Inicios de sesión que utilizan una autenticación heredada

  • Artículo

¿Alguna vez se ha preguntado cómo puede determinar si es seguro desactivar la autenticación heredada en el inquilino? Los inicios de sesión con el libro de autenticación heredado le ayudan a responder a esta pregunta.

En este artículo se ofrece una visión general del libro Inicio de sesión mediante autenticación heredada.

Requisitos previos

Para usar libros de Azure para Microsoft Entra ID, necesita lo siguiente:

  • Un inquilino de Microsoft Entra con una licencia Premium P1
  • Un área de trabajo de Log Analytics y acceso a la misma
  • Los roles adecuados para Azure Monitor y Microsoft Entra ID

Área de trabajo de Log Analytics

Debe crear un área de trabajo de Log Analyticsantesde poder utilizar los libros de trabajo de Microsoft Entra. varios factores que determinan el acceso a las áreas de trabajo de Log Analytics. Necesita los roles adecuados para el área de trabajo y los recursos que envían los datos.

Para obtener más información, consulte Administración del acceso a las áreas de trabajo de Log Analytics.

Roles de Azure Monitor

Azure Monitor proporciona dos roles integrados para ver los datos de supervisión y editar la configuración de supervisión. El control de acceso basado en rol (RBAC) de Azure también proporciona dos roles integrados de Log Analytics que conceden acceso similar.

  • Ver:

    • Lector de supervisión
    • Lector de Log Analytics

  • Vista y modificación de la configuración:

    • Colaborador de supervisión
    • Colaborador de Log Analytics

Roles de Microsoft Entra

El acceso de solo lectura permite ver los datos de registro de Microsoft Entra ID dentro de un libro, consultar datos de Log Analytics o leer registros en el centro de administración de Microsoft Entra. El acceso de actualización agrega la capacidad de crear y editar la configuración de diagnóstico para enviar datos de Microsoft Entra a un área de trabajo de Log Analytics.

  • Lectura:

    • Lector de informes
    • Lector de seguridad
    • Lector global

  • Actualizar:

    • Administrador de seguridad

Para obtener más información sobre los roles integrados de Microsoft Entra, consulte roles integrados de Microsoft Entra.

Para más información sobre los roles RBAC de Log Analytics, consulte Roles integrados de Azure.

Descripción

Screenshot of workbook thumbnail.

Microsoft Entra ID admite muchos de los protocolos de autenticación y autorización usados más comúnmente, incluyendo la autenticación heredada. La autenticación heredada hace referencia a la autenticación básica, que en su día fue un método estándar del sector ampliamente utilizado para pasar información de nombre de usuario y contraseña a través de un cliente a un proveedor de identidades.

Algunos ejemplos de aplicaciones que usan normalmente o solo usan la autenticación heredada son:

  • Microsoft Office 2013 o versiones posteriores.

  • Aplicaciones que usan protocolos de correo como POP, IMAP y SMTP AUTH.

La autenticación de un solo factor (por ejemplo, nombre de usuario y contraseña) no proporciona el nivel de protección necesario para los entornos informáticos actuales. No se recomiendan las contraseñas, porque son fáciles de adivinar y porque los usuarios humanos no suelen elegir contraseñas seguras.

Desafortunadamente, la autenticación heredada:

  • No admite la autenticación multifactor (MFA) ni otros métodos de autenticación sólida.

  • Hace imposible que su organización pase a la autenticación sin contraseña.

Para mejorar la seguridad del inquilino de Microsoft Entra y la experiencia de los usuarios, debería deshabilitar la autenticación heredada. Sin embargo, las experiencias importantes del usuario en el inquilino pueden depender de la autenticación heredada. Antes de cerrar la autenticación heredada, puede encontrar esos casos para poder migrarlos a una autenticación más segura.

El libro Inicio de sesión con autenticación heredada le permite ver todos los inicios de sesión con autenticación heredada de su entorno. Este libro le ayuda a encontrar y migrar flujos de trabajo críticos a métodos de autenticación más seguros antes de apagar la autenticación heredada.

Cómo acceder al libro

  1. Inicie sesión en el Centro de administración de Microsoft Entra con la combinación adecuada de roles.

  2. Vaya a Identidad>Supervisión y estado>Libros.

  3. Seleccione el libro Inicio de sesión con autenticación heredada en la sección Utilización.

Secciones del libro

Con este libro, puede distinguir entre inicios de sesión interactivos y no interactivos. En este libro se resaltan los protocolos de autenticación heredados que se usan en todo el inquilino.

La recopilación de datos consta de tres pasos:

  1. Seleccione un protocolo de autenticación heredado y, a continuación, seleccione una aplicación para filtrar por los usuarios que acceden a esa aplicación.

  2. Seleccione un usuario para ver todos sus inicios de sesión de autenticación heredados en la aplicación seleccionada.

  3. Vea todo inicios de sesión de autenticación heredados para que el usuario entienda cómo se usa la autenticación heredada.

Filtros

Este libro admite varios filtros:

  • Intervalo de tiempo (hasta 90 días)

  • Nombre principal de usuario

  • Application

  • Estado del inicio de sesión (correcto o con error)

Filter options

procedimientos recomendados

  • Para obtener instrucciones sobre cómo bloquear la autenticación heredada en su entorno, consulte Bloquear la autenticación heredada para Microsoft Entra ID con acceso condicional.

  • Muchos protocolos de correo electrónico que antes se basaban en la autenticación heredada ahora admiten métodos de autenticación modernos más seguros. Si ve protocolos de autenticación de correo electrónico heredados en este libro, considere la posibilidad de migrar a la autenticación moderna para correo electrónico en su lugar. Para obtener más información, consulte Eliminación de la autenticación básica en Exchange Online.

  • Algunos clientes pueden usar la autenticación heredada o la autenticación moderna en función de la configuración del cliente. Si ve “cliente de escritorio/móvil moderno” o “escritorio” para un cliente en los registros de Microsoft Entra, está usando la autenticación moderna. Si tiene un nombre de cliente o protocolo específico, como "Exchange ActiveSync", está usando autenticación heredada para conectarse a Microsoft Entra ID. Los tipos de cliente en el acceso condicional y la página de informes de Microsoft Entra en el centro de administración de Microsoft Entra demarcan los clientes de autenticación moderna y los clientes de autenticación heredados por usted, y solo la autenticación heredada se recoge en este libro.

  • Para más información sobre Identity Protection, consulte ¿Qué es Identity Protection?.

  • Para más información sobre los libros de Microsoft Entra, consulte Cómo usar los libros de Microsoft Entra.