Microsoft Entra Account Discovery cierra brechas de visibilidad de identidad

Introducción

El gobierno de identidad solo funciona cuando los administradores pueden ver quién ya tiene acceso. Microsoft aborda ese problema con Account Discovery en Microsoft Entra ID Governance, una nueva función en versión preliminar pública diseñada para mostrar cuentas existentes dentro de aplicaciones SaaS conectadas y apps on-premises.

Esto importa porque muchas aplicaciones se implementaron mucho antes de que se habilitaran los controles modernos de gobierno. Como resultado, las organizaciones suelen heredar accesos no administrados, cuentas huérfanas y asignaciones directas de aplicaciones que quedan fuera de Conditional Access, las revisiones de acceso y las políticas de ciclo de vida.

Qué hay de nuevo

Account Discovery se conecta a una aplicación de destino, recupera cuentas de usuario y propiedades, y las compara con identidades en Microsoft Entra mediante atributos de coincidencia configurables como:

• User principal name
• Dirección de correo electrónico

Luego comprueba si los usuarios coincidentes ya están asignados a la aplicación empresarial en Entra y genera un informe de descubrimiento con tres clasificaciones:

• Coincidentes y asignados: Los usuarios existen en Entra y ya están asignados a la app
• Coincidentes pero no asignados: Los usuarios existen en Entra, pero el acceso se concedió directamente en la aplicación
• Cuentas huérfanas o locales: No existe una identidad coincidente de Entra para la cuenta de la app

Esto ofrece a los equipos de TI una base rápida para entender qué cuentas ya están gobernadas y cuáles necesitan corrección.

Por qué importa para los administradores

Para los equipos de identidad y seguridad, el mayor beneficio es la visibilidad antes de aplicar políticas. Durante la incorporación de aplicaciones, los administradores pueden usar Account Discovery para encontrar usuarios que ya tienen acceso a través de procesos heredados, aprovisionamiento manual o registro directo.

El ejemplo de Microsoft usa Salesforce, donde el descubrimiento puede revelar:

• Empleados con identidades válidas pero sin asignación de app en Entra
• Cuentas locales o huérfanas que pueden requerir eliminación o investigación
• Cuentas de servicio y de prueba que requieren una revisión independiente

Una vez identificados, los administradores pueden mover a los usuarios legítimos a paquetes de acceso de Entitlement Management y aplicar aprobaciones, reglas de expiración y revisiones periódicas de acceso. También pueden investigar cuentas locales que podrían omitir MFA y Conditional Access.

Gobierno continuo y próximos pasos

Account Discovery no es solo para la incorporación inicial. Microsoft lo presenta como un punto de control continuo de gobierno para detectar desviaciones con el tiempo, como:

• Nuevas cuentas locales creadas fuera de los flujos de trabajo aprobados
• Casos de offboarding no detectados
• Cuentas temporales de contratistas o de prueba que siguen activas más tiempo del previsto

Qué deben hacer ahora los equipos de TI

• Revisar qué aplicaciones empresariales tienen acceso heredado o administrado manualmente
• Ejecutar Account Discovery durante la incorporación de nuevas apps gobernadas
• Usar los hallazgos para asignar usuarios a flujos de gobierno en Entra
• Investigar y corregir cuentas huérfanas, de servicio y locales
• Programar revisiones periódicas de descubrimiento para detectar desviaciones de acceso

Disponibilidad

Account Discovery está disponible en public preview para organizaciones con licencia de:

• Microsoft Entra ID Governance
• Microsoft Entra Suite
• Microsoft E7

La función está accesible a través del Microsoft Entra admin center y las Microsoft Graph APIs.