English
Português
Guía Definitiva 2025: Protege Identidades, Correo y Dispositivos en Microsoft 365 & Azure
La nube ha desdibujado los antiguos muros del perímetro. Hoy el ataque comienza con un mensaje de phishing, una contraseña filtrada o un portátil sin parchear. Microsoft reúne Entra ID, Defender e Intune para implantar Zero Trust de forma nativa. Esta guía —actualizada a abril 2025— explica qué hacer, por qué funciona y enlaza a la documentación oficial de cada paso.
Índice
- Zero Trust: fundamentos y beneficios
- Identidades: MFA, Passwordless y Acceso Basado en Riesgo
- Correo: Defender for Office 365, DMARC y ataques BEC / QR
- Dispositivos: Intune Suite, EPM y Hotpatch
- Gobierno y Cumplimiento: Purview, Secure Score y auditoría
- Comparativa de Licencias y Add-ons
- Checklist 90 días → Secure Score ≥ 75 %
- FAQ
- Conclusión
1. Zero Trust — Por qué ya no sirve el cortafuegos perimetral
Idea clave: nada ni nadie se da por confiable hasta que lo demuestra. Cada petición se reevalúa en tiempo real, reduciendo la superficie de ataque.
| Pilar | Producto Microsoft | Controles técnicos | Beneficio tangible |
|---|---|---|---|
| Identidad | Entra ID Protection + Conditional Access | MFA, User / Sign-in Risk, PIM | Bloqueo de credenciales robadas al instante |
| Correo y datos | Defender for Office 365 + Purview | Safe Links, BEC LLM, DLP unificado | Previene malware y fuga de datos sensibles |
| Dispositivos | Intune Suite + Defender for Endpoint | EPM, ASR, Hotpatch | Menos privilegios locales y parches sin reinicio |
Por qué funciona: cada acceso combina quién eres, con qué dispositivo llegas y cuánto riesgo aportas; si algo es sospechoso, la plataforma corrige (MFA, bloqueo, aislamiento).
2. Identidades — Cierra la puerta al “password spray”
2.1 MFA y Passwordless: la base
- Activa Security Defaults o una política de Conditional Access «MFA for all».
- Despliega Authenticator Lite en Outlook móvil: adopción sin fricción.
- Impulsa Passkeys y FIDO2 para roles críticos.
2.2 Conditional Access basado en riesgo
Entra ID Protection puntúa usuarios e inicios. Políticas típicas:
• User Risk ≥ Medium → Restablecer contraseña seguro • Sign-in Risk ≥ Medium → MFA o bloqueo
Guía oficial: Configurar políticas de riesgo
2.3 PIM: privilegios just-in-time
- Convierte Global Admins permanentes en elegibles.
- Exige MFA, motivo y ticket.
- Automatiza Access Reviews trimestrales.
3. Correo — Defender for O365, DMARC, BEC y QR-Phishing
3.1 Defender for Office 365 Plan 2
- Safe Links / Safe Attachments analizan cada clic. Documentación
- BEC AI (modelo de lenguaje) detecta intención fraudulenta.
- Protección QR analiza la URL de códigos QR incrustados.
3.2 Autenticación de correo
SPF + DKIM + DMARC reducen el spoofing casi al 100 %. Exchange Online ya aplica políticas p=reject.
Guía: Configurar DMARC
3.3 Simulaciones de ataque
Entrena a los usuarios con campañas de phishing realistas, incluidas plantillas con QR.
4. Dispositivos — Intune Suite, EPM y Hotpatch
4.1 Endpoint Privilege Management (EPM)
Da permisos solo cuando y solo los que se necesitan. Novedades 2025: reglas por Publisher + Hash y soporte Windows on Arm.
4.2 Hotpatching: parches sin reiniciar
Windows 11 Enterprise 24H2 aplica actualizaciones críticas sin downtime. Documentación: Hotpatch updates
4.3 Defender for Endpoint + Copilot
ASR, aislamiento de red y remediación guiada por IA. Copilot explica incidentes y sugiere correcciones.
5. Gobierno, Cumplimiento y Protección de Datos
| Funcionalidad | Producto | Valor |
|---|---|---|
| Etiquetas de Sensibilidad | Purview IP | Cifrado y marca persistente |
| DLP unificado | Purview DLP | Bloqueo de datos PCI / PII |
| Insider Risk | Purview IRM | UEBA y alertas de exfiltración |
| Secure Score | Defender Portal | Métrica y plan de mejoras continuo |
6. Comparativa de Licencias y Add-ons
| Función de Seguridad | Business Premium | E1 | E3 | E5 | Add-ons habituales |
|---|---|---|---|---|---|
| Conditional Access (básico) | ✔ | ✔ | ✔ | ✔ | — |
| ID Protection (políticas riesgo) | — | — | ➕ | ✔ | Entra ID P2 |
| PIM & Access Reviews | — | — | ➕ | ✔ | Entra ID P2 |
| Defender for Office 365 P2 | ➕ | ➕ | ➕ | ✔ | Plan 2 |
| Defender for Endpoint P2 | — | — | ➕ | ✔ | MDE P2 |
| Intune Suite + EPM | ➕ | — | ➕ | ➕ | Intune Suite |
| Purview DLP & IRM | ➕ | — | ➕ | ✔ | Purview Add-ons |
| Copilot for Security | ➕ | ➕ | ➕ | ➕ | Licencia aparte |
Símbolos: ✔ = incluido · — = no disponible · ➕ = complemento de pago.
7. Checklist 90 días → Secure Score ≥ 75 %
- Días 1-7: MFA obligatorio; bloquea IMAP / POP / SMTP Auth.
- Días 8-21: Conditional Access con riesgo medio; bloquea ubicaciones anómalas.
- Días 22-45: Implementa SPF + DKIM + DMARC (p=quarantine).
- Días 46-60: Piloto EPM y Hotpatch en el equipo de TI.
- Días 61-75: Activa preset “Strict” en Defender for Office 365.
- Días 76-90: Etiquetas Purview y DMARC
p=reject.
8. Preguntas Frecuentes
¿Necesito Entra ID P2 para usar Conditional Access?
No para reglas básicas; sí para políticas de riesgo dinámico y PIM.
¿Hotpatch funciona en servidores on-prem?
En preview mediante Azure Arc; producción actualmente solo vía Azure Autopatch.
¿Qué añade el Plan 2 de Defender for Office 365?
Threat Explorer, simulación de ataques, auto-remediación y búsqueda avanzada de amenazas.
9. Conclusión
Blindar identidades, correo y dispositivos con las novedades 2024-2025 (risk-based Conditional Access, BEC LLM, EPM y Hotpatch) reduce el riesgo sin sacrificar la experiencia del usuario. Sigue esta guía, revisa Secure Score semanalmente y cultiva una cultura de mejora continua.
¿Necesitas ayuda experta? El equipo de Cloud Fighters diseña e implanta estas arquitecturas extremo a extremo. Contáctanos.