Configuración de OAuth para SMTP de Microsoft 365
Desuso de la autenticación básica en Microsoft 365
Como parte de las mejoras continuas en materia de seguridad de Microsoft, la autenticación básica en Exchange Online (parte de Microsoft 365) quedará completamente en desuso y se deshabilitará en marzo de 2026. (Consulte el anuncio oficial de Microsoft).
Impacto en Tenable Identity Exposure
Tenable Identity Exposure incluye una funcionalidad que envía informes y alertas por correo electrónico. Si actualmente usa la autenticación básica para conectarse a Microsoft 365 para SMTP, dejará de recibir informes y alertas por correo electrónico de Tenable Identity Exposure cuando se deshabilite la autenticación básica.
Para evitar disrupciones, Tenable Identity Exposure admite OAuth, el protocolo de autenticación moderno y seguro de Microsoft 365. Tenable Identity Exposure recomienda encarecidamente que se prepare para este cambio a fin de garantizar el acceso continuo a las notificaciones por correo electrónico.
Siga los procedimientos que se indican a continuación para configurar la autenticación OAuth para SMTP en Microsoft 365 y habilitar las funcionalidades de envío seguro de correo electrónico en Tenable Identity Exposure.
Requisitos previos
-
Acceso de administrador de Microsoft 365
-
PowerShell con privilegios de administrador
-
Inquilino activo de Microsoft 365
-
Módulo de PowerShell ExchangeOnlineManagement instalado [consulte el paso 6]
-
Módulo de PowerShell ExchangePowerShell instalado [consulte el paso 6]
Configuración de OAuth
-
Crear un registro de una aplicación en Entra ID
-
Inicie sesión en Azure Portal.
-
Vaya a Microsoft Entra ID > Registros de aplicaciones.
-
Haga clic en + Nuevo registro.
-
Escriba un nombre para la aplicación.
-
Seleccione los tipos de cuenta admitidos que sean adecuados: “Solo las cuentas de este directorio organizativo”.
-
Haga clic en Registrar.
-
Copie el identificador del inquilino y guárdelo como referencia.
-
Haga clic en el vínculo siguiente (“Aplicación administrada en el directorio local”) para acceder a la aplicación empresarial correspondiente a este nuevo registro de aplicación:
-
Copie el identificador de la aplicación (AppID) y el identificador del objeto (ObjectID) para usarlos en los siguientes pasos.
-
-
Configurar permisos de la API de Exchange Online
-
En el registro de la aplicación que acaba de crear, seleccione Permisos de API en el menú de la izquierda.
-
Haga clic en + Agregar un permiso:
-
Seleccione la API de Exchange Online para Office 365.
-
Elija Permisos de aplicación.
-
Desplácese hacia abajo y seleccione SMTP.SendAsApp.
-
Haga clic en Agregar permisos.
-
Haga clic en Otorgar consentimiento de administrador a [su organización].
-
-
Crear un secreto de cliente
-
En el registro de la aplicación, vaya a Certificados y secretos en el menú de la izquierda.
-
En Secretos de los clientes, haga clic en + Nuevo secreto de cliente.
-
Escriba una descripción para el secreto.
-
Seleccione un período de vencimiento según su política de seguridad.
Importante: Asegúrese de rotar el secreto del cliente antes de que venza; para ello, cree uno nuevo y configúrelo en Tenable Identity Exposure. Si la credencial no se actualiza a tiempo, el envío de correos electrónicos en Tenable Identity Exposure fallará una vez que la clave venza.
-
Haga clic en Agregar.
Importante: Copie y almacene de forma segura el valor del secreto generado, ya que no se volverá a mostrar. Lo necesitará en el siguiente paso y no hay forma de recuperarlo más adelante.
-
-
Preparar el buzón de correo del usuario
-
Vaya a Usuarios > Usuarios activos.
-
Seleccione un usuario existente o cree un nuevo buzón de correo compartido que se usará para el envío SMTP.
-
Asegúrese de que el buzón de correo tenga asignada una licencia de Office 365 adecuada.
-
Habilitar SMTP autenticado en el buzón de correo
-
Vaya a Usuarios > Usuarios activos.
-
Seleccione el buzón de correo del usuario que vaya a configurar.
-
Haga clic en Correo > Administrar aplicaciones de correo electrónico.
-
Desmarque todas las opciones y, luego, marque solo SMTP autenticado.
-
Haga clic en Guardar.
-
Instalar los módulos de PowerShell necesarios
-
Abra PowerShell y ejecute los siguientes comandos:
CopiarInstall-Module -Name ExchangeOnlineManagement
Import-Module ExchangeOnlineManagement
Install-Module -Name ExchangePowershell
Import-Module -Name ExchangePowershell
# Connect to Exchange Online (replace <Tenant ID> with your actual Tenant ID)
Connect-ExchangeOnline -Organization <Tenant ID>
-
-
Registrar una entidad de servicio en Exchange
-
En la sesión de PowerShell (aún conectada a Exchange Online), ejecute el siguiente comando después de adaptarlo con los valores obtenidos al principio:
Copiar# Register the service principal
New-ServicePrincipal -AppId "<AppID>" -ObjectId "<ObjectID>"
-
-
Agregar permisos de buzón de correo
-
En la misma sesión de PowerShell, conceda a la entidad de servicio de la aplicación acceso al buzón de correo deseado:
CopiarAdd-MailboxPermission -Identity "<[email protected]>" -User "<APPID>" -AccessRights FullAccess
Nota: Reemplace “<[email protected]>” por la dirección de correo electrónico real del buzón de correo que quiera usar y <APPID> por el identificador de la aplicación de la entidad de servicio.
-
-
Recopilar información de la configuración de OAuth
Para que Tenable Identity Exposure use la autenticación OAuth para SMTP, proporcione la siguiente información recopilada anteriormente:
-
ID de inquilino: identificador de su inquilino de Microsoft 365.
-
ID de cliente: identificador de la aplicación (cliente) del registro de la aplicación.
-
Valor del secreto de cliente: valor del secreto que creó y guardó anteriormente.
-
Correo electrónico del remitente: dirección de correo electrónico del buzón de correo que configuró.
-