Bloquear la autenticación heredada con el acceso condicional de Microsoft Entra
Para brindar a los usuarios un acceso sencillo a las aplicaciones en la nube, Microsoft Entra ID admite una amplia variedad de protocolos de autenticación, incluyendo la autenticación heredada. No obstante, la autenticación heredada no admite cosas como la autenticación multifactor (MFA). MFA es un requisito común para mejorar la posición de seguridad en las organizaciones.
En función del análisis de Microsoft, más del 97 % de los ataques de relleno de credenciales usan la autenticación heredada y más del 99 % de los ataques de difusión de contraseñas usan protocolos de autenticación heredados. Estos ataques se detendrían con la autenticación básica deshabilitada o bloqueada.
Nota:
A partir del 1 de octubre de 2022, comenzaremos a deshabilitar permanentemente la autenticación básica para Exchange Online en todos los inquilinos de Microsoft 365 independientemente del uso, excepto para la autenticación SMTP. Para obtener más información, consulte el artículo Degradar la autenticación básica en Exchange Online.
En su entrada de blog del 12 de marzo de 2020, New tools to block legacy authentication in your organization, Alex Weinert, Director de seguridad de identidades en Microsoft, destaca los motivos por los que las organizaciones deben bloquear la autenticación heredada, y señala otras herramientas que Microsoft proporciona para realizar esta tarea:
En este artículo se explica cómo configurar las directivas de acceso condicional que bloquean la autenticación heredada para todas las cargas de trabajo en el inquilino.
Al implementar la protección de bloqueo de autenticación heredada, se recomienda un enfoque por fases, en lugar de deshabilitarlo para todos los usuarios a la vez. Es posible que los clientes empiecen a deshabilitar la autenticación básica por protocolo mediante la aplicación de directivas de autenticación de Exchange Online y, después, (opcionalmente) también bloquean la autenticación heredada a través de directivas de acceso condicional cuando estén listas.
Los clientes sin licencias que incluyen el acceso condicional pueden usar losvalores predeterminados de seguridad para bloquear la autenticación heredada.
Requisitos previos
En este artículo se supone que está familiarizado con los conceptos básicos del acceso condicional de Microsoft Entra.
Nota:
Las directivas de acceso condicional se aplican una vez que se completa la autenticación en una fase. El acceso condicional no pretende ser una primera línea de defensa de una organización en escenarios como los ataques por denegación de servicio (DoS), pero puede usar señales de estos eventos para determinar el acceso.
Descripción del escenario
Microsoft Entra ID admite los protocolos de autenticación y autorización usados más comúnmente, incluyendo la autenticación heredada. La autenticación heredada no puede solicitar a los usuarios la autenticación de segundo factor u otros requisitos de autenticación necesarios para satisfacer directamente las directivas de acceso condicional. En este patrón de autenticación se incluye la autenticación básica, un método estándar del sector ampliamente usado para recopilar información de nombre de usuario y contraseña. Algunos ejemplos de aplicaciones que usan normalmente o solo usan la autenticación heredada son:
- Microsoft Office 2013 o versiones posteriores.
- Aplicaciones que usan protocolos de correo como POP, IMAP y SMTP AUTH.
Para más información sobre la compatibilidad con la autenticación moderna en Office, consulte Cómo funciona la autenticación moderna para las aplicaciones de cliente de Office.
La autenticación de un solo factor (por ejemplo, nombre de usuario y contraseña) ya no es suficiente. No se recomiendan las contraseñas, porque son fáciles de adivinar y porque los usuarios humanos no suelen elegir contraseñas seguras. Las contraseñas también son vulnerables ante una variedad de ataques, como suplantación de identidad (phishing) y difusión de contraseña. Una de las medidas más sencillas que puede tomar para protegerse contra las amenazas para las contraseñas es implementar la autenticación multifactor (MFA). Con MFA, incluso si el atacante cuenta con la contraseña del usuario, la contraseña por sí sola no es suficiente para autenticarse de manera correcta y acceder a los datos.
¿Cómo se puede evitar que las aplicaciones que usan la autenticación heredada accedan a los recursos del inquilino? La recomendación es simplemente bloquearlas con una directiva de acceso condicional. Si es necesario, puede permitir que solo ciertos usuarios y ubicaciones de red específicas usen aplicaciones basadas en la autenticación heredada.
Implementación
En esta sección se explica cómo configurar una directiva de acceso condicional para bloquear la autenticación heredada.
Protocolos de mensajería que admiten la autenticación heredada
Los siguientes protocolos de mensajería admiten autenticación heredada:
- SMTP autenticado: se usa para enviar mensajes de correo electrónico autenticados.
- Detección automática: usada por clientes Outlook y EAS para buscar y conectarse a buzones en Exchange Online.
- Exchange ActiveSync (EAS): se usa para conectarse a los buzones en Exchange Online.
- Exchange Online PowerShell: se usa para conectarse a Exchange Online con PowerShell remoto. Si bloquea la autenticación básica para Exchange Online PowerShell, debe usar el módulo de Exchange Online PowerShell para conectarse. Para obtener instrucciones, consulte Conexión a Exchange Online PowerShell con autenticación multifactor.
- Servicios web de Exchange (EWS): una interfaz de programación que usa Outlook, Outlook para Mac y aplicaciones que no son de Microsoft.
- IMAP4: usado por clientes de correo electrónico IMAP.
- SMTP sobre HTTP (MAPI/HTTP): protocolo de acceso al buzón de correo principal utilizado por Outlook 2010 SP2 y versiones posteriores.
- Libreta de direcciones sin conexión (OAB): una copia de las colecciones de listas de direcciones que Outlook descarga y usa.
- Outlook Anywhere (RPC a través de HTTP): protocolo de acceso a buzones de correo heredado admitido por todas las versiones Outlook actuales.
- POP3: usado por clientes de correo electrónico POP.
- Servicios web de creación de informes: se usan para recuperar datos de informes en Exchange Online.
- Servicio Outlook: usado por la aplicación de correo electrónico y calendario de Windows 10.
- Otros clientes: otros protocolos que usen autenticación heredada.
Para obtener más información sobre estos protocolos de autenticación y servicios, vea Informes de actividad de inicio de sesión.
Identificación del uso de la autenticación heredada
Antes de poder bloquear la autenticación heredada en su directorio, debe saber si sus usuarios tienen aplicaciones cliente que usan autenticación heredada.
Indicadores de registro de inicio de sesión
- Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.
- Vaya a Identidad>Supervisión y estado>Registros de inicio de sesión.
- Agregue la columna Aplicación cliente si no se muestra; para ello, haga clic en Columnas>Aplicación cliente.
- Seleccione Agregar filtros>Aplicación cliente> seleccione todos los protocolos de autenticación heredados y haga clic en Aplicar.
- Realice también estos pasos en la pestaña Inicios de sesión de usuario (no interactivos).
Al filtrar se muestran los intentos de inicio de sesión realizados mediante protocolos de autenticación heredados. Al hacer clic en cada intento de inicio de sesión individual se muestran más detalles. El campo Aplicación cliente en la pestaña Información básica indicará qué protocolo de autenticación heredada se usó.
Estos registros indicarán la ubicación en la que los usuarios usan los clientes que dependen todavía de la autenticación heredada. En el caso de los usuarios que no aparecen en estos registros y se confirme que no usan la autenticación heredada, implemente una directiva de acceso condicional solo para ellos.
Además, para ayudar a realizar una evaluación de prioridades de la autenticación heredada en el inquilino, use Inicios de sesión que utilizan una autenticación heredada.
Indicadores del cliente
Para determinar si un cliente usa autenticación heredada o moderna en función del cuadro de diálogo que se presenta en el inicio de sesión, consulte el artículo sobre el desuso de la autenticación básica en Exchange Online.
Consideraciones importantes
Los clientes que admiten la autenticación heredada y moderna pueden requerir una actualización de configuración para pasar de la autenticación heredada a la moderna. Si ve un móvil moderno, un cliente de escritorio o un explorador para un cliente en los registros de inicio de sesión, significa que está usando una autenticación moderna. Si tiene un nombre de cliente o protocolo específico, como Exchange ActiveSync, está usando la autenticación heredada. Los tipos de cliente en Acceso condicional, Registros de inicio de sesión y el libro de trabajo de autenticación heredada distinguen entre clientes de autenticación modernos y heredados.
- Los clientes que admiten la autenticación moderna, pero que no están configurados para usarla, deben actualizarse o volver a configurarse para utilizarla.
- Todos los clientes que no admiten la autenticación moderna deben reemplazarse.
Importante
Exchange Active Sync con la autenticación basada en certificados (CBA)
Al implementar Exchange Active Sync (EAS) con CBA, configure los clientes para que usen una autenticación moderna. Los clientes que no usen la autenticación moderna para EAS con CBA no están bloqueados con el desuso de la autenticación básica en Exchange Online. Sin embargo, las directivas de acceso condicional configuradas para bloquear la autenticación heredada bloquean estos clientes.
Para obtener más información sobre cómo implementar la compatibilidad con CBA con Microsoft Entra ID y la autenticación moderna, consulte Cómo configurar la autenticación basada en certificados de Microsoft Entra ID (versión preliminar). Como otra opción, la autenticación basada en certificados realizada en un servidor de federación se puede usar con la autenticación moderna.
Si usa Microsoft Intune, es posible que pueda cambiar el tipo de autenticación mediante el perfil de correo electrónico que inserte o implemente en los dispositivos. Si usa dispositivos iOS (iPhone y iPad), debería echar un vistazo al artículo sobre cómo agregar la configuración de correo electrónico para dispositivos iOS y iPadOS en Microsoft Intune.
Bloquear la autenticación heredada
Hay dos maneras de usar las directivas de acceso condicional para bloquear la autenticación heredada.
Bloqueo directo de la autenticación heredada
La forma más sencilla de bloquear la autenticación heredada en toda la organización es mediante la configuración de una directiva de acceso condicional que se aplica específicamente a los clientes de autenticación heredados y bloquea el acceso. Al asignar usuarios y aplicaciones a la directiva, asegúrese de excluir los usuarios y las cuentas de servicio que todavía deben iniciar sesión con la autenticación heredada. Al elegir las aplicaciones en la nube en las que aplicar esta directiva, seleccione Todos los recursos, aplicaciones dirigidas como Office 365 (recomendado) o, como mínimo, Office 365 Exchange Online. Las organizaciones pueden usar la directiva disponible en las plantillas de acceso condicional o la directiva común Acceso condicional: Bloquear la autenticación heredada como referencia.
Bloqueo indirecto de la autenticación heredada
Si la organización no está lista para bloquear la autenticación heredada completamente, debe asegurarse de que los inicios de sesión que usan la autenticación heredada no están omitiendo las políticas que requieren controles de concesión como la autenticación multifactor. Durante la autenticación, los clientes de autenticación heredada no admiten el envío de información sobre MFA, el cumplimiento del dispositivo o el estado de la unión a Microsoft Entra ID. Por lo tanto, aplique directivas con controles de concesión a todas las aplicaciones cliente para que se bloqueen los inicios de sesión basados en la autenticación heredada que no puedan satisfacer los controles de concesión. Con la disponibilidad general de la condición de aplicaciones de cliente en agosto de 2020, las directivas de acceso condicional recién creadas se aplican a todas las aplicaciones cliente de forma predeterminada.
Qué debería saber
La directiva de acceso condicional puede tardar hasta 24 horas en entrar en vigor.
Al bloquear el acceso mediante Otros clientes también se impide que PowerShell de Exchange Online y Dynamics 365 usen la autenticación básica.
La configuración de una directiva para otros clientes bloquea toda la organización ante determinados clientes como SPConnect. Este bloqueo se produce porque clientes más antiguos se autentican de formas inesperadas. Este problema no aplica a las aplicaciones principales de Office, como los clientes de Office anteriores.
Puede seleccionar todos los controles de concesión disponibles para la condición Otros clientes, pero la experiencia del usuario final siempre es la misma: el acceso bloqueado.
Pasos siguientes
- Determinación del impacto mediante el modo de solo informe de acceso condicional
- Para más información sobre la compatibilidad con la autenticación moderna, consulte Cómo funciona la autenticación moderna para las aplicaciones de cliente de Office
- Configuración de una aplicación o un dispositivo multifunción para enviar correos electrónicos mediante Microsoft 365
- Habilitación de la autenticación moderna en Exchange Online
- Cómo configurar Exchange Server local para usar la autenticación moderna híbrida