Volver al blog

Acceso condicional en Microsoft 365: bloquea accesos de riesgo sin molestar al equipo

Contenido del artículo

El acceso condicional en Microsoft 365 sirve exactamente para eso: bloquear los inicios de sesión de riesgo sin poner obstáculos al trabajo diario del equipo. En lugar de aplicar la misma regla a todos, evalúa cada intento de acceso y decide en función del contexto. Si un empleado entra desde el ordenador de la oficina de siempre, no le pide nada extra; si alguien intenta acceder desde un país inesperado, a una hora rara o desde un dispositivo desconocido, es entonces cuando pide un segundo factor o corta el acceso. Así reduces el riesgo de que una contraseña robada se convierta en una brecha, sin llenar de fricción a las personas que sí deben entrar.

Qué es el acceso condicional

El acceso condicional es la capa de decisión de Microsoft Entra ID (el servicio de identidad de Microsoft, antes Azure AD) que gobierna quién entra y bajo qué condiciones. Funciona con una lógica sencilla de tipo «si… entonces»: si se cumplen ciertas señales, entonces se aplica una acción. La contraseña correcta deja de ser suficiente por sí sola; pasa a ser una señal más dentro de una evaluación más completa.

Cada vez que alguien intenta abrir el correo, Teams, SharePoint o cualquier aplicación conectada a tu inquilino de Microsoft 365, el sistema mira el contexto de ese acceso y aplica la política que corresponda. Las acciones posibles van desde permitir sin fricción, hasta exigir autenticación multifactor (MFA), requerir un dispositivo gestionado o bloquear directamente. Es la diferencia entre una puerta con una simple cerradura y una puerta que además comprueba quién eres, desde dónde llegas y con qué llave.

Las señales: usuario, ubicación, dispositivo y riesgo

La potencia del acceso condicional está en las señales que combina para tomar cada decisión. Las más habituales son:

  • Usuario o grupo: puedes aplicar políticas distintas a dirección, administración o al personal de almacén. No todos los perfiles manejan la misma información ni corren el mismo riesgo.
  • Ubicación: mediante «ubicaciones con nombre» defines redes o países de confianza. Un inicio de sesión desde la oficina se trata distinto que uno desde el extranjero.
  • Dispositivo: puedes exigir que el equipo esté registrado o gestionado (por ejemplo, con Intune) y cumpla unos mínimos de seguridad antes de conceder acceso.
  • Aplicación: es posible ser más estricto con las aplicaciones sensibles y más flexible con las de uso general.
  • Riesgo del inicio de sesión o del usuario: Microsoft evalúa patrones sospechosos (viajes imposibles, direcciones asociadas a ataques, credenciales filtradas) y asigna un nivel de riesgo que la política puede tener en cuenta.

Al cruzar varias de estas señales consigues políticas que se ajustan a la realidad de tu empresa en vez de reglas rígidas que estorban. Es, en esencia, aplicar el principio de «confianza cero»: no dar nada por sentado y verificar en cada acceso.

La idea de fondo: el acceso condicional no busca poner más barreras a todo el mundo, sino poner la barrera adecuada solo cuando el contexto lo pide. El objetivo es que un acceso legítimo apenas note nada y que uno sospechoso se encuentre con un muro.

Ejemplos de políticas útiles

Sobre el papel puede sonar abstracto, así que veamos cómo se traduce en decisiones concretas que muchas pymes aplican desde el primer día:

  • MFA obligatoria fuera de la red de confianza: dentro de la oficina el acceso es directo; fuera, se exige el segundo factor. Protege sin molestar a quien trabaja en su puesto habitual.
  • Bloqueo de accesos desde fuera de España: si tu equipo solo opera desde España, puedes bloquear o pedir verificación adicional a los inicios de sesión de otros países, cerrando la puerta a buena parte de los ataques automatizados.
  • Exigir dispositivo gestionado para datos sensibles: el acceso a SharePoint o a la información financiera solo se concede desde equipos corporativos que cumplen tus políticas de seguridad.
  • MFA siempre para administradores: las cuentas con más privilegios son el objetivo preferido de los atacantes, así que reciben protección reforzada sin excepción.
  • Respuesta ante riesgo alto: si Microsoft detecta un inicio de sesión de riesgo elevado, la política puede forzar un cambio de contraseña o bloquear hasta comprobar que todo está en orden.

El acceso condicional es una pieza dentro de una estrategia más amplia de gestión de identidades y accesos. Combinado con MFA, contraseñas robustas y una buena higiene de cuentas, cierra una de las vías de entrada más aprovechadas hoy: el robo de credenciales.

Cómo evitar que moleste al equipo

El mayor miedo al activar estas políticas es el de siempre: que la seguridad acabe entorpeciendo el trabajo. La buena noticia es que se puede evitar con un despliegue cuidadoso. Estas son las claves:

  • Empieza en modo «solo informe»: Microsoft permite probar una política sin aplicarla, viendo a quién habría afectado. Así detectas efectos no deseados antes de que impacten a nadie.
  • Despliega por fases: primero un grupo piloto, luego el resto. Corriges sobre la marcha en vez de arriesgarte a un bloqueo generalizado.
  • Marca tus ubicaciones y dispositivos de confianza: cuanto mejor definido esté lo «normal», menos fricción sufrirá la gente que trabaja con normalidad.
  • Prevé una cuenta de emergencia: conviene reservar una cuenta de acceso de contingencia, bien protegida, para no quedarte fuera si una política se configura mal.

Hecho con orden, el resultado es el que promete el título: el equipo casi no percibe el cambio y, al mismo tiempo, los accesos de riesgo se topan con una barrera. Si además tienes bien planteada tu plataforma de Microsoft 365, estas políticas encajan de forma natural sobre lo que ya usas.

Requisitos de licencia

El acceso condicional no está incluido en todos los planes de Microsoft 365, y este es un punto donde conviene ser honesto para evitar sorpresas. A grandes rasgos:

  • Las políticas de acceso condicional requieren, como mínimo, Microsoft Entra ID P1, que viene incluido en planes como Microsoft 365 Business Premium y en los Enterprise E3 y E5.
  • Las políticas basadas en riesgo (riesgo del usuario o del inicio de sesión) necesitan Entra ID P2, disponible en E5 o como complemento.
  • Los planes más básicos incorporan opciones de seguridad más limitadas, como los «valores predeterminados de seguridad», que activan MFA de forma general pero sin la granularidad del acceso condicional.

Como las combinaciones de licencias y nombres cambian con cierta frecuencia, lo prudente es confirmar qué plan tiene tu organización antes de dar nada por hecho. En una revisión rápida se ve si ya dispones de lo necesario o si compensa ajustar el plan.

Por qué conviene implantarlo con ayuda

El acceso condicional es una herramienta muy potente, y esa potencia tiene su reverso: una política mal diseñada puede dejar fuera a media plantilla o, peor, abrir un hueco pensando que estaba cerrado. No es «activar una casilla», sino diseñar un conjunto de reglas coherente con cómo trabaja de verdad tu empresa, probarlo sin riesgo y mantenerlo al día conforme cambian los equipos, las sedes o las amenazas.

En 3L Systems, como partner de Microsoft con más de veinte años ayudando a empresas de la Comunidad Valenciana y de toda España, planteamos estas políticas dentro de una estrategia global de seguridad: identidades, dispositivos, copias y continuidad. Si quieres profundizar en cómo se protege el acceso a tus sistemas, te puede interesar nuestro artículo sobre cumplimiento y buenas prácticas en el entorno Microsoft, y sobre todo nuestra página de identidades y accesos, donde el acceso condicional es una de las piezas centrales.

Preguntas frecuentes

¿Qué es el acceso condicional en Microsoft 365?

Es un conjunto de políticas de Microsoft Entra ID (antes Azure AD) que evalúan cada intento de inicio de sesión y deciden si permitirlo, bloquearlo o exigir un requisito extra como el segundo factor. En lugar de dar por buena una contraseña correcta, valoran señales como el usuario, la ubicación, el dispositivo y el nivel de riesgo detectado antes de conceder el acceso.

¿El acceso condicional molesta a los empleados?

Bien configurado, apenas se nota. La idea es aplicar fricción solo cuando hay riesgo: si un empleado entra desde el equipo de la oficina de siempre, no le pide nada; si alguien intenta acceder desde otro país o desde un dispositivo desconocido, es cuando se activa el segundo factor o el bloqueo. Un despliegue por fases y en modo de solo informe antes de aplicar ayuda a evitar sorpresas.

¿Qué licencia necesito para usar acceso condicional?

Requiere licencias de Microsoft Entra ID P1 como mínimo, incluidas en planes como Microsoft 365 Business Premium o los Enterprise E3/E5. Las políticas basadas en riesgo necesitan Entra ID P2. Conviene confirmar el plan concreto de tu organización, porque las combinaciones cambian con el tiempo.

¿Es lo mismo el acceso condicional que la autenticación multifactor?

No, aunque trabajan juntos. La MFA es el segundo factor que confirma tu identidad. El acceso condicional es la capa que decide cuándo pedir ese segundo factor y cuándo no, según el contexto. Puedes tener MFA sin acceso condicional, pero es este último el que la aplica de forma inteligente y no en cada inicio de sesión.

¿Puedo bloquear el acceso desde fuera de España?

Sí. Con las ubicaciones con nombre puedes definir países o rangos de red de confianza y crear una política que bloquee o exija verificación adicional a los inicios de sesión desde el resto. Es una medida útil, pero no infalible: un atacante puede enmascarar su ubicación, así que conviene combinarla con otras señales y no depender solo de ella.

¿Quieres proteger el acceso
a tu Microsoft 365?

Revisamos cómo entra hoy tu equipo, qué licencias tienes y diseñamos políticas de acceso condicional a la medida de tu empresa: más seguridad, sin frenar el trabajo. Primera consultoría sin compromiso.

info@3lsystems.es · Edificio Algón, Burjassot (Valencia)