Entra ID: roles privilegiados y Privileged Identity Management (PIM)

Un administrador global de Entra ID permanente es uno de los objetivos más valiosos para un atacante: comprometer esa cuenta abre la puerta a todo el tenant. Privileged Identity Management (PIM) existe para eliminar precisamente ese riesgo, convirtiendo los roles privilegiados de permanentes en temporales y activados bajo demanda —pero solo si se configura correctamente.

Por qué los roles privilegiados permanentes son un riesgo crítico

Cuando un usuario tiene asignado un rol privilegiado —administrador global, administrador de Exchange, administrador de seguridad— de forma permanente ("eligible" no, "active" siempre), ese privilegio está disponible las 24 horas, se use o no. Si esa cuenta se compromete mediante phishing, robo de token o reutilización de credenciales, el atacante hereda automáticamente el privilegio completo, sin ningún paso adicional que retrase o alerte del abuso. La superficie de ataque de un tenant es, en gran medida, el número de asignaciones de rol permanentes que tiene.

Cómo funciona el acceso just-in-time con PIM

PIM convierte las asignaciones de rol en "elegibles" en lugar de "activas": el usuario no tiene el privilegio por defecto, sino la posibilidad de activarlo temporalmente cuando lo necesita, por una ventana de tiempo limitada (por ejemplo, una o dos horas) y, opcionalmente, tras justificar el motivo, requerir aprobación de un segundo administrador o superar un paso adicional de MFA. Pasado ese tiempo, el privilegio se revoca automáticamente sin intervención manual. El resultado es que un atacante que compromete la cuenta se encuentra, la mayor parte del tiempo, con un usuario sin privilegios elevados activos.

Errores frecuentes al implementar PIM

Los fallos más comunes son: activar PIM pero dejar asignaciones "activas" permanentes en paralelo para "no complicar" el día a día de ciertos administradores, vaciando de sentido la protección; no exigir aprobación ni MFA adicional en la activación de roles críticos como administrador global; no revisar periódicamente quién tiene asignaciones "elegibles" (que, aunque no estén activas, siguen siendo una vía potencial de escalada si esa identidad se ve comprometida); y no configurar alertas cuando se activa un rol privilegiado fuera de horario habitual.

Revisiones de acceso y auditoría de roles privilegiados

PIM incluye revisiones de acceso (access reviews) periódicas que obligan a un responsable a confirmar explícitamente que cada asignación de rol sigue siendo necesaria, en lugar de asumir que lo es indefinidamente. Una auditoría de Entra ID debería verificar: el número total de administradores globales (el objetivo razonable son 2-4, nunca decenas), qué proporción de roles privilegiados usa PIM frente a asignación permanente, si las activaciones quedan registradas y alertadas, y si existen cuentas de emergencia ("break glass") correctamente aisladas y monitorizadas fuera del flujo normal de PIM.

FAQ

¿PIM está incluido en todas las licencias de Microsoft 365?

No. PIM requiere licencias Entra ID P2 (incluidas en Microsoft 365 E5 o como add-on). Es una inversión que se justifica fácilmente frente al coste de un compromiso de administrador global, pero conviene verificar la cobertura de licencias antes de planificar el despliegue.

¿Cuántos administradores globales debería tener mi organización?

Microsoft recomienda entre 2 y 4, nunca menos de 2 (para evitar bloqueo si uno pierde acceso) ni muchos más de 4. Cualquier cifra de dos dígitos es una señal de que los roles se han asignado por comodidad en lugar de por necesidad real, y debería revisarse.