AZ-305

Deep Dive

D1 · Identidad, Gobernanza y Monitoreo

Autenticación y Autorización

El arquitecto AZ-305 diseña la capa de control de acceso: políticas de Conditional Access como motor central, MFA resistente a phishing, acceso privilegiado just-in-time con PIM, y gobernanza continua con access reviews. La pregunta del examen siempre es: ¿qué combinación de controles cumple los requisitos con la menor fricción y costo?

Icon-identity-233

Conditional Access como motor de diseño

Conditional Access (CA) es el motor de políticas Zero Trust de Entra ID: evalúa señales (usuario, ubicación, dispositivo, app, riesgo) y aplica controles (bloquear, exigir MFA, exigir dispositivo compliant). Requiere licencia Entra ID P1; las políticas basadas en riesgo requieren P2.

Señales (IF)

  • Usuario / grupo / rol de directorio
  • App cloud destino
  • Ubicación (named locations, IPs)
  • Plataforma y estado del dispositivo
  • Riesgo de usuario y de sign-in (P2)
  • Tipo de cliente (legacy auth)

Controles de acceso (THEN)

  • Bloquear acceso
  • Exigir MFA
  • Exigir authentication strength (phishing-resistant)
  • Exigir dispositivo compliant (Intune)
  • Exigir dispositivo hybrid-joined
  • Exigir cambio de contraseña (riesgo)

Controles de sesión

  • App enforced restrictions
  • Defender for Cloud Apps (proxy)
  • Sign-in frequency (re-auth periódica)
  • Persistent browser session
  • Continuous Access Evaluation (CAE)

Buenas prácticas de diseño (caen en el examen)

  • Bloquear legacy authentication — los protocolos legacy (POP, IMAP, SMTP básico) no soportan MFA; son el vector #1 de password spray
  • • Excluir siempre cuentas break-glass (emergencia) de todas las políticas CA
  • • Usar modo Report-only antes de aplicar una política nueva para medir impacto
  • • Dirigir políticas a grupos, nunca a usuarios individuales
  • • CA no aplica a flujos sin interacción de Entra ID (cuentas locales de VM, claves de storage) — eso se diseña con otros controles

Diseño de MFA y métodos passwordless

MétodoResistente a phishingNotas de diseño
FIDO2 / PasskeysEstándar oro. Hardware keys o passkeys en dispositivo. Para roles privilegiados y entornos regulados.
Windows Hello for BusinessBiometría/PIN ligado al dispositivo. Passwordless para fuerza laboral con Windows gestionado.
Certificate-based auth (CBA)Smartcards/certificados — organizaciones gubernamentales o que migran desde ADFS.
Microsoft Authenticator (push + number matching)ParcialBuen balance usabilidad/seguridad para la mayoría. Number matching mitiga MFA fatigue.
SMS / llamada de vozNoVulnerable a SIM swapping. Solo como fallback; eliminar para cuentas privilegiadas.

Authentication Strengths

En lugar de exigir "MFA genérico", una política CA puede exigir una authentication strength específica — ej: "phishing-resistant MFA" (solo FIDO2, WHfB, CBA) para administradores globales. Si el escenario pide "MFA resistente a phishing para roles privilegiados", la respuesta es CA + authentication strength, no MFA per-user.

PIM — acceso privilegiado just-in-time

Privileged Identity Management (PIM) elimina los privilegios permanentes: los usuarios son elegibles para un rol y lo activan solo cuando lo necesitan, por tiempo limitado, con justificación, MFA y aprobación opcional. Requiere Entra ID P2.

Qué cubre PIM

  • Roles de Entra ID (Global Admin, User Admin...)
  • Roles de Azure RBAC (Owner, Contributor en suscripciones/RGs)
  • Grupos (PIM for Groups — membresía JIT)
  • • Asignaciones eligible vs active, con fecha de expiración

Configuración por rol

  • • Duración máxima de activación (ej: 4 horas)
  • • Exigir MFA / authentication context en la activación
  • • Exigir justificación y/o número de ticket
  • • Exigir aprobación de un designado
  • • Notificaciones y alertas de uso
  • • Access reviews periódicas de las asignaciones

Señal en el examen

Frases como "just-in-time", "solo cuando lo necesiten", "reducir privilegios permanentes", "aprobación antes de elevar" → PIM. Si además pide revisar periódicamente quién conserva el acceso → PIM + Access Reviews.

Identity Protection — riesgo como señal

Sign-in risk (riesgo del inicio de sesión)

¿Este login específico parece legítimo?

  • Viaje imposible (impossible travel)
  • IP anónima / TOR
  • Propiedades de sign-in desconocidas
  • Respuesta típica: exigir MFA si riesgo medio/alto

User risk (riesgo del usuario)

¿Esta identidad está comprometida?

  • Credenciales filtradas (requiere PHS)
  • Actividad anómala acumulada
  • Inteligencia de amenazas de Microsoft
  • Respuesta típica: exigir cambio seguro de contraseña si riesgo alto

Diseño recomendado: en lugar de las políticas legacy de Identity Protection, crear políticas de Conditional Access basadas en riesgo (señal de user/sign-in risk como condición). Requiere P2. La detección de credenciales filtradas solo funciona con Password Hash Sync habilitado.

Icon-identity-235

Access Reviews y Entitlement Management

Access Reviews

Revisiones periódicas (ej: trimestrales) de quién conserva acceso a grupos, apps, roles de Entra y asignaciones PIM. El revisor (manager, dueño del recurso o el propio usuario) aprueba o revoca. Puede auto-remover a quien no responda.

Señal en examen: "revisar periódicamente el acceso de invitados B2B" → Access Reviews.

Entitlement Management

Access packages: paquetes de recursos (grupos + apps + sitios SharePoint) que los usuarios solicitan con flujo de aprobación, expiración automática y reviews integradas. Ideal para onboarding de proyectos y colaboración B2B gobernada.

Señal: "los usuarios deben poder solicitar acceso con aprobación y expiración" → access packages.

Tabla de decisión

RequisitoSoluciónLicencia
Exigir MFA solo desde fuera de la red corporativaConditional Access + named locationsP1
Bloquear POP/IMAP/SMTP básicoCA — bloquear legacy authenticationP1
MFA resistente a phishing para Global AdminsCA + authentication strength (FIDO2/WHfB/CBA)P1
Exigir MFA cuando el sign-in sea riesgosoCA basado en sign-in riskP2
Forzar reset seguro si hay credenciales filtradasCA basado en user risk (+ PHS)P2
Roles de administrador activados solo cuando se necesitenPIM (eligible + activación JIT)P2
Revisión trimestral del acceso de invitadosAccess ReviewsP2
Solicitud de acceso self-service con aprobación y expiraciónEntitlement Management (access packages)P2

¿Entendiste este tema?

Pon a prueba lo que acabas de aprender

Una empresa exige que sus administradores globales: (1) no tengan el rol asignado de forma permanente, (2) requieran aprobación de un responsable antes de usarlo, y (3) usen MFA resistente a phishing al activarlo. ¿Qué combinación de servicios diseñas?

Inicia sesión para llevar tu progreso.