Según un informe de Verizon, la mayoría de las violaciones de datos son posibles debido a credenciales comprometidas, especialmente en servidores de correo electrónico. Ingeniería social, phishing de credenciales y ataques de fuerza bruta son algunos de los métodos utilizados por actores maliciosos para robar credenciales.
Para mejorar la seguridad de los inicios de sesión en Office y ayudar a prevenir violaciones de datos, Microsoft introdujo el método de autenticación moderna. Este método requiere autenticación y autorización adicionales del usuario al conectarse a recursos en línea de Office 365.
Debido a sus beneficios significativos, la autenticación moderna ha sido habilitada de forma predeterminada en todos los inquilinos de Office 365 creados desde 2017. Es el único método de inicio de sesión disponible para aplicaciones y servicios de Office 365. Sin embargo, en implementaciones híbridas en las que se combinan oficinas locales con la nube, es necesario habilitar manualmente la autenticación moderna para versiones antiguas de clientes de Office y deshabilitar la autenticación básica cuando sea posible.
Este blog ofrece un breve resumen de los métodos de autenticación básica y moderna para implementaciones híbridas de Office y proporciona los pasos para habilitar la autenticación moderna en Office 365.
Autenticación Moderna vs. Autenticación Básica
Hasta la desaparición de la autenticación básica programada para finales de 2022, Microsoft proporcionará dos tipos de autenticación para implementaciones híbridas de Exchange y Skype Empresarial: autenticación básica y autenticación moderna. Tenga en cuenta que para conectarse a SharePoint Online utilizando un cliente, solo están disponibles la autenticación moderna y el Asistente de inicio de sesión en línea de Microsoft.
Estos dos métodos de autenticación difieren ampliamente en cuanto a las capacidades de protección. Aunque la autenticación básica será obsoleta más adelante este año, es importante entender las diferencias entre las dos opciones.
¿Qué es la autenticación básica?
La autenticación básica es el proceso de conexión a las aplicaciones de Office 365 utilizando solo un nombre de usuario y contraseña. Cuando ingresa su nombre de usuario y contraseña en un cliente de correo electrónico, estos se transmiten a Exchange Online para su verificación y autenticación antes de conectarlo al servicio en la nube.
Este es un método obsoleto que ya no puede proporcionar una protección adecuada contra las amenazas de credenciales. Una de las principales vulnerabilidades de la autenticación básica es que las aplicaciones almacenan las credenciales de usuario en el dispositivo, lo que crea más oportunidades para que los hackers intenten robar contraseñas. Además, muchas de las características de administración de identidad y acceso de Microsoft, como el Acceso Condicional y la autenticación multifactor (MFA), no están disponibles con esta autenticación heredada de Office 365.
¿Qué es la autenticación moderna?
La autenticación moderna es una combinación de diferentes métodos de autenticación y autorización para acceder a los recursos en la nube de Microsoft Office. La autenticación moderna se basa en la Biblioteca de Autenticación de Active Directory (ADAL) y OAuth 2.0.
- La Biblioteca de Autenticación de Active Directory es una herramienta de autenticación para aplicaciones que acceden a recursos seguros mediante tokens de seguridad. Con ADAL, los usuarios también obtienen inicio de sesión único (SSO) para acceder sin problemas a los recursos de Office 365 disponibles para ellos.
- OAuth 2.0 es un protocolo de autorización que permite a los usuarios acceder a recursos mediante una aplicación cliente que utiliza tokens de acceso. Este marco implica la delegación de acceso y, como tal, las credenciales de usuario no se comparten con el servidor de recursos.
El marco de autenticación moderna añade una capa adicional de seguridad para los usuarios que inician sesión en sus recursos de Microsoft 365 desde aplicaciones cliente. Además, este marco permite la activación de la autenticación multifactor (MFA) y el uso de políticas de Acceso Condicional.
Cómo Habilitar la Autenticación Moderna en Office 365
Para inquilinos de Microsoft creados antes de agosto de 2017, existen diferentes métodos para habilitar la autenticación moderna en Office 365:
Usando el centro de administración de Microsoft 365
Para activar la autenticación moderna en Office 365 a través del centro de administración:
- Inicie sesión en el centro de administración de Microsoft 365.
En el panel de navegación izquierdo, expanda Configuración y luego haga clic enConfiguración de la organización . - En la ventana de navegación izquierda, expanda Configuración y luego haga clic en Configuración de la organización.
- Debajo de Servicios, elija Autenticación moderna.
- Seleccione la casilla Activar autenticación moderna para Outlook 2013 para Windows y posteriores (recomendado).
- Haga clic en Guardar.
Usando Exchange Online PowerShell
Siga los pasos a continuación para activar la autenticación moderna usando Exchange Online PowerShell:
- Conectar a Exchange Online PowerShell.
- Ejecute el siguiente comando para clientes de Outlook 2013 o posteriores:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true - Compruebe que el cambio tuvo éxito y que la autenticación moderna se habilitó con este comando:
Get-OrganizationConfig | Format-Table Name,OAuth* -Auto
Es importante tener en cuenta que esto no le impide usar el método de autenticación básico. Sin embargo, puede forzar el uso de la autenticación heredada de O365 en Outlook 2013 o posterior ejecutando el comando:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $false
Deshabilitar la Autenticación Básica de Office 365
Después de habilitar la autenticación moderna en Office 365, ahora puede deshabilitar los protocolos de autenticación básica. Sin embargo, debe asegurarse de que ningún usuario se beneficie de ello. Siga estos pasos para verificar si alguien está usando la autenticación básica:
- Abre tu cuenta de Microsoft Azure.
- Accede al Azure Active Directory.
- Elige Registros de inicio de sesión en la barra de navegación izquierda.
- Cambia Rango de fechas a Últimos 7 días o más.
- Haz clic en Agregar filtros.
- Selecciona Aplicación cliente y luego haz clic en Aplicar.
- Haz clic en el filtro recién creado Aplicación cliente.
- Marca todas las casillas bajo Clientes de autenticación heredada
- Haz clic en Aplicar.
Esta lista incluye todos los eventos de inicio de sesión con sus usuarios y aplicaciones correspondientes. Antes de deshabilitar la autenticación básica, puedes migrar todas estas aplicaciones a los protocolos de autenticación modernos para no perderlas.
Para deshabilitar la autenticación heredada de O365:
- Accede al Centro de administración de Microsoft 365.
- En la barra de navegación izquierda, expande Configuración y haz clic en Configuración de la organización.
- Elige Autenticación moderna bajo Servicios.
- Desmarca todas las casillas bajo Permitir el acceso a los protocolos de autenticación básica.
- Haz clic en Guardar.
Autenticación moderna de Outlook
Aunque las últimas ediciones de Outlook admiten la autenticación moderna por defecto, agregarla a clientes más antiguos requiere configuración manual. Las diferentes versiones de Outlook tienen requisitos variables a la hora de habilitar la autenticación moderna:
- Outlook 2010 o anteriores: La autenticación moderna no es compatible y necesita actualizar Outlook para beneficiarse de esta funcionalidad.
- Outlook 2013: La autenticación moderna está disponible pero no está activada por defecto, y debe obligar a Outlook a usarla una vez que esté habilitada.
- Outlook 2016 o posterior + Outlook 365: La autenticación moderna está disponible y activada por defecto.
La tabla a continuación resume los requisitos de cada versión:
| Versión de Outlook | Autenticación Moderna | Clave EnableADAL | Forzar Autenticación Moderna |
| Outlook 2010 | No compatible | No disponible | No disponible |
| Outlook 2013 | Compatible | Requerido | Requerido |
| Outlook 2016 | Compatible | No requerido | No requerido |
| Outlook 2019 | Compatible | No requerido | No requerido |
| Outlook 365 | Compatible | No requerido | No requerido |
Autenticación moderna en Outlook 2013
Como se mencionó anteriormente, Outlook 2013 admite la autenticación moderna pero usa la autenticación básica por defecto. Puede activar la autenticación moderna manualmente.
Para hacerlo, debe agregar las siguientes claves en el registro de Windows:
| Clave del Registro | Tipo | Valor |
| HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL | REG_DWORD | 1 |
| HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version | REG_DWORD | 1 |
Después de establecer estas claves, Microsoft recomienda que agregue una clave de registro más para obligar a Outlook 2013 a usar la autenticación moderna para que no vuelva a la autenticación básica. La clave que debe usar es:
| Clave del Registro | Tipo | Valor |
| HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Autenticación moderna en Outlook 2016 o posterior
Si bien la autenticación moderna está habilitada de forma predeterminada en Outlook 2016, se recomienda que fuerce la autenticación moderna con la clave del registro a continuación:
| Clave del Registro | Tipo | Valor |
| HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Autenticación moderna de Skype para Negocios
Dado que la autenticación moderna está desactivada de forma predeterminada para todos los inquilinos de Microsoft creados antes del 1 de agosto de 2017, debe activarlo manualmente. Al igual que en Outlook, puede habilitar la autenticación moderna en Skype para Negocios con las siguientes claves del registro:
| Clave del Registro | Tipo | Valor |
| HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Lync\ AllowAdalForNonLyncIndependentOfLync | REG_DWORD | 1 |
| HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync\ AllowAdalForNonLyncIndependentOfLync | REG_DWORD | 1 |
Conclusión
Microsoft está eliminando gradualmente la autenticación heredada de O365 ya que un simple conjunto de credenciales ya no puede garantizar la protección de seguridad necesaria. Afortunadamente, hay otras medidas de seguridad disponibles y se recomienda activar la autenticación moderna en Office 365. Una vez habilitada, puede activar la autenticación multifactor (MFA), definir permisos y restringir el acceso a aplicaciones específicas para los usuarios.
Dicho esto, contar con una solución de copia de seguridad integral de terceros asegura una protección óptima para los entornos de Office 365. Una solución completa de protección de datos como NAKIVO Backup & Replication incluye todas las herramientas que necesita para proteger los datos de Microsoft 365 en su organización.
Source:
https://www.nakivo.com/blog/enable-modern-authentication-office-365/