e inicia su sesión.

Autenticación de identidad federada: los usuarios con identidades federadas se autentican mediante Servicios de federación de Active Directory (AD FS) (AD FS) 2.0 u otros servicios de token de seguridad. El explorador web se redirige al servicio de inicio de sesión de Microsoft, donde escribe el identificador corporativo con el formato de nombre principal de usuario (UPN), por ejemplo: isabel@contoso.com. El servicio de inicio de sesión determina que forma parte de un dominio federado y ofrece redirigirle al servidor de federación local para la autenticación. Si ha iniciado sesión en el escritorio (unido a un dominio), se autentica (mediante Kerberos o NTLMv2) y el servicio de token de seguridad local genera un token de inicio de sesión, que el explorador web publica en el servicio de inicio de sesión de Microsoft. A través del token de inicio de sesión, el servicio de inicio de sesión genera un token de servicio que el explorador web publica en el servicio pedido e inicia su sesión. Para obtener una lista de los servicios de token de seguridad disponibles, consulte Hoja de ruta de inicio de sesión único.

Multi-Factor Authentication: Con Multi-Factor Authentication, los usuarios deben confirmar una llamada telefónica, un mensaje de texto o una notificación de aplicación en su teléfono inteligente después de escribir correctamente su contraseña. Solo después de esta segunda autenticación, el usuario podrá iniciar sesión. Los administradores de Microsoft pueden inscribir usuarios para la autenticación multifactor en el Centro de administración de Microsoft 365. Más información sobre Multi-Factor Authentication.

Autenticación de cliente enriquecida: Para clientes enriquecidos, como aplicaciones de escritorio de Microsoft Office, la autenticación puede producirse de dos maneras: Microsoft Online Services Sign-In Assistant y Autenticación básica/proxy a través de SSL. Para garantizar la detección y autenticación adecuadas de los servicios de Microsoft, los administradores deben aplicar un conjunto de componentes y actualizaciones a cada estación de trabajo que use clientes enriquecidos (como Microsoft Office 2010) y se conecte a Office 365. La configuración de escritorio es una herramienta automatizada para configurar estaciones de trabajo con las actualizaciones necesarias. Para obtener más información, consulte Uso de mis aplicaciones de escritorio de Office actuales.

Microsoft Online Services Sign-In Assistant: el asistente de inicio de sesión, que se instala mediante la configuración del escritorio, contiene un servicio cliente que obtiene un token de servicio del servicio de inicio de sesión y lo devuelve al cliente enriquecido. Si tiene una identidad en la nube, recibirá una solicitud de credenciales que el servicio cliente envía al servicio de inicio de sesión para la autenticación (mediante WS-Trust). Si tiene una identidad federada, el servicio cliente primero se pone en contacto con el servidor de AD FS 2.0 para autenticar las credenciales (mediante Kerberos o NTLMv2) y obtener un token de inicio de sesión que se envía al servicio de inicio de sesión (mediante WS-Federation y WS-Trust).

Autenticación básica o de proxy a través de SSL: el cliente de Outlook pasa las credenciales de autenticación básica a través de SSL a Exchange Online. Exchange Online envía la solicitud de autenticación a la plataforma de identidad y, a continuación, a Active Directory local Servidor de federación (para sso).

Experiencia de inicio de sesión: La experiencia de inicio de sesión cambia en función del tipo de identidad en uso:

Servicio Identidad de la nube Identidad federada
Outlook 2016 Iniciar sesión en cada sesión 1 Iniciar sesión en cada sesión 2
Outlook 2013 Iniciar sesión en cada sesión 1 Iniciar sesión en cada sesión 2
Outlook 2010 o Office 2007 en Windows 7 Iniciar sesión en cada sesión 1 Iniciar sesión en cada sesión 2
Outlook 2010 o Office Outlook 2007 en Windows Vista Iniciar sesión en cada sesión 1 Iniciar sesión en cada sesión 2
Microsoft Exchange ActiveSync Iniciar sesión en cada sesión 1 Iniciar sesión en cada sesión 2
POP, IMAP, Outlook para Mac Iniciar sesión en cada sesión 1 Iniciar sesión en cada sesión 2
Experiencias web: Centro de administración de Microsoft 365/Outlook en la Web/SharePoint Online/Office para la Web Iniciar sesión en cada sesión de explorador 4 Iniciar sesión en cada sesión 3
Office 2010 o Office 2007 mediante SharePoint Online Iniciar sesión en cada sesión de SharePoint Online4 Iniciar sesión en cada sesión de SharePoint Online3
Skype Empresarial Online Iniciar sesión en cada sesión 1 Ningún aviso
Outlook para Mac Iniciar sesión en cada sesión 1 Iniciar sesión en cada sesión 2

1 Cuando se le solicite por primera vez, puede guardar la contraseña para su uso futuro. No recibirá otro mensaje hasta que cambie la contraseña.
2 Escriba sus credenciales corporativas. Puede guardar la contraseña y no se le pedirá de nuevo hasta que cambie la contraseña.
3 Todas las aplicaciones requieren que escribas o selecciones tu nombre de usuario para iniciar sesión. No se le pedirá la contraseña si el equipo está unido al dominio. Si selecciona Mantener la sesión iniciada , no se le volverá a preguntar hasta que cierre la sesión.
4 Si selecciona Mantener la sesión iniciada , no se le pedirá de nuevo hasta que cierre la sesión.

Crear cuentas de usuario: Hay varias maneras de agregar usuarios. Para obtener más información, consulte Agregar usuarios de forma individual o masiva: Administración Ayuda y Agregar usuarios y asignar licencias: administrador de Microsoft 365 | Microsoft Docs. Si usa Office 365 operado por 21Vianet en China, consulte Creación o edición de cuentas de usuario en Office 365 operadas por 21Vianet - Administración Ayuda.

Eliminar cuentas de usuario: La forma de eliminar cuentas depende de si usa o no la sincronización de directorios. Si no usa la sincronización de directorios, las cuentas se pueden eliminar mediante la página de administración o mediante Windows PowerShell. Si usa la sincronización de directorios, debe eliminar usuarios de la instancia local de Active Directory, en lugar de Office 365.

Cuentas eliminadas: Cuando se elimina una cuenta, se vuelve inactiva. Puede restaurar una cuenta durante los 30 días siguientes después de su eliminación. Para obtener más información sobre cómo eliminar y restaurar cuentas, vea Eliminar usuarios y Restaurar usuarios o, si usa Office 365 operada por 21Vianet en China, consulte Creación o edición de cuentas de usuario en Office 365 operadas por 21Vianet - Administración Ayuda.

Administración de contraseñas: Las directivas y procedimientos para la administración de contraseñas dependen del sistema de identidades.

Administración de contraseñas de identidad en la nube: Cuando se usan identidades en la nube, las contraseñas se generan automáticamente cuando se crea la cuenta. Para obtener más información sobre los requisitos de seguridad de contraseñas de identidad de nube, vea la directiva de contraseñas. Para aumentar la seguridad, los usuarios deben cambiar sus contraseñas cuando acceden por primera vez a los servicios de Microsoft. Como resultado, antes de que los usuarios puedan acceder a los servicios de Microsoft, deben iniciar sesión en el Centro de administración de Microsoft 365, donde se les pedirá que cambien sus contraseñas. Los administradores pueden establecer la directiva de caducidad de contraseñas. Para obtener más información, vea Establecer una directiva de caducidad de contraseña del usuario.

Restablecimiento de contraseña de identidad en la nube: Hay varias herramientas para restablecer las contraseñas de los usuarios con identidades en la nube: Administración restablece la contraseña,El usuario cambia las contraseñas con Outlook en la Web, los derechos de contraseña de restablecimiento basado en rol y el restablecimiento de contraseñas mediante Windows PowerShell.

Administración restablece la contraseña: si los usuarios pierden o olvidan sus contraseñas, los administradores pueden restablecer las contraseñas de los usuarios en el centro de administración o mediante Windows PowerShell. Los usuarios solo pueden cambiar su contraseña si conocen la contraseña existente. En el caso de los planes empresariales, si los administradores pierden o olvidan sus contraseñas, un administrador diferente con el rol de administrador global puede restablecer las contraseñas de los administradores en el Centro de administración de Microsoft 365 o mediante Windows PowerShell. Para obtener más información, vea Restablecer las contraseñas de los administradores. Si trabaja en Office 365 operado por 21Vianet en China, consulte Cambio o restablecimiento de contraseñas en Office 365 operado por 21Vianet.

El usuario cambia las contraseñas con Outlook en la Web: la página de opciones de Outlook en la Web incluye un hipervínculo Cambiar contraseña, que redirige a los usuarios a la página Cambiar contraseña. El usuario necesita conocer la contraseña anterior. Para obtener más información, vea Cambiar contraseña. Si usa Office 365 operada por 21Vianet en China, consulte Cambio o restablecimiento de contraseñas en Office 365 operado por 21Vianet.

Derechos de contraseña de restablecimiento basado en rol: para los planes empresariales, a los usuarios autorizados, como el personal del departamento de soporte técnico, se les puede asignar el derecho de usuario Restablecer contraseña y el derecho a cambiar las contraseñas mediante roles predefinidos o personalizados sin convertirse en administradores de servicios completos. De forma predeterminada en los planes empresariales, los administradores con el rol Administrador global, Administrador de contraseñas o Administrador de administración de usuarios pueden cambiar las contraseñas. Para más información, vea Asignar roles de administrador.

Restablecimiento de contraseñas mediante Windows PowerShell: los administradores de servicios pueden usar Windows PowerShell para restablecer las contraseñas.

Administración de contraseñas de identidad federada: Cuando se usan identidades federadas, las contraseñas se administran en Active Directory. El servicio de token de seguridad local negocia la autenticación con la puerta de enlace de federación sin pasar las contraseñas locales de Active Directory de los usuarios a través de Internet a Office 365. Se utilizan directivas de contraseñas locales o, para los clientes web, la identificación de dos factores. Outlook en la Web no incluye un hipervínculo Cambiar contraseña. Los usuarios cambian la contraseña mediante las herramientas locales estándar o a través de las opciones de inicio de sesión de su equipo de escritorio.

Sincronización de directorios: Si tiene Directory Sync con el inicio de sesión único (SSO) habilitado en el entorno de su organización y hay una interrupción que afecta al proveedor de identidades federado, La copia de seguridad de sincronización de contraseñas para el inicio de sesión federado proporciona la opción de cambiar manualmente el dominio a Sincronización de contraseñas. El uso de La sincronización de contraseñas permitirá a los usuarios acceder mientras se corrige la interrupción. Obtenga información sobre cómo cambiar de Single Sign-On a Password Sync.

Administración de licencias: Una licencia proporciona a un usuario acceso a un conjunto de servicios de Microsoft. Un administrador asigna una licencia a cada usuario para el servicio al que necesita tener acceso. Por ejemplo, puede asignar a un usuario acceso a Skype Empresarial Online, pero no a SharePoint Online.

Facturación: Los administradores de facturación de Microsoft pueden realizar cambios en los detalles de la suscripción, como el número de licencias de usuario y el número de servicios adicionales que usa su empresa. Consulte Asignación o eliminación de una licencia. Si usa Office 365 operada por 21Vianet, consulte Asignación o eliminación de licencias en Office 365 operadas por 21Vianet.

Administración de grupos: Los grupos de seguridad se usan en SharePoint Online para controlar el acceso a los sitios. Los grupos de seguridad se pueden crear en el Centro de administración de Microsoft 365. Para obtener más información sobre los grupos de seguridad, vea Crear, editar o eliminar un grupo de seguridad.

Microsoft Entra servicios: Microsoft Entra ID ofrece funcionalidades completas de administración de identidades y acceso a Office 365. Combina los servicios de directorio, gobierno de identidad avanzada, administración de acceso a aplicaciones y una plataforma completa basada en estándares para los desarrolladores. Para obtener más información sobre las características de AD en Office 365, vea el artículo Personalización de marca de la página de inicio de sesión y autoservicio de restablecimiento de contraseña para usuarios en la nube. Obtenga más información sobre las ediciones Free, Basic y Premium de Microsoft Entra ID.

Disponibilidad de características: Para ver la disponibilidad de características entre planes, consulte Microsoft 365 y Office 365 descripción del servicio de plataforma.