¿Qué es DMI?
La función Direct Message Injection (DMI) le permite eliminar la necesidad de incluir los correos electrónicos de phishing simulado en una lista segura. DMI omite las reglas de filtrado de correos electrónicos y los coloca en las bandejas de entrada de sus usuarios. Esta característica funciona creando un enlace seguro entre su consola de KMSAT y su cuenta de Microsoft 365 o Google Workspace.
Si utiliza Microsoft 365, la conexión segura entre KMSAT y Microsoft 365 se crea al autorizar la aplicación DMI en Azure. DMI se conectará a su cuenta de Microsoft 365 como una aplicación empresarial. Una vez autorizada, la aplicación DMI usa la API de Microsoft Exchange Web Services (EWS) para colocar los correos electrónicos de phishing simulados en las bandejas de entrada de sus usuarios.
Si utiliza Google Workspace, esta conexión segura se crea al autorizar la aplicación DMI en Google Workspace. Una vez autorizada esta función, DMI utiliza las API de Google Workspace para colocar los correos electrónicos de phishing simulados en las bandejas de entrada de sus usuarios.
Nota: No puede utilizar su conexión DMI de Google Workspace para enviar mensajes a direcciones de correo electrónico de alias.
Ir a:
Roles de administrador requeridos
- Roles de administrador requeridos para Google Workspace
- Roles de administrador requeridos para Microsoft 365
- Permisos solicitados
- Cómo solucionar errores de conexión en Microsoft 365
- Cómo solucionar un error de conexión en Google Workspace
- Cómo hacer que los correos electrónicos con DMI se dejen de mostrar en el buzón “Otros” en Microsoft 365
- Cómo agregar banners, prefijos y firmas a los correos electrónicos de phishing
Roles de administrador requeridos
Para configurar DMI, necesita tener funciones de administrador específicas. Para obtener más información, consulte las subsecciones siguientes.
Roles de administrador requeridos para Google Workspace
Si está configurando un DMI de Google Workspace, necesita una cuenta con funciones de superadministrador. Para obtener más información, consulte el artículo de Google Controlar el acceso a la API con la delegación de todo el dominio.
Roles de administrador requeridos para Microsoft 365
Antes de configurar DMI para la cuenta de Microsoft 365, recomendamos que cree una cuenta de administrador de Microsoft 365 específicamente para la autorización de DMI. Se deberán asignar los siguientes roles a su cuenta para la autorización de DMI:
- Suplantación de identidad de aplicaciones del centro del administrador de Exchange de Microsoft 365.
- Administrador de aplicaciones desde el portal de Microsoft Azure
Nota: Deberá asignar los permisos mencionados arriba, incluso si a una cuenta existente ya se le asignó un rol de alto nivel, como el de administrador global.
Seleccione la pestaña a continuación para saber cómo habilitar estos permisos en cada aplicación de Microsoft 365.
Para agregar y habilitar el rol de Suplantación de identidad de aplicaciones, siga los pasos de abajo:
- Inicie sesión en el centro de administración de Exchange de Microsoft 365.
- En el menú de la izquierda, haga clic en Roles y seleccione Roles del administrador.
- Haga clic en el botón Agregar grupo de roles.
- Ingrese un nombre y una descripción para el nuevo grupo de roles. Haga clic en Siguiente.
- En la página Agregar permisos, seleccione Application Impersonation y, luego, haga clic en Siguiente.
Consejo: Si no ve esta opción, intente cambiar su vista. Por ejemplo, si está viendo el centro de administración de New Exchange, cambie al centro de administración de Classic Exchange.
- Seleccione la cuenta de usuario que será responsable de la autorización de DMI y, luego, haga clic en Siguiente.
- Revise sus selecciones y haga clic en Agregar grupo de roles.
Para habilitar el rol Administrador de aplicaciones, siga los pasos de abajo:
- Inicie sesión en el portal de Azure.
- En el encabezado Servicios de Azure, seleccione Usuarios.
- Seleccione la cuenta de usuario que será responsable de la autorización de DMI.
- En el menú de la izquierda, haga clic en Roles asignados.
- En la pestaña Roles elegibles, busque Administrador de aplicaciones y configure el rol como activo. Si no figura Administrador de aplicaciones, siga los pasos de abajo:
- Haga clic en el botón Agregar asignaciones en la parte superior de la página.
- En el menú desplegable, seleccione Administrador de aplicaciones.
- Para el tipo de ámbito, seleccione Directorio y haga clic en Siguiente.
- Para el tipo de asignación, seleccione Activa.
- Haga clic en Asignar para asignar este rol al usuario seleccionado.
Permisos solicitados
Si está configurando una conexión de DMI de Microsoft 365, verá la siguiente solicitud de permisos:
Para garantizar una conexión segura y protegida, DMI debe usar EWS para conectarse a las bandejas de entrada de sus usuarios. Los permisos para la conexión de EWS incluyen la capacidad de leer, enviar y eliminar correos electrónicos. La conexión de EWS también permite modificar la configuración del buzón. DMI solo usará estos permisos para colocar correos electrónicos en las bandejas de entrada de sus usuarios.
Importante: DMI nunca leerá ni eliminará correos electrónicos, ni modificará la configuración del buzón de su organización de ninguna manera.
Si acepta estos permisos, significa que comprende los términos de servicio y la declaración de privacidad de KnowBe4, y está de acuerdo con ellos.
Conectar DMI con KMSAT
Para utilizar DMI, deberá conectar su cuenta de cliente de correo a su consola de KMSAT. Para obtener más información, consulte las subsecciones siguientes.
Conectar DMI con Microsoft 365
Siga los pasos a continuación para conectar de manera segura su consola de KMSAT a la cuenta de Microsoft 365:
- Inicie sesión en su consola de KMSAT.
- Haga clic en la dirección de correo electrónico en la esquina superior derecha de la página y seleccione Configuración de la cuenta.
- Vaya a la sección Direct Message Injection.
- Haga clic en el menú desplegable Añadir conexión DMI.
- Seleccione Microsoft 365 en el menú desplegable. Accederá a la página de inicio de Microsoft.
- Inicie sesión en la cuenta de Microsoft que será responsable de la autorización de DMI. Asegúrese de usar la cuenta de Microsoft a la que se le han asignado los Roles de administrador requeridos.
Nota: Cuando use una cuenta de Microsoft 365 con la autenticación de dos factores habilitada, los correos electrónicos enviados con DMI mostrarán un error de suplantación en la pestaña Devueltos de sus campañas de phishing. Para evitar estos errores, recomendamos que conecte DMI con Microsoft 365 mediante una cuenta de servicio que no tenga la autenticación de dos factores habilitada.
- Revise los permisos solicitados para darle acceso a KnowBe4 a su información de Microsoft 365. Para obtener más información, consulte la sección Permisos solicitados anterior.
- Si está de acuerdo con estos permisos, haga clic en Aceptar.
- Cuando la ventana se cierre, consulte la sección Habilitar DMI de abajo para continuar.
Nota: Si está usando la protección contra amenazas avanzada ({i>Advanced Threat ProtectionCómo evitar que la ATP de Microsoft 365 reescriba los enlaces de phishing de KnowBe4.
Conectar DMI a Google Workspace
Para conectar DMI a Google Workspace, deberá agregar alcances y una identificación de cliente a su consola del administrador de Google Workspace. Para agregar alcances y la identificación de cliente, siga estos pasos:
- Diríjase a admin.google.com.
- En la consola de administrador de Google Workspace, seleccione la sección Seguridad.
Nota: Si no puede ver la sección Seguridad, haga clic en Más controles en la parte inferior de la página.
- Haga clic en Descripción general.
- Seleccione la sección Controles API.
- En la sección Delegación de todo el dominio, haga clic en el botón Administrar delegación de todo el dominio.
- Haga clic en el botón Agregar nuevo.
- En el campo Identificación del cliente, escriba “117081416267426756182”.
- En el campo Alcances OAuth, ingrese las URL que se indican a continuación:
- https://mail.google.com
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.modify
Habilitar DMI en KMSAT
Una vez que su consola de KMSAT esté conectada a su cuenta de cliente de correo, deberá habilitar DMI en KMSAT. Para obtener más información, consulte las subsecciones siguientes.
Habilitar DMI para Microsoft 365
Si desea habiliitar DMI para Microsoft 365, siga estos pasos:
- Inicie sesión en su consola de KMSAT.
- Haga clic en la dirección de correo electrónico en la esquina superior derecha de la página y seleccione Configuración de la cuenta.
- Vaya a la sección Direct Message Injection.
- Haga clic en el botón Mostrar configuración de DMI.
- Complete los campos en la ventana emergente de configuración. Para obtener más información, consulte la captura de pantalla y la lista a continuación:
- Nombre de la conexión: En este campo, ingrese un nombre para la conexión.
-
Habilitar esta conexión para los dominios seleccionados: Seleccione uno o más dominios escribiendo el nombre de dominio o seleccionando dominios del menú desplegable.
Nota: La función DMI solo se habilita para los usuarios cuyas direcciones de correo electrónico principales coincidan con los dominios seleccionados. - Si la conexión DMI falla, enviar una notificación a: En este campo, ingrese las direcciones de correo electrónico de las personas que deban recibir una notificación si la conexión falla.
- Haga clic en el botón Guardar configuración de conexión.
Habilitar DMI para Google Workspace
Después de conectar DMI a Google Workspace, deberá habilitar DMI en su consola de KMSAT. Si desea habiliitar DMI para Google Workspace, siga estos pasos:
- Inicie sesión en su consola de KMSAT.
- Haga clic en la dirección de correo electrónico en la esquina superior derecha de la página y seleccione Configuración de la cuenta.
- Vaya a la sección Direct Message Injection.
- Haga clic en el menú desplegable Añadir conexión DMI y seleccione Google Workspace.
- Complete los campos en la ventana emergente de configuración. Para obtener más información, consulte la captura de pantalla y la lista a continuación:
- Nombre de la conexión: Ingrese un nombre para la conexión DMI.
-
Habilitar esta conexión para el dominio seleccionado: Para seleccionar uno o más dominios, escriba el nombre de dominio o seleccione dominios del menú desplegable.
Nota: La función DMI solo se habilita para los usuarios cuyas direcciones de correo electrónico principales coincidan con los dominios seleccionados. Si su dirección de correo electrónico de administrador coincide con un dominio seleccionado de este campo, DMI también se usará para entregar los correos electrónicos que se envíen con la función Enviarme un correo electrónico de prueba. Este correo electrónico de prueba contiene @injector.psm.knowbe4.com en el área Identificación de mensaje de los encabezados originales de los correos electrónicos.
-
Si la conexión DMI falla, enviar una notificación a: Ingrese las direcciones de correo electrónico de las personas que deban recibir una notificación si la conexión de DMI falla.
Nota: Las direcciones de correo electrónico ingresadas en este campo no deben coincidir con los dominios enumerados en el campo Habilitar esta conexión para el dominio seleccionado.
- Ingrese una dirección de correo electrónico de su dominio de Google Workspace: Ingrese la dirección de correo electrónico donde desea recibir el mensaje de prueba.
- Haga clic en el botón Guardar configuración de conexión.
Solución de problemas
Consulte las subsecciones a continuación para obtener información sobre los problemas que pueden surgir con DMI y cómo puede solucionarlos.
Cómo solucionar errores de conexión en Microsoft 365
Si el token de Exchange Web Services que conecta su consola de KMSAT y la cuenta de Microsoft 365 no es válido, la conexión de DMI fallará.
Todos los correos electrónicos de campañas de phishing que se debían entregar usando DMI no se enviarán.
Vuelva a conectar su cuenta de Microsoft 365 siguiendo las instrucciones que se detallan en la sección Conectar DMI con Microsoft 365 de arriba. Si tiene problemas para volver a conectarse, comuníquese con el equipo de soporte.
Cómo solucionar un error de conexión en Google Workspace
Si recibe un mensaje de error después de hacer clic en Autorizar al conectar DMI a Google Workspace, es posible que los alcances y su identificación de cliente sean incorrectos.
Para comprobar los alcances y la identificación de cliente, siga estos pasos:
- Busque los nuevos permisos de delegación de todo el dominio que creó.
- Haga clic en Ver detalles.
- Asegúrese de que todos los alcances estén listados, de que no haya ámbitos duplicados y de que la identificación de cliente sea correcta.
- Si falta un alcance o contiene un error, haga clic en Editar, ingrese el ámbito que falta y haga clic en Autorizar para guardar los cambios.
Nota: La identificación del cliente no se puede modificar.
Cómo hacer que los correos electrónicos con DMI se dejen de mostrar en la bandeja de entrada “Otros” en Microsoft 365
Si sus usuarios ven correos electrónicos con DMI en su bandeja de entrada Otros en lugar de en su bandeja de entrada Prioritarios, siga los pasos de abajo para resolver este problema:
- Inicie sesión en su consola de KMSAT.
- Haga clic en el correo electrónico en la esquina superior derecha de la página y seleccione Configuración de la cuenta.
- Vaya a la subpestaña Configuración de phishing.
- Habilite Agregar encabezado personalizado.
- En Nombre del encabezado (recuadro a la izquierda), ingrese el siguiente texto: MS-Exchange-Organization-BypassFocusedInbox.
- En Valor del encabezado (recuadro a la derecha), ingrese el siguiente texto: “true”.
- Haga clic en Guardar configuración.
Cómo agregar banners, prefijos y firmas a los correos electrónicos de phishing
Cuando se habilita la función DMI, nuestros correos electrónicos de phishing pueden evadir todas las reglas de procesos de correos que pueden incluir banners, prefijos y firmas que aparecen en correos electrónicos entrantes.
Siga los siguientes pasos para usar nuestros marcadores de posición y volver a agregar banners, prefijos y firmas a nuestros correos electrónicos de phishing:
- Inicie sesión en su consola de KMSAT.
- Haga clic en el correo electrónico en la esquina superior derecha de la página y seleccione Configuración de la cuenta.
- Vaya a la sección Marca.
- Haga clic en Más marcadores de posición.
- Seleccione el marcador de posición que desea volver a agregar al correo electrónico de phishing.
- Ingrese la información del marcador de posición en el campo provisto. Puede ingresar cualquier texto en el campo, incluso código fuente de un banner, un prefijo o una forma de correo electrónico que ya existe.
- En el caso del marcador de posición del Banner del correo electrónico y el Prefijo de asunto, seleccione en qué correos electrónicos de phishing desea que aparezca el marcador de posición.
- Haga clic en Guardar marcadores de posición.
Desconectar una conexión DMI
Al deshabilitar DMI, recomendamos que quite la conexión entre su consola de KMSAT y la cuenta de cliente de correo.
Para desconectar DMI, siga los siguientes pasos:
- Inicie sesión en su consola de KMSAT.
- Haga clic en el correo electrónico en la esquina superior derecha de la página y seleccione Configuración de la cuenta.
- Vaya a la sección Direct Message Injection debajo de Phishing.
- Busque la conexión DMI que desea eliminar y haga clic en el botón Mostrar configuración.
Nota: El nombre de este botón cambia según el nombre de su conexión. Por ejemplo, si el nombre de su conexión es “DMI 1”, este botón se muestra como “Mostrar configuración de DMI 1”.
- Haga clic en el botón Quitar conexión DMI.
- Cuando se abra el mensaje de confirmación, haga clic en el botón Confirmar.
Nota: Cuando haya quitado la conexión DMI, las campañas de phishing activas enviarán correos electrónicos usando el protocolo simple de transferencia de correo (Simple Mail Transfer Protocol, SMTP). Si DMI estaba activado cuando se creó la campaña, los correos electrónicos seguirán apareciendo como Entregados mediante DMI en la subpestaña Descripción general de la campaña.
Si vuelve a habilitar DMI en el futuro, tendrá que otorgar acceso a KnowBe4 de nuevo. Para volver a habilitar DMI, siga los pasos de la sección Habilitar DMI en KSMAT.
Comentarios
0 comentarios
El artículo está cerrado para comentarios.