esenfrdeitptru

La autenticación básica basada en nombre de usuario y contraseña será deshabilitada por Microsoft a partir del 1 de octubre de 2022

AS-072-2022

Fecha: 22/Ago/2022

Resumen:

La autenticación moderna en Office 365 es una combinación de métodos de autenticación y autorización. Es más seguro que el método de autenticación básica-Basic Auth, que se basa únicamente en un nombre de usuario y una contraseña y no admite la autenticación multifactor-MFA

Como todos sabemos ahora, los nombres de usuario y las contraseñas se roban fácilmente. Los correos electrónicos de phishing, por ejemplo, son una forma efectiva para que los delincuentes obtengan las credenciales de los usuarios. Esto hace que el usuario sea realmente vulnerable a los ataques. Especialmente en combinación con protocolos heredados, como SMTP e IMAP.

La autenticación moderna está habilitada de forma predeterminada en Office 365 para los usuarios creados después de agosto de 2017. Sin embargo, muchos de éstos usan la autenticación básica o los protocolos antiguos.

Excepciones y tiempo por usuario

La autenticación básica basada en nombre de usuario y contraseña será deshabilitada por Microsoft a partir del 1 de octubre de 2022.

No hay forma de solicitar una excepción después del 1 de octubre . La selección de usuarios es aleatoria y no se podrá registrar al usuario al final de la cola para darle más tiempo o cambiar su configuración en una fecha específica.

¿Qué es la autenticación moderna?

La autenticación moderna se basa en ADAL (Biblioteca de autenticación de Active Directory) y OAuth 2.0. Una aplicación no almacena las credenciales de los usuarios, pero la autenticación se realiza con tokens.

Después de que un usuario inicia sesión con su cuenta, se devuelve un token a la aplicación. El token tiene una vida útil limitada después de la cual dejará de ser válido. Otra ventaja del token es que podemos definir un alcance de permiso. Por lo tanto, podemos dar acceso solo a la aplicación al buzón del usuario, pero no a OneDrive, por ejemplo.

Otra ventaja realmente importante de la autenticación moderna en Office 365 es que podemos usar la autenticación multifactor, también conocida como MFA. Con MFA, el usuario debe iniciar sesión con algo que conoce (nombre de usuario y contraseña) y algo que tiene, un token de un solo uso en el teléfono móvil.

Alcance e implicaciones del cambio:

  1. Si tiene Outlook para Windows, asegúrese de que esté actualizado, tenga las claves de registro correctas y, lo que es más importante, que el interruptor para habilitar todo el espacio empresarial esté establecido en Verdadero. Si los clientes ya iniciaron sesión en otra aplicación de Microsoft 365, como Teams, ya están autenticados, por lo que es muy probable que no vean ningún tipo de solicitud de autenticación. Estamos activando esta configuración para los clientes a medida que deshabilitamos la autenticación básica para MAPI/RPC en el usuario, pero no antes. Se asegurará de que Outlook pueda conectarse mediante la autenticación moderna una vez que la autenticación básica esté deshabilitada. Outlook no es compatible con OAuth con POP e IMAP; si desea usar POP e IMAP, con una aplicación cliente, necesitará otra aplicación.
    Hay varios clientes que utilizan los protocolos POP e IMAP para acceder a las aplicaciones. Tanto POP como IMAP son compatibles con OAuth para aplicaciones interactivas. Si eres desarrollador sabrás dónde buscar, encontrarás los permisos IMAP.AccessAsApp y POP.AccessAsApp. Microsoft tendrá alguna guía sobre cómo usarlos muy pronto, así que ten cuidado con eso.
  2. Aplicaciones EWS: también tenemos varios clientes con aplicaciones que usan EWS y autenticación básica. EWS admite el acceso solo a la aplicación y puede usar las Políticas de acceso a la aplicación para controlar a qué puede acceder una aplicación; si tiene aplicaciones que usan EWS con autenticación básica, debe modificar el código o hacer que el propietario de la aplicación lo haga. Muchas aplicaciones de socios son compatibles con Modern Auth, solo necesita modificar su configuración o actualizar a las últimas versiones. ¡Hazlo ahora!
  3. Exchange ActiveSync: todas las aplicaciones nativas en clientes actualizados admiten la autenticación moderna, pero muchos dispositivos de usuarios aún usan la autenticación básica. Si usa una solución MDM/MAM, utilícela para implementar nuevos perfiles. Así es como puede usar Intune para configurar el mecanismo de autenticación para iPhone e iPad, por ejemplo. Si no tiene un MDM, simplemente elimine y vuelva a agregar la cuenta del dispositivo y debería cambiar automáticamente a Modern Auth.
  4. Scripts de PowerShell: si tiene scripts que necesita ejecutar, siga esta guía para usar Modern Auth en sus scripts.
  5. Servicios web de informes: el soporte para OAuth se está implementando. La autenticación básica se desactivará a partir del 1 de octubre.
  6. Salas de Microsoft Teams: asegúrese de que estén usando Modern Auth siguiendo estos pasos.

Recomendaciones.

Instamos a todas las organizaciones a cambiar a Modern Auth antes del 1 de octubre y habilitar MFA.

Referencias:

https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-deprecation-in-exchange-online-may-2022/ba-p/3301866

https://lazyadmin.nl/office-365/modern-authentication-office-365/

https://blog.expta.com/2021/10/notes-and-details-on-eradication-of.html