Microsoft ha lanzado la autenticación de aplicaciones anidadas, que permite una autenticación más sencilla y ofrece una mayor seguridad y flexibilidad arquitectónica en comparación con los modelos tradicionales de autenticación segura y «En nombre de». Debido a esto, Microsoft dejará de usar los tokens heredados de Exchange Online a partir del 17 de febrero de 2025. Esto significa que todos los botones Phish Alert Button (PAB) híbrido y para la cinta de Microsoft conectados a los dominios de Microsoft 365 fallarán, a menos que se autorice el inicio de sesión único con autenticación de aplicaciones anidadas. Los tokens de Exchange Online heredados se podrán volver a habilitar tokens de Exchange Online heredados se podrán volver a habilitar (el enlace se abrirá en una nueva ventana) hasta junio de 2025.

Debido a estos cambios, le recomendamos que autorice las API de Graph y el inicio de sesión único con autenticación de aplicaciones anidadas en la configuración de la cuenta de Phish Alert. Para obtener más información, consulte las preguntas más frecuentes de Microsoft sobre la autenticación de aplicaciones anidadas y el desuso de los tokens heredados de Outlook (el enlace se abrirá en una nueva ventana).

Requisitos previos para el inicio de sesión único con autenticación de aplicaciones anidadas

• Microsoft 365, que necesita el rol de administrador global para aceptar permisos.
• Exchange Online, que necesita el rol de administrador global para aceptar permisos.
• Canal mensual para empresas, versión 2409 o posterior. Las versiones anteriores harán que el tiempo de espera del PAB para la cinta de Microsoft.
• Canal semestral, versión 2408 o posterior. Las versiones anteriores harán que se agote el tiempo de espera del PAB para la cinta de Microsoft.
• Canal actual, versión 2410 o posterior.

Requisitos previos adicionales

La disponibilidad del inicio de sesión único con autenticación de aplicaciones anidadas variará según la versión de Microsoft Office y Microsoft Outlook que se esté utilizando. Para determinar si su entorno admite el inicio de sesión único con autenticación de aplicaciones anidadas, consulte el artículo de Microsoft Conjunto de requisitos de autenticación de aplicaciones anidadas Conjunto de requisitos de autenticación de aplicaciones anidadas (el enlace se abrirá en una nueva ventana). Entre las versiones compatibles se encuentran:

• Microsoft Outlook en Windows (licencia por volumen perpetuo), versión 2408 (compilación 17932.20222) o posterior.
• Microsoft Outlook en Windows (licencia retail perpetua), versión 2501 (compilación 18429.20132) o posterior.

Notas importantes de la versión:

• Microsoft Office 2024 (licencia por volumen perpetuo) admitirá el inicio de sesión único con autenticación de aplicaciones anidadas.
• Microsoft Office 2021 (licencia por volumen perpetuo) seguirá siendo compatible con el inicio de sesión único «En nombre de» (SSO-OBO, por sus siglas en inglés) para la autenticación, pero no con el inicio de sesión único con autenticación de aplicaciones anidadas.
• Microsoft Office 2016 y 2019 (licencia por volumen perpetuo) no admitirán la autenticación con el inicio de sesión único con autenticación de aplicaciones anidadas o el inicio de sesión único «En nombre de». Para obtener más información sobre Microsoft Office 2016 y 2019, consulte la documentación de Microsoft documentación de Microsoft (el enlace se abrirá en una nueva ventana).
• Microsoft Outlook en Windows (licencia retail perpetua) en la versión 2008 (compilación 13127.20000) o posterior admitirá la autenticación con inicio de sesión único «En nombre de».

Aceptación de permisos para el inicio de sesión único con autenticación de aplicaciones anidadas

Para aceptar permisos para el inicio de sesión único con autenticación de aplicaciones anidadas con Microsoft, siga los pasos que se indican a continuación.

1. Inicie sesión en su KSAT y haga clic en su dirección de correo electrónico que aparecerá en la esquina superior derecha.
2. Seleccione Configuración de cuenta y vaya a Integraciones de cuenta > Phish Alert.
3. Haga clic en el menú desplegable para expandir la configuración del PAB.

4. Desplácese hacia abajo y haga clic en Autorizar el inicio de sesión único con autenticación de aplicaciones anidadas para las API de GRAPH. Se le redirigirá a una página de inicio de sesión de Microsoft 365.

   Nota: También tendrá que hacer clic en Aceptar permisos de Microsoft para autorizar las API de GRAPH para el PAB si esos permisos no se han aceptado previamente.

   

5. Inicie sesión en la cuenta de Microsoft 365 con sus credenciales de administrador.

6. Una vez que haya iniciado sesión, aparecerá la ventana emergente Permisos solicitados. Lea los permisos y luego haga clic en Aceptar.

   Nota: Si se implementan varias instancias de PAB en diferentes espacios empresariales de Microsoft 365, debe aceptar los permisos para autorizar las API de Graph y el inicio de sesión único con autenticación de aplicaciones anidadas en cada instancia de PAB de cada espacio empresarial.

   

7. Cuando haya aceptado los permisos, se mostrará la ventana GRAPH se ha autorizado correctamente. Pueden pasar hasta 48 horas después de aceptar los permisos para que el inicio de sesión único con autenticación de aplicaciones anidadas se aplique a los perfiles de Microsoft Outlook de su usuario.

   

Inicio de sesión único con autenticación de aplicaciones anidadas de Internet Explorer

Si su organización utiliza Outlook en Microsoft Edge en el modo de Internet Explorer o Internet Explorer con Microsoft 365, para que no se interrumpa el servicio debe autorizar los permisos de las API de Graph y el inicio de sesión único con autenticación de aplicaciones anidadas para el PAB antes de junio de 2025. Una vez que haya otorgado los permisos, podrá deshabilitar los tokens de Exchange Online heredadosdeshabilitar los tokens de Exchange Online heredados (el enlace se abrirá en una nueva ventana) y denunciar un correo electrónico con el PAB para asegurarse de que funciona correctamente.

Experiencia de usuario

A continuación, se muestra la experiencia de usuario para el inicio de sesión único con autenticación de aplicaciones anidadas de Internet Explorer:

1. Haga clic en PAB en la cinta.

   

2. Se cargará en el panel de tareas y aparecerá una ventana emergente.

3. Los usuarios deberán iniciar sesión en su cuenta de Microsoft la primera vez que denuncien con PAB.

   

   Nota: Si los usuarios no pueden autenticarse con el inicio de sesión único con autenticación de aplicaciones anidadas o el inicio de sesión único «En nombre de», PAB recurrirá al mecanismo de autenticación interactiva que requiere que los usuarios inicien sesión en Microsoft la primera vez que utilicen PAB.

4. Haga clic en el botón Phish Alert para denunciar el correo electrónico.

   

Resolución de problemas

Pregunta: ¿Es necesario que vuelva a implementar el manifiesto XML de Phish Alert Button (PAB) después de autorizar el inicio de sesión único con autenticación de aplicaciones anidadas?

Respuesta: No, solo debe aceptar los permisos.

Pregunta: Recibo el siguiente error: «Su servidor de correo necesita un token de autenticación válido para el Phish Alert Button. Si necesita ayuda con la configuración de su servidor de correo, póngase en contacto con su administrador». ¿Cómo puedo resolverlo?

Respuesta: Esto indica que el PAB que está utilizando está tratando de autenticarse con el token heredado en desuso de Exchange Online. Pruebe a realizar los siguientes pasos para resolver el error:

1. Recomendamos repetir los pasos del 1 al 7 en la sección Aceptación de permisos para el inicio de sesión único con autenticación de aplicaciones anidadas anterior. Si esto no resuelve el problema, pruebe a implementar PAB de nuevo siguiendo los pasos del 2 al 5 que se muestran a continuación.
2. Desinstale el PAB actual en el Centro de administración de Microsoft 365 Desinstale el PAB actual en el Centro de administración de Microsoft 365 (el enlace se abrirá en una nueva ventana) desde Configuración > Aplicaciones integradas > Complementos.
3. Busque el complemento de PAB en la lista.
4. Seleccione el complemento y haga clic en Eliminar aplicación.

5. Vuelva a instalar el archivo de manifiesto de PAB. Consulte nuestras guías de instalación de PAB para obtener más información.

   Nota: Si utiliza PAB híbrido, le recomendamos actualizar el manifiesto XML de PAB antes de eliminarlo y volver a implementarlo. Para obtener más información, consulte nuestra documentación en Actualización y desinstalación de PAB híbrido.

Pregunta: Recibo el siguiente error: «No hemos podido procesar este elemento. Vuelva a intentarlo más tarde». ¿Cómo puedo resolverlo?

Respuesta: Activar el nuevo Outlook debería resolver este problema.

Pregunta: ¿Qué alcances de permisos utiliza el PAB habilitado para Graph?

Respuesta: Estos son los alcances de permisos que utiliza el PAB habilitado para Graph:

• Mail.Read: este permiso permite al PAB leer el correo electrónico del usuario y se utiliza para obtener encabezados de correos electrónicos, archivos adjuntos y el contenido del cuerpo de los correos electrónicos.
• Mail.Read.Shared: este permiso permite al PAB leer los correos electrónicos de los usuarios de buzones compartidos y se utiliza para obtener encabezados de correos electrónicos, archivos adjuntos y el contenido del cuerpo de los correos electrónicos.
• Mail.ReadWrite: este permiso permite al PAB leer y escribir correos electrónicos de usuarios.
• Mail.ReadWrite.Shared: este permiso permite al PAB leer y escribir correos electrónicos en buzones compartidos.
• Mail.Send: este permiso permite al PAB enviar correos electrónicos de usuarios.
• Mail.Send.Shared: este permiso permite al PAB enviar correos electrónicos desde buzones compartidos, siempre que el usuario tenga habilitado el permiso «Enviar como» para el buzón compartido.
• openid: este permiso permite al PAB obtener información básica sobre el usuario.
• profile: este permiso permite al PAB acceder a la información del perfil del usuario.

Pregunta: ¿Tengo que autorizar el inicio de sesión único con autenticación de aplicaciones anidadas (NAA-SSO) o el inicio de sesión único «En nombre de» (SSO-OBO) para cada tipo de PAB que utilice?

Respuesta: Las autorizaciones de inicio de sesión único con autenticación de aplicaciones anidadas e inicio de sesión único «En nombre de» se llevan a cabo por inquilino de Microsoft 365. Esto significa que, si tiene habilitado el inicio de sesión único con autenticación de aplicaciones anidadas para PAB híbrido en su inquilino, no necesita autorizarlo para PAB para la cinta de Microsoft u otros tipos de PAB. Lo mismo ocurre con el inicio de sesión único «En nombre de».

Pregunta: ¿Cómo puedo comprobar los permisos de la API de Microsoft Graph que usa el PAB?

Respuesta: Desde su portal de Microsoft Entra, puede comprobar los permisos de la API de Microsoft Graph del PAB:

1. Inicie sesión en el centro de administración de Microsoft Entra y vaya a Aplicaciones > Aplicaciones empresariales.
2. Filtre el PAB escribiendo «phish alert» en el cuadro de entrada del filtro.
3. A continuación, haga clic en la entrada del Phish Alert Button y compruebe los detalles relacionados con el Phish Alert Button.

Pregunta: ¿Qué debo hacer si he habilitado el inicio de sesión único con autenticación de aplicaciones anidadas, pero PAB híbrido no ha funcionado en mi entorno?

Respuesta: Compruebe si se aceptaron los permisos del PAB para el inicio de sesión único con autenticación de aplicaciones anidadas y las API de Graph para el PAB. La tabla de permisos será similar a esta:

Si ha confirmado que los permisos se han aceptado y el problema aún no se ha resuelto, póngase en contacto con nuestro equipo de asistencia técnica equipo de asistencia técnica (el enlace se abrirá en una nueva ventana).

Pregunta: ¿Cuánto tiempo tardan los permisos en actualizarse una vez aceptados?

Respuesta: Los permisos se actualizan casi al instante para navegadores y nuevos clientes de Outlook. Sin embargo, en el caso de los clientes de Outlook para Windows, la actualización puede tardar algún tiempo. Si utiliza un cliente de Outlook para Windows y sus permisos tardan en actualizarse, le sugerimos que elimine la carpeta de caché o WEF de Outlook para Windows elimine la carpeta de caché o WEF de Outlook para Windows (el enlace se abrirá en una nueva ventana).

Pregunta: ¿Notarán nuestros usuarios alguna diferencia una vez que autoricemos el inicio de sesión único con autenticación de aplicaciones anidadas?

Respuesta: La única diferencia que verán los usuarios es que puede aparecer la palabra Graph en la esquina superior derecha después de hacer clic en el PAB para denunciar un correo electrónico.