Bloqueo de la autenticación heredada en Azure AD con acceso condicional

Para brindar a los usuarios un acceso sencillo a las aplicaciones en la nube, Azure Active Directory (Azure AD) admite una amplia variedad de protocolos de autenticación, incluida la autenticación heredada. No obstante, la autenticación heredada no admite cosas como la autenticación multifactor (MFA). MFA es un requisito común para mejorar la posición de seguridad en las organizaciones.

Nota:

A partir del 1 de octubre de 2022, comenzaremos a deshabilitar permanentemente la autenticación básica para Exchange Online en todos los inquilinos de Microsoft 365 independientemente del uso, excepto para la autenticación SMTP. Obtenga más información aquí

En su entrada de blog del 12 de marzo de 2020, New tools to block legacy authentication in your organization, Alex Weinert, Director de seguridad de identidades en Microsoft, destaca los motivos por los que las organizaciones deben bloquear la autenticación heredada, y señala otras herramientas que Microsoft proporciona para realizar esta tarea:

Para que MFA sea efectivo, también es necesario bloquear la autenticación heredada. Esto se debe a que los protocolos de autenticación heredados como POP, SMTP, IMAP y MAPI no pueden aplicar MFA, lo que los convierte en los puntos de entrada preferidos de los adversarios que atacan su organización.

Las cifras relativas a la autenticación heredada que ha arrojado un análisis de tráfico de Azure Active Directory (Azure AD) son inapelables:

  • Más del 99 por ciento de los ataques de difusión de contraseña usan protocolos de autenticación heredados.
  • Más del 97 por ciento de los ataques de obtención de credenciales usan la autenticación heredada.
  • Las cuentas de Azure AD de las organizaciones que han deshabilitado la autenticación heredada experimentaron un 67 % menos de riesgos que aquellas en las que la autenticación heredada está habilitada.

Si está listo para bloquear la autenticación heredada con el fin de mejorar la protección del inquilino, puede lograr este objetivo con el acceso condicional. En este artículo se explica cómo configurar las directivas de acceso condicional que bloquean la autenticación heredada para todas las cargas de trabajo en el inquilino.

Al implementar la protección de bloqueo de autenticación heredada, se recomienda un enfoque por fases, en lugar de deshabilitarlo para todos los usuarios a la vez. Los clientes pueden optar por empezar primero a deshabilitar la autenticación básica por protocolo mediante la aplicación de las directivas de autenticación de Exchange Online y, opcionalmente, bloquear también la autenticación heredada a través de directivas de acceso condicional cuando estén listas.

Los clientes sin licencias que incluyen el acceso condicional pueden usar losvalores predeterminados de seguridad para bloquear la autenticación heredada.

Requisitos previos

En este artículo se supone que está familiarizado con los conceptos básicos del acceso condicional de Azure AD.

Nota:

Las directivas de acceso condicional se aplican una vez que se completa la autenticación en una fase. El acceso condicional no pretende ser una primera línea de defensa de una organización en escenarios como los ataques por denegación de servicio (DoS), pero puede usar señales de estos eventos para determinar el acceso.

Descripción del escenario

Azure AD admite los protocolos de autenticación y autorización usados más comúnmente, incluida la autenticación heredada. La autenticación heredada no puede solicitar a los usuarios la autenticación de segundo factor u otros requisitos de autenticación necesarios para satisfacer directamente las directivas de acceso condicional. En este patrón de autenticación se incluye la autenticación básica, un método estándar del sector ampliamente usado para recopilar información de nombre de usuario y contraseña. Algunos ejemplos de aplicaciones que usan normalmente o solo usan la autenticación heredada son:

  • Microsoft Office 2013 o versiones posteriores.
  • Aplicaciones que usan protocolos de correo como POP, IMAP y SMTP AUTH.

Para más información sobre la compatibilidad con la autenticación moderna en Office, consulte Cómo funciona la autenticación moderna para las aplicaciones de cliente de Office.

La autenticación de un solo factor (por ejemplo, nombre de usuario y contraseña) ya no es suficiente. No se recomiendan las contraseñas, porque son fáciles de adivinar y porque los usuarios humanos no suelen elegir contraseñas seguras. Las contraseñas también son vulnerables ante una variedad de ataques, como suplantación de identidad (phishing) y difusión de contraseña. Una de las medidas más sencillas que puede tomar para protegerse contra las amenazas para las contraseñas es implementar la autenticación multifactor (MFA). Con MFA, incluso si el atacante cuenta con la contraseña del usuario, la contraseña por sí sola no es suficiente para autenticarse de manera correcta y acceder a los datos.

¿Cómo se puede evitar que las aplicaciones que usan la autenticación heredada accedan a los recursos del inquilino? La recomendación es simplemente bloquearlas con una directiva de acceso condicional. Si es necesario, puede permitir que solo ciertos usuarios y ubicaciones de red específicas usen aplicaciones basadas en la autenticación heredada.

Implementación

En esta sección se explica cómo configurar una directiva de acceso condicional para bloquear la autenticación heredada.

Protocolos de mensajería que admiten la autenticación heredada

Los siguientes protocolos de mensajería admiten autenticación heredada:

  • SMTP autenticado: se usa para enviar mensajes de correo electrónico autenticados.
  • Detección automática: usada por clientes Outlook y EAS para buscar y conectarse a buzones en Exchange Online.
  • Exchange ActiveSync (EAS): se usa para conectarse a los buzones en Exchange Online.
  • Exchange Online PowerShell: se usa para conectarse a Exchange Online con PowerShell remoto. Si bloquea la autenticación básica para Exchange Online PowerShell, debe usar el módulo de Exchange Online PowerShell para conectarse. Para obtener instrucciones, consulte Conexión a Exchange Online PowerShell con autenticación multifactor.
  • Servicios web Exchange (EWS): una interfaz de programación que se usa en Outlook, Outlook para Mac y aplicaciones de terceros.
  • IMAP4: usado por clientes de correo electrónico IMAP.
  • SMTP sobre HTTP (MAPI/HTTP): protocolo de acceso al buzón de correo principal utilizado por Outlook 2010 SP2 y versiones posteriores.
  • Libreta de direcciones sin conexión (OAB): una copia de las colecciones de listas de direcciones que Outlook descarga y usa.
  • Outlook Anywhere (RPC a través de HTTP): protocolo de acceso a buzones de correo heredado admitido por todas las versiones Outlook actuales.
  • POP3: usado por clientes de correo electrónico POP.
  • Servicios web de creación de informes: se usan para recuperar datos de informes en Exchange Online.
  • Servicio Outlook: usado por la aplicación de correo electrónico y calendario de Windows 10.
  • Otros clientes: otros protocolos que usen autenticación heredada.

Para más información sobre estos protocolos y servicios de autenticación, vea Informes de actividad de inicio de sesión en el portal de Azure Active Directory.

Identificación del uso de la autenticación heredada

Para poder bloquear la autenticación heredada en su directorio, primero debe entender si los usuarios tienen aplicaciones que la usen. A continuación, encontrará información útil para identificar y realizar una evaluación de prioridades de la ubicación en la que los clientes usan la autenticación heredada.

Indicadores de Azure AD

  1. Vaya a Azure Portal>Azure Active Directory>Registros de inicio de sesión.
  2. Agregue la columna Aplicación cliente si no se muestra; para ello, haga clic en Columnas>Aplicación cliente.
  3. Agregar filtros>Aplicación cliente> seleccione todos los protocolos de autenticación heredados. Seleccione fuera del cuadro de diálogo de filtrado para aplicar las selecciones y cierre el cuadro de diálogo.
  4. Si ha activado la versión preliminar de los nuevos informes de actividad de inicio de sesión, repita los pasos anteriores también en la pestaña Inicios de sesión de usuario (no interactivos).

Al filtrar solo se muestran los intentos de inicio de sesión que se realizaron con protocolos de autenticación heredada. Al hacer clic en cada intento de inicio de sesión individual se muestran más detalles. El campo Aplicación cliente en la pestaña Información básica indicará qué protocolo de autenticación heredada se usó.

Estos registros indicarán la ubicación en la que los usuarios usan los clientes que dependen todavía de la autenticación heredada. En el caso de los usuarios que no aparecen en estos registros y se confirme que no usan la autenticación heredada, implemente una directiva de acceso condicional solo para ellos.

Además, para ayudar a realizar una evaluación de prioridades de la autenticación heredada en el inquilino, use Inicios de sesión que utilizan una autenticación heredada.

Indicadores del cliente

Para determinar si un cliente usa autenticación heredada o moderna en función del cuadro de diálogo que se presenta en el inicio de sesión, consulte el artículo sobre el desuso de la autenticación básica en Exchange Online.

Consideraciones importantes

Muchos clientes que anteriormente solo admitían la autenticación heredada ahora admiten la autenticación moderna. Los clientes que admiten la autenticación heredada y moderna pueden requerir una actualización de la configuración para pasar de la autenticación heredada a la moderna. Si ve móvil moderno, cliente de escritorio o explorador para un cliente en los registros de Azure AD, está usando la autenticación moderna. Si tiene un nombre de cliente o protocolo específico, como Exchange ActiveSync, está usando la autenticación heredada. Los tipos de cliente en el acceso condicional, los registros de inicio de sesión de Azure AD y el libro de autenticación heredada distinguen automáticamente entre los clientes de autenticación moderna y heredada.

  • Los clientes que admiten la autenticación moderna, pero que no están configurados para usarla, deben actualizarse o volver a configurarse para utilizarla.
  • Todos los clientes que no admiten la autenticación moderna deben reemplazarse.

Importante

Exchange Active Sync con la autenticación basada en certificados (CBA)

Al implementar Exchange Active Sync (EAS) con CBA, configure los clientes para que usen una autenticación moderna. Los clientes que no usen la autenticación moderna para EAS con CBA no están bloqueados con el desuso de la autenticación básica en Exchange Online. Sin embargo, las directivas de acceso condicional configuradas para bloquear la autenticación heredada bloquean estos clientes.

Para obtener más información sobre cómo implementar la compatibilidad con CBA con Azure AD y la autenticación moderna, consulte Cómo configurar la autenticación basada en certificados de Azure AD (versión preliminar). Como otra opción, la autenticación basada en certificados realizada en un servidor de federación se puede usar con la autenticación moderna.

Si usa Microsoft Intune, es posible que pueda cambiar el tipo de autenticación mediante el perfil de correo electrónico que inserte o implemente en los dispositivos. Si usa dispositivos iOS (iPhone y iPad), debería echar un vistazo al artículo sobre cómo agregar la configuración de correo electrónico para dispositivos iOS y iPadOS en Microsoft Intune.

Bloquear la autenticación heredada

Hay dos maneras de usar las directivas de acceso condicional para bloquear la autenticación heredada.

Bloqueo directo de la autenticación heredada

La forma más sencilla de bloquear la autenticación heredada en toda la organización es mediante la configuración de una directiva de acceso condicional que se aplica específicamente a los clientes de autenticación heredados y bloquea el acceso. Al asignar usuarios y aplicaciones a la directiva, asegúrese de excluir los usuarios y las cuentas de servicio que todavía deben iniciar sesión con la autenticación heredada. Al elegir las aplicaciones en la nube en las que se va a aplicar esta directiva, seleccione Todas las aplicaciones en la nube, aplicaciones de destino como Office 365 (recomendado) o, como mínimo, Office 365 Exchange Online. Configure la condición de aplicaciones cliente; para ello, seleccione Clientes de Exchange ActiveSync y Otros clientes. Para bloquear el acceso a estas aplicaciones cliente, configure los controles de acceso para bloquear el acceso.

Condición de aplicaciones cliente configurada para bloquear la autenticación heredada

Bloqueo indirecto de la autenticación heredada

Si la organización no está lista para bloquear la autenticación heredada en toda la organización, debe asegurarse de que los inicios de sesión que usan la autenticación heredada no omiten las directivas que requieren controles de concesión, como requerir la autenticación multifactor o los dispositivos unidos a Azure AD híbrido o compatibles. Durante la autenticación, los clientes de autenticación heredada no admiten el envío de información sobre MFA, el cumplimiento del dispositivo o el estado de la unión a Azure AD. Por lo tanto, aplique directivas con controles de concesión a todas las aplicaciones cliente para que se bloqueen los inicios de sesión basados en la autenticación heredada que no puedan satisfacer los controles de concesión. Con la disponibilidad general de la condición de aplicaciones de cliente en agosto de 2020, las directivas de acceso condicional recién creadas se aplican a todas las aplicaciones cliente de forma predeterminada.

Configuración predeterminada de la condición de aplicaciones cliente

Qué debería saber

La directiva de acceso condicional puede tardar hasta 24 horas en entrar en vigor.

Al bloquear el acceso mediante Otros clientes también se impide que PowerShell de Exchange Online y Dynamics 365 usen la autenticación básica.

La configuración de una directiva para otros clientes bloquea toda la organización ante determinados clientes como SPConnect. Este bloqueo se produce porque clientes más antiguos se autentican de formas inesperadas. Este problema no aplica a las aplicaciones principales de Office, como los clientes de Office anteriores.

Puede seleccionar todos los controles de concesión disponibles para la condición Otros clientes, pero la experiencia del usuario final siempre es la misma: el acceso bloqueado.

Pasos siguientes