En 2023, Microsoft hizo un cambio que tomó por sorpresa a muchos administradores de TI: Azure Active Directory (Azure AD) pasó a llamarse Microsoft Entra ID. No fue solo un cambio de nombre. Fue parte de una reorganización mayor de toda la familia de productos de identidad de Microsoft bajo la marca "Entra", pensada para reflejar que la gestión de identidades ya no se limita a usuarios y grupos dentro de Azure, sino que abarca identidades humanas, de dispositivos, de aplicaciones y de cargas de trabajo en cualquier nube.
Si llegaste hasta aquí buscando "Azure AD", estás en el lugar correcto. El producto sigue siendo el mismo, con las mismas funciones, los mismos planes y la misma integración con Microsoft 365 y Azure. Solo cambió el nombre. En este artículo te explicamos qué es Microsoft Entra ID, cómo funciona, en qué se diferencia del Active Directory tradicional, cómo se integra con el resto del ecosistema Microsoft y por qué se ha vuelto una pieza central en cualquier estrategia de ciberseguridad empresarial.
- 01 ¿Qué es Microsoft Entra ID? (antes Azure AD)
- 02 Microsoft Entra ID vs Active Directory on-premises
- 03 ¿Cómo funciona Microsoft Entra ID?
- 04 Integración con Microsoft 365 y servicios Azure
- 05 Seguridad de identidades y monitoreo con SOC
- 06 Microsoft Entra ID y cumplimiento normativo en LATAM
- 07 ¿Cuánto cuesta Microsoft Entra ID? Planes y licencias
- 08 Preguntas frecuentes sobre Microsoft Entra ID
¿Qué es Microsoft Entra ID? (antes Azure AD)
Microsoft Entra ID es el servicio de gestión de identidades y accesos en la nube de Microsoft. En términos simples, es el sistema que decide quién puede entrar a qué recurso dentro de tu organización: a una aplicación de Microsoft 365, a una máquina virtual en Azure, a una herramienta SaaS como Salesforce o HubSpot, o a cualquier aplicación que tu empresa haya conectado.
El cambio de nombre se anunció en julio de 2023. Microsoft mantuvo el producto exactamente igual, conservó todos los planes existentes y dejó "Azure AD" como nombre alterno reconocible, pero alineó la marca con su nueva familia Entra, que incluye también productos como Entra Permissions Management y Entra Verified ID. La idea detrás del rebranding (cambio de marca) fue dejar de asociar la gestión de identidades exclusivamente con Azure, porque hoy la mayoría de las empresas operan en entornos multi-nube e híbridos.
En la práctica, si ya usas Azure AD, ya estás usando Microsoft Entra ID. No hay nada que migrar, ningún cambio técnico que ejecutar, y los administradores siguen accediendo desde el mismo portal (que ahora se llama Microsoft Entra admin center, en entra.microsoft.com). El portal de Azure sigue funcionando también.
Microsoft Entra ID vs Active Directory on-premises
Una de las confusiones más comunes es pensar que Microsoft Entra ID es simplemente la versión en la nube de Active Directory. No es exacto. Aunque ambos gestionan identidades, fueron diseñados para problemas diferentes y usan tecnologías distintas.
Active Directory on-premises (AD DS) se creó hace más de 20 años para administrar usuarios, equipos y servidores dentro de una red corporativa. Funciona con protocolos como Kerberos, NTLM y LDAP, y depende de controladores de dominio físicos o virtuales instalados en la infraestructura de la empresa. Para que funcione, necesitas mantener servidores, parchearlos, respaldarlos y asegurar su disponibilidad.
Microsoft Entra ID fue diseñado desde cero para la nube y para aplicaciones modernas. Usa protocolos web como OAuth 2.0, OpenID Connect y SAML 2.0, no requiere infraestructura local y se entrega como servicio. No hay servidores que mantener; Microsoft se encarga de la disponibilidad, la escalabilidad y la seguridad de la plataforma.
Estas son las diferencias clave en términos prácticos:
- Infraestructura: AD on-premises requiere controladores de dominio físicos o virtuales; Entra ID se entrega como servicio en la nube.
- Protocolos: AD usa Kerberos, NTLM y LDAP; Entra ID usa OAuth 2.0, OpenID Connect y SAML 2.0.
- Casos de uso: AD está pensado para redes internas con servidores y equipos unidos al dominio; Entra ID está pensado para aplicaciones SaaS, móviles y web.
- Mantenimiento: AD requiere parches, respaldos y monitoreo continuo del equipo de TI; Entra ID lo gestiona Microsoft.
- Escalabilidad: AD escala según la capacidad del hardware disponible; Entra ID escala automáticamente sin intervención.
La mayoría de las empresas no eligen entre uno u otro: usan ambos. Conectan su Active Directory on-premises con Microsoft Entra ID mediante una herramienta llamada Entra Connect (antes Azure AD Connect), lo que permite sincronizar usuarios y contraseñas y ofrecer una experiencia unificada al usuario final. Esto se conoce como identidad híbrida.
¿Cómo funciona Microsoft Entra ID?
Entra ID funciona como el "portero" de todas las aplicaciones y recursos que tu organización utiliza en la nube. Cuando un usuario intenta acceder a algo (un correo de Outlook, un documento en SharePoint, una aplicación interna), la solicitud no llega directamente a la aplicación: pasa primero por Entra ID, que verifica quién es el usuario, desde dónde se conecta, con qué dispositivo y si tiene permisos para entrar. Solo si todo eso es válido, concede el acceso.
Esa lógica se apoya en tres mecanismos principales: inicio de sesión único, autenticación multifactor y acceso condicional.
Single Sign-On (SSO o inicio de sesión único)
El SSO permite que un usuario se autentique una sola vez y obtenga acceso a múltiples aplicaciones sin volver a escribir su contraseña. Para el usuario, significa entrar una vez por la mañana y trabajar todo el día sin interrupciones. Para la empresa, significa reducir el número de contraseñas que el usuario tiene que recordar (y por lo tanto reducir el riesgo de contraseñas débiles o reutilizadas).
Entra ID ofrece SSO para miles de aplicaciones preconfiguradas en su galería (Salesforce, ServiceNow, Slack, Zoom, Workday, HubSpot, entre muchas otras) y permite conectar aplicaciones personalizadas mediante SAML o OpenID Connect.
Autenticación multifactor (MFA)
La autenticación multifactor (MFA) añade una segunda verificación además de la contraseña: un código en una app móvil, una notificación push, un token físico o datos biométricos. Es una de las defensas más efectivas contra el robo de credenciales, y Microsoft ha publicado datos que sugieren que MFA bloquea más del 99% de los ataques automatizados contra cuentas.
En Entra ID, MFA se puede activar de forma masiva, por grupo o solo bajo ciertas condiciones (por ejemplo, solo cuando el usuario intenta entrar desde una red desconocida).
Acceso condicional (Conditional Access)
El acceso condicional es la pieza más potente de Entra ID. Permite definir reglas del tipo "si esto, entonces aquello" para cada solicitud de acceso. Algunos ejemplos típicos:
- Si el usuario se conecta desde fuera del país, exigir MFA.
- Si el dispositivo no está cifrado o no cumple las políticas corporativas, bloquear el acceso.
- Si el inicio de sesión presenta señales de riesgo (intentos fallidos previos, ubicación inusual, IP marcada), exigir cambio de contraseña.
- Si la aplicación es crítica (por ejemplo, contabilidad o nóminas), permitir el acceso únicamente desde dispositivos administrados por la empresa.
Estas políticas se evalúan en tiempo real para cada solicitud de inicio de sesión, lo que permite mantener un equilibrio razonable entre seguridad y experiencia del usuario.
Integración con Microsoft 365 y servicios Azure
Microsoft Entra ID es el directorio que está detrás de todo el ecosistema Microsoft. Cuando una empresa contrata Microsoft 365, automáticamente se le crea un tenant de Entra ID que aloja a todos sus usuarios. Cada vez que alguien entra a Outlook, Teams, SharePoint o OneDrive, está autenticándose contra Entra ID, aunque no lo note.
Lo mismo aplica para Azure. Cualquier suscripción de Azure Portal está asociada a un tenant de Entra ID, y los permisos para administrar recursos (crear máquinas virtuales, configurar bases de datos, gestionar redes) se asignan a usuarios o grupos definidos ahí. Esto es lo que permite, por ejemplo, dar acceso al equipo de desarrollo solo a los recursos de un entorno de pruebas, mientras que el equipo de producción tiene un nivel de acceso diferente.
Más allá de Microsoft 365 y Azure, Entra ID también se integra con Microsoft Intune (gestión de dispositivos), Microsoft Defender (protección contra amenazas) y herramientas de cumplimiento como Microsoft Purview. Esta integración nativa es lo que permite construir una estrategia de seguridad unificada sin tener que pegar piezas de distintos proveedores.
Para aplicaciones de terceros, Entra ID puede actuar como proveedor de identidad mediante SAML u OpenID Connect, lo que cubre prácticamente todo el catálogo SaaS empresarial moderno.
Seguridad de identidades y monitoreo con SOC
Hace una década, la mayor parte del esfuerzo de ciberseguridad se concentraba en proteger el perímetro de la red: firewalls, segmentación, control de acceso a la oficina. Hoy, con equipos remotos, aplicaciones en la nube y dispositivos personales conectándose desde cualquier lugar, ese perímetro ya no existe. La identidad se convirtió en la nueva frontera. Si un atacante obtiene credenciales válidas, puede entrar al ecosistema completo de una empresa sin disparar una sola alarma tradicional.
Los ataques más comunes contra identidades hoy incluyen phishing (engaño por correo para obtener contraseñas), password spraying (probar contraseñas comunes contra muchas cuentas), robo de tokens de sesión y compromiso de cuentas de administrador. Entra ID incluye protecciones nativas contra muchos de estos vectores (detección de inicios de sesión anómalos, bloqueo de IPs maliciosas, protección de identidad con riesgo calculado en tiempo real), pero la realidad operativa es que muchas empresas no tienen al equipo dedicado a monitorear esas alertas las 24 horas.
Ahí es donde entra el monitoreo continuo con un Centro de Operaciones de Seguridad (SOC). En TecnetSOC integramos los registros de Entra ID con nuestro SIEM para detectar señales de compromiso de identidades en tiempo real: inicios de sesión imposibles (la cuenta entra desde México y minutos después desde otro continente), patrones de fuerza bruta, escalamiento de privilegios sospechoso o accesos fuera de horario habitual. Cuando algo se sale del patrón, el equipo del SOC investiga, contiene y notifica antes de que el incidente escale.
Microsoft Entra ID y cumplimiento normativo en LATAM
El cumplimiento normativo es otra razón por la que Entra ID se ha convertido en una pieza central de la estrategia de TI. En México, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) exige que las empresas establezcan medidas técnicas razonables para proteger los datos personales que tratan. El control de accesos basado en identidad, con MFA y registros de auditoría, es uno de los controles más citados en cualquier ejercicio de gap assessment (diagnóstico de brechas) frente a esta ley.
Lo mismo aplica para marcos internacionales que muchas empresas mexicanas, colombianas y chilenas necesitan cumplir cuando trabajan con clientes globales: ISO 27001, SOC 2 y, en sectores específicos, regulaciones como HIPAA. Todos estos marcos exigen control de accesos, autenticación robusta y trazabilidad de quién entró a qué, cuándo y desde dónde. Entra ID cubre estos requisitos de forma nativa: cada inicio de sesión, cada cambio de permisos y cada acceso a recursos queda registrado y se puede exportar para auditoría.
Para empresas que están construyendo su Sistema de Gestión de Seguridad de la Información (SGSI) bajo ISO 27001, Entra ID resuelve buena parte de los controles del Anexo A relacionados con gestión de accesos sin necesidad de soluciones adicionales.
¿Cuánto cuesta Microsoft Entra ID? Planes y licencias
Microsoft Entra ID se ofrece en tres niveles principales, y la elección depende del tamaño de la organización y de las funciones de seguridad que necesite.
- Entra ID Free: está incluido sin costo en cualquier suscripción de Azure o Microsoft 365. Cubre lo básico: gestión de usuarios y grupos, SSO para hasta 10 aplicaciones por usuario, MFA básico mediante el portal de Microsoft. Es suficiente para empresas pequeñas que solo necesitan administrar accesos a las aplicaciones de Microsoft.
- Entra ID P1: añade acceso condicional, autoservicio de restablecimiento de contraseña con sincronización al AD on-premises, gestión avanzada de grupos y conexión ilimitada a aplicaciones SaaS. Es el plan más usado en mediana empresa y suele venir incluido en Microsoft 365 Business Premium y E3.
- Entra ID P2: incluye todo lo de P1 más Protección de Identidad (detección de riesgo basada en machine learning), gestión de identidades privilegiadas (Privileged Identity Management) y revisiones de acceso. Es lo que recomendamos para organizaciones con datos sensibles, equipos de cumplimiento formales o exposición regulatoria alta. Viene incluido en Microsoft 365 E5.
Los precios cambian con frecuencia y dependen del contrato y la región, por lo que conviene validar con un partner Microsoft antes de tomar la decisión de licenciamiento. En la mayoría de los casos, el costo de Entra ID ya está incluido en planes empresariales de Microsoft 365 que la empresa ya tiene, así que la pregunta real no suele ser "cuánto cuesta" sino "qué plan de M365 me conviene para activar las funciones de seguridad que necesito".
Cómo migrar de Azure AD a Microsoft Entra ID
La respuesta corta es que no hay migración técnica que hacer. El producto es el mismo, los datos son los mismos, los usuarios son los mismos. Microsoft simplemente cambió el nombre y rediseñó los portales de administración.
Lo que sí conviene actualizar es lo siguiente:
- Documentación interna: manuales, políticas de seguridad y procedimientos de onboarding (alta de usuarios) que mencionen "Azure AD" deberían actualizarse para reflejar "Microsoft Entra ID" o, al menos, aclarar que son el mismo producto.
- Capacitación del equipo de TI: el nuevo portal admin.entra.microsoft.com agrupa funciones que antes estaban dispersas en Azure Portal. Vale la pena que los administradores se familiaricen con la nueva interfaz.
- Scripts y automatizaciones: los módulos de PowerShell para Azure AD (AzureAD y MSOnline) están siendo reemplazados por Microsoft Graph PowerShell. Si tienes scripts en producción, planea la transición porque los módulos antiguos serán descontinuados.
- Integraciones con SIEM y herramientas de auditoría: verifica que los conectores que llevan registros de Entra ID a tu plataforma de monitoreo sigan funcionando con la nomenclatura actualizada.
Para todo lo demás, no se requiere acción. Las API siguen funcionando, las aplicaciones conectadas siguen autenticándose, los usuarios siguen accediendo con sus mismas credenciales.
Preguntas frecuentes sobre Microsoft Entra ID
¿Qué es Microsoft Entra ID?
Microsoft Entra ID es el servicio de gestión de identidades y accesos en la nube de Microsoft. Es el sistema que autentica a los usuarios y decide a qué aplicaciones y recursos pueden acceder dentro del ecosistema Microsoft 365, Azure y miles de aplicaciones de terceros.
¿Es lo mismo que Azure AD?
Sí. Microsoft Entra ID es el nuevo nombre de Azure Active Directory desde julio de 2023. El producto, las funciones y los planes son los mismos. Solo cambió la marca como parte de la reorganización de la familia de productos de identidad de Microsoft bajo el nombre Entra.
¿Cuánto cuesta Microsoft Entra ID?
Existen tres planes: Entra ID Free (incluido sin costo con Azure y Microsoft 365), Entra ID P1 (incluido en Microsoft 365 Business Premium y E3) y Entra ID P2 (incluido en Microsoft 365 E5). Los precios exactos dependen del contrato y la región, y conviene validarlos con un partner Microsoft.
¿Cómo migrar de Azure AD a Microsoft Entra ID?
No hay migración técnica. El producto es el mismo y los datos no cambian. Lo único recomendable es actualizar documentación interna, familiarizarse con el nuevo portal entra.microsoft.com y planear la transición de scripts antiguos de PowerShell al módulo Microsoft Graph.
Protege las identidades de tu empresa con TecnetOne
Microsoft Entra ID es una plataforma potente, pero su valor real depende de cómo se configure y monitoree. Una política de acceso condicional mal diseñada deja huecos. Un equipo sin tiempo para revisar alertas convierte una buena herramienta en un registro pasivo.
En TecnetOne ayudamos a empresas a sacar el máximo provecho de Entra ID: desde el diseño de políticas de identidad y la implementación de MFA, hasta el monitoreo continuo de accesos con nuestro SOC. Si quieres explorar cómo proteger tus identidades y cumplir con las exigencias regulatorias de tu sector, agenda una conversación con nuestro equipo.
