Sitio de interés

Optimiza tu Seguridad en M365 Sin Gastar de Más

Escrito por David Garcia | 27/08/2025 07:40:36 PM

Introducción:

Muchísimas empresas ya pagan Microsoft 365 (M365)… pero usan sólo Word, Excel y el correo. Mientras tanto, siguen teniendo contraseñas débiles, herramientas duplicadas y procesos manuales que cuestan tiempo y dinero. La buena noticia: no necesitas comprar nada extra para dar un salto grande en seguridad y orden. Con unas cuantas decisiones claras puedes activar verificación en dos pasos (MFA), reglas simples de acceso (Acceso Condicional) y ordenar tus licencias por grupos para que las altas y bajas de personal se hagan casi solas.

Este artículo está escrito en lenguaje común, sin tecnicismos. Vamos paso a paso, con ejemplos, guiones y listas para copiar/pegar.

1) ¿Por qué vale la pena?

  • Ya lo estás pagando. Tu plan de M365 trae cosas de seguridad y organización que muchas veces no están activadas.
  • Menos dolores de cabeza. Con MFA y reglas básicas de acceso, las cuentas robadas bajan muchísimo.
  • Menos gastos ocultos. Cuando ordenas tus licencias, quitas asientos que nadie usa y dejas de pagar herramientas que M365 ya incluye.

Altas y bajas sin drama. La gente entra y sale de la empresa; si lo automatizas, ahorras horas cada mes. Teams, OneDrive o SharePoint: la gente sigue usando silos.

Objetivo simple:

  1. Ordenar tus licencias en 3 perfiles;
  2. Activar MFA para todos;
  3. Poner 2–3 reglas básicas de Acceso Condicional;
  4. Automatizar altas, cambios y bajas con reglas muy sencillas.

 

 2) Lo que suele estar mal y quizás te pase

  • Tienes demasiados tipos de licencia “por herencia” (alguien las compró hace años y nadie revisó).
  • Hay cuentas inactivas que siguen consumiendo licencia.
  • Solo TI usa verificación en dos pasos; el resto no.
  • Compraste una app extra de almacenamiento/colaboración, pero tus usuarios podrían usar OneDrive, Teams y SharePoint, que ya están incluidos.

Meta: menos variaciones, más orden. Con eso, todo se vuelve más fácil de administrar.

 

3) Ordena tus licencias en 3 perfiles y deja que se asignen solas

Imagina tu empresa como tres tipos de usuario:

  1. Oficina: usa Office, correo, OneDrive/SharePoint, Teams.
  2. Campo/Frontline: correo y Teams desde el celular; quizá poco de Excel/Word.
  3. Back Office/TI: igual que Oficina, y además necesita algunas funciones extra (gestión, seguridad, etc.).

¿Qué hacer esta semana sin complicarte?

  1. Apunta en una hoja: cada persona a qué perfil pertenece (Oficina, Campo o Back Office).
  2. En M365 crea grupos por perfil (ej.: “Perfil_Oficina”).
  3. Asigna la licencia al grupo. Cuando alguien entre o cambie de área, heredará la licencia automáticamente.
  4. Las excepciones (alguien que necesita algo especial) deben tener fecha de caducidad (por ejemplo, 90 días) para que no se vuelvan permanentes por accidente.

¿Cómo explicarlo al equipo?

“Para reducir errores y gastos, vamos a usar 3 perfiles estándar. Las licencias se asignan por grupo (no a mano). Si alguien necesita algo especial, lo damos por tiempo limitado y lo revisamos cada mes.”

 

Señales de que vas bien:

  • El 80% de la empresa usa menos de 3 tipos de licencia.
  • Dejas de abrir tickets para “poner/quitar” licencias de uno en uno.

4) Activa seguridad base que ya trae tu plan: MFA + Acceso Condicional

¿Qué es MFA?

Es verificación en dos pasos: además de la contraseña, confirmas en tu celular (o con una llave de seguridad) que eres tú. Esto evita que alguien entre con tu contraseña si te la roban.

Cómo activarlo sin dramas:

  • Habilítalo para todos, no solo para TI.
  • Usa la app autenticadora (la de Microsoft funciona muy bien).
  • Déjalo como requisito cuando el inicio de sesión sea “raro” (desde otro país, desde un dispositivo personal, etc.).

¿Qué es Acceso Condicional?

Son reglas simples que dicen: “Si pasa X, pide Y”. Ejemplos:

  • Si estás fuera de la oficina → pide MFA.
  • Si te conectas desde un dispositivo no administrado → pide MFA o no dejes descargar archivos sensibles.
  • Bloquea métodos viejos de conexión (POP/IMAP/SMTP básico) que facilitan ataques.

Plantilla de reglas (para copiar y adaptar):

  1. Bloquear autenticación heredada (POP/IMAP/SMTP básico).
  2. Exigir MFA cuando el acceso sea:
    • Fuera de la ubicación confiable (oficina o VPN).
    • Desde un dispositivo personal.
  3. Sesiones: que el sistema pida volver a validar cada cierto tiempo en apps sensibles (correo web, por ejemplo).

Mensaje para los usuarios (cópielo tal cual):

“A partir del <fecha>, al iniciar sesión te pedirá una confirmación extra en tu celular. Toma 2–3 minutos configurarlo y mejora mucho la seguridad de tu cuenta. Si necesitas ayuda, escribe a <canal>.”

 

Señales de que vas bien:

  • Cada semana sube el porcentaje de gente con MFA activo.
  • Bajan los intentos de acceso desde apps viejas (porque las bloqueaste).

5) Haz que altas y bajas se hagan casi solas (JML)

Joiner–Mover–Leaver (JML) significa: alta, cambio y baja. La idea es que, con una sola acción en RR. HH. o una planilla, todo lo demás pase solo.

Plantilla de 5 pasos:

  1. Disparador: RR. HH. registra un alta o una baja (o alguien cambia de área).
  2. Datos: departamento, ubicación, cargo.
  3. Regla: si “Ventas” → ponlo en “Perfil Oficina” + grupo de “CRM”.
  4. Acción: asigna licencia por grupo, crea su Team/carpeta, exige MFA; en una baja, quita licencia y transfiere OneDrive/correo.
  5. Revisión: cada mañana, un reporte con altas/bajas y si algo falló.

Ejemplo realista (alta de Ana en Ventas):

  • RR. HH. agrega a Ana y marca “Departamento: Ventas”.
  • El sistema la mete al grupo “Perfil Oficina” y al grupo “CRM”.
  • Se le asigna la licencia correcta sola, se crea su OneDrive/Team y se le pide MFA.
  • En menos de una hora, Ana ya está trabajando sin que TI mueva un dedo.

Señales de que vas bien:

  • Las altas/bajas se resuelven en minutos.
  • No quedan “usuarios fantasmas” con licencia activa después de irse.

6) Tablero rápido de control (10 minutos cada viernes)

Rellena estas líneas con números reales. Lo importante es ver la tendencia:

Uso de licencias (28 días)

Licencias recuperadas (usuarios inactivos)

Usuarios con MFA activo

Reglas de Acceso Condicional activas (base)

Autenticación heredada bloqueada

Altas/bajas automáticas (sin intervención)

Excepciones abiertas (con fecha fin)

 

Objetivo de la semana

Aprendizaje de la semana

Ajuste para la próxima semana (Dueño/Fecha)

 

7) Plan de 90 días (con entregables para enseñar a Dirección)

Días 0–30: Poner orden y lo básico

  • Revisar quién usa qué licencia y recuperar las que sobran.
  • Crear los 3 perfiles y los grupos.
  • Activar MFA para todos y reglas básicas de Acceso Condicional.
  • Entregables: matriz de perfiles, lista de licencias recuperadas y ahorro estimado.

Días 31–60: Que la gente lo use de verdad

  • Migrar archivos a OneDrive/SharePoint por área (lo mínimo para arrancar).
  • Ajustar Teams por proyectos; formar “champions” (uno por área que ayuda a los demás).
  • Automatizar altas y bajas (aunque sea con una planilla y una regla sencilla).
  • Entregables: tablero de adopción (quién usa OneDrive/Teams), reporte de altas/bajas automáticas.

Días 61–90: Gobierno ligero (sin burocracia)

  • Reunión quincenal Compras+TI de 30 minutos para revisar números.
  • Cerrar excepciones vencidas y ajustar el contrato/licencias según el uso real.
  • Entregables: “política M365-first” (si M365 lo cubre, usamos M365), scorecard mensual.

8) Éxitos rápidos (para ver resultados esta semana)

  • Bloquea los métodos viejos de correo (POP/IMAP/SMTP básico).
  • Activa MFA para todos los usuarios.
  • Crea los 3 grupos por perfil y asigna la licencia al grupo (no uno por uno).
  • Recupera licencias de usuarios sin actividad en 28 días.
  • Crea 2 reglas de Acceso Condicional:
    1. Si no estás en la oficina, pide MFA.
    2. Si el dispositivo es personal, pide MFA y limita descargas sensibles.

9) Guiones cortos para alinear a todos

Dirección/Compras:

“Vamos a usar mejor lo que ya pagamos en M365. Con 3 perfiles y licencias por grupo, recuperamos asientos ociosos y activamos seguridad (MFA y reglas básicas) sin comprar nada extra. En 30 días les muestro ahorro y métricas.”

Usuarios:

“Desde <fecha> verás un paso extra al iniciar sesión (confirmación en el celular). Toma 2–3 minutos configurarlo y nos protege a todos.”

Proveedor/Partner:

“Queremos reporte mensual de uso por licencia, capacidad de subir/bajar 10% y ayuda para licenciamiento por grupos. Reduciremos SKUs a 3 perfiles.”

 

10) Preguntas frecuentes (respuestas simples)

  • ¿Necesito un plan más caro para MFA? En muchos planes ya puedes activar un buen nivel básico. Empieza por ahí y evalúa después.
  • ¿Con qué reemplazo mi app de almacenamiento/chat externa? Con OneDrive/SharePoint/Teams. Haz un piloto por área 2–4 semanas y mide uso real.
  • ¿Y si alguien necesita algo fuera del perfil? Dale una excepción con fecha fin y revísala mensual. Así evitas la “bola de nieve” de excepciones.

 

11) Mini-glosario (en palabras simples)

  • MFA: verificación en dos pasos para iniciar sesión (contraseña + confirmación en el celular).
  • Acceso Condicional: reglas del tipo “si pasa X, pide Y”.
  • Licenciamiento por grupos: en vez de asignar licencia usuario por usuario, la asignas a un grupo y la gente la hereda.
  • JML: alta, cambio y baja de personal.
  • Autenticación heredada: formas antiguas de conectarse al correo que son más fáciles de atacar (mejor bloquearlas).

 

12) Lista de verificación final (marca lo que ya lograste)

  • Definí 3 perfiles (Oficina, Campo, Back Office).
  • Creé grupos y asigné licencias por grupo.
  • Activé MFA para todos.
  • Bloqueé POP/IMAP/SMTP básico.
  • Puse 2 reglas de Acceso Condicional (fuera de oficina y dispositivo personal).
  • Empecé a automatizar altas/bajas con una regla sencilla.
  • Tengo un scorecard semanal de 10 minutos.
  • Recuperé licencias inactivas y tengo un ahorro estimado.

Cierre

No se trata de comprar más, sino de usar lo que ya pagas. Con tres movimientos —perfiles claros, licencias por grupos y MFA/Acceso Condicional— ganas seguridad, orden y ahorros, sin cambiar de plataforma ni contratar otro sistema. Empieza pequeño esta semana, mide el avance cada viernes y en 90 días tendrás una operación más segura y simple.

CTA: Si me dices qué plan de M365 tienes y cuántos usuarios son, te armo en una sola hoja: tus 3 perfiles, las 2–3 reglas de acceso, el texto para avisar al equipo y el scorecard de seguimiento. ¿Le entramos?

 

 
Ver post completo