Seguridad móvil y autenticación en SharePoint 2013
SE APLICA A:2013 2016 2019 Subscription Edition SharePoint en Microsoft 365
En este artículo se proporcionan instrucciones y recomendaciones de seguridad para garantizar que el acceso a SharePoint Server 2013 y datos específicos en SharePoint no se vea comprometido en un dispositivo móvil. En este artículo también se detallan los tipos de autenticación admitidos para determinados dispositivos y los detalles de autenticación para la aplicación de suministro de noticias de SharePoint.
Seguridad para dispositivos móviles
En esta sección se proporcionan recomendaciones de seguridad para usar dispositivos externos a la red corporativa. Un dispositivo perdido o robado podría ser devastador para una organización en muchos niveles. Por lo tanto, se deben adoptar las medidas necesarias para que se ponga en peligro.
Entre las consideraciones de seguridad generales se incluyen las siguientes:
Los dispositivos móviles pueden contener documentos o información confidencial. Debido a que estos dispositivos se pueden perder o los pueden robar, se recomienda configurar directivas para ayudar a proteger los documentos o la información confidencial. Esto puede incluir la protección del dispositivo móvil mediante un PIN o bloqueo y la eliminación remota de datos del dispositivo móvil. Las características y programas disponibles varían según el dispositivo. Para obtener más información sobre un posible método para implementar estas directivas en su organización, consulte Exchange ActiveSync más adelante en este artículo.
Puede instruir a los usuarios acerca del modo en que pueden proteger sus credenciales de usuario. Esto puede incluir el cierre de sesión de los sitios cuando hayan terminado, no habilitar ninguna opción que los mantenga conectados o recuerde su contraseña y eliminar con frecuencia cookies en el explorador móvil. Esto puede ayudar a evitar que otras personas usen sus credenciales de usuario para iniciar sesión en un sitio de SharePoint si han perdido su dispositivo móvil o si se lo han robado.
Se recomienda habilitar SSL para ayudar a proteger la comunicación entre los exploradores móviles y el equipo que ejecuta SharePoint Server 2013. Para obtener más información sobre cómo usar un servidor proxy inverso, como Forefront Unified Access Gateway (UAG), para ayudar a proteger la comunicación, consulte Forefront Unified Access Gateway (UAG) en la Biblioteca técnica de Forefront.
Exchange ActiveSync
Microsoft Exchange ActiveSync es un protocolo de comunicaciones que permite el acceso móvil, por vía aérea, a mensajes de correo electrónico, programar datos, contactos y tareas. Exchange ActiveSync está disponible en teléfonos y pizarras Windows Phone y de terceros que están habilitados para Exchange ActiveSync como el iPhone de Apple. Una de las ventajas de implementar Exchange ActiveSync en su organización es la seguridad del lado del dispositivo y la administración a través de la aplicación de directivas. Si SharePoint Server 2013 se implementa en una topología de extranet, los dispositivos móviles acceden al equipo que ejecuta SharePoint Server 2013 a través de una dirección URL orientada al público. Si el dispositivo móvil se perdiera o se robara, es necesario asegurarse de que los datos de SharePoint no están en peligro. Por ejemplo, mediante el uso de Exchange ActiveSync puede borrar el contenido de datos del dispositivo de forma remota, como las configuraciones de SharePoint, o aplicar una contraseña compleja en la pantalla de bloqueo para ayudar a evitar el acceso no autorizado.
En la tabla siguiente se muestra una selección de Exchange ActiveSync características y directivas que puede aplicar a algunos dispositivos.
Tabla: directivas de Exchange ActiveSync para dispositivos móviles
directiva de Exchange ActiveSync | Descripción |
---|---|
Borrado remoto (se trata de una característica y no de una directiva de Exchange ActiveSync) | Si se pierde un teléfono móvil, se roba o se pone en peligro, puede emitir un comando de borrado remoto desde el equipo exchange o desde cualquier explorador web mediante Outlook Web App. Este comando restaura el dispositivo a los valores predeterminados de fábrica. Importante: Una vez que se ha producido un borrado remoto del dispositivo, la recuperación de datos es muy difícil. Sin embargo, ningún proceso de eliminación de datos deja un dispositivo tan libre de datos residuales como cuando es nuevo. La recuperación de datos de un dispositivo puede seguir siendo posible mediante herramientas sofisticadas. |
Aplicar contraseña en el dispositivo (DevicePasswordEnabled) | Esta configuración habilita la contraseña del teléfono móvil. |
Longitud mínima de la contraseña (MinDevicePasswordLength) | Esta opción especifica la longitud de la contraseña del teléfono móvil. La longitud predeterminada es de 4 caracteres, pero puede tener un máximo de 18. |
Requerir contraseña alfanumérica (AlphanumericDevicePasswordRequired) | Esta configuración requiere que una contraseña contenga caracteres numéricos y no numéricos. |
Permitir contraseña simple (AllowSimpleDevicePassword) | Esta configuración habilita o deshabilita la habilidad de usar una contraseña sencilla como 1234. |
Bloqueo máximo de tiempo de inactividad (MaxInactivityTimeDeviceLock) | Esta opción determina cuánto tiempo debe estar inactivo el teléfono móvil antes de que se pida al usuario una contraseña para desbloquear el teléfono móvil. |
Importante
La selección de directivas de Exchange ActiveSync que se pueden usar puede diferir en función del dispositivo por dispositivo. Para obtener más información sobre qué directivas se admiten en una plataforma de dispositivo específica, como Windows Phone y apple iPhone, consulte Descripción de las directivas de buzón de Exchange ActiveSync.
Búsqueda de un dispositivo perdido
Cuando se pierde o se roba un dispositivo, puede ser útil encontrar la ubicación de ese dispositivo y poder borrar todo el contenido de los datos si es necesario. Hay varios servicios y soluciones de terceros que pueden proporcionar esta funcionalidad. Un ejemplo es el servicio Windows Phone Buscar mi teléfono que puede facilitar la recuperación del dispositivo móvil localizandolo o impedir que alguien lo use sin su consentimiento.
La funcionalidad que este servicio puede proporcionar incluye lo siguiente:
Asigne la ubicación del dispositivo móvil.
Haga que su dispositivo móvil suene.
Bloquee el dispositivo móvil y muestre un mensaje.
Borre los datos del dispositivo móvil.
Nota:
Para obtener más información sobre el servicio Buscar mi teléfono para Windows Phone, consulte Buscar un teléfono perdido.
Autenticación para dispositivos móviles
SharePoint Server 2013 admite varios métodos de autenticación y modos de autenticación. No todos los exploradores y dispositivos móviles funcionan con todos los métodos de autenticación disponibles. Cuando planee el acceso a dispositivos móviles, le recomendamos hacer lo siguiente:
Determine los dispositivos móviles que debe admitir. Luego, infórmese sobre los métodos de autenticación admitidos por los dispositivos móviles. Esta información varía según el fabricante.
Determine los sitios que desea poner a disposición de los usuarios de dispositivos móviles.
Determine si desea que los sitios de SharePoint estén disponibles para los dispositivos móviles cuando se usen fuera del firewall corporativo. Si lo hace, el método que use para permitir el acceso externo también puede afectar la autenticación de los dispositivos móviles.
En las tablas siguientes se detallan los tipos de autenticación admitidos para exploradores, OneDrive y la experiencia de Windows Phone de Office Hub en SharePoint Server 2013. Para lo siguiente, OrgID hace referencia al identificador de Microsoft Online Services, el proveedor de identidades de Microsoft 365. Además, MSOFBA hace referencia a la autenticación basada en Microsoft Office Forms.
Tabla: Autenticación móvil admitida en exploradores de SharePoint
Infraestructura de SharePoint | Dispositivos móviles | |||||||
---|---|---|---|---|---|---|---|---|
Tipo de autenticación | Protocolo de autenticación | Proveedor de identificadores | Implementación de SharePoint | Windows Phone 7.5 (Internet Explorer Mobile) | Windows Phone 8 (Internet Explorer Mobile) | Windows 8 (Internet Explorer) | iOS 5.x o versiones posteriores (Explorador Safari) | Android 4.x o versiones posteriores (Android Browser) |
Autenticación de Windows | NTLM | Active Directory | Local | Sí | Sí | Sí | Sí | Sí |
Autenticación básica | Active Directory | Local, extranet | Sí | Sí | Sí | Sí | Sí | |
Autenticación basada en formularios (FBA) | FBA | Active Directory, LDAP, SQL | Local, extranet | Sí | Sí | Sí | Sí | Sí |
FBA | OrgID | SharePoint en Microsoft 365, escenarios híbridos | Sí | Sí | Sí | Sí | Sí | |
SAML (basado en tokens) | SAML | Proveedor de identidad compatible con WS-Federation 1.1 | Escenarios locales, de SharePoint en Microsoft 365, basados en híbridos | Sí | Sí | Sí | Sí | Sí |
Tabla: Tipos de autenticación admitidos para la aplicación OneDrive
Tipo de autenticación | Descripción | Compatible | Tipo de administrador necesario para la configuración |
---|---|---|---|
Id. de organización | Organizaciones con una organización de Microsoft 365 o SharePoint sin ninguna federación. | Yes | Administrador global |
Federación de ADFS y Org-ID | Organizaciones con una organización híbrida de Microsoft 365 o SharePoint con usuarios federados desde un directorio local. | Yes | Administrador global más el administrador de red local más el administrador de SharePoint |
autenticación de Windows (NTLM) | Organizaciones con un entorno de SharePoint configurado para permitir autenticación de Windows basadas en notificaciones NTLM. | Yes | Administrador de SharePoint |
Autenticación basada en formularios (FBA) | Organizaciones con un entorno de SharePoint configurado para permitir la autenticación basada en formularios u otra autenticación basada en notificaciones compatible a través de un control web estándar. | Yes | Administrador de SharePoint |
Proveedores de identidades no ADFS calificados | Organizaciones con un entorno de Microsoft 365 o SharePoint configurado para permitir el inicio de sesión de usuario federado con un proveedor de identidades calificado para clientes enriquecidos en el programa Works with Microsoft 365 - Identity. | Yes | Administrador de SharePoint más el administrador de red local o administrador global (en algunas organizaciones, el administrador global es un requisito, no una opción). |
Todos los demás proveedores de identidades que no son de ADFS | Organizaciones con un entorno de SharePoint configurado para permitir un proveedor de identidades que no es de ADFS. | No | Administrador de SharePoint más el administrador de red local |
Autenticación Kerberos | Organizaciones con un entorno de SharePoint configurado para admitir la autenticación Kerberos. | No | Administrador de SharePoint más el administrador de red local |
Autenticación básica | Organizaciones con un entorno de SharePoint configurado para admitir la autenticación básica. | No | Administrador de SharePoint más el administrador de red local |
Nota:
Si es usuario de varias organizaciones de Microsoft 365, puede conectarse desde la aplicación OneDrive en cualquier entorno de red, incluidos Wi-Fi y datos móviles. Si no es un usuario de varias organizaciones de Microsoft 365, solo puede conectarse cuando use la red de Wi-Fi local de su organización. Si no está seguro de qué usuario es, póngase en contacto con el administrador de SharePoint.
Tabla: Matriz de compatibilidad de autenticación móvil para Office Hub
Infraestructura de SharePoint | Lado cliente | Dispositivos móviles | ||||
---|---|---|---|---|---|---|
Tipo de autenticación | Protocolo de autenticación | Proveedor de identificadores | Implementación de SharePoint | Controlado a través de: | Windows Phone 7.5 (Internet Explorer Mobile) | Windows Phone 8 (Internet Explorer Mobile) |
Autenticación de Windows | NTLM | Active Directory | Local | NTLM | Sí | Sí |
Autenticación básica | Active Directory | Local, extranet | Autenticación básica | No | Sí (https) | |
Autenticación basada en formularios (FBA) | FBA | Active Directory, LDAP, SQL | Local, extranet | MSOFBA | Sí | Sí |
FBA | OrgID | SharePoint, escenarios híbridos | MSOFBA | Sí | Sí | |
FBA | OrgID | SharePoint, escenarios híbridos | Autenticación activa (IDCRL) | No | Sí | |
SAML (basado en tokens) | SAML | Proveedor de identidad compatible con WS-Federation 1.1 | Escenarios locales, de SharePoint, híbridos | MSOFBA | Sí | Sí |
SAML | Proveedor de identidad compatible con WS-Federation 1.1 | Escenarios locales, de SharePoint en Microsoft 365, basados en híbridos | Autenticación activa (IDCRL) | No | Sí |
Nota:
Para que los dispositivos móviles se comuniquen con servidores de SharePoint, la seguridad de protocolo de Internet (IPSec) debe deshabilitarse en los servidores. La razón por la que esto debe realizarse es que los dispositivos móviles no están unidos a un dominio.
Autenticación para la aplicación de suministro de noticias de SharePoint
En esta sección se proporcionan instrucciones y consideraciones de autenticación para la aplicación de suministro de noticias de SharePoint. Esto incluye información sobre las implementaciones locales y el uso de SharePoint en Microsoft 365.
En la tabla siguiente se detallan los tipos de autenticación admitidos para la aplicación de suministro de noticias de SharePoint en SharePoint Server 2013. Para lo siguiente, OrgID hace referencia al identificador de Microsoft Online Services, el proveedor de identidades de Microsoft 365. Además, MSOFBA hace referencia a la autenticación basada en Microsoft Office Forms.
Tabla: Matriz de compatibilidad de autenticación móvil para la aplicación de suministro de noticias de SharePoint\
Tipo de autenticación |
Protocolo de autenticación |
Proveedor de identificadores |
Implementación de SharePoint |
Controlado a través de: |
aplicaciones de Windows Phone 7.5 |
Windows Phone 8 aplicaciones |
Aplicaciones de Windows 8 |
Aplicaciones de iOS 6.x o versiones posteriores |
---|---|---|---|---|---|---|---|---|
Autenticación de Windows |
NTLM |
Active Directory |
Local |
NTLM |
No |
No |
Sí |
Sí |
Autenticación básica |
HTTPS |
Active Directory |
Local, extranet |
Autenticación básica |
Sí |
Sí |
No |
Sí (https) |
Autenticación basada en formularios (FBA) |
FBA |
Active Directory, LDAP, SQL |
Local, extranet |
MSOFBA |
Sí |
Sí |
No |
Sí |
FBA |
FBA |
OrgID |
SharePoint, escenarios híbridos |
MSOFBA |
Sí |
Sí |
No |
Sí |
FBA |
FBA |
OrgID |
SharePoint, escenarios híbridos |
Autenticación activa (IDCRL) |
No |
No |
Sí |
Sí |
SAML (basado en tokens) |
SAML |
Proveedor de identidad compatible con WS-Federation 1.1 |
Escenarios locales, de SharePoint en Microsoft 365, basados en híbridos |
MSOFBA |
Sí |
Sí |
No |
Sí |
SAML |
SAML |
Proveedor de identidad compatible con WS-Federation 1.1 |
Escenarios locales, de SharePoint en Microsoft 365, basados en híbridos |
Autenticación activa (IDCRL) |
No |
No |
Sí |
Sí |
Importante
Para escenarios federados en SharePoint en Microsoft 365, solo se admite Servicios de federación de Active Directory (AD FS) (ADFS) 2.0. Durante el proceso de instalación es necesario admitir un URI de autenticación de federación pasiva de: "urn:oasis:names:tc:SAML:2.0:ac:classes:Password" .
Flujos de trabajo de autenticación
La aplicación de suministro de noticias de SharePoint se admite tanto para uso local como para SharePoint en Microsoft 365. Cada opción puede presentar diferencias con el flujo de trabajo de autenticación del usuario final. Por ejemplo, en esta tabla se proporcionan experiencias de autenticación de ejemplo para cada tipo de implementación.
Implementación | Flujo de trabajo | Detalles |
---|---|---|
Local | Tipos de autenticación admitidos Autenticación de Windows Autenticación basada en formularios SAML |
|
SharePoint en Microsoft 365 | Tipos de autenticación admitidos Autenticación basada en formularios SAML |
Para obtener más información sobre cómo implementar la aplicación de suministro de noticias de SharePoint en la red, incluida la configuración del acceso entre firewalls, vea Configurar el acceso externo para dispositivos móviles en SharePoint Server.
Consulte también
Conceptos
Introducción a los dispositivos móviles y SharePoint Server 2013