☁️Azure Entra IDIdentityConditional AccessPrivileged Access

Cómo auditar la seguridad de Microsoft Entra ID (Azure AD): guía práctica

Aprenda a auditar la seguridad de Microsoft Entra ID, incluyendo Conditional Access, MFA, PIM, permisos de aplicaciones, acceso de invitados y prioridades de remediación.

ES
EtcSec Security Team
9 min read
Cómo auditar la seguridad de Microsoft Entra ID (Azure AD): guía práctica

Una auditoría de seguridad de Entra ID debe indicar si sus controles de identidad cloud protegen de verdad el acceso privilegiado, las identidades externas y la confianza en aplicaciones. No debe quedarse en una simple checklist de ajustes del tenant.

Si quiere la vía corta, empiece con un workflow dedicado de Microsoft Entra ID security audit y use ETC Collector cuando quiera mantener la recolección cerca del entorno.

1. Empezar por la cobertura de Conditional Access

Conditional Access suele ser la forma más rápida de entender si el tenant tiene puntos de control realmente aplicables o solo intención de política. Revise:

  • la exigencia de MFA para administradores
  • condiciones por dispositivo o ubicación
  • authentication strength
  • exclusiones de cuentas de emergencia
  • lagunas de legacy authentication
  • superposición o conflicto entre políticas

Una auditoría que solo confirme que existen políticas, sin comprobar qué protegen de verdad, está incompleta.

2. Revisar MFA y métodos de autenticación

Muchos incidentes de identidad ocurren porque se asume la cobertura MFA en lugar de verificarla. Céntrese en:

  • usuarios sin MFA fuerte
  • métodos de autenticación débiles o heredados
  • huecos de registro
  • gestión de cuentas break-glass
  • postura de protección de inicios de sesión

Esto es especialmente importante cuando el tenant mezcla empleados, contratistas e identidades externas.

3. Revisar roles privilegiados y PIM

El acceso privilegiado debe ser temporal, visible y difícil de abusar. Su auditoría debe examinar:

  • la exposición de Global Administrator
  • las asignaciones privilegiadas permanentes
  • la cobertura de PIM
  • el diseño de las cuentas de emergencia
  • la deriva de asignaciones de roles
  • grupos privilegiados que eluden la revisión esperada

Si su tenant todavía depende de roles administrativos amplios y permanentes, la prioridad de remediación sigue siendo alta incluso si el resto de la postura parece limpia.

4. Inspeccionar app registrations, consentimientos y service principals

La confianza en aplicaciones suele crear un blast radius mayor que la autenticación de usuarios. Revise:

  • permisos delegados o de aplicación con alto privilegio
  • admin consents arriesgados
  • service principals obsoletos
  • proliferación de apps OAuth
  • exposición de aplicaciones a nivel tenant
  • secretos y certificados no gestionados

Esta es la parte de una auditoría Entra que a menudo se deja de lado hasta que un incidente obliga a revisarla.

5. Auditar invitados e identidades externas

El acceso externo debe ser intencional y estar limitado. Revise:

  • la configuración de invitación de invitados
  • la confianza cross-tenant
  • la exposición de roles para invitados
  • la cobertura de access reviews
  • cuentas invitadas antiguas
  • la deriva de la colaboración externa

Aquí muchas organizaciones descubren que ajustes antiguos de colaboración todavía reflejan un modelo operativo muy distinto del actual.

6. Incluir logs, señales de riesgo y protección

Una revisión Entra práctica también debe validar el plano de control alrededor del tenant:

  • retención de audit logs
  • visibilidad de sign-in logs
  • controles de Identity Protection
  • políticas de risky user y risky sign-in
  • rutas de exportación a SIEM u otras herramientas de seguridad

El objetivo es confirmar no solo que existen políticas, sino que el tenant puede detectar y explicar el abuso con rapidez.

7. Priorizar la remediación por privilegio y alcance

La cola de remediación debe ordenarse por impacto de acceso:

  • crítico: exposición de roles privilegiados, permisos de aplicación excesivos, falta de MFA para administradores, mala configuración del acceso externo
  • alto: lagunas de Conditional Access, asignaciones privilegiadas obsoletas, controles de invitados débiles, mala cobertura de logging
  • medio: temas de higiene que aumentan la deriva o reducen la visibilidad
  • bajo: limpieza con poco valor de abuso a corto plazo

Si quiere la página cloud específica para este workflow, empiece por Microsoft Entra ID security audit. Si también necesita la parte de AD, combínela con Active Directory security audit.

8. Auditar Entra ID como parte de una identidad híbrida

La mayoría de los programas reales necesitan AD y Entra ID en el mismo ciclo de revisión. Por eso los equipos suelen comparar workflows híbridos en lugar de herramientas puntuales. Si su proceso actual es demasiado estrecho, la página Purple Knight alternative muestra cómo piensan los equipos sobre una cobertura repetible de AD más Entra ID.

Conclusión

Una auditoría de Entra ID debe validar control de acceso aplicable, exposición privilegiada, confianza en aplicaciones y gobierno de identidades externas. Si la revisión no puede decir qué corregir primero y qué cambió desde la última ejecución, todavía no es operativa.

Para un workflow dedicado, empiece por Microsoft Entra ID security audit y use ETC Collector si quiere mantener la capa de recolección cerca del entorno.

9. Cree un paquete de evidencias para cada ciclo de revisión

Una auditoría sólida de Entra ID mejora cuando cada ciclo genera el mismo paquete de evidencias. En lugar de depender de recuerdos o de capturas recogidas con prisa, conviene definir un conjunto estándar de exportaciones que siempre cubra roles privilegiados, Conditional Access, postura MFA, confianza en aplicaciones, invitados y visibilidad de logs. Así obtiene una base comparable en el tiempo y resulta mucho más fácil explicar por qué el tenant mejora despacio o dónde apareció una nueva deriva.

Área de revisiónEvidencia a recopilarPor qué importa
Conditional AccessInventario de políticas, alcance, exclusiones, authentication strength y bloqueo de legacy authMuestra si realmente existen guardrails aplicables
Acceso privilegiadoAsignaciones de roles actuales, acceso elegible vs permanente, configuración de PIM y diseño de cuentas de emergenciaIdentifica privilegio permanente y brechas de aprobación
MFA y autenticaciónMétodos registrados, métodos débiles aún activos, cobertura de registro y MFA para administradoresConfirma que la autenticación fuerte es real y no asumida
Aplicaciones y consentimientoPermisos de aplicaciones de alto impacto, admin consents, service principals y apps obsoletasHace visibles rutas de confianza no ligadas a usuarios
Invitados y externosInventario de invitados, settings cross-tenant, exposición de roles invitados y access reviewsDestaca accesos externos que ya no encajan con el modelo operativo
Logs y riesgoRetención de audit logs, visibilidad de sign-ins, políticas de Identity Protection y exportación a SIEMVerifica si un abuso puede detectarse e investigarse rápido

El valor de este paquete es la consistencia. Si se recopilan los mismos informes en cada ciclo, queda claro si el riesgo se reduce, se mantiene o simplemente se desplaza entre áreas de control. Esto importa porque los problemas de identidad cloud suelen reaparecer con otra forma: se limpia un rol, pero el consentimiento de aplicaciones sigue siendo amplio, o mejora Conditional Access mientras deriva la gobernanza de invitados.

También ayuda asignar un owner a cada flujo de evidencias. Identity engineering puede llevar Conditional Access, un equipo de plataforma cloud puede llevar PIM y los owners de aplicaciones pueden necesitar validar los permisos de sus service principals. Cuando el pack ya mapea pruebas a owners, la remediación arranca más rápido y la auditoría tiene menos riesgo de convertirse en una larga lista de observaciones sin responsable.

FAQ

¿Con qué frecuencia debe ejecutarse una auditoría de Entra ID?

Para la mayoría de los equipos, una revisión completa trimestral es el mínimo razonable, acompañada de controles mensuales más ligeros sobre roles privilegiados, exclusiones de Conditional Access y nuevos consentimientos de apps. Cualquier cambio importante en métodos de autenticación, onboarding de apps de terceros, colaboración B2B o diseño de cuentas de emergencia también debería disparar una revisión dirigida. La identidad cloud cambia más deprisa de lo que muchos equipos on-prem esperan, y una cadencia solo anual deja demasiada deriva sin revisar.

¿Qué debe corregirse primero después de la auditoría?

Priorice los hallazgos que crean acceso amplio con poca fricción. Falta de MFA para administradores, exposición excesiva de Global Administrator, cobertura débil de Conditional Access, permisos de aplicaciones riesgosos y controles externos mal configurados deben ir primero. Los temas de higiene como invitados antiguos o datos de registro incompletos importan, pero no deberían ir por delante de problemas claros de exposición privilegiada o de confianza en aplicaciones.

¿Qué excepciones de negocio requieren aprobación explícita?

Las cuentas de emergencia, grupos de exclusión, permisos de legacy auth, service principals muy privilegiados y modelos de acceso de invitados nunca deberían quedar como excepciones informales. Si uno de esos riesgos debe mantenerse temporalmente, debe existir un owner, una fecha de caducidad y un control compensatorio. De lo contrario, la excepción se convierte en una decisión de confianza permanente que nadie vuelve a revisar activamente.

¿Cómo deben revisarse las app registrations en la práctica?

No revise las aplicaciones como un inventario plano. Agrúpelas por nivel de privilegio, blast radius y calidad del ownership. Pregunte qué apps tienen permisos amplios sobre el directorio, cuáles mantienen secrets sin control, cuáles ya no soportan un proceso de negocio real y cuáles dependen de consentimientos heredados que nadie quiere volver a tocar. La salida útil no es una tabla interminable, sino una lista corta de apps que exigen cambio inmediato y otra para confirmación por parte del owner.

¿Qué controles de invitados y externos se suelen pasar por alto?

Muchos equipos se centran en la configuración de invitación y olvidan el ciclo de vida completo del invitado. Las preguntas más difíciles son si los invitados antiguos siguen siendo necesarios, si la confianza cross-tenant refleja la realidad del negocio, si los invitados alcanzan grupos o apps sensibles y si las access reviews cierran cuentas de verdad. Un tenant puede parecer disciplinado en sus políticas y aun así arrastrar años de deriva en acceso externo.

¿Cuándo conviene auditar Entra ID junto con AD?

Si los workflows privilegiados cruzan fronteras entre on-prem y cloud, las revisiones deberían ir juntas. La sincronización híbrida, la gestión de aplicaciones, los sign-ins de administradores a servicios cloud y los procesos de recovery que dependen de roles cloud hacen arriesgado tratar Entra de forma aislada. Combinar la vista de Microsoft Entra ID security audit con la vista de Active Directory security audit suele ser la única forma de ver con claridad todo el plano de control de identidad.

☁️ AzureIdentityConditional AccessPrivileged Access
EtcSec

© 2026 EtcSec. All rights reserved.

78, Avenue des Champs-Élysées, Bureau 326, 75008 Paris

Auditar la seguridad de Microsoft Entra ID | EtcSec — EtcSec Blog | EtcSec