Offboarding seguro en Microsoft 365: checklist al dar de baja empleados

Una cuenta de ex-empleado mal gestionada en Microsoft 365 sigue teniendo acceso a correo, archivos y aplicaciones federadas mucho después de que la persona se haya ido, si el proceso de baja se limita a desactivar el inicio de sesión. Este checklist cubre el offboarding seguro de un empleado en Microsoft 365, paso a paso.

Bloquea el inicio de sesión y revoca sesiones activas de inmediato

El primer paso es bloquear el inicio de sesión de la cuenta y revocar explícitamente todas las sesiones activas y los tokens de actualización (refresh tokens). Bloquear el inicio de sesión por sí solo no cierra las sesiones ya abiertas: un token válido puede seguir dando acceso durante horas si no se revoca de forma expresa. Este paso debe ejecutarse el mismo día de la baja, no en el siguiente ciclo de mantenimiento.

Revisa reglas de reenvío, delegaciones de buzón y apps OAuth

Antes de asumir que la cuenta está aislada, revisa si el usuario configuró reglas de reenvío automático en Exchange, si delegó acceso a su buzón a otra persona (delegación que puede sobrevivir a la baja) y qué aplicaciones OAuth de terceros tienen consentimiento sobre su cuenta. Cualquiera de los tres puede mantener un canal de acceso a la información de la cuenta incluso con el inicio de sesión bloqueado.

Transfiere el buzón, OneDrive y la propiedad de Teams

Convierte el buzón en compartido o transfiérelo a un responsable para no perder correo relevante para el negocio, y transfiere la propiedad de los archivos de OneDrive a un manager u otra ubicación con la herramienta de migración de Microsoft. Revisa también los equipos de Teams y canales de los que el usuario era único propietario: sin transferencia previa, esos equipos pueden quedar sin administrador tras la baja.

Revoca dispositivos, licencias y aplica retención

Desvincula o borra remotamente los dispositivos gestionados asociados a la cuenta (Intune), retira al usuario de todos los grupos de seguridad y distribución, aplica la política de retención que corresponda (con Purview si procede) y, por último, libera la licencia de Microsoft 365. Documenta cada paso: es la evidencia que necesitarás si surge una disputa o una investigación posterior.

FAQ

¿Basta con desactivar la cuenta en Entra ID el día de la baja?

No es suficiente por sí solo. Desactivar la cuenta bloquea nuevos inicios de sesión, pero no revoca sesiones y tokens ya activos, ni elimina reglas de reenvío, delegaciones o consentimientos de apps OAuth que puedan mantener acceso independiente a la contraseña o al estado de la cuenta.

¿Qué pasa si el empleado tenía Conditional Access con exclusión propia?

Hay que revisar y eliminar cualquier exclusión de Conditional Access asociada a la cuenta como parte del offboarding, porque una exclusión olvidada puede dejar a esa identidad sin las protecciones de MFA o de dispositivo gestionado que sí aplican al resto de la organización.