Microsoft Azure · Software · ficha YoctoIT

Entra ID

La identidad como perímetro: SSO, MFA, acceso condicional y gobernanza — la primera línea de defensa de toda empresa Microsoft.

FOCUS · LA IDENTIDAD ANTE TODOEl perímetro ya no es la red: es quién eres, desde dónde entras, con qué dispositivo
Material YoctoIT para clientes y partners · Microsoft, Azure, Entra, Defender y los demás productos citados son marcas de Microsoft Corporation.
01 · Qué es

Microsoft Entra ID, en claro.

Entra ID (antes Azure AD) es el centro de la identidad Microsoft: single sign-on sobre miles de apps, MFA y passwordless, Conditional Access que evalúa cada acceso (usuario, dispositivo, riesgo, ubicación) e identity governance para los ciclos de vida. En el mundo del trabajo híbrido, aquí es donde se gana o se pierde la seguridad.

99%
de los ataques basados en identidad bloqueados por la MFA (dato Microsoft)
CA
Conditional Access: cada login evaluado por riesgo, dispositivo y contexto
PIM
privilegios elevados a tiempo: el admin permanente ya no existe
Microsoft Entra ID
IMAGEN OFICIAL MICROSOFT · ENTRA ID
CONSOLE REALE · ENTRA CONDITIONAL ACCESS · FONTE: MICROSOFT LEARN
CONSOLA REAL · ENTRA CONDITIONAL ACCESS · FUENTE: MICROSOFT LEARN
02 · Cómo usarlo bien

Las cosas que marcan la diferencia.

El perímetro de identidad

Apps: M365, SaaS, on-premtodo detrás de un solo login
MFA/passwordless
Conditional Access
PIM
quién eres · en qué contexto · con qué poderes
Entra IDel cerebro de las decisiones
Identity governanceciclos de vida y recertificaciones
Cada acceso es una decisión informada

Línea base de Conditional Access

Las políticas que cierran el 95% de los riesgos: MFA en todas partes, legacy auth apagada, dispositivos conformes.

Híbrido limpio

Sync con el AD on-prem, password hash y SSPR: los dos mundos alineados sin duplicados.

Privilegios con caducidad

PIM sobre roles admin: elevación just-in-time, aprobada y trazada.

Recertificaciones

Access reviews periódicas: quien no usa un permiso, lo pierde. Automáticamente.

03 · En profundidad

Conditional Access arquitecturado

Las políticas CA se construyen sobre señales (usuario/grupo, app, compliance del dispositivo desde Intune, riesgo desde Identity Protection, red) y controles (MFA, dispositivo conforme, sesión limitada): el set base bloquea la legacy auth, impone MFA y phishing-resistant para los admins, con break-glass excluidos y monitorizados. PIM eleva los roles just-in-time con aprobaciones; las access reviews recertifican; Entra ID Protection sube el riesgo y las políticas reaccionan.

  • Baseline CA — bloqueo de legacy auth + MFA en todas partes: el 80% del riesgo fuera de inmediato
  • Phishing-resistant — FIDO2/passkeys para privilegios y finanzas: el phishing desafilado
  • PIM — roles activados a tiempo con aprobación: el admin permanente abolido
  • Identity Protection — riesgo usuario/sesión en las señales: la política adaptativa
  • Break-glass — dos cuentas fuera de CA, monitorizadas: el lock-out imposible
  • Access review — las recertificaciones periódicas: los permisos que caducan
04 · Números y ciclo de vida

Los números que cuentan.

99,9%
de los ataques de identidad bloqueados por la MFA (Microsoft)
0
admins permanentes con PIM a régimen
8h
la duración típica de la elevación JIT
Kill chain
interrumpida en el login: el perímetro de verdad está aquí
La identidad es el nuevo firewall: diseñamos las CA por anillos, ponemos PIM sobre los privilegios y el break-glass en la caja fuerte.
05 · Casos de uso

Dónde rinde de verdad.

Zero trust concreto

El primer pilar, implementado en semanas.

Compliance de accesos

Quién accede a qué, demostrable para la auditoría.

Onboarding/offboarding

El ciclo de vida automatizado: el exempleado sale de verdad.

La primera hora de cada incidente habla de identidad: aseguramos el perímetro que cuenta.