Infraestructura de mensajería híbrida de seguridad mejorada: acceso móvil

En el artículo se muestra cómo implementar la autenticación multifactor para clientes móviles de Outlook que acceden a Microsoft Exchange. Hay dos arquitecturas que corresponden a dos posibilidades diferentes para la instancia de Microsoft Exchange que tiene el buzón de usuario:

• Exchange Online
• Exchange local

Arquitectura (Exchange Online)

En este escenario, los usuarios deben usar un cliente móvil que admita la autenticación moderna. Se recomienda Outlook Mobile (Outlook para iOS/Outlook para Android), que es compatible con Microsoft. El siguiente flujo de trabajo usa Outlook Mobile.

Descargue un archivo de Visio de todos los diagramas de este artículo.

Flujo de trabajo (Exchange Online)

1. El usuario empieza a configurar el perfil de Outlook, para lo que debe introducir una dirección de correo electrónico. Outlook Mobile se conecta al servicio Detección automática.
2. El servicio Detección automática realiza una solicitud anónima de AutoDiscover V2 a Exchange Online para acceder al buzón. Exchange Online responde con una respuesta de redireccionamiento 302 que contiene la dirección URL de ActiveSync para el buzón, que apunta a Exchange Online. Puede ver un ejemplo de este tipo de solicitud aquí.
3. Ahora que el servicio Detección automática tiene información sobre el punto de conexión del contenido del buzón, puede llamar a ActiveSync sin autenticación.
4. Como se describe aquí en el flujo de conexión, Exchange responde con una respuesta de desafío 401. Incluye una dirección URL de autorización que identifica el punto de conexión de Microsoft Entra que el cliente debe usar para obtener un token de acceso.
5. El servicio AutoDetect devuelve el punto de conexión de autorización de Microsoft Entra al cliente.
6. El cliente se conecta a Microsoft Entra ID para completar la autenticación y escribir información de inicio de sesión (correo electrónico).
7. Si el dominio está federado, la solicitud se redirige al Proxy de aplicación web.
8. El Proxy de autenticación web redirige la solicitud de autenticación a AD FS. El usuario ve una página de inicio de sesión.
9. El usuario escribe las credenciales para completar la autenticación.
10. El usuario se redirige de nuevo a Microsoft Entra ID.
11. Microsoft Entra ID aplica una directiva de acceso condicional de Azure.
12. La directiva puede aplicar restricciones en función del estado del dispositivo del usuario si el dispositivo está inscrito en Microsoft Endpoint Manager, aplicar directivas de protección de aplicaciones o aplicar la autenticación multifactor. Puede encontrar un ejemplo detallado de este tipo de directiva en los pasos de implementación que se describen aquí.
13. El usuario implementa los requisitos de directiva y completa la solicitud de autenticación multifactor.
14. Microsoft Entra ID devuelve tokens de acceso y actualización al cliente.
15. El cliente usa el token de acceso para conectarse a Exchange Online y recuperar el contenido del buzón.

Configuración (Exchange Online)

Para bloquear los intentos de acceso a Exchange Online ActiveSync a través de la autenticación heredada (la línea discontinua roja del diagrama), debe crear una directiva de autenticación que deshabilite la autenticación heredada para los protocolos que usa el servicio Outlook Mobile. En concreto, debe deshabilitar los servicios AutoDiscover, ActiveSync y Outlook. Esta es la configuración de directiva de autenticación correspondiente:

AllowBasicAuthAutodiscover : False

AllowBasicAuthActiveSync : False

AllowBasicAuthOutlookService : False

Una vez creada la directiva de autenticación, puede asignarla a un grupo piloto de usuarios. Después de realizar las pruebas, puede expandir la directiva para todos los usuarios. Para aplicar la directiva en el nivel de organización, use el comando Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy>. Debe usar PowerShell de Exchange Online para esta configuración.

En el caso de los dominios federados, puede configurar AD FS para desencadenar la autenticación multifactor en lugar de usar una directiva de acceso condicional. Sin embargo, se recomienda controlar la conexión y aplicar restricciones en el nivel de la directiva de acceso condicional.

Arquitectura (Exchange local)

Descargue un archivo de Visio de todos los diagramas de este artículo.

En este escenario, los usuarios deben usar un cliente móvil que admita la autenticación moderna, como se describe en Uso de la autenticación moderna híbrida. Se recomienda Outlook Mobile (Outlook para iOS/Outlook para Android), que es compatible con Microsoft. El siguiente flujo de trabajo usa Outlook Mobile.

Flujo de trabajo (Exchange local)

1. El usuario empieza a configurar el perfil de Outlook, para lo que debe introducir una dirección de correo electrónico. Outlook Mobile se conecta al servicio Detección automática.
2. El servicio Detección automática realiza una solicitud anónima de AutoDiscover V2 a Exchange Online para acceder al buzón.
3. Una vez que el buzón se encuentra en el entorno local, Exchange Online responde con una respuesta de redireccionamiento 302 que contiene una dirección URL de AutoDiscover local que el servicio Detección automática puede usar para recuperar la dirección URL de ActiveSync para el buzón.
4. La Detección automática usa la dirección URL local que recibió en el paso anterior para realizar una solicitud anónima de AutoDiscover v2 a Exchange local para acceder al buzón. Exchange local devuelve una dirección URL de ActiveSync para el buzón, que apunta a Exchange local. Puede ver un ejemplo de este tipo de solicitud aquí.
5. Ahora que el servicio Detección automática tiene información sobre el punto de conexión del contenido del buzón, puede llamar al punto de conexión de ActiveSync local sin autenticación. Como se describe aquí en el flujo de conexión, Exchange responde con una respuesta de desafío 401. Incluye una dirección URL de autorización que identifica el punto de conexión de Microsoft Entra que el cliente debe usar para obtener un token de acceso.
6. El servicio AutoDetect devuelve el punto de conexión de autorización de Microsoft Entra al cliente.
7. El cliente se conecta a Microsoft Entra ID para completar la autenticación y escribir información de inicio de sesión (correo electrónico).
8. Si el dominio está federado, la solicitud se redirige al Proxy de aplicación web.
9. El Proxy de autenticación web redirige la solicitud de autenticación a AD FS. El usuario ve una página de inicio de sesión.
10. El usuario escribe las credenciales para completar la autenticación.
11. El usuario se redirige de nuevo a Microsoft Entra ID.
12. Microsoft Entra ID aplica una directiva de acceso condicional de Azure.
13. La directiva puede aplicar restricciones en función del estado del dispositivo del usuario si el dispositivo está inscrito en Microsoft Endpoint Manager, aplicar directivas de protección de aplicaciones o aplicar la autenticación multifactor. Puede encontrar un ejemplo detallado de este tipo de directiva en los pasos de implementación que se describen aquí.
14. El usuario implementa los requisitos de directiva y completa la solicitud de autenticación multifactor.
15. Microsoft Entra ID devuelve tokens de acceso y actualización al cliente.
16. El cliente usa el token de acceso para conectarse a Exchange Online y recuperar el contenido del buzón local. El contenido debe proporcionarse desde la memoria caché, como se describe aquí. Para ello, el cliente emite una solicitud de aprovisionamiento que incluye el token de acceso del usuario y el punto de conexión de ActiveSync local.
17. La API de aprovisionamiento de Exchange Online adopta el token proporcionado como entrada. La API obtiene un segundo par de tokens de acceso y actualización para acceder al buzón local a través de una llamada intermediaria a Active Directory. Este segundo token de acceso tiene un ámbito con el cliente como Exchange Online y una audiencia del punto de conexión del espacio de nombres de ActiveSync local.
18. Si el buzón no está aprovisionado, la API de aprovisionamiento crea un buzón.
19. La API de aprovisionamiento establece una conexión segura con el punto de conexión de ActiveSync local. La API sincroniza los datos de mensajería del usuario mediante el uso del segundo token de acceso como mecanismo de autenticación. El token de actualización se usa periódicamente para generar un nuevo token de acceso para que los datos se puedan sincronizar en segundo plano sin la intervención del usuario.
20. Los datos se devuelven al cliente.

Configuración (Exchange local)

Para bloquear los intentos de acceso a ActiveSync local de Exchange a través de la autenticación heredada (las líneas discontinuas rojas del diagrama), debe crear una directiva de autenticación que deshabilite la autenticación heredada para los protocolos que usa el servicio Outlook Mobile. En concreto, debe deshabilitar AutoDiscover y ActiveSync. Esta es la configuración de directiva de autenticación correspondiente:

BlockLegacyAuthAutodiscover: True

BlockLegacyAuthActiveSync: True

Este es un ejemplo de un comando para crear esta directiva de autenticación:

New-AuthenticationPolicy -Name BlockLegacyActiveSyncAuth -BlockLegacyAuthActiveSync -BlockLegacyAuthAutodiscover

Una vez creada la directiva de autenticación, puede asignarla primero a un grupo piloto de usuarios con el comando Set-User user01 -AuthenticationPolicy <name_of_policy>. Después de realizar las pruebas, puede expandir la directiva para incluir a todos los usuarios. Para aplicar la directiva en el nivel de organización, use el comando Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy>. Debe usar PowerShell de Exchange local para esta configuración.

También debe tomar medidas para lograr la coherencia y permitir el acceso solo desde el cliente de Outlook. Para admitir Outlook Mobile como el único cliente aprobado de la organización, debe bloquear los intentos de conexión de los clientes que no son clientes de Outlook Mobile que admiten la autenticación moderna. Debe bloquear estos intentos en el nivel de Exchange local mediante estos pasos:

• Bloquee otros clientes de dispositivos móviles:

  Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
  

• Permita que Exchange Online se conecte al entorno local:

  If ((Get-ActiveSyncOrganizationSettings).DefaultAccessLevel -ne "Allow") {New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "OutlookService" -AccessLevel Allow}
  

• Bloquee la autenticación básica en Outlook para iOS y Android:

  New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block
  

Para obtener más información sobre estos pasos, vea Uso de la autenticación moderna híbrida con Outlook para iOS y Android.

En el caso de los dominios federados, puede configurar AD FS para desencadenar la autenticación multifactor en lugar de usar una directiva de acceso condicional. Sin embargo, se recomienda controlar la conexión y aplicar restricciones en el nivel de la directiva de acceso condicional.

Componentes

• Microsoft Entra ID. Microsoft Entra ID es un servicio de administración de acceso e identidades de Microsoft basado en la nube. Proporciona una autenticación moderna que se basa fundamentalmente en EvoSTS, un servicio de token de seguridad que usa Microsoft Entra ID. Se usa como servidor de autenticación para Exchange Server local.
• Autenticación multifactor de Microsoft Entra. La autenticación multifactor es un procedimiento en el que se solicita a los usuarios, durante el inicio de sesión, una forma adicional de identificación, como un código enviado a su teléfono móvil o el examen de su huella digital.
• Acceso condicional de Microsoft Entra. El acceso condicional es la característica que usa Microsoft Entra ID para aplicar directivas de una organización, como la autenticación multifactor.
• AD FS. AD FS habilita la administración de identidad y acceso federada mediante el uso compartido de derechos e identidades digitales por encima de los límites de seguridad y empresariales con una seguridad mejorada. En estas arquitecturas, se usa para facilitar el inicio de sesión de los usuarios con identidad federada.
• Proxy de aplicación web. El Proxy de aplicación web autentica previamente el acceso a las aplicaciones web mediante AD FS. También funciona como un proxy de AD FS.
• Microsoft Intune. Intune es nuestra administración unificada de puntos de conexión basada en la nube, que administra puntos de conexión entre Windows, Android, Mac, iOS y sistemas operativos Linux.
• Exchange Server. Exchange Server hospeda buzones de usuario de forma local. En estas arquitecturas, utiliza tokens que Microsoft Entra ID emite para que el usuario pueda acceder a los buzones.
• Servicios de Active Directory. Active Directory almacena información sobre los miembros de un dominio, incluidos los dispositivos y los usuarios. En estas arquitecturas, las cuentas de usuario pertenecen a los servicios de Active Directory y se sincronizan con Microsoft Entra ID.

Alternativas

Puede usar clientes móviles de terceros que admitan la autenticación moderna como una alternativa a Outlook Mobile. Si elige esta alternativa, el proveedor de terceros es responsable del soporte técnico para el cliente.

Detalles del escenario

La infraestructura de mensajería empresarial (EMI) es un servicio clave para las organizaciones. Pasar de métodos de autenticación y autorización más antiguos y menos seguros a la autenticación moderna es un desafío crítico en un mundo donde es habitual el teletrabajo. La implementación de requisitos de autenticación multifactor para el acceso al servicio de mensajería es una de las formas más eficaces de abordar ese desafío.

En este artículo se describen dos arquitecturas que le ayudarán a mejorar la seguridad en un escenario de acceso móvil de Outlook mediante la autenticación multifactor de Microsoft Entra.

En este artículo, se describen estos escenarios:

• Acceso a Outlook Mobile cuando el buzón del usuario está en Exchange Online.
• Acceso a Outlook Mobile cuando el buzón del usuario está en Exchange local.

Ambas arquitecturas abarcan Outlook para iOS y Outlook para Android.

Para obtener información sobre cómo aplicar la autenticación multifactor en otros escenarios de mensajería híbrida, vea estos artículos:

• Infraestructura de mensajería híbrida con seguridad mejorada en un escenario de acceso web
• Infraestructura de mensajería híbrida de seguridad mejorada en un escenario de acceso de cliente de escritorio

En este artículo, no se analizan otros protocolos, como IMAP o POP. Normalmente, estos escenarios no usan estos protocolos.

Notas generales

• En estas arquitecturas se usa el modelo de identidad federada de Microsoft Entra. Para los modelos de sincronización de hash de contraseña y autenticación transferida, la lógica y el flujo son iguales. La única diferencia está en el hecho de que Microsoft Entra ID no redirigirá la solicitud de autenticación a la instancia local de Servicios de federación de Active Directory (AD FS).
• En los diagramas, las líneas discontinuas negras muestran interacciones básicas entre los componentes Active Directory, Microsoft Entra Connect, Microsoft Entra ID, AD FS y Proxy de aplicación web. Puede obtener información sobre estas interacciones en La identidad híbrida requería puertos y protocolos.
• Con Exchange local, nos referimos a Exchange 2019 con las actualizaciones más recientes y un rol de buzón.
• En un entorno real, no tendrá un solo servidor. Tendrá una matriz de servidores Exchange con equilibrio de carga para ofrecer una alta disponibilidad. Los escenarios descritos aquí son adecuados para esa configuración.

Posibles casos de uso

Esta arquitectura es relevante para los siguientes escenarios:

• Mejorar la seguridad de la infraestructura de mensajería empresarial.
• Adoptar una estrategia de seguridad de Confianza cero.
• Aplicar el alto nivel de protección estándar de su servicio de mensajería en el entorno local durante la transición o la coexistencia con Exchange Online.
• Aplicar requisitos estrictos de seguridad o cumplimiento normativo en organizaciones cerradas o de alta seguridad, como las del sector financiero.

Consideraciones

Estas consideraciones implementan los pilares del marco de buena arquitectura de Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.

Confiabilidad

La confiabilidad garantiza que la aplicación pueda cumplir los compromisos contraídos con los clientes. Para más información, consulte Resumen del pilar de fiabilidad.

Disponibilidad

La disponibilidad global depende de la disponibilidad de los componentes implicados. Para obtener información sobre la disponibilidad, vea estos recursos:

• Avance en la disponibilidad de Microsoft Entra
• Servicios en la nube en los que puedes confiar: disponibilidad de Office 365
• ¿Cuál es la arquitectura de Microsoft Entra?

La disponibilidad de los componentes de la solución local depende del diseño implementado, la disponibilidad del hardware y las operaciones y rutinas de mantenimiento internas. Para obtener información sobre la disponibilidad de algunos de estos componentes, vea los siguientes recursos:

• Configuración de una implementación de AD FS con Grupos de disponibilidad AlwaysOn
• Implementación de alta disponibilidad y resistencia de sitios en Exchange Server
• Proxy de aplicación web en Windows Server 2016

Para usar la autenticación moderna híbrida, debe asegurarse de que todos los clientes de la red puedan acceder a Microsoft Entra ID. También debe mantener de forma coherente las aperturas de intervalos IP y los puertos de firewall de Office 365.

Para obtener información sobre los requisitos de protocolo y puerto para Exchange Server, vea “Requisitos de protocolo y el cliente de Exchange” en Introducción a la autenticación moderna híbrida y requisitos previos para el uso en Skype Empresarial y los servidores de Exchange locales.

Para los puertos e intervalos IP de Office 365, vea Intervalos de direcciones IP y direcciones URL de Office 365.

Si desea saber más sobre la autenticación moderna híbrida y los dispositivos móviles, lea la información sobre el punto de conexión de Detección automática que se proporciona en Otros puntos de conexión no incluidos en el servicio web de direcciones URL e IP de Office 365.

Resistencia

Para obtener información sobre la resistencia de los componentes de esta arquitectura, vea los siguientes recursos.

• Para Microsoft Entra ID: Avance en la disponibilidad de Microsoft Entra
• Para escenarios que usan AD FS: Implementación entre regiones geográficas de AD FS de alta disponibilidad en Azure con Azure Traffic Manager.
• Para la solución de Exchange local: Implementación de alta disponibilidad y resistencia de sitios en Exchange Server.

Seguridad

Para obtener instrucciones generales sobre la seguridad en los dispositivos móviles, vea Proteger datos y dispositivos con Microsoft Intune.

Para obtener información sobre la seguridad y la autenticación moderna híbrida, vea Profundización: cómo funciona realmente la autenticación híbrida.

En el caso de las organizaciones cerradas que tienen una protección perimetral fuerte tradicional, preocupa la seguridad en relación con las configuraciones clásicas de Exchange Hybrid. La configuración moderna de Exchange Hybrid no admite la autenticación moderna híbrida.

Para obtener información sobre el Microsoft Entra ID, vea guía de operaciones de seguridad de Microsoft Entra.

Si desea obtener información sobre los escenarios que utilizan la seguridad de AD FS, vea estos artículos:

• Procedimientos recomendados para proteger los Servicios de federación de Active Directory
• Bloqueo de extranet de AD FS y bloqueo inteligente de extranet

Optimización de costos

El costo de la implementación depende de los costos de licencia de Microsoft Entra ID y Microsoft 365. El costo total también incluye los costos de software y hardware para los componentes locales, las operaciones de TI, el entrenamiento y la educación, y la implementación de proyectos.

Para estas soluciones se necesita al menos Microsoft Entra ID P1. Para obtener información sobre los precios, vea Precios de Microsoft Entra.

Para obtener información sobre AD FS y el Proxy de aplicación web, vea Precios y licencias de Windows Server 2022.

Si desea obtener mas información sobre precios, vea estos recursos:

• Licencias de Microsoft Intune
• Comparar los planes de Exchange Online
• Preguntas más frecuentes sobre las licencias de Exchange

Eficiencia del rendimiento

El rendimiento depende del rendimiento de los componentes implicados y de la red de la empresa. Para obtener más información, vea Ajuste del rendimiento de Office 365 mediante líneas base y el historial de rendimiento.

Si desea obtener información sobre los factores del entorno local que influyen en el rendimiento en escenarios que incluyen los servicios de AD FS, vea estos recursos:

• Configurar la supervisión del rendimiento
• Ajuste de SQL y solución de problemas de latencia con AD FS

Escalabilidad

Para obtener información sobre la escalabilidad de AD FS, vea Planear la capacidad de los servidores de AD FS.

Si desea obtener información sobre la escalabilidad de Exchange Server en el entorno local, vea Arquitectura recomendada de Exchange 2019.

Implementación de este escenario

Para implementar esta infraestructura, debe completar los pasos descritos en las instrucciones que se incluyen en los artículos siguientes. Los pasos generales son los siguientes:

1. Proteja el acceso a Outlook Mobile como se describe en estos pasos de implementación para la autenticación moderna.
2. Bloquear todos los demás intentos de autenticación heredados en el nivel de Microsoft Entra ID.
3. Bloqueo de los intentos de autenticación heredados en el nivel de los servicios de mensajería mediante una directiva de autenticación

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Creadores de entidad de seguridad:

• Pavel Kondrashov | Arquitecto de soluciones en la nube
• Ella Parkum | Arquitecta e ingeniera principal de soluciones de clientes

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes

• Anuncio de la autenticación moderna híbrida de Exchange local
• Introducción a la autenticación moderna híbrida y requisitos previos para el uso en Skype Empresarial y los servidores de Exchange locales
• Usar la autenticación basada en notificaciones de AD FS con Outlook en la Web
• Cómo configurar Exchange Server local para usar la autenticación moderna híbrida
• Arquitectura recomendada de Exchange 2019
• Implementación de AD FS en Azure de alta disponibilidad entre regiones geográficas con Azure Traffic Manager
• Uso de la autenticación moderna híbrida con Outlook para iOS y Android
• Configuración de cuentas con la autenticación moderna en Exchange Online

Recursos relacionados

• Infraestructura de mensajería híbrida con seguridad mejorada en un escenario de acceso web
• Infraestructura de mensajería híbrida de seguridad mejorada en un escenario de acceso de cliente de escritorio