Saltar al contenido principal

Microsoft - Cómo configurar el envío de simulaciones por DMI (Direct Message Injection)

  • Actualización

Configure el envío de simulaciones de SMARTFENSE mediante Direct Message Injection (DMI) en Microsoft Entra ID. Con este método, los correos se entregan directamente en la bandeja de los usuarios sin atravesar las reglas de filtrado del tenant, lo que mejora la tasa de entrega y la fidelidad de las simulaciones.

¿Cuándo conviene DMI? Es la opción recomendada cuando los filtros de seguridad de Microsoft (ATP, Defender for Office 365) reescriben enlaces, modifican el contenido o bloquean simulaciones, y cuando se quiere evitar mantener whitelists complejas por IP o por header en producción.

Puede acceder a este instructivo desde la plataforma de SMARTFENSE en Configuración > Simulaciones > Medio de envío, seleccionando Inyección de Mensajes Directos a través de Microsoft.

Prerrequisitos

Antes de iniciar la configuración, asegúrese de cumplir con lo siguiente:

  • Contar con un rol con permisos suficientes en Microsoft Entra ID para registrar aplicaciones y otorgar admin consent. Los roles habituales son Global Administrator o Cloud Application Administrator.
  • Disponer de acceso a Microsoft Graph en el tenant.
  • Que las cuentas de los usuarios destino existan en el tenant donde se realiza la configuración.
  • Tener acceso de administrador a la plataforma de SMARTFENSE para completar los datos de la integración.

Configuración en Microsoft Entra ID

Registrar una nueva aplicación

  1. Inicie sesión en el portal de Microsoft Entra ID en https://portal.azure.com.
  2. Ingrese a la sección Microsoft Entra ID.
  3. En el menú lateral izquierdo, haga clic en Administrar > Registro de aplicaciones.
  4. Haga clic en Nuevo Registro.
  5. Complete el formulario para registrar la nueva aplicación:
    • En Nombre, defina un nombre representativo. Por ejemplo: SMARTFENSE-DMI.
    • En Tipos de cuenta compatibles seleccione Solo Inquilino único en: Organization.
    • Haga clic en Registrar.

Obtener los identificadores de la aplicación

En la vista general de la aplicación recién creada, copie los siguientes valores:

  • Id. de aplicación (cliente).
  • Id. de directorio (inquilino).

Importante: estos valores se necesitarán más adelante para completar la configuración en SMARTFENSE. Guárdelos en un lugar seguro.

Crear el Client secret

  1. Dentro de la aplicación SMARTFENSE-DMI, en el menú Administrar > Certificados & secretos, haga clic en Nuevo secreto de cliente.
  2. Ingrese una descripción representativa y seleccione una fecha de expiración (Recomendado 24 meses).
  3. Una vez creado, copie el Value del Client secret.

Advertencia: al expirar el Client secret, el envío de simulaciones por DMI dejará de funcionar hasta que se cargue uno nuevo en la plataforma. Planifique una notificación interna de renovación con anticipación.

Nota: el Value sólo se muestra una vez en el portal de Microsoft Entra ID. Si no lo copia en este momento, deberá generar un nuevo Client secret.

Asignar permisos de Microsoft Graph

  1. En la aplicación, ingrese al menú Permisos de API y haga clic en Agregar permiso.
  2. Seleccione Microsoft Graph.
  3. Elija Permisos de aplicación.

  4. Seleccione los siguientes permisos y confirme:

    Mail.Read — necesario para validar el contexto del usuario destino.

    Mail.ReadWrite — necesario para inyectar el correo de simulación directamente en la bandeja del usuario.

  5. Haga clic en Conceder consentimiento de administrador para [nombre] para otorgar el consentimiento del administrador.

Importante: SMARTFENSE no realiza ningún uso de los permisos otorgados más allá de lo descripto en este instructivo. La inyección se realiza únicamente sobre los usuarios incluidos en las simulaciones configuradas en la plataforma.

Nota: sin el admin consent, los permisos quedan otorgados a la aplicación pero no efectivos, y la inyección fallará. Si en algún momento se revoca el consent desde Entra ID, la integración dejará de funcionar.

Configuración en SMARTFENSE

  1. En la plataforma de SMARTFENSE, ingrese a Configuración > Simulaciones > Medio de envío y seleccione Inyección de Mensajes Directos a través de Microsoft.
  2. Complete los campos con los valores obtenidos en Microsoft Entra ID:
    • Application (client) ID.
    • Directory (tenant) ID.
    • Value del Client secret.
  3. En el campo Destinatario para prueba, ingrese un correo electrónico que pertenezca al dominio configurado en el tenant. Por defecto se utiliza el correo del administrador que realiza la configuración.
  4. Haga clic en Enviar prueba. La plataforma enviará un correo de validación al destinatario indicado. Si se detecta algún error en la configuración, se mostrará una notificación con el detalle.
  5. Una vez que la prueba sea exitosa, haga clic en Guardar. El botón permanece deshabilitado hasta que la validación se complete correctamente.

 

Verificar la configuración

Una vez guardada la configuración, valide que la integración funciona correctamente:

  1. Cree una simulación de prueba dirigida a una cuenta del tenant configurado.
  2. Confirme que el correo llega a la bandeja de entrada del usuario sin haber atravesado los filtros de Microsoft.
  3. Verifique en la plataforma de SMARTFENSE que las estadísticas de la campaña registran el envío y las interacciones del usuario.

Nota: si el correo no llega o se registran errores en el envío, consulte la sección de troubleshooting al final de este artículo.

Convivencia con whitelist en Microsoft Defender (ATP)

Aun configurando DMI, en algunos escenarios es necesario complementar la integración con la whitelist de ATP para evitar que los enlaces o adjuntos sean reescritos o analizados después de la entrega. Para esos casos, consulte el artículo Microsoft - Cómo evitar falsos positivos de ATP en simulaciones de phishing y ransomware (DMI).

Troubleshooting

Si encuentra errores al enviar simulaciones por DMI, consulte el artículo Errores más frecuentes de envío con DMI - Direct Message Injection a través de Microsoft, donde se documentan las causas más comunes (consent revocado, Client secret expirado, permisos insuficientes, usuarios fuera del tenant) y la forma de resolverlas.

💡 Mejores prácticas

  • Configure un recordatorio de renovación del Client secret antes de su vencimiento para evitar interrupciones en el envío de simulaciones.
  • Almacene el Application (client) ID, Directory (tenant) ID y Value del Client secret en un gestor de secretos aprobado por su organización.
  • Verifique que el administrador aplique correctamente Grant admin consent for [name], ya que sin este paso los permisos quedan inactivos.
  • Documente internamente quién es el responsable de renovar el Client secret y de mantener válido el admin consent.
  • Realice una simulación de prueba después de cada renovación de credenciales para detectar problemas de forma temprana.
  • Si utiliza Microsoft Defender for Office 365, complemente la configuración de DMI con la whitelist en ATP para preservar enlaces y adjuntos originales.

Artículos relacionados