Autenticación moderna con Microsoft Office 365
Secure Mail admite la autenticación moderna con Microsoft Office 365 para Active Directory Federation Services (AD FS) o Identity Provider (IDP). La autenticación moderna es una autenticación basada en tokens OAuth con nombre de usuario y contraseña. Los usuarios de Secure Mail con dispositivos iOS pueden aprovechar la autenticación basada en certificados al conectarse a Office 365. Cuando inician sesión en Secure Mail, los usuarios se autentican mediante un certificado de cliente, en lugar de escribir sus credenciales.
Antes de continuar, haz lo siguiente:
- Habilita la autenticación moderna (OAuth) para Microsoft Office 365.
- Habilita los puntos de conexión, las URL y los rangos de direcciones IP de Office 365 en tu firewall para garantizar una conectividad de red óptima. Para obtener más información, consulta la documentación de Microsoft sobre rangos de direcciones IP y URL de Office 365.
Nota:
- Para migrar o crear una solución de buzón de Exchange híbrida, consulta Configuración de dispositivos Exchange ActiveSync con implementaciones híbridas de Exchange en la documentación de Microsoft.
Requisitos previos de la política de Citrix Endpoint Management™
Habilita las siguientes políticas en la consola de Citrix Endpoint Management:
- **Para dispositivos con iOS:**
- **Mecanismo de autenticación de Office 365:** Usa esta política para indicar el mecanismo OAuth utilizado para la autenticación al configurar una cuenta en Office 365. Esta política tiene los siguientes valores que debes configurar:
- **No usar OAuth:** Usa esta política para la autenticación básica durante la configuración de la cuenta.
- **Usar OAuth con nombre de usuario y contraseña:** Usa esta política para el protocolo OAuth durante la autenticación. Los usuarios deben proporcionar su nombre de usuario y contraseña y, opcionalmente, un código de autenticación multifactor para el flujo de OAuth.
- **Usar OAuth con certificado de cliente:** Usa esta política si Office 365 está configurado para realizar la autenticación basada en certificados. La configuración predeterminada es **No usar OAuth**.
- **Para dispositivos con Android:**
- **Usar autenticación moderna para O365:** Usa esta política para el protocolo OAuth durante la autenticación.
- **Política de SSO web para tunelización:** Usa esta política para tunelizar el tráfico de OAuth para que pase por Tunelizado – SSO web. Para ello:
- Establece la política **Usar SSO web para tunelización** en **Activado**.
- Selecciona la opción **Tunelizado - SSO web** en la política de acceso a la red.
> **Nota:**
>
> Para obtener información sobre cómo habilitar STA, consulta [Conexión a un servidor de correo a través de STA](/es-es/citrix-secure-mail/configuring-background-services-secure-mail#connection-to-a-mail-server-via-the-sta).
- Excluye cualquier nombre de host relacionado con OAuth de la política de **Servicios en segundo plano**.
-
Políticas comunes a dispositivos iOS y Android:
- Agente de usuario personalizado para autenticación moderna: Usa esta política para cambiar la cadena de agente de usuario predeterminada para la autenticación moderna.
- Nombres de host de Exchange Online de confianza: Usa esta política para definir una lista de nombres de host de Exchange Online de confianza que usan el mecanismo OAuth para la autenticación al configurar una cuenta. Este es un formato separado por comas, como server.company.com, server.company.co.uk. Esta lista puede contener un valor predeterminado o URL personalizadas, pero no puede estar vacía. El valor predeterminado es outlook.office365.com.
-
Nombres de host de AD FS de confianza: Usa esta política para definir una lista de nombres de host de AD FS de confianza para páginas web donde la contraseña se rellena automáticamente durante la autenticación OAuth de Office 365. Este es un formato separado por comas, como
sts.companyname.com, sts.company.co.uk. Si la lista está vacía, Secure Mail no rellena automáticamente las contraseñas. Secure Mail compara los nombres de host de la lista con el nombre de host de la página web encontrada durante la autenticación de Office 365 y comprueba si la página usa el protocolo HTTPS. Por ejemplo, cuandosts.company.comes un nombre de host de la lista y el usuario navega ahttps://sts.company.com, Secure Mail rellena la contraseña, siempre que la página tenga un campo de contraseña. El valor predeterminado eslogin.microsoftonline.com. -
Servidor Exchange de Office 365: Usa esta política para definir el nombre de host del buzón de Office 365 presente en la nube. El nombre de host es un valor único, como
outlook.office365.com. El valor predeterminado esoutlook.office365.com. - Servidor Exchange de Secure Mail: Usa esta política para definir la dirección de tu servidor Exchange. Puedes usar esta política para definir la dirección del servidor local o la dirección del servidor en la nube, según tus requisitos.
-
Configurar el redireccionamiento HTTP 451: Para obtener más información sobre cómo configurar los redireccionamientos, consulta el artículo del Centro de conocimiento Redireccionamiento 451 de Secure Mail ActiveSync.
-
Secure Mail para iOS ahora está habilitado con autenticación moderna después de que las políticas se actualicen en el dispositivo.
-
Opciones de configuración del servidor Exchange
Puedes configurar Secure Mail usando outlook.office365.com o el dominio unificado de Microsoft outlook.cloud.microsoft.
Configuración mediante outlook.office365.com
Para configurar Secure Mail con outlook.office365.com como servidor Exchange de Secure Mail:
- Establece el Servidor Exchange de Secure Mail en
outlook.office365.com. - Agrega
outlook.office365.com:443a Servicios de red en segundo plano. - Mantén Nombres de host de Exchange Online de confianza como valor predeterminado
outlook.office365.com. - Mantén Servidor Exchange de Office 365 como valor predeterminado
outlook.office365.com.
Configuración mediante el dominio unificado de Microsoft outlook.cloud.microsoft
Para configurar Secure Mail con outlook.cloud.microsoft como servidor Exchange de Secure Mail:
- Establece el Servidor Exchange de Secure Mail en
outlook.cloud.microsoft. - Agrega
outlook.cloud.microsoft:443a Servicios de red en segundo plano. - Agrega
outlook.cloud.microsofta Nombres de host de Exchange Online de confianza. - Mantén Servidor Exchange de Office 365 como valor predeterminado
outlook.office365.com. No lo reemplaces con el nuevo dominio.
Limitaciones
- Si usas la autenticación moderna en tu entorno, la función de notificaciones push enriquecidas para iOS no está disponible. Para obtener más información sobre las notificaciones push enriquecidas, consulta Notificaciones push para Secure Mail.
- No se admiten varias cuentas en configuraciones que usan autenticación basada en certificados.
Políticas de Secure Mail
Las dos tablas siguientes enumeran las políticas de Secure Mail necesarias según tu infraestructura de Exchange:
| Infraestructura de Exchange | Mecanismo de autenticación de Office 365/Usar autenticación moderna para O365 | Nombres de host de AD FS de confianza | Nombres de host de Exchange Online de confianza |
|---|---|---|---|
| Local | OFF | NA | NA |
| Híbrida* | ON | AD FS/IDP |
Outlook.office365.com o URL personalizada |
| Exchange Online | ON | AD FS/IDP |
Outlook.office365.com o URL personalizada |
| Infraestructura de Exchange | Servidor Exchange de Secure Mail | Servicios de red en segundo plano (iOS) | Servicios de red en segundo plano (Android) |
| Local | Nombre de host de Exchange local | Local | Local |
| Híbrida* | Nombres de host de Exchange local, Exchange Online | Local, Nombre de host de Exchange local | Local, Nombre de host de Exchange local, AD FS, IDP (Solo interno) |
| Exchange Online | Outlook.office365.com |
Nombres de host de Exchange Online | Nombre de host de Exchange local, AD FS, IDP |
*Secure Mail admite una infraestructura de Exchange híbrida con buzones migrados.
Si el buzón de los usuarios locales se migra a Exchange Online, Secure Mail detecta automáticamente este cambio y solicita a los usuarios la autenticación moderna sin necesidad de reconfigurar su cuenta.
Matriz de soporte de Secure Mail con OAuth
La siguiente tabla muestra la matriz de soporte de Secure Mail con OAuth en dispositivos iOS y Android:
| Tipo de autenticación | IDP/AD FS externo | IDP/AD FS interno | Azure AD | Intune |
|---|---|---|---|---|
| Nombre de usuario y contraseña | Sí | Sí | Sí | Sí |
| Certificado de cliente | Sí | Solo Android | No | No |