La seguridad digital ha dejado de ser una opción para convertirse en una exigencia operativa. Microsoft ha anunciado que, a partir de ayer, 15 de septiembre de 2025, será obligatorio activar la autenticación multifactor (MFA) en todos los accesos administrativos de Microsoft 365 y Azure. Esta medida afectará a herramientas como PowerShell, CLI, API REST, apps móviles y el propio centro de administración de M365.
Aunque la noticia ha generado cierta urgencia en el mercado, los expertos coinciden en que este cambio no debe abordarse como una simple actualización técnica. Es el momento perfecto para revisar en profundidad la configuración del entorno Microsoft 365 y reforzar la seguridad desde dentro.
Auditar M365: una inversión en seguridad, eficiencia y cumplimiento
La activación del MFA puede ser el punto de partida para una auditoría funcional y de seguridad que permita detectar vulnerabilidades, corregir permisos mal asignados, optimizar el uso de licencias y alinear la configuración del tenant con las mejores prácticas recomendadas por Microsoft y el CCN-STIC.
Consultoras como Makesoft Tecnhologies, Microsoft Solutions Partner en Modern Work, Azure Data & AI y Azure Digital & App Innovation, están liderando este tipo de revisiones en entornos SMB, donde la visibilidad sobre la configuración del tenant suele ser limitada y los riesgos operativos más sensibles.
“Muchas pymes no tienen claro quién tiene acceso a qué, ni cómo están configuradas sus políticas de seguridad. Auditar ahora permite anticiparse a problemas que pueden comprometer la operativa diaria.”
— Miguel Ángel Domínguez, CTO de Makesoft
¿Qué se revisa en una auditoría M365?
Sin entrar en detalles técnicos que forman parte del enfoque propio de cada consultora, el objetivo de la auditoría es identificar oportunidades de mejora en la configuración, seguridad y cumplimiento del entorno Microsoft 365. En el caso de Makesoft, el proceso se estructura en torno a tres grandes bloques:
Seguridad general del tenant
Incluyendo el estado de activación del MFA, la distribución de roles administrativos, la configuración de reenvíos externos, el nivel de compartición en SharePoint y OneDrive, y la protección avanzada de correos electrónicos mediante Defender para Office 365.
Inventario de usuarios y buzones
Con un análisis detallado de cada usuario (roles, licencias, MFA, tamaño de buzón, delegaciones de acceso) que permite detectar inconsistencias y oportunidades de optimización.
Alertas de seguridad recientes
Revisando los incidentes detectados por Microsoft 365 Defender, su severidad, estado y entidad afectada, junto con recomendaciones de acción para cada caso.
“La auditoría no solo permite detectar configuraciones inseguras, sino también entender cómo se está utilizando realmente el entorno. Esto ayuda a tomar decisiones más informadas sobre licencias, accesos y evolución del tenant.”
— Equipo técnico de Makesoft
Siguiente paso: ¿tiene sentido migrar a Microsoft 365 Business Premium?
Durante la auditoría también se valorará si el licenciamiento actual soporta las medidas recomendadas o si conviene migrar parcial o totalmente a Microsoft 365 Business Premium (hasta 300 usuarios), que reúne seguridad de nivel empresarial, administración unificada de dispositivos y apps y protección de la información en un único plan.
Puedes profundizar en beneficios y escenarios en este webinar de CloudMasters.
Un contexto que exige acción informada
Según Microsoft, el MFA bloquea más del 99,2% de los ataques de compromiso de cuentas. Sin embargo, su activación no es automática ni universal. Requiere planificación, configuración y validación. Y en muchos casos, implica revisar también el modelo de licenciamiento, la gestión de identidades y la integración con otras herramientas.
En este contexto, auditar el entorno M365 no es solo una buena práctica: es una necesidad operativa y estratégica. Y hacerlo ahora, antes de que el cambio sea obligatorio, permite actuar con calma, criterio y visión de futuro.