NAKIVO > Blog > Microsoft 365

Autenticación básica frente a autenticación moderna y cómo habilitarla en Office 365

Actualizado: mayo 6, 2024

Escrito por: Equipo NAKIVO

Según un informe de Verizon, la mayoría de las filtraciones de datos son posibles gracias a credenciales comprometidas, especialmente en servidores de correo electrónico. La ingeniería social, el phishing de credenciales y los ataques de fuerza bruta son algunos de los métodos utilizados por los actores maliciosos para robar credenciales.

Para mejorar la seguridad de los inicios de sesión en Office y ayudar a evitar filtraciones de datos, Microsoft introdujo el método de autenticación moderna. Este método requiere autenticación y autorización adicionales del usuario cuando se conecta a los recursos en línea de Office 365.

Debido a sus importantes ventajas, la autenticación moderna se ha habilitado por defecto en todos los inquilinos de Office 365 creados desde 2017. Es el único método de inicio de sesión disponible para las aplicaciones y servicios de Office 365. Sin embargo, en las instalaciones híbridas de Office en la nube y en las instalaciones locales, es necesario activar manualmente la autenticación moderna para las versiones de cliente de Office más antiguas y desactivar la autenticación básica siempre que sea posible.

Este blog ofrece una breve descripción general de los métodos de autenticación básicos y modernos para las implementaciones híbridas de Office y proporciona los pasos para habilitar la autenticación moderna en Office 365.

Backup for Microsoft 365 Data

Backup for Microsoft 365 Data

Use the NAKIVO solution to back up Microsoft 365 data in Exchange Online, Teams, OneDrive and SharePoint Online for uninterrupted workflows and zero downtime.

DISCOVER SOLUTION

Autenticación moderna frente a autenticación básica

Hasta la desaparición de la autenticación básica, prevista para finales de 2022, Microsoft proporcionará dos tipos de autenticación para las implantaciones híbridas de Exchange y Skype Empresarial: autenticación básica y autenticación moderna. Tenga en cuenta que para conectarse a SharePoint Online mediante un cliente, sólo están disponibles la autenticación moderna y el Asistente de inicio de sesión de Microsoft Online.

Estos dos métodos de autenticación difieren ampliamente en términos de capacidades de protección. Aunque la autenticación básica quedará obsoleta a finales de este año, es importante entender las diferencias entre ambas opciones.

¿Qué es la autenticación básica?

La autenticación básica es el proceso de conexión a las aplicaciones de Office 365 utilizando únicamente un nombre de usuario y una contraseña. Cuando introduce su nombre de usuario y contraseña en un cliente de correo electrónico, éstos se transmiten a Exchange Online para su verificación y autenticación antes de conectarle al servicio en la nube.

Se trata de un método anticuado que ya no puede ofrecer una protección adecuada contra las amenazas a las credenciales. Una de las principales vulnerabilidades de la autenticación básica es que las aplicaciones almacenan las credenciales del usuario en el dispositivo, lo que crea más oportunidades para los hackers que intentan robar contraseñas. Además, muchas de las funciones de gestión de acceso e identidades de Microsoft, como el acceso condicional y la autenticación multifactor (MFA), no están disponibles con esta autenticación heredada de Office 365.

¿Qué es la autenticación moderna?

La autenticación moderna es una combinación de diferentes métodos de autenticación y autorización para acceder a los recursos en la nube de Microsoft Office. La autenticación moderna se basa en Active Directory Authentication Library (ADAL) y OAuth 2.0.

  • Active Directory Authentication Library es una herramienta de autenticación para que las aplicaciones accedan a recursos seguros mediante tokens de seguridad. Con ADAL, los usuarios también obtienen el inicio de sesión único (SSO) para acceder sin problemas a los recursos de Office 365 que tienen a su disposición.
  • OAuth 2.0 es un protocolo de autorización que permite a los usuarios acceder a recursos a través de una aplicación cliente utilizando tokens de acceso. Este marco implica la delegación de acceso y, como tal, las credenciales de usuario no se comparten con el servidor de recursos.

El moderno marco de autenticación añade una capa adicional de seguridad para los usuarios que inician sesión en sus recursos de Microsoft 365 desde aplicaciones cliente. Además, este marco permite la activación de la autenticación multifactor (MFA) y el uso de políticas de Acceso Condicional.

Cómo activar la autenticación moderna en Office 365

Para los inquilinos de Microsoft creados antes de agosto de 2017, existen diferentes métodos para habilitar la autenticación moderna en Office 365:

Uso del centro de administración de Microsoft 365

Para activar la autenticación moderna en Office 365 a través del centro de administración:

  1. Inicie sesión en el centro de administración de Microsoft 365.
  2. En el panel de navegación izquierdo, expanda Ajustes y, a continuación, haga clic en Ajustes de Org.
  3. En Servicios, seleccione Autenticación moderna.
  4. Seleccione la casilla de verificación Activar la autenticación moderna para Outlook 2013 para Windows y versiones posteriores (recomendado).
  5. Haga clic en Guardar.

habilitar la autenticación moderna en office 365 desde el centro de administración

Uso de PowerShell de Exchange Online

Siga los pasos que se indican a continuación para activar la autenticación moderna mediante PowerShell de Exchange Online:

  1. Conectar a Exchange Online PowerShell.
  2. Ejecute el siguiente comando para clientes de Outlook 2013 o posterior:
    Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
  3. Compruebe que el cambio se ha realizado correctamente y que se ha activado la autenticación moderna con este comando:
    Get-OrganizationConfig | Format-Table Name,OAuth* -Auto

Es importante señalar que esto no le impide utilizar el método de autenticación básica. Sin embargo, puede forzar el uso de la autenticación heredada de O365 en Outlook 2013 o posterior ejecutando el comando:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $false

Desactivación de la autenticación básica de Office 365

Después de activar la autenticación moderna en Office 365, ahora puede desactivar los protocolos de autenticación básica. Sin embargo, debe asegurarse de que ningún usuario se beneficie de ello. Siga estos pasos para comprobar si alguien está utilizando la autenticación básica:

  1. Abra su cuenta de Microsoft Azure.
  2. Acceda a Azure Active Directory.

acceso a azure active directory

  1. Seleccione Registros de entrada en el panel de navegación izquierdo.
  2. Cambie el intervalo de fechas a Últimos 7 días o más.
  3. Haz clic en Añadir filtros.
  4. Seleccione Aplicación cliente y haga clic en Aplicar.

búsqueda de usuarios en los registros de entrada

  1. Haga clic en la aplicación Cliente del filtro recién creado.
  2. Marque todas las casillas de Clientes de autenticación heredados.
  3. Haga clic en Aplicar.

displaying users with basic authentication

Esta lista incluye todos los eventos de inicio de sesión con sus correspondientes usuarios y aplicaciones. Antes de desactivar la autenticación básica, puedes migrar todas estas aplicaciones a los protocolos de autenticación modernos para no perderlas.

Para desactivar la autenticación heredada de O365:

  1. Accede al centro de administración de Microsoft 365.
  2. En el panel de navegación izquierdo, expanda Ajustes y haga clic en Ajustes de Org.
  3. Seleccione Autenticación moderna en Servicios.
  4. Desactive todas las casillas de verificación en Permitir el acceso a protocolos de autenticación básica.
  5. Haga clic en Guardar.

desactivar la autenticación de office 365

Autenticación moderna de Outlook

Aunque las ediciones más recientes de Outlook admiten la autenticación moderna por defecto, añadirla a clientes más antiguos requiere una configuración manual. Las distintas versiones de Outlook tienen requisitos diferentes a la hora de habilitar la autenticación moderna:

  • Outlook 2010 o anterior: La autenticación moderna no es compatible y es necesario actualizar Outlook para beneficiarse de estas funciones.
  • Outlook 2013: La autenticación moderna está disponible pero no activada por defecto, y debes forzar a Outlook a usarla una vez que esté activada.
  • Outlook 2016 o posterior + Outlook 365: La autenticación moderna está disponible y activada por defecto.

La tabla siguiente resume los requisitos de cada versión:

Versión de Outlook Modern Auth Clave reg EnableADAL Forzar la autenticación moderna
Outlook 2010 No compatible No disponible No disponible
Perspectivas 2013 Compatibilidad Requisitos Requisitos
Perspectivas 2016 Compatibilidad No se requiere No se requiere
Perspectivas para 2019 Compatibilidad No se requiere No se requiere
Outlook 365 Compatibilidad No se requiere No se requiere

Autenticación moderna en Outlook 2013

Como se mencionó anteriormente, Outlook 2013 es compatible con la autenticación moderna, pero utiliza la autenticación básica de forma predeterminada. Puede activar la autenticación moderna manualmente.

Para ello, debe añadir las siguientes claves en el registro de Windows:

Clave de registro Tipo Valor
HKCUSOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL REG_DWORD 1
HKCUSOFTWARE\Microsoft\Office\15.0\Common\Identity\Version REG_DWORD 1

Después de configurar estas claves, Microsoft recomienda que añada una clave de registro más para forzar a Outlook 2013 a utilizar la autenticación moderna para que no vuelva a la autenticación básica. La clave que debes usar es:

Clave de registro Tipo Valor
HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover REG_DWORD 1

Autenticación moderna en Outlook 2016 o posterior

Aunque la autenticación moderna está habilitada de forma predeterminada en Outlook 2016, se aconseja forzar la autenticación moderna con la siguiente clave de registro:

Clave de registro Tipo Valor
HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover REG_DWORD 1

Autenticación moderna de Skype Empresarial

Dado que la autenticación moderna está desactivada por defecto para todos los inquilinos de Microsoft creados antes del 1 de agosto de 2017, debes activarla manualmente. Al igual que en Outlook, puedes habilitar la autenticación moderna en Skype Empresarial con las siguientes claves de registro:

Clave de registro Tipo Valor
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Lync\ AllowAdalForNonLyncIndependentOfLync REG_DWORD 1
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync\ AllowAdalForNonLyncIndependentOfLync REG_DWORD 1

Conclusión

Microsoft está eliminando gradualmente la autenticación heredada de O365, ya que un simple conjunto de credenciales ya no puede garantizar la protección de seguridad necesaria. Por suerte, existen otras medidas de seguridad y se recomienda activar la autenticación moderna en Office 365. Una vez habilitado, puede activar la autenticación multifactor (MFA), definir permisos y restringir el acceso de los usuarios a aplicaciones específicas.

Dicho esto, contar con una solución integral de backups de terceros garantiza una protección óptima para los entornos de Office 365. Una solución completa de protección de datos como NAKIVO Backup & Replication incluye todas las herramientas que necesita para proteger los datos de Microsoft 365 en su organización.

1 Year of Free Data Protection: NAKIVO Backup & Replication

1 Year of Free Data Protection: NAKIVO Backup & Replication

Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

Get the Free Edition

Artículos recomendados

Picture
NFS vs iSCSI para acceder a datos de máquinas virtuales
Picture
Cómo montar VMFS en Windows, Linux y ESXi
Picture
Cómo ejecutar ESXi desde una unidad flash USB