Resumen

Cuando se active Multi-Factor Autentication (MFA) para su organización o para usted particularmente, tendrá que realizar la siguiente configuración para poder seguir accediendo a su cuenta de Microsoft 365. El propósito de este manual es apoyarle a configurar el MFA a través la una aplicación móvil de Microsoft Authenticator. 

Productos

• Microsoft 365.

Procedimiento

1. Ingrese a la siguiente liga directa de "Security info" en Microsoft 365, https://mysignins.microsoft.com/security-info.
2. Le solicitará su usuario y contraseña. Si ya tiene una sesión iniciada, aparecerá una ventana como la siguiente. Daremos click en “Siguiente”, para comenzar con la configuración.

3. La configuración de Multi-factor authentication (MFA), se realizará de dos maneras, una es a través de la aplicación de Microsoft Authenticator y la segunda a través de una verificación telefónica. Para continuar tiene que descargar la aplicación en su teléfono celular iOS o Android. Si desea descargar la aplicación, tiene que dar click sobre la opción “Download Now”.

4. En esta página puede indicar su número telefónico, y le enviarán un mensaje para descargar la aplicación de Microsoft Authenticator.

5. Una vez descargada la aplicación de Microsoft Authenticator. Regresamos a la pantalla anterior y damos click en “Next”.
6. En la siguiente pantalla le indicará que en su aplicación tiene que seleccionar la opción “Work o School” en su aplicación. Y damos click en el botón “Next”.

7. En nuestra aplicación de Microsoft Authenticator, agregamos una cuenta, y seleccionamos la opción “Cuenta Profesional o Educativa”.

8. Posteriormente aparecerá un código QR como el siguiente. Debe escanear el código QR con nuestro teléfono. Y damos click en el botón “Next”.

9. En nuestro teléfono aparecerá una notificación, la cual debemos aprobar.

10. Aparecerá la siguiente notificación indicando que se configuró correctamente.

11. Posteriormente se nos solicitará que ingresemos nuestro número telefónico a 10 dígitos, así como la región de nuestro número. Damos click en el botón “Next”.

12. Se nos enviará un mensaje de texto con un código de verificación el cual tenemos que ingresar en la siguiente pantalla. Damos click en el botón “Next”.

13. Nos mostrará la verificación del número telefónico.

14. Por último, nos mostrará una confirmación de los métodos de autenticación configurados. Damos click sobre el botón “Done”.

15. La próxima vez que intente ingresar al portal de Microsoft 365, https://portal.office.com, deberá ingresar su usuario y contraseña, posteriormente deberá aceptar la notificación de acceso, a través de su aplicación de Microsoft Authenticator.

Resumen

 Al activarse multi-factor authentication (MFA) para su organización, usted como usuario, deberá realizar la configuración de su cuenta de correo con una Contraseña de Aplicación. No podrá configurar su correo en Outlook o en otra aplicación de correo con la contraseña de su cuenta, esta solo le permitirá ingresar al portal de Office 365.

Productos

• Office 365 Business Essentials.
• Office 365 Business Premium. 
• Microsoft 365

Procedimiento

Para crear una contraseña de Aplicación Nueva, tiene que seguir los siguientes pasos,

1. Ingrese a la siguiente liga directa de "Security info" en Microsoft 365, https://mysignins.microsoft.com/security-info.
2. Si ya ha iniciado sesión anteriormente en el portal de Microsoft 365, ingresará directamente a una página como la siguiente, de lo contrario le solicitará su usuario y contraseña de Office 365.

3. En esta pantalla seleccionamos la opción “Add Metod” y seleccionamos la opción “App Password”.

4. Nos pedirá indicar un nombre para esta aplicación, con al menos una longitud de 8 caracteres. Posteriormente podemos dar click en la opción “Next”.

5. Posteriormente nos mostrará la contraseña de aplicación con la que podemos configurar nuestros dispositivos. Esta contraseña podemos copiarla y pegarla donde necesitemos hacerlo. Cerramos la ventana con el botón “Done”.

Dado que la contraseña solo se muestra una vez, puede crear el número de contraseñas que requiera, puede usar la misma contraseña de aplicación con varias aplicaciones o crear una nueva contraseña de aplicación para cada aplicación.

Hemos identificado algunos intentos de acceso a cuentas personales de correo (cuentas en microsoft.com, como son hotmail.com, outlook.com, etc.) que están asociadas a cuentas de Microsoft 365.

Esto no quiere decir que su cuenta haya sido vulnerada, pero es posible que su cuenta o dirección de correo haya sido expuesta si la usa con otro tipo de aplicaciones. Esto debido a la creciente exposición y filtración de datos que pueden tener otras empresas u organismos con las que usted use su cuenta de correo. 

Los atacantes están usando el intento de recuperación del código de acceso a través del correo electrónico, que es una opción adicional que aparece al momento de ingresar a las cuentas personales de Microsoft, cuando se ha olvidado la contraseña. 

1.- Se intenta acceder a la Cuenta Personal, en lugar de la cuenta Profesional o Educativa de Microsoft 365. 

2.- Al solicitar la contraseña, los atacantes están haciendo uso de la opción de "enviar el código por correo electrónico a <dirección de correo>".

3.- Y es aquí cuando llega el correo del código de un solo uso.

Esto no afecta ni vulnerará sus cuentas de Microsoft 365. En dado caso recomendamos que puedan hacer uso de otras características que tienen las cuentas personales de Microsoft.com, como lo es el MFA, para evitar estos correos y por supuesto, usar sus cuentas de Microsoft 365, separadas de sus cuentas personales de Microsoft.com.

De momento no hay una solución implementada por parte de Microsoft que limite el número de intentos de acceso de su cuenta a través de este método, de la misma manera, la cuenta permanecerá segura si usted no comparte estos códigos con nadie. 

Puede implementar también alguna regla de correo de momento si estos intentos continúan.