Cómo habilitar la autenticación moderna Office 365

La autenticación moderna en Office 365 es una combinación de métodos de autenticación y autorización. Es más seguro que el método de autenticación básica, que se basaba únicamente en un nombre de usuario y una contraseña.

Como todos sabemos ahora, los nombres de usuario y las contraseñas se roban fácilmente. Los correos electrónicos de phishing, por ejemplo, son una forma efectiva para que los delincuentes obtengan las credenciales de los usuarios. Esto hace que su inquilino sea realmente vulnerable a los ataques. Especialmente en combinación con protocolos heredados, como SMTP e IMAP.

La autenticación moderna está habilitada de forma predeterminada en Office 365 para los inquilinos creados después de agosto de 2017. Sin embargo, muchos inquilinos existentes usan la autenticación básica o los protocolos antiguos. A partir de junio de 2021, Microsoft comenzará deshabilitando el método de autenticación básica para los inquilinos que no lo usan.

Así que ahora es un muy buen momento para echar un vistazo más de cerca a la autenticación moderna y cómo puede habilitarla en su inquilino de Office 365.

Índice

Autenticación básica frente a autenticación moderna

La autenticación básica es la forma antigua de iniciar sesión con solo un nombre de usuario y una contraseña. Con la autenticación básica, cada aplicación o complemento que necesite autenticarse en Office 365 pasará las credenciales del usuario con cada solicitud.

Esto significa que la aplicación ha almacenado las credenciales del usuario en algún lugar del almacenamiento de la aplicación, lo que la hace vulnerable a los atacantes. Otro problema con la autenticación básica es que no puede definir el alcance del permiso para la aplicación. Así cada app puede tener acceso a todos los datos del usuario.

Autenticación moderna

La autenticación moderna, por otro lado, se basa en ADAL (Biblioteca de autenticación de Active Directory) y OAuth 2.0. Una aplicación no almacena las credenciales de los usuarios, pero la autenticación se realiza con tokens.

Después de que un usuario inicia sesión con su cuenta, se devuelve un token a la aplicación. El token tiene una vida útil limitada después de la cual dejará de ser válido. Otra ventaja del token es que podemos definir un alcance de permiso. Por lo tanto, podemos dar acceso solo a la aplicación al buzón del usuario, pero no a OneDrive, por ejemplo.

Otra ventaja realmente importante de la autenticación moderna en Office 365 es que podemos usar la autenticación multifactor, también conocida como MFA. Con MFA, el usuario debe iniciar sesión con algo que conoce (nombre de usuario y contraseña) y algo que tiene, un token de un solo uso en el teléfono móvil.

Habilitar la autenticación moderna Office 365

Hay un par de pasos cuando se trata de habilitar la autenticación moderna en Office 365. El primer paso es habilitar la autenticación moderna, pero una vez que la hayamos habilitado, tendremos que eliminar gradualmente los métodos de autenticación básicos.

  1. Abre el Centro de administración de Microsoft 365
  2. Expandir Ajustes y haga clic en Configuración de la organización
  3. Seleccione Autenticación moderna
  4. Encender autenticación moderna para Outlook 2013 para Windows y versiones posteriores
  5. Haga clic en Ahorrar

habilitar la oficina de autenticación moderna 365

Desactivación de los protocolos básicos de autenticación

El siguiente paso en el proceso es deshabilitar los protocolos básicos de autenticación. Ahora no puede simplemente apagarlos todos, porque la mayoría de los usuarios y probablemente también algunas aplicaciones comerciales los están usando. Así que el primer paso es averiguar qué usuarios y aplicaciones son.

  1. Inicie sesión en portal.azure.com
  2. Abre el Directorio activo de Azure
  3. Haga clic en Inicios de sesión
  4. Cambiar el rango de fechas a los últimos 7 días
  5. Haga clic en Añadir filtros
  6. Elegir Aplicación de cliente
  7. Haga clic de nuevo en el filtrar (ahora etiquetada como aplicación cliente)
  8. Grueso todo Clientes de autenticación heredados
  9. Haga clic en Aplicar

Esto enumerará todos los eventos de inicio de sesión de los últimos 7 días con el usuario y la aplicación que se utiliza. Puede usar la lista para migrar las aplicaciones al protocolo de autenticación moderno. La mayoría de los eventos de inicio de sesión probablemente provengan de clientes de correo electrónico nativos en teléfonos móviles.

La opción más fácil es cambiar a la aplicación de Outlook en dispositivos Android y Apple. Es posible usar Apple Mail, pero sus usuarios primero tendrán que eliminar la cuenta y luego volver a agregarla para cambiar a la autenticación moderna.

Puede leer más sobre cómo desactivar los protocolos básicos de autenticación en este artículo, donde también he incluido un par de scripts de PowerShell.

Si ha migrado todas las aplicaciones, puede desactivar los protocolos básicos de autenticación. Puede hacerlo en el Centro de administración de Microsoft 365:

  1. Expandir Ajustes y haga clic en Configuración de la organización
  2. Haga clic en Autenticación moderna
  3. Desactive todos los protocolos básicos de autenticación.
  4. Hacer clic Ahorrar.

desactivar el protocolo de autenticación básico

Autenticación moderna de Outlook

Para usar la autenticación moderna con versiones anteriores de Outlook, es posible que deba cambiar algunas configuraciones en el lado del cliente. Las nuevas versiones de Outlook, 2019 y Outlook para Microsoft 365 lo admiten de forma inmediata.

Lo que necesita configurar depende de la versión de Outlook que esté utilizando:

Autenticación moderna admitidaSe requiere la clave de registro EnableADALForzar autenticación moderna requeridaSe requiere MAPI/HTTP
perspectiva 2010No
Perspectivas 2013
Perspectivas 2016No

Outlook 2010 no es compatible con la autenticación moderna. Su única opción es actualizar Outlook.

Autenticación moderna de Outlook 2013

Si su organización utiliza Outlook 2013, deberá habilitar la autenticación moderna manualmente. Outlook 2013 seguirá usando el método de autenticación básico de forma predeterminada. Pero podemos obligarlo a usar la autenticación moderna configurando un par de claves de registro en los clientes.

# Change EnableADAL to 1
HKCUSOFTWAREMicrosoftOffice15.0CommonIdentityEnableADAL

# Change Version to 1
HKCUSOFTWAREMicrosoftOffice15.0CommonIdentityVersion

Outlook ahora intentará usar la autenticación moderna primero, pero si desea forzar, para que no recurra a la autenticación básica, también tendrá que cambiar la siguiente clave a 1:

HKEY_CURRENT_USERSoftwareMicrosoftExchangeAlwaysUseMSOAuthForAutoDiscover

Si las claves no existen, simplemente puede crearlas. Todos son valores DWORD.

Autenticación moderna de Outlook 2016

La autenticación moderna está habilitada de forma predeterminada en Outlook 2016. Pero Microsoft recomienda forzar a Outlook a usar la autenticación moderna.

Podemos hacer esto configurando la siguiente clave de registro en 1:

HKEY_CURRENT_USERSoftwareMicrosoftExchangeAlwaysUseMSOAuthForAutoDiscover

Autenticación moderna de Skype Empresarial

Si aún usa Skype Empresarial, también deberá habilitar la autenticación moderna para Skype. Al igual que con Outlook, podemos configurar un par de claves de registro para habilitarlo:

# Change AllowAdalForNonLyncIndependentOfLync to 1
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftOffice15.0Lync AllowAdalForNonLyncIndependentOfLync

HKEY_CURRENT_USERSoftwarePoliciesMicrosoftOffice16.0Lync AllowAdalForNonLyncIndependentOfLync

Terminando

El uso de la autenticación moderna en Office 365 es realmente importante para proteger sus datos. Sin él, los atacantes pueden comprometer fácilmente a su inquilino después de un intento de phishing exitoso. Microsoft está empezando a deshabilitar los protocolos heredados en los inquilinos que no usan.

Pero para proteger a su inquilino, realmente recomiendo comenzar con la autenticación moderna lo antes posible. Además, asegúrese de seguir esta guía de mejores prácticas para asegurar su inquilino de Office 365.

Si tiene alguna pregunta, simplemente deje un comentario a continuación.


Si quieres conocer otros artículos similares a Cómo habilitar la autenticación moderna Office 365 puedes visitar la categoría Office 365.

Artículos de interés

Subir

Si continuas utilizando este sitio aceptas el uso de cookies. Más información