ABD Consultora Informática Sevilla
¿Hablamos?

Cómo identificar usuarios en riesgo en Microsoft 365 con Microsoft Entra ID

Imagen de Fernando Muñoz Moreno

Fernando Muñoz Moreno

La seguridad en Microsoft 365 es una de las principales preocupaciones de las empresas actuales. Ataques de fuerza bruta, credenciales comprometidas o fallos en la autenticación multifactor pueden pasar desapercibidos… hasta que es demasiado tarde.

Por suerte, Microsoft incorpora herramientas avanzadas que nos permiten anticiparnos a los incidentes. Una de las más útiles es la funcionalidad de usuarios en riesgo en Microsoft 365, integrada dentro de Microsoft Entra ID. En este artículo te explicamos, de forma clara y práctica, cómo funciona, qué información ofrece y cómo puedes usarla para detectar posibles ataques y reforzar la seguridad de tu organización.

¿Qué son los usuarios en riesgo en Microsoft Entra ID?

Los usuarios en riesgo son cuentas que Microsoft identifica como potencialmente comprometidas basándose en comportamientos anómalos de inicio de sesión.

Microsoft Entra ID (antes Azure Active Directory) analiza millones de señales diarias mediante inteligencia artificial y clasifica a los usuarios según su nivel de riesgo.

¿Por qué es importante revisar estos usuarios?

Porque te permite:

  • Detectar intentos de ataque antes de que tengan éxito
  • Identificar errores de configuración en MFA o tokens
  • Reducir el impacto de credenciales comprometidas
  • Actuar de forma preventiva y no reactiva

En otras palabras, es una herramienta clave dentro de cualquier estrategia de ciberseguridad en Microsoft 365.

Principales causas de riesgo en Microsoft 365

usuarios en riesgo en Microsoft 365

Microsoft puede marcar a un usuario como “en riesgo” por distintos motivos. Los más habituales son:

Intentos de inicio de sesión sospechosos

Por ejemplo:

  • Accesos desde ubicaciones inusuales
  • Múltiples intentos fallidos de autenticación
  • Inicios de sesión automatizados (posibles bots)

Problemas con tokens de autenticación

  • Tokens caducados
  • Tokens reutilizados de forma incorrecta
  • Sesiones que no siguen el patrón habitual del usuario

Fallos en la autenticación multifactor (MFA)

  • MFA mal configurado
  • Métodos de verificación no válidos
  • Rechazos repetidos del segundo factor

Importante: no todos los riesgos implican un ataque real. Puede haber falsos positivos, pero siempre conviene investigarlos.

Cómo acceder a la vista de usuarios en riesgo en Microsoft 365

Para analizar esta información, debes acceder al Centro de administración de Microsoft Entra ID:

  1. Entra en el Centro de administración de Microsoft 365
  2. Accede a Identidad (Microsoft Entra ID)
  3. Ve a Protección > Usuarios en riesgo

Aquí verás un listado de usuarios que han sido clasificados recientemente con algún nivel de riesgo.

Niveles de riesgo: bajo, medio y alto

usuarios en riesgo en Microsoft 365

Microsoft clasifica a los usuarios en función de la gravedad del comportamiento detectado:

Bajo riesgo

  • Actividades poco habituales
  • Posibles errores del usuario
  • Normalmente asociados a falsos positivos

Medio riesgo

  • Patrones de inicio de sesión anómalos
  • Fallos reiterados de autenticación
  • Recomendable revisar cuanto antes

Alto riesgo

  • Alta probabilidad de compromiso
  • Posible ataque activo o credenciales filtradas
  • Requiere actuación inmediata

Analizar los inicios de sesión en riesgo paso a paso

Además de los usuarios, Microsoft Entra ID permite analizar los inicios de sesión en riesgo.

¿Qué información puedes ver?

  • Fecha y hora del intento
  • Ubicación de origen
  • Tipo de riesgo detectado
  • Resultado del inicio de sesión

Filtrando por rango de fechas, puedes identificar si:

  • Se trata de un ataque en curso
  • Es un intento fallido aislado
  • Es un problema recurrente de configuración

Este análisis es clave para decidir si debes bloquear una cuenta, forzar un cambio de contraseña o ajustar las políticas de seguridad.

Buenas prácticas para reducir usuarios en riesgo

usuarios en riesgo en Microsoft 365

Algunos consejos prácticos que recomendamos desde ABD:

  • Activar MFA obligatorio para todos los usuarios.
  • Revisar periódicamente los usuarios e inicios de sesión en riesgo.
  • Aplicar políticas de acceso condicional.
  • Formar a los usuarios en seguridad y phishing.
  • Contar con un partner especializado en Microsoft 365.

Según Microsoft, las organizaciones con MFA bien configurado reducen hasta en un 99 % el riesgo de compromiso de cuentas.

La prevención empieza por la visibilidad

La funcionalidad de usuarios en riesgo en Microsoft 365 no solo sirve para reaccionar ante incidentes, sino para anticiparse a ellos. Tener visibilidad sobre comportamientos sospechosos te permite tomar decisiones informadas y proteger mejor tu entorno digital.

Si no revisas esta información de forma habitual, estás perdiendo una de las herramientas de seguridad más potentes que ya incluye Microsoft 365.

ABD, tu Microsoft Gold Partner

ABD

¿Quieres saber si tu organización tiene usuarios en riesgo o si tu configuración de seguridad es la adecuada?

Contacta con ABD Consultoría y te ayudamos a analizar, proteger y optimizar tu entorno Microsoft 365 con las mejores prácticas de seguridad.

Tabla de contenidos

Síguenos en Linkedin
Suscribete a la Newsletter




    Etiquetas
    Imagen de Fernando Muñoz Moreno

    Fernando Muñoz Moreno

    Como Director de Sistemas en ABD Consultoría y Soluciones Informáticas, mi misión es brindar soluciones tecnológicas avanzadas y seguras para nuestros clientes. Con más de dos décadas de experiencia en ciberseguridad y certificaciones como Cybersecurity Architect Expert de Microsoft y Microsoft 365 Certified: Security Administrator Associate, estoy comprometido a garantizar la protección de los datos empresariales.
    Todas las entradas