Microsoft lanzó la autenticación de aplicaciones anidadas, que permite una autenticación más fácil y ofrece una mayor seguridad y flexibilidad arquitectónica en comparación con los modelos tradicionales de autenticación de confianza y en nombre de los usuarios. Debido a esto, Microsoft dejará de admitir los tokens heredados de Exchange Online a partir del 17 de febrero de 2025. Esto significa que todos los botones híbridos y los Phish Alert Buttons en la barra de herramientas de Microsoft conectados a los dominios de Microsoft 365 fallarán, a menos que NAA-SSO esté autorizado. Se pueden volver a activar los tokens heredados de Exchange Online volver a activar los tokens heredados de Exchange Online (el enlace se abre en otra ventana) hasta junio de 2025.

Debido a estos cambios, recomendamos autorizar las API de Graph y NAA-SSO en la configuración de la cuenta de Phish Alert. Para obtener más información, consulte las Preguntas más frecuentes sobre la autenticación de aplicaciones anidadas de Microsoft y la eliminación de los tokens heredados de Outlook (el enlace se abre en otra ventana).

Requisitos previos para NAA-SSO

• Microsoft 365, que requiere el rol de administrador global para aceptar permisos.
• Exchange Online, que requiere el rol de administrador global para aceptar permisos.
• Mensual Enterprise Channel, versión 2409 en adelante. Las versiones anteriores harán que el PAB en la barra de herramientas de Microsoft se cierre.
• Semi-Annual Channel, versión 2408 en adelante. Las versiones anteriores harán que el PAB en la barra de herramientas de Microsoft se cierre.
• Current Channel, versión 2410 en adelante.

Requisitos previos adicionales

La disponibilidad de NAA-SSO variará según la versión de Microsoft Office y Microsoft Outlook que se esté utilizando. Para determinar si su entorno admite NAA-SSO, consulte el artículo Conjunto de requisitos de autenticación de aplicaciones anidadas Conjunto de requisitos de autenticación de aplicaciones anidadas (el enlace se abre en otra ventana) de Microsoft. Entre las versiones compatibles, se incluyen las siguientes:

• Microsoft Outlook en Windows (perpetuo con licencia por volumen) versión 2408 (modelo 17932.20222) en adelante.
• Microsoft Outlook en Windows (perpetuo minorista) versión 2501 (modelo 18429.20132) en adelante.

Notas importante de la versión:

• Microsoft Office 2024 (perpetuo con licencia por volumen) admitirá NAA-SSO.
• Microsoft Office 2021 (perpetuo con licencia por volumen) seguirá siendo compatible con SSO-OBO para la autenticación, pero no con NAA-SSO.
• Microsoft Office 2016 y 2019 (perpetuo con licencia por volumen) no admitirán la autenticación de NAA-SSO o SSO-OBO. Para obtener más información sobre Microsoft Office 2016 y 2019, consulte la documentación de Microsoft documentación de Microsoft (el enlace se abre en otra ventana).
• Microsoft Outlook en Windows (perpetuo minorista) versión 2008 (modelo 13127.20000) o posterior admitirá la autenticación SSO-OBO.

Aceptación de permisos para NAA-SSO

Para aceptar permisos para NAA-SSO con Microsoft, siga los pasos a continuación.

1. Inicie sesión en su cuenta de KSAT y haga clic en su dirección de correo electrónico en la esquina superior derecha de la página.
2. Seleccione Configuración de la cuenta y, a continuación, vaya a Integraciones de la cuenta > Phish Alert.
3. Haga clic en el menú desplegable para expandir la configuración del PAB.

4. Desplácese hacia abajo y haga clic en Autorizar NAA-SSO para las API de GRAPH. Se lo redirigirá a la página de inicio de sesión de Microsoft 365.

   Nota: También tendrá que hacer clic en Aceptar permisos de Microsoft para autorizar las API de GRAPH para el PAB si esos permisos no se han aceptado previamente.

   

5. Inicie sesión en su cuenta de Microsoft 365 con sus credenciales de administrador.

6. Una vez que haya iniciado sesión, se mostrará la ventana emergente Permisos solicitados. Lea los permisos, luego haga clic en Aceptar.

   Nota: Si se implementan varias instancias del PAB en diferentes entornos de Microsoft 365, debe aceptar los permisos para autorizar las API de Graph y NAA-SSO para cada instancia del PAB en cada entorno.

   

7. Una vez que acepta los permisos, aparecerá la ventana Autorización de gráficos exitosa. La aplicación de NAA-SSO a los perfiles de Microsoft Outlook de su usuario puede demorar hasta 48 horas después de aceptar los permisos.

   

NAA-SSO de Internet Explorer

Si su organización utiliza Outlook en Microsoft Edge en modo Internet Explorer o Internet Explorer con Microsoft 365, debe autorizar los permisos para las API de Graph y NAA-SSO para el PAB antes de junio de 2025 con el fin de evitar la interrupción del servicio. Una vez autorizados los permisos, puede desactivar los tokens de Exchange Online heredados desactivar los tokens de Exchange Online heredados (el enlace se abre en otra ventana) y denunciar un correo electrónico con el PAB para asegurarse de que funciona correctamente.

Experiencia del usuario

La siguiente es la experiencia de usuario para NAA-SSO de Internet Explorer:

1. Haga clic en el PAB en la barra de herramientas.

   

2. Se cargará el panel de tareas y verá una ventana emergente.

3. Los usuarios deberán iniciar sesión en su cuenta de Microsoft la primera vez que informen sobre phishing con el PAB.

   

   Nota:Si los usuarios no se autentican con NAA-SSO o SSO-OBO, PAB regresará al mecanismo de autenticación interactiva que requiere que los usuarios inicien sesión en Microsoft la primera vez que utilicen el PAB.

4. Haga clic en el Phish Alert Button para informar sobre el correo electrónico.

   

Solución de problemas

Pregunta: ¿Es necesario que vuelva a implementar el manifiesto XML del Phish Alert Button (PAB) después de autorizar NAA-SSO?

Respuesta: No, aceptar solamente los permisos será suficiente.

Pregunta: Recibo el siguiente error: “Su servidor de correo necesita un token de autenticación válido para el Phish Alert Button. Si necesita ayuda con la configuración de su servidor de correo, comuníquese con su administrador”. ¿Cómo puedo resolverlo?

Respuesta: Esto indica que el PAB que utiliza está tratando de autenticarse con el token heredado de Exchange Online. Pruebe los siguientes pasos para resolver el error:

1. Recomendamos repetir los pasos 1-7 en la sección Aceptación de permisos para NAA-SSO anterior. Si esto no resuelve el problema, intente volver a implementar el PAB siguiendo los pasos 2 a 5 que se indican a continuación.
2. Desinstale el PAB actual en su centro de administración de Microsoft 365 Desinstale el PAB actual en su centro de administración de Microsoft 365 (el enlace se abre en otra ventana) yendo a Configuración > Aplicaciones integradas > Complementos.
3. Encuentre su complemento de PAB en la lista.
4. Seleccione el complemento y haga clic en Eliminar aplicación.

5. Vuelva a instalar el archivo de manifiesto PAB. Consulte nuestras guías de instalación de PAB para obtener más información.

   Nota: Si utiliza el PAB híbrido, le recomendamos que actualice el manifiesto XML del PAB antes de desinstalarlo y volver a instalarlo. Para obtener más información, consulte nuestra documentación sobre la Actualización y desinstalación del PAB híbrido.

Pregunta: Recibo el siguiente error: “No pudimos procesar este elemento. Inténtelo de nuevo más tarde”. ¿Cómo puedo resolverlo?

Respuesta: Activar el nuevo Outlook debería resolver este problema.

Pregunta: ¿Qué alcances de permisos utiliza el PAB habilitado por Graph?

Respuesta: Estos son los alcances de permisos utilizados por el PAB habilitado por Graph:

• Mail.Read: Este permiso autoriza al PAB a leer el correo electrónico del usuario y se utiliza para obtener encabezados de correo electrónico, archivos adjuntos y el contenido del cuerpo del correo electrónico.
• Mail.Read.Shared: Este permiso autoriza al PAB a leer los correos electrónicos de los usuarios de buzones compartidos y se utiliza para obtener encabezados de correo electrónico, archivos adjuntos y el contenido del cuerpo de correo electrónico.
• Mail.ReadWrite: Este permiso autoriza al PAB a leer y escribir correos electrónicos de usuario.
• Mail.ReadWrite.Shared: Este permiso autoriza al PAB a leer y escribir correos electrónicos en buzones compartidos.
• Mail.Send: Este permiso autoriza al PAB a enviar correos electrónicos de usuario.
• Mail.Send.Shared: Este permiso autoriza al PAB a enviar correos electrónicos desde buzones compartidos, siempre que el usuario tenga habilitado el permiso de “enviar como” para el buzón compartido.
• openid: Este permiso autoriza al PAB a obtener información básica sobre el usuario.
• profile: Este permiso autoriza al PAB a acceder a la información del perfil del usuario.

Pregunta: ¿Necesito autorizar el inicio de sesión único de autenticación para aplicaciones anidadas (NAA-SSO) o el inicio de sesión único en nombre de (SSO-OBO) para cada tipo de PAB que uso?

Respuesta: Las autorizaciones NAA-SSO y SSO-OBO se realizan por inquilino de Microsoft 365. Esto significa que, si tiene habilitado NAA-SSO para PAB híbrido en su inquilino, no necesita autorizarlo para el PAB en la barra de herramientas de Microsoft u otros tipos de PAB. Esto es lo mismo para el SSO-OBO.

Pregunta: ¿Cómo compruebo los permisos de la API de Microsoft Graph utilizados por el PAB?

Respuesta: Con su portal Microsoft Entra, puede verificar los permisos de la API de Microsoft Graph del PAB:

1. Inicie sesión en el centro de administración de Microsoft y vaya a Aplicaciones > Aplicaciones empresariales.
2. Filtre el PAB escribiendo “phish alert” en la casilla de entrada del filtro.
3. A continuación, haga clic en la entrada del Phish Alert Button y compruebe los detalles relacionados con el Phish Alert Button.

Pregunta: ¿Qué debo hacer si habilité NAA-SSO, pero el PAB híbrido no funciona para mi entorno?

Respuesta: Compruebe si se aceptaron los permisos del PAB para NAA-SSO y las API de Graph para el PAB. La tabla de permisos será similar a esta:

Si confirmó que los permisos han sido aceptados y el problema aún no se resolvió, póngase en contacto con nuestro equipo de soporte equipo de soporte (el enlace se abre en otra ventana).

Pregunta: ¿Cuánto tiempo tardan los permisos en actualizarse una vez aceptados?

Respuesta: Los permisos se actualizan casi instantáneamente en los navegadores y los clientes del nuevo Outlook. Sin embargo, para los clientes de Windows Outlook, puede tomar un tiempo actualizarlos. Si está usando un cliente de Windows Outlook y sus permisos tardan en actualizarse, le sugerimos eliminar la carpeta WEF o caché de Windows Outlook eliminar la carpeta WEF o caché de Windows Outlook (el enlace se abre en otra ventana).

Pregunta: ¿Nuestros usuarios notarán alguna diferencia una vez que autoricemos NAA-SSO?

Respuesta: La única diferencia que los usuarios verán es que es posible que aparezca Graph en la esquina superior derecha después de hacer clic en el PAB para denunciar un correo electrónico.