Autenticación moderna en Microsoft Office 365
Secure Mail admite la autenticación moderna en Microsoft Office 365 para Servicios de federación de Active Directory (AD FS) o el proveedor de identidades (IDP). La autenticación moderna es una autenticación OAuth basada en token con nombre de usuario y contraseña. Los usuarios de Secure Mail con dispositivos iOS pueden aprovechar las ventajas de la autenticación basada en certificados al conectarse a Office 365. Cuando inician sesión en Secure Mail, los usuarios se autentican con un certificado de cliente, en lugar de escribir sus credenciales.
Antes de continuar, haga lo siguiente:
- Habilitar la autenticación moderna (OAuth) para Microsoft Office 365.
- Habilite los dispositivos de punto final, las URL y los intervalos de direcciones IP de Office 365 en su firewall para garantizar una conectividad de red óptima. Para obtener más detalles, consulte la documentación de Microsoft en URL e intervalos de direcciones IP de Office 365.
Nota:
- Para migrar o crear una solución de buzón de correo de Exchange híbrida, consulte Exchange ActiveSync device settings with Exchange hybrid deployments en la documentación de Microsoft.
Requisitos previos de la directiva de Citrix Endpoint Management
Habilite las siguientes directivas en la consola de Citrix Endpoint Management:
Para dispositivos que ejecutan iOS:
-
Mecanismo de autenticación de Office 365: Utilice esta directiva para indicar el mecanismo de OAuth utilizado para la autenticación cuando se configura una cuenta en Office 365. Esta directiva tiene los siguientes valores que debe configurar:
- No usar OAuth: Utilice esta directiva para la autenticación básica durante la configuración de la cuenta.
- Usar OAuth con nombre de usuario y contraseña: Utilice esta directiva para el protocolo OAuth durante la autenticación. Los usuarios deben proporcionar su nombre de usuario y contraseña y, opcionalmente, un código de autenticación de varios factores para el flujo de OAuth.
- Usar OAuth con certificado de cliente: Use esta directiva si Office 365 está configurado para realizar la autenticación basada en certificados. La configuración predeterminada es No Usar OAuth.
Para dispositivos con Android:
- Usar autenticación moderna para O365: Utilice esta directiva para el protocolo OAuth durante la autenticación.
-
Directiva SSO web para tunelización: Utilice esta directiva para tunelizar el tráfico de OAuth a través de SSO web en túnel. Para ello:
- Active la directiva Utilizar SSO web para la tunelización.
- En la directiva Acceso de red, seleccione la opción SSO web en túnel.
Nota:
Para obtener información sobre cómo habilitar STA, consulte Conexión a un servidor de correo a través de STA.
- Excluya los nombres de host relacionados con OAuth de la directiva Servicios en segundo plano.
Directivas comunes para dispositivos iOS y Android:
- Agente de usuario personalizado para autenticación moderna: Utilice esta directiva para cambiar la cadena de agente de usuario predeterminada para la autenticación moderna.
- Nombres de host Exchange Online de confianza: Utilice esta directiva para definir una lista de nombres de host Exchange Online de confianza que utilizan el mecanismo OAuth para la autenticación cuando se configura una cuenta. Los elementos de esta lista están separados por comas, como servidor.empresa.com, servidor.empresa.co.uk. Esta lista puede contener un valor predeterminado o una URL mnemónica, pero no puede estar vacía. El valor predeterminado es outlook.office365.com.
-
Nombres de host AD FS de confianza: utilice esta directiva para definir una lista de nombres de host AD FS de confianza para las páginas web donde la contraseña se rellena automáticamente durante la autenticación OAuth de Office 365. Este es un formato separado por comas, como
sts.companyname.com, sts.company.co.uk
. Si la lista está vacía, Secure Mail no rellena automáticamente las contraseñas. Secure Mail coteja los nombres de host de la lista con el nombre de host de la página web encontrada durante la autenticación de Office 365 y comprueba si la página usa el protocolo HTTPS. Por ejemplo, cuandosts.company.com
es un nombre de host de la lista, y el usuario va ahttps://sts.company.com
, Secure Mail rellena la contraseña siempre que la página tenga un campo de contraseña. El valor predeterminado eslogin.microsoftonline.com
. - Secure Mail Exchange Server: Utilice esta directiva para definir la dirección de su Exchange Server. Puede utilizar esta directiva para definir la dirección del servidor local o la dirección del servidor en la nube, conforme a sus requisitos.
- Configurar el redireccionamiento HTTP 451: Para obtener más información sobre cómo configurar la redirección, consulte el artículo Secure Mail ActiveSync redirect 451de Knowledge Center.
Secure Mail para iOS ahora tiene habilitada la autenticación moderna cuando las directivas se actualizan en el dispositivo.
Limitaciones
- Si está utilizando la autenticación moderna en su entorno, la función Notificaciones push enriquecidas para iOS no está disponible. Para obtener más información sobre las notificaciones push enriquecidas, consulte Notificaciones push en Secure Mail.
- No se admiten varias cuentas en configuraciones que ejecuten una autenticación basada en certificados.
Directivas de Secure Mail
En las siguientes tablas se indican las directivas de Secure Mail que se requieren en función de la infraestructura de Exchange:
Infraestructura de Exchange | Mecanismo de autenticación de Office 365 / Usar autenticación moderna para O365 | Nombres de host AD FS Online de confianza. | Nombres de host Exchange Online de confianza |
---|---|---|---|
Local | NO | NA | NA |
Híbrido* | SÍ | AD FS/IDP |
Outlook.office365.com o dirección URL mnemónica |
Exchange Online | SÍ | AD FS/IDP |
Outlook.office365.com o dirección URL mnemónica |
Infraestructura de Exchange | Servidor Exchange de Secure Mail | Servicios de red en segundo plano (iOS) | Servicios de red en segundo plano (Android) |
---|---|---|---|
Local | Nombre de host local de Exchange | Local | Local |
Híbrido* | local, nombres de host de Exchange Online | Local, nombre de host local de Exchange | Local, nombre de host local de Exchange, AD FS o IDP (solo interno) |
Exchange Online | Outlook.office365.com |
Nombres de host Exchange Online | Nombre de host local de Exchange, AD FS, IDP |
* Secure Mail admite una infraestructura híbrida de Exchange con buzones migrados.
Si el buzón de los usuarios locales se migra a Exchange Online, Secure Mail detecta automáticamente este cambio y solicita a los usuarios la autenticación moderna sin la necesidad de reconfigurar su cuenta.
Tabla de compatibilidad de Secure Mail con OAuth
La siguiente tabla enumera la compatibilidad de Secure Mail OAuth en dispositivos iOS y Android:
Tipo de autenticación | IDP o AD FS externos | IDP o AD FS internos | Azure AD | Intune |
---|---|---|---|---|
Nombre de usuario y contraseña | Sí | Sí | Sí | Sí |
Certificado del cliente | Sí | Solo Android | No | No |