Entra ID

Microsoft Entra Conditional Access: cambios en All resources

3 min de lectura

Resumen

Microsoft cambiará el comportamiento de Entra Conditional Access para que las directivas dirigidas a "All resources" se apliquen de forma consistente incluso si tienen exclusiones de recursos, cerrando una brecha que podía permitir inicios de sesión sin evaluar CA cuando la aplicación cliente solicitaba solo scopes OIDC o un conjunto limitado de scopes de directorio. Esto importa porque, a partir del 27 de marzo de 2026, algunos usuarios podrían empezar a recibir desafíos como MFA o cumplimiento del dispositivo en flujos que antes no los activaban, por lo que las organizaciones deben revisar sus políticas y preparar el impacto operativo.

¿Necesita ayuda con Entra ID?Hablar con un experto

Introducción: por qué esto importa

Conditional Access (CA) es un control fundamental para exigir MFA, cumplimiento del dispositivo y restricciones de sesión. Microsoft está reforzando la aplicación de CA como parte de su Secure Future Initiative para reducir escenarios en los que los inicios de sesión pueden eludir involuntariamente la evaluación de directivas, especialmente en aplicaciones cliente que solicitan solo un conjunto limitado de scopes.

Qué está cambiando

Hoy, puede producirse una brecha cuando una directiva de CA se dirige a “All resources” pero también incluye exclusiones de recursos. En casos específicos —cuando un usuario inicia sesión a través de una aplicación cliente que solicita solo scopes OIDC o un conjunto limitado de scopes de directorio— Microsoft indica que estas directivas de “All resources” pueden no aplicarse.

Con esta actualización:

  • Las directivas de CA orientadas a “All resources” se aplicarán incluso cuando existan exclusiones de recursos para estos inicios de sesión.
  • El objetivo es una aplicación coherente de CA independientemente del conjunto de scopes solicitado por la aplicación.
  • Es posible que los usuarios reciban ahora desafíos de CA (por ejemplo: MFA, cumplimiento del dispositivo u otros controles de acceso) durante flujos de inicio de sesión que antes no los activaban.

Cronograma de implementación

  • Inicio de la aplicación: 27 de marzo de 2026
  • Modelo de implementación: progresivo en todas las nubes
  • Ventana de finalización: durante varias semanas hasta junio de 2026

Quiénes se ven afectados

Solo se verán afectados los tenants con la siguiente configuración:

  • Al menos una directiva de Conditional Access orientada a All resources (All cloud apps)
  • La misma directiva tiene una o más exclusiones de recursos

Microsoft notificará a los tenants afectados mediante publicaciones en Microsoft 365 Message Center.

Impacto para administradores y usuarios finales

Impacto para administradores

  • Los resultados de inicio de sesión para ciertas aplicaciones cliente pueden cambiar, especialmente cuando las apps dependen de solicitar scopes mínimos.
  • Las directivas que también se dirigen explícitamente a Azure AD Graph (cuando aplique en su entorno/historial de directivas) pueden estar implicadas en los desafíos resultantes según los controles configurados.

Impacto para el usuario final

  • Los usuarios pueden ver nuevos avisos (MFA, requisitos de dispositivo compatible, etc.) al autenticarse con aplicaciones afectadas, donde antes el acceso podía continuar sin la aplicación de CA.

Acciones recomendadas / próximos pasos

  • La mayoría de las organizaciones: no se requiere ninguna acción.
    • La mayoría de las aplicaciones solicitan scopes más amplios y ya están sujetas a la aplicación de CA.
  • Si tiene aplicaciones personalizadas registradas en su tenant que intencionalmente solicitan solo los scopes limitados: revise y pruebe.
    • Valide que estas aplicaciones puedan gestionar correctamente los desafíos de Conditional Access.
    • Si no pueden, actualice la app usando la guía para desarrolladores de Conditional Access de Microsoft para que los flujos de autenticación (avisos interactivos, señales del dispositivo, etc.) se gestionen correctamente.
  • Preparación operativa:
    • Supervise las notificaciones de Message Center.
    • Use los sign-in logs y la solución de problemas de Conditional Access / audience reporting para identificar qué apps y directivas están activando nuevos desafíos durante la implementación.

Este cambio está diseñado para cerrar una brecha de defense-in-depth y hacer que las directivas de Conditional Access de “All resources” se comporten de forma más predecible, por lo que conviene validar proactivamente cualquier app personalizada de alcance mínimo antes de que la aplicación llegue a su tenant.

¿Necesita ayuda con Entra ID?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Swaroop Krishnamurthy
Entra IDConditional AccessMFAOAuth scopesidentity security

Artículos relacionados

Entra ID

Microsoft Entra Backup y Recovery en vista previa

Microsoft ha lanzado Microsoft Entra Backup and Recovery en vista previa pública, ofreciendo a las organizaciones una forma administrada por Microsoft de restaurar objetos y configuraciones críticas de identidad a un estado correcto conocido. El servicio ayuda a los equipos de TI a recuperarse más rápido de cambios administrativos accidentales, errores de aprovisionamiento y modificaciones maliciosas que, de otro modo, podrían afectar el acceso y la seguridad.

Entra ID

Microsoft Entra MFA externa ya está disponible GA

Microsoft ha anunciado la disponibilidad general de MFA externa en Microsoft Entra ID, lo que permite a las organizaciones integrar proveedores de MFA de terceros de confianza mediante OpenID Connect. La función permite a los equipos de TI mantener Microsoft Entra ID como plano de control central de identidad, mientras conservan Conditional Access, la evaluación de riesgos y la gestión unificada de métodos de autenticación.

Entra ID

Microsoft Entra en RSAC 2026: seguridad para IA

Microsoft presentó en RSAC 2026 nuevas capacidades de Entra para proteger identidades de agentes de IA, workloads y entornos multi-tenant con un enfoque Zero Trust y evaluación continua del riesgo. Las novedades incluyen controles de gobernanza y acceso condicional para AI agents, además de funciones en Entra Internet Access como detección de shadow AI y protección contra prompt injection, lo que ayuda a las organizaciones a reducir riesgos en el uso empresarial de la IA.

Entra ID

Microsoft Entra y la IA replantean el acceso empresarial

Un informe de Microsoft Entra revela que la expansión de la IA generativa y de los agentes autónomos está poniendo bajo presión los modelos tradicionales de identidad y acceso: el 97% de las organizaciones sufrió incidentes de identidad o red en el último año y el 70% los vinculó con actividad relacionada con IA. Esto importa porque la proliferación de identidades de máquina y la fragmentación de herramientas están llevando a las empresas a consolidar soluciones y a priorizar plataformas integradas para reforzar la seguridad y el control de accesos.

Entra ID

Microsoft Entra Access Fabric: seguridad AI e identidades

Microsoft ha presentado la serie Microsoft Entra Access Priorities, un programa de cuatro webinars que ayudará a los equipos de IT a implementar una estrategia de Access Fabric, unificando identidad, acceso y controles de seguridad para empleados, aplicaciones, dispositivos y agentes de IA. Esto importa porque refuerza un enfoque Zero Trust con autenticación resistente al phishing, acceso adaptativo y privilegio mínimo, ofreciendo guías prácticas para mejorar la gobernanza y proteger entornos cada vez más impulsados por IA.

Entra ID

Microsoft Entra Internet Access: Secure Web & AI Gateway

Microsoft ha puesto en vista previa pública un secure web and AI gateway dentro de Entra Internet Access para detectar uso de IA no autorizada y aplicar controles de acceso y riesgo directamente en la capa de red. Esto importa porque ayuda a las empresas a reducir fugas de datos, ataques de inyección de prompts y controles dispersos, integrando Entra, Conditional Access, Defender for Cloud Apps y Purview en un enfoque de seguridad de IA centrado en la identidad.