Conditional Access para pymes: ¿qué, cuándo y cómo?

Conditional Access es el «si esto, entonces aquello» de la seguridad en M365. Suena complejo, pero con 5 políticas cubres el 80 % de los riesgos. Aquí tienes el conjunto mínimo.

Conditional Access (CA) te permite crear políticas del tipo «exigir MFA cuando X». Suena cosa de grandes empresas, pero el conjunto mínimo es perfectamente manejable para una pyme.

5 políticas que necesitas tener

1. Bloquear la autenticación heredada. Los protocolos de correo antiguos no son compatibles con MFA. Si no los usas, bloquéalos por completo.
2. Exigir MFA a todos los usuarios. La política base imprescindible.
3. Exigir MFA para roles con privilegios. Con controles más estrictos (sin contraseñas de aplicación, sin «recordar dispositivo de confianza»).
4. Exigir dispositivo compatible para los portales de administración. Solo los portátiles gestionados por la empresa podrán acceder a admin.microsoft.com o al portal de Azure.
5. Bloquear inicios de sesión desde países de riesgo. Si tu empresa no tiene actividad en Asia, bloquea los accesos desde esa región. Coste mínimo, barrera máxima contra el credential-stuffing.

Requisitos de licencia

Conditional Access está incluido en Azure AD Premium P1 (o en Business Premium). Si solo tienes Business Basic, actualiza al menos las 2 o 3 licencias de cuentas con privilegios a P1.

Primero, el modo de prueba

Cada nueva política arranca en modo «solo informe». Durante una semana verás qué se habría bloqueado sin que nada falle realmente. Solo entonces la activas.

Cuenta de emergencia (break-glass)

Crea una cuenta a la que CA NO se aplique. Usa una contraseña aleatoria y segura, imprímela y guárdala en una caja fuerte. Si tu configuración de CA te deja sin acceso, esta cuenta será tu salvavidas.

Consulta también: Pilar M365, Desplegar MFA.