Degradar la autenticación básica en Exchange Online

Importante

La autenticación básica ahora está deshabilitada en todos los inquilinos.

Antes del 31 de diciembre de 2022, podría volver a habilitar los protocolos afectados si los usuarios y las aplicaciones del inquilino no se pudieran conectar. Ahora nadie (ni el soporte técnico de Microsoft) puede volver a habilitar la autenticación básica en el inquilino.

Lea el resto de este artículo para comprender completamente los cambios que hemos realizado y cómo pueden afectarle estos cambios.

Durante muchos años, las aplicaciones han usado la autenticación básica para conectarse a servidores, servicios y puntos de conexión de API. La autenticación básica simplemente significa que la aplicación envía un nombre de usuario y una contraseña con cada solicitud, y esas credenciales también se almacenan o guardan a menudo en el dispositivo. Tradicionalmente, la autenticación básica está habilitada de forma predeterminada en la mayoría de los servidores o servicios y es fácil de configurar.

La simplicidad no es en absoluto incorrecta, pero la autenticación básica facilita a los atacantes capturar credenciales de usuario (especialmente si las credenciales no están protegidas por TLS), lo que aumenta el riesgo de que esas credenciales robadas se reutilicen en otros puntos de conexión o servicios. Además, la aplicación de la autenticación multifactor (MFA) no es sencilla o, en algunos casos, es posible cuando la autenticación básica permanece habilitada.

La autenticación básica es un estándar del sector obsoleto. Las amenazas planteadas por ella solo han aumentado desde que originalmente anunciamos que lo desactivaría (consulte Mejora de la seguridad - Juntos) Hay alternativas de autenticación de usuario mejores y más eficaces.

Se recomienda activamente que los clientes adopten estrategias de seguridad como Confianza cero (Nunca confiar, Comprobar siempre) o aplicar directivas de evaluación en tiempo real cuando los usuarios y dispositivos accedan a la información corporativa. Estas alternativas permiten tomar decisiones inteligentes sobre quién está intentando acceder a qué desde dónde en qué dispositivo en lugar de simplemente confiar en una credencial de autenticación que podría ser un actor incorrecto suplantando a un usuario.

Teniendo en cuenta estas amenazas y riesgos, hemos tomado medidas para mejorar la seguridad de los datos en Exchange Online.

Nota:

El desuso de la autenticación básica también impide el uso de contraseñas de aplicación con aplicaciones que no admiten la verificación en dos pasos.

Lo que estamos cambiando

Hemos quitado la capacidad de usar la autenticación básica en Exchange Online para Exchange ActiveSync (EAS), POP, IMAP, PowerShell remoto, Exchange Web Services (EWS), Libreta de direcciones sin conexión (OAB), Detección automática, Outlook para Windows y Outlook para Mac.

También hemos deshabilitado SMTP AUTH en todos los inquilinos en los que no se estaba usando.

Esta decisión requiere que los clientes pasen de las aplicaciones que usan la autenticación básica a las aplicaciones que usan la autenticación moderna. La autenticación moderna (autorización basada en tokens de OAuth 2.0) tiene muchas ventajas y mejoras que ayudan a mitigar los problemas de la autenticación básica. Por ejemplo, los tokens de acceso de OAuth tienen una duración útil limitada y son específicos de las aplicaciones y recursos para los que se emiten, por lo que no se pueden reutilizar. La habilitación y aplicación de la autenticación multifactor (MFA) también es sencilla con la autenticación moderna.

¿Cuándo se produjo este cambio?

A partir de principios de 2021, comenzamos a deshabilitar la autenticación básica para los inquilinos existentes sin ningún uso notificado.

A partir de principios de 2023, deshabilitamos la autenticación básica para todos los inquilinos que tenían cualquier tipo de extensión. Puede leer más sobre el tiempo aquí.

Nota:

En Office 365 Operado por 21Vianet, comenzamos a deshabilitar la autenticación básica el 31 de marzo de 2023. Todos los demás entornos en la nube estaban sujetos a la fecha del 1 de octubre de 2022.

Impacto en los protocolos de mensajería y las aplicaciones existentes

Este cambio afecta a las aplicaciones y scripts que puede usar de diferentes maneras.

AUTENTICACIÓN POP, IMAP y SMTP

En 2020, publicamos la compatibilidad de OAuth 2.0 con POP, IMAP y SMTP AUTH. Novedades a algunas aplicaciones cliente se han actualizado para admitir estos tipos de autenticación (Por ejemplo, Thunderbird, aunque aún no para los clientes que usan Office 365 Operado por 21Vianet), por lo que los usuarios con versiones actualizadas pueden cambiar su configuración para usar OAuth. No hay ningún plan para que los clientes de Outlook sean compatibles con OAuth para POP e IMAP, pero Outlook puede conectarse mediante MAPI/HTTP (clientes de Windows) y EWS (Outlook para Mac).

Los desarrolladores de aplicaciones que han creado aplicaciones que envían, leen o procesan correo electrónico mediante estos protocolos podrán mantener el mismo protocolo, pero necesitan implementar experiencias de autenticación modernas y seguras para sus usuarios. Esta funcionalidad se basa en Plataforma de identidad de Microsoft v2.0 y admite el acceso a cuentas de correo electrónico de Microsoft 365.

Si la aplicación interna necesita tener acceso a los protocolos IMAP, POP y SMTP AUTH en Exchange Online, siga estas instrucciones paso a paso para implementar la autenticación de OAuth 2.0: Autenticación de una conexión IMAP, POP o SMTP mediante OAuth. Además, use el script de PowerShell Get-IMAPAccesstoken.ps1 para probar el acceso IMAP después de la habilitación de OAuth por su cuenta de una manera sencilla, incluido el caso de uso del buzón compartido.

SMTP AUTH seguirá estando disponible cuando la autenticación básica esté deshabilitada permanentemente el 1 de octubre de 2022. La razón por la que SMTP seguirá estando disponible es que muchos dispositivos multifunción, como impresoras y escáneres, no se pueden actualizar para usar la autenticación moderna. Sin embargo, recomendamos encarecidamente a los clientes que se alejen del uso de la autenticación básica con SMTP AUTH siempre que sea posible. Otras opciones para enviar correo autenticado incluyen el uso de protocolos alternativos, como microsoft Graph API.

Exchange ActiveSync (EAS)

Muchos usuarios tienen dispositivos móviles configurados para usar EAS. Si usaban la autenticación básica, se ven afectados por este cambio.

Se recomienda usar Outlook para iOS y Android al conectarse a Exchange Online. Outlook para iOS y Android integra completamente Microsoft Enterprise Mobility + Security (EMS), que permite el acceso condicional y las funcionalidades de protección de aplicaciones (MAM). Outlook para iOS y Android le ayuda a proteger los usuarios y los datos corporativos, y admite de forma nativa la autenticación moderna.

Hay otras aplicaciones de correo electrónico de dispositivos móviles que admiten la autenticación moderna. Las aplicaciones de correo electrónico integradas para todas las plataformas populares suelen admitir la autenticación moderna, por lo que a veces la solución es comprobar que el dispositivo ejecuta la versión más reciente de la aplicación. Si la aplicación de correo electrónico está actual, pero sigue usando la autenticación básica, es posible que deba quitar la cuenta del dispositivo y, a continuación, volver a agregarla.

Si usa Microsoft Intune, es posible que pueda cambiar el tipo de autenticación mediante el perfil de correo electrónico que inserta o implementa en los dispositivos. Si usa dispositivos iOS (iPhones y iPads), debe echar un vistazo a Agregar configuración de correo electrónico para dispositivos iOS e iPadOS en Microsoft Intune

Cualquier dispositivo iOS administrado con Movilidad básica y seguridad no podrá acceder al correo electrónico si se cumplen las condiciones siguientes:

  • Ha configurado una directiva de seguridad de dispositivos para requerir un perfil de correo electrónico administrado para el acceso.
  • No ha modificado la directiva desde el 9 de noviembre de 2021 (lo que significa que la directiva sigue usando la autenticación básica).

Las directivas creadas o modificadas después de esta fecha ya se han actualizado para usar la autenticación moderna.

Para actualizar las directivas que no se han modificado desde el 9 de noviembre de 2021 para usar la autenticación moderna, realice un cambio temporal en los requisitos de acceso de la directiva. Se recomienda cambiar y guardar la configuración de nube Requerir copias de seguridad cifradas , que actualizará la directiva para usar la autenticación moderna. Una vez que la directiva modificada tiene el valor de estado Activado, se ha actualizado el perfil de correo electrónico. A continuación, puede revertir el cambio temporal a la directiva.

Nota:

Durante el proceso de actualización, el perfil de correo electrónico se actualizará en el dispositivo iOS y se pedirá al usuario que escriba su nombre de usuario y contraseña.

Si los dispositivos usan la autenticación basada en certificados, no se verán afectados cuando la autenticación básica esté desactivada en Exchange Online más adelante este año. Solo se verán afectados los dispositivos que se autentican directamente mediante la autenticación básica.

La autenticación basada en certificados sigue siendo la autenticación heredada y, como tal, se bloqueará mediante Microsoft Entra directivas de acceso condicional que bloquean la autenticación heredada. Para obtener más información, consulte Bloquear la autenticación heredada con Microsoft Entra acceso condicional.

Exchange Online PowerShell

Desde la versión del módulo de PowerShell Exchange Online, ha sido fácil administrar la configuración de Exchange Online y la configuración de protección desde la línea de comandos mediante la autenticación moderna. El módulo usa la autenticación moderna y funciona con la autenticación multifactor (MFA) para conectarse a todos los entornos de PowerShell relacionados con Exchange en Microsoft 365: Exchange Online PowerShell, PowerShell de cumplimiento de seguridad & y PowerShell de Exchange Online Protection (EOP) independiente.

El módulo de PowerShell Exchange Online también se puede usar de forma no interactiva, lo que permite ejecutar scripts desatendidos. La autenticación basada en certificados proporciona a los administradores la capacidad de ejecutar scripts sin necesidad de crear cuentas de servicio o almacenar credenciales localmente. Para más información, consulte Autenticación de solo aplicación para scripts desatendidos en el módulo Exchange Online PowerShell.

Importante

No confunda el hecho de que PowerShell requiere la autenticación básica habilitada para WinRM (en el equipo local desde el que se ejecuta la sesión). El nombre de usuario y la contraseña no se envían al servicio mediante Basic, pero el encabezado De autenticación básica es necesario para enviar el token de OAuth de la sesión, ya que el cliente WinRM no admite OAuth. Estamos trabajando en este problema y tendremos más que anunciar en el futuro. Solo tiene que saber que la habilitación de Basic en WinRM no usa Basic para autenticarse en el servicio. Para obtener más información, vea Exchange Online PowerShell: Activar la autenticación básica en WinRM.

Obtenga más información sobre esta situación aquí: Descripción de las distintas versiones de Exchange Online módulos de PowerShell y autenticación básica.

Para obtener más información sobre cómo pasar de la versión V1 del módulo a la versión actual, consulte esta entrada de blog.

La versión 3.0.0 del módulo Exchange Online PowerShell V3 (versión preliminar 2.0.6-PreviewX) contiene versiones respaldadas por la API REST de todos los cmdlets de Exchange Online que no requieren autenticación básica en WinRM. Para obtener más información, consulte Novedades para la versión 3.0.0.

Servicios Web Exchange (EWS)

Muchas aplicaciones se han creado mediante EWS para acceder a los datos de buzón y calendario.

En 2018, anunciamos que Exchange Web Services ya no recibiría actualizaciones de características y se recomienda que los desarrolladores de aplicaciones cambien al uso de Microsoft Graph. Consulte Próximos cambios en la API de Exchange Web Services (EWS) para obtener Office 365.

Muchas aplicaciones se han movido correctamente a Graph, pero para aquellas aplicaciones que no lo han hecho, es importante destacar que EWS ya admite totalmente la autenticación moderna. Por lo tanto, si aún no puede migrar a Graph, puede cambiar al uso de la autenticación moderna con EWS, sabiendo que EWS quedará finalmente en desuso.

Para más información, vea:

Outlook, MAPI, RPC y libreta de direcciones sin conexión (OAB)

Todas las versiones de Outlook para Windows desde 2016 tienen habilitada la autenticación moderna de forma predeterminada, por lo que es probable que ya esté usando la autenticación moderna. Outlook Anywhere (anteriormente conocido como RPC a través de HTTP) ha quedado en desuso en Exchange Online a favor de MAPI sobre HTTP. Outlook para Windows usa MAPI a través de HTTP, EWS y OAB para acceder al correo, establecer la disponibilidad y la disponibilidad fuera de la oficina y descargar la libreta de direcciones sin conexión. Todos estos protocolos admiten la autenticación moderna.

Outlook 2007 o Outlook 2010 no pueden usar la autenticación moderna y, finalmente, no podrán conectarse. Outlook 2013 requiere una configuración para habilitar la autenticación moderna, pero una vez configurada la configuración, Outlook 2013 puede usar la autenticación moderna sin problemas. Como se anunció anteriormente aquí, Outlook 2013 requiere un nivel de actualización mínimo para conectarse a Exchange Online. Consulte: Nuevos requisitos mínimos de la versión de Outlook para Windows para Microsoft 365.

Outlook para Mac admite la autenticación moderna.

Para obtener más información sobre la compatibilidad con la autenticación moderna en Office, vea Cómo funciona la autenticación moderna para las aplicaciones cliente de Office.

Si necesita migrar carpetas públicas a Exchange Online, consulte Public Folder Migration Scripts with Modern Authentication Support (Scripts de migración de carpetas públicas con compatibilidad con la autenticación moderna).

Detección automática

En noviembre de 2022 anunciamos que deshabilitaría la autenticación básica para el protocolo de detección automática una vez que EAS y EWS estén deshabilitados en un inquilino.

Opciones de cliente

A continuación se enumeran algunas de las opciones disponibles para cada uno de los protocolos afectados.

Recomendación de protocolo

Para Exchange Web Services (EWS), PowerShell remoto (RPS), POP e IMAP y Exchange ActiveSync (EAS):

  • Si ha escrito su propio código con estos protocolos, actualice el código para usar OAuth 2.0 en lugar de la autenticación básica o migre a un protocolo más reciente (Graph API).
  • Si usted o los usuarios usan una aplicación de terceros que usa estos protocolos, póngase en contacto con el desarrollador de aplicaciones de terceros que proporcionó esta aplicación para actualizarla para admitir la autenticación de OAuth 2.0 o ayudar a los usuarios a cambiar a una aplicación compilada mediante OAuth 2.0.
Servicio de protocolo de claves Clientes afectados Recomendación específica del cliente Recomendación especial para Office 365 operado por 21Vianet (Gallatin) Información o notas de otros protocolos
Outlook Todas las versiones de Outlook para Windows y Mac
  • Actualizar a Outlook 2013 o posterior para Windows y Outlook 2016 o posterior para Mac
  • Si usa Outlook 2013 para Windows, active la autenticación moderna a través de la clave del Registro.
Habilitación de la autenticación moderna para Outlook: ¿qué tan difícil puede ser?
Servicios Web Exchange (EWS) Aplicaciones de terceros que no admiten OAuth
  • Modifique la aplicación para usar la autenticación moderna.
  • Migre la aplicación para usar Graph API y la autenticación moderna.

Aplicaciones populares:

Siga este artículo para migrar la aplicación personalizada de Gallatin para usar EWS con OAuth

Microsoft Teams y Cisco Unity no están disponibles actualmente en Gallatin
Qué hacer con los scripts de PowerShell de la API administrada de EWS que usan la autenticación básica
  • No hay actualizaciones de características de EWS a partir de julio de 2018
  • PowerShell remoto (RPS) Use: Azure Cloud Shell no está disponible en Gallatin Obtenga más información sobre la automatización y la compatibilidad con la autenticación basada en certificados para el módulo de PowerShell Exchange Online y Descripción de las distintas versiones de Exchange Online módulos de PowerShell y autenticación básica.
    POP e IMAP Clientes móviles de terceros, como clientes de primera entidad de Thunderbird configurados para usar POP o IMAP Recomendaciones:
    • Aléjese de estos protocolos, ya que no habilitan características completas.
    • Vaya a OAuth 2.0 para POP/IMAP cuando la aplicación cliente lo admita.
    Siga este artículo para configurar POP e IMAP con OAuth en Gallatin con código de ejemplo IMAP es popular para los clientes de Linux y educación. La compatibilidad con OAuth 2.0 comenzó a implementarse en abril de 2020.

    Autenticación de una conexión IMAP, POP o SMTP mediante OAuth
    Exchange ActiveSync (EAS) Clientes de correo electrónico móviles de Apple, Samsung, etc.
    • Mover a Outlook para iOS y Android u otra aplicación de correo electrónico móvil que admita autenticación moderna
    • Actualice la configuración de la aplicación si puede hacer OAuth, pero el dispositivo sigue usando Basic.
    • Cambie a Outlook en la Web u otra aplicación de explorador móvil que admita la autenticación moderna.

    Aplicaciones populares:

    • Apple iPhone/iPad/macOS: todos los dispositivos iOS/macOS actualizados son capaces de usar la autenticación moderna, solo tiene que quitar y volver a agregar la cuenta.
    • Cliente de Microsoft Windows 10 Mail: quite y agregue la cuenta, eligiendo Office 365 como tipo de cuenta.
  • La aplicación de correo nativa de Apple en iOS no funciona actualmente en Gallatin. Se recomienda usar Outlook mobile
  • la aplicación de correo Windows 10/11 no es compatible con Gallatin
  • Siga este artículo para configurar EAS con OAuth y código de ejemplo
  • Los dispositivos móviles que usan una aplicación nativa para conectarse a Exchange Online suelen usar este protocolo.
    Detección automática Aplicaciones EWS y EAS que usan detección automática para buscar puntos de conexión de servicio
    • Actualización de código o aplicación a un OAuth compatible
    Referencia del servicio web de Detección automática para Exchange

    Recursos

    Para más información, consulte los siguientes artículos:

    Valores predeterminados de seguridad:

    directivas de autenticación de Exchange Online:

    Microsoft Entra acceso condicional: