Guest access en M365: dar acceso seguro a clientes y socios

Compartir canales de Teams con un socio, un sitio de SharePoint para un proyecto de cliente. Eso es el guest access. Aquí te explicamos cómo gestionarlo para que no acabes con 200 invitados al cabo de un año.

Guest access = alguien fuera de tu tenant (una cuenta de Gmail, otro tenant corporativo) que tiene acceso a recursos específicos. Es muy útil, pero puede convertirse en un agujero de seguridad si no lo gestionas.

¿Cómo funciona?

Invitas un correo externo a un equipo de Teams, un sitio de SharePoint o un recurso compartido. M365 crea un usuario invitado en tu tenant. Ese invitado solo puede acceder a lo que tú compartes, nada más.

Disciplina de gestión

• Lleva un inventario. Portal.office.com → Usuarios → Usuarios invitados. Comprueba quién está, desde cuándo y cuándo fue su último acceso.
• Revísalo cada trimestre — junto con tu revisión de accesos habitual.
• Establece una fecha de caducidad de antemano — mediante la función de revisión de accesos de Entra Premium P2, o de forma manual al finalizar el proyecto.
• Nunca asignes el rol de Administrador global a un invitado. Nunca.

Configuración a nivel de tenant

• ¿Quién puede enviar invitaciones? ¿Solo administradores o todos los usuarios? En muchas pymes: permitir a todos los usuarios + revisión trimestral de invitados.
• ¿A qué invitados se puede convocar? Bloquea los dominios problemáticos.
• ¿Deben los invitados usar MFA? Sí.

Al finalizar un proyecto con un cliente

Elimina el usuario invitado en lugar de simplemente "sacarlo del equipo". De lo contrario, seguirá apareciendo en tu lista de usuarios como una posible puerta trasera.

Ver también: Invitados externos en Teams, acceso para terceros y consultores.