Como gestionar usuarios en una empresa con Active Directory y Entra ID

Para gestionar usuarios en una empresa, centraliza las identidades con Active Directory (on-premise) o Microsoft Entra ID (cloud). Esto permite crear cuentas con acceso inmediato a correo, ERP, carpetas compartidas e impresoras, aplicar MFA desde el primer dia y revocar todos los accesos al instante cuando un empleado causa baja. En entornos hibridos, Azure AD Connect sincroniza ambos directorios automaticamente.

Crear usuarios locales equipo por equipo es insostenible a partir de 5 empleados. Sin un directorio centralizado, cada baja implica recorrer todos los equipos revocando accesos manualmente, las contrasenas no tienen politica comun y no existe trazabilidad de quien accede a que recurso. Segun Microsoft, las organizaciones que centralizan la gestion de identidades reducen un 50% el tiempo de onboarding y un 80% los incidentes de acceso no autorizado (Microsoft Digital Defense Report, 2024). Para una PYME, esto se traduce en menos horas de administracion IT, menos riesgos de seguridad y cumplimiento efectivo del RGPD, que exige control documentado sobre quien accede a datos personales. En esta guia explicamos las tres opciones de gestion de usuarios que implementamos en IBERSYA, desde la mas basica hasta la mas avanzada.

Por que la gestion centralizada de identidades es critica

Sin un sistema centralizado, los problemas se acumulan rapidamente:

• Acumulacion de privilegios: los empleados que cambian de departamento conservan los accesos anteriores. En meses, acaban con permisos sobre recursos que no necesitan, violando el principio de minimo privilegio.
• Bajas sin revocar: cuando un empleado se va, si no hay un punto unico donde desactivar su cuenta, es habitual que conserve acceso al correo, al ERP o a carpetas compartidas durante semanas.
• Imposibilidad de auditar: el RGPD exige que puedas demostrar quien tiene acceso a datos personales y cuando se concedio o revoco ese acceso. Sin directorio centralizado, esta auditoria es practicamente imposible.
• Contrasenas debiles: sin politica centralizada, cada usuario elige su propia contrasena sin requisitos de complejidad ni caducidad.

El principio RBAC (Role-Based Access Control) resuelve estos problemas: defines roles (comercial, administracion, IT, direccion) y asignas permisos a los roles, no a las personas. Cuando un empleado entra, le asignas un rol y recibe automaticamente todos los accesos necesarios. Cuando se va, desactivas la cuenta y se revocan todos.

Opcion 1: usuario local en Windows (solo para microempresas)

Esta opcion es valida unicamente para empresas de 1-3 personas sin servidor ni Microsoft 365, como paso temporal antes de implementar un directorio.

1. Abre Configuracion > Cuentas > Familia y otros usuarios.
2. Haz clic en Agregar otra persona a este equipo.
3. Selecciona No tengo la informacion de inicio de sesion de esta persona y despues Agregar un usuario sin cuenta Microsoft.
4. Introduce nombre de usuario y contrasena. Usa una contrasena temporal que el usuario debera cambiar.
5. Selecciona el tipo de cuenta: Estandar para empleados (nunca Administrador salvo para el responsable IT).
6. Repite en cada equipo al que necesite acceder el usuario.

Las limitaciones son evidentes: no hay politica de contrasenas, no hay grupos de seguridad, no hay sincronizacion entre equipos y no hay registro de auditorias. En cuanto la empresa supere los 3 empleados o maneje datos personales de clientes, es imprescindible migrar a un directorio centralizado.

Opcion 2: Active Directory on-premise (oficinas con servidor local)

Active Directory Domain Services (AD DS) es el estandar para gestion de identidades en redes Windows. Requiere al menos un servidor con Windows Server que actue como controlador de dominio.

Estructura de Unidades Organizativas (OUs)

Antes de crear usuarios, planifica la estructura de OUs. Una organizacion tipica para una PYME seria:

• empresa.local (raiz del dominio)
  • Usuarios (OU principal)
    • Direccion
    • Administracion
    • Comercial
    • Produccion
    • IT
  • Equipos
    • Portatiles
    • Sobremesas
    • Servidores
  • Grupos de seguridad

Esta estructura permite aplicar politicas de grupo (GPO) diferentes por departamento y simplifica la asignacion de permisos.

Creacion de un usuario en Active Directory

1. Abre Usuarios y equipos de Active Directory (dsa.msc) en el controlador de dominio.
2. Navega a la OU del departamento correspondiente.
3. Clic derecho > Nuevo > Usuario.
4. Rellena: nombre, apellidos, nombre de inicio de sesion (formato: nombre.apellido@empresa.local).
5. Asigna una contrasena temporal y marca El usuario debe cambiar la contrasena en el siguiente inicio de sesion.
6. Anade al usuario a los grupos de seguridad correspondientes:
   • Grupo del departamento (para acceso a carpetas compartidas).
   • Grupo de impresoras (para mapeo automatico de impresoras por GPO).
   • Grupo de aplicaciones (para acceso al ERP, bases de datos, etc.).
7. En la pestana Perfil, configura:
   • Ruta de perfil si usas perfiles moviles.
   • Script de inicio de sesion si es necesario (logon scripts para mapeo de unidades de red).
   • Carpeta de inicio (home folder) en el servidor de ficheros.

Grupos de seguridad: la clave del control de accesos

No asignes permisos directamente a usuarios individuales. Crea grupos de seguridad descriptivos y asigna permisos a los grupos:

• GS_Comercial_Carpetas: acceso lectura/escritura a la carpeta compartida de comercial.
• GS_ERP_Usuarios: acceso a la aplicacion ERP.
• GS_Impresora_Planta1: impresora mapeada automaticamente al iniciar sesion.

Cuando un nuevo comercial se incorpora, lo anades a estos tres grupos y automaticamente tiene todos los recursos que necesita.

Politicas de contrasenas

Configura en la directiva de dominio predeterminada (Default Domain Policy):

• Longitud minima: 12 caracteres (el NIST recomienda priorizar longitud sobre complejidad, NIST SP 800-63B, 2024).
• Complejidad: mayusculas, minusculas y numeros como minimo.
• Historial: recordar las ultimas 12 contrasenas para evitar reutilizacion.
• Caducidad: cada 90 dias, aunque la tendencia actual (NIST) es eliminar la caducidad forzosa si se implementa MFA.
• Bloqueo de cuenta: 5 intentos fallidos, bloqueo de 30 minutos.

Opcion 3: Microsoft Entra ID (cloud y entornos hibridos)

Microsoft Entra ID (anteriormente Azure Active Directory) es el directorio en la nube de Microsoft. Es la opcion recomendada para empresas que usan Microsoft 365 y no quieren mantener un servidor local exclusivamente para Active Directory.

Creacion de un usuario en Entra ID

1. Accede al centro de administracion de Microsoft 365 (admin.microsoft.com) con una cuenta de administrador.
2. Navega a Usuarios > Usuarios activos > Agregar un usuario.
3. Rellena nombre, apellidos y nombre de usuario (formato: nombre.apellido@empresa.es).
4. Asigna licencias segun el perfil del empleado:
   • Microsoft 365 Business Basic: correo y Teams sin aplicaciones de escritorio.
   • Microsoft 365 Business Standard: correo, Teams y aplicaciones Office completas.
   • Microsoft 365 Business Premium: todo lo anterior mas seguridad avanzada (Defender, Intune, Azure Information Protection).
5. Asigna grupos: anade al usuario a los grupos de Microsoft 365 y equipos de Teams correspondientes a su departamento.
6. Configura roles administrativos solo si el usuario necesita gestionar algun servicio (principio de minimo privilegio).
7. Activa MFA obligatorio desde el portal de Entra ID > Seguridad > MFA. Exige un segundo factor (aplicacion Microsoft Authenticator, SMS o clave FIDO2) desde el primer inicio de sesion.
8. Envia las credenciales temporales al nuevo empleado por un canal seguro (nunca por el mismo correo corporativo que aun no puede usar).

Politicas de acceso condicional

Entra ID permite crear reglas avanzadas de acceso:

• Bloquear el inicio de sesion desde paises donde la empresa no opera.
• Exigir MFA cuando el usuario se conecta desde una red no corporativa.
• Requerir un dispositivo compatible (gestionado por Intune) para acceder a datos confidenciales.
• Forzar el cambio de contrasena si se detecta riesgo de compromiso de la cuenta.

Entorno hibrido: Active Directory + Entra ID con Azure AD Connect

Muchas PYMEs tienen un servidor local con Active Directory y ademas usan Microsoft 365. Azure AD Connect sincroniza ambos directorios para que los usuarios tengan una unica identidad:

1. Instala Azure AD Connect en un servidor del dominio (no en el controlador de dominio directamente).
2. Configura la sincronizacion de hash de contrasenas para que los usuarios usen la misma contrasena en local y en la nube.
3. Define los filtros de sincronizacion para sincronizar solo las OUs necesarias (no sincronices cuentas de servicio ni cuentas de prueba).
4. Activa Seamless SSO para que los usuarios del dominio accedan a Microsoft 365 sin volver a introducir credenciales.
5. Monitoriza el estado de la sincronizacion desde el portal de Entra ID > Azure AD Connect Health.

La sincronizacion se ejecuta cada 30 minutos por defecto. Los cambios realizados en Active Directory (nuevo usuario, cambio de grupo, cambio de contrasena) se replican automaticamente a Entra ID.

Automatizacion del onboarding y offboarding

El onboarding manual es lento y propenso a errores. Estas son las estrategias para automatizarlo:

• Plantillas de usuario en AD: crea un usuario modelo por departamento con todos los grupos y configuraciones predefinidos. Al crear un nuevo usuario, copia la plantilla.
• Scripts de PowerShell: automatiza la creacion de usuario, asignacion de grupos, creacion de buzon y configuracion de carpeta home con un unico script parametrizado.
• Lifecycle Workflows en Entra ID: si tienes licencia Entra ID P2, configura flujos automaticos que se disparen al crear un usuario, asignando licencias, grupos y enviando correos de bienvenida automaticamente.

Para el offboarding, el proceso debe ser inmediato y completo:

1. Desactiva la cuenta en AD y/o Entra ID (no la elimines, desactivala primero por si necesitas recuperar datos).
2. Revoca todas las sesiones activas.
3. Redirige el correo a su responsable.
4. Revisa y transfiere la propiedad de archivos en OneDrive y SharePoint.
5. Tras 30 dias, elimina la cuenta y documenta la baja.

Auditoria y cumplimiento RGPD

El RGPD (Reglamento General de Proteccion de Datos) exige que las empresas puedan demostrar quien tiene acceso a datos personales y cuando se concedieron o revocaron esos accesos. Active Directory y Entra ID generan logs de auditoria que cubren este requisito:

• Active Directory: habilita la auditoria de cambios en cuentas de usuario y grupos en la directiva de auditoria del controlador de dominio. Los eventos 4720 (cuenta creada), 4726 (cuenta eliminada) y 4728 (usuario anadido a grupo) son los mas relevantes.
• Entra ID: los logs de auditoria estan disponibles en el portal de Entra ID > Actividad > Logs de auditoria. Se pueden exportar a un SIEM o a un workspace de Log Analytics para retenerlos mas de 30 dias.

Problemas frecuentes y solucion

• El usuario no puede acceder a carpetas compartidas: verifica su pertenencia a los grupos de seguridad correctos con net user nombre /domain o revisando la pestana “Miembro de” en AD. Si el grupo se anadio recientemente, el usuario debe cerrar sesion y volver a iniciarla para que se aplique.
• Cuenta bloqueada repetidamente: ademas de desbloquearla desde AD, investiga la causa. Las causas mas comunes son una contrasena antigua guardada en un dispositivo movil, un servicio de Windows configurado con credenciales obsoletas o un script con credenciales caducadas.
• La sincronizacion Azure AD Connect falla: revisa el estado del servicio en el servidor donde esta instalado. Ejecuta Start-ADSyncSyncCycle -PolicyType Delta en PowerShell para forzar una sincronizacion manual y revisar los errores en el portal de Entra ID > Azure AD Connect Health.
• El usuario no recibe la solicitud de MFA: verifica que el metodo de autenticacion esta configurado correctamente en aka.ms/mysecurityinfo. Si usa la app Authenticator, comprueba que las notificaciones push no estan bloqueadas en el movil.

Preguntas frecuentes

Puedo usar Entra ID sin Active Directory on-premise? Si, es la opcion recomendada para empresas que no tienen servidor local. Todo se gestiona desde la nube y los equipos se unen directamente a Entra ID (Azure AD Join) sin necesidad de dominio local.

Como automatizo el onboarding completo? Con plantillas de usuario en AD para entornos on-premise, scripts de PowerShell para el proceso completo o Lifecycle Workflows en Entra ID P2 para entornos cloud. En IBERSYA configuramos estos flujos automatizados para que el alta de un empleado se complete en menos de 15 minutos.

Que pasa cuando un empleado causa baja? Desactiva la cuenta inmediatamente en AD y/o Entra ID. Esto revoca todos los accesos al instante: correo, Teams, VPN, carpetas compartidas, ERP y cualquier aplicacion integrada con el directorio. No elimines la cuenta hasta pasados 30 dias por si necesitas recuperar informacion.

Es obligatorio activar MFA? No es legalmente obligatorio, pero es el control de seguridad mas efectivo que existe. Segun Microsoft, MFA bloquea el 99,9% de los ataques de compromiso de cuentas (Microsoft Digital Defense Report, 2024). En IBERSYA lo configuramos como obligatorio para todos los usuarios sin excepcion.

Que diferencia hay entre un grupo de seguridad y un grupo de Microsoft 365? Un grupo de seguridad controla el acceso a recursos (carpetas, aplicaciones, impresoras). Un grupo de Microsoft 365 crea automaticamente un equipo de Teams, un buzon compartido y un sitio de SharePoint. Ambos se pueden usar conjuntamente.

En IBERSYA implementamos y gestionamos Active Directory y Microsoft Entra ID para PYMEs, con procesos de onboarding y offboarding automatizados mediante scripts de PowerShell y Lifecycle Workflows, MFA obligatorio con Microsoft Authenticator, politicas de acceso condicional, sincronizacion hibrida con Azure AD Connect y auditorias periodicas de accesos para cumplimiento RGPD. Monitorizamos el estado del directorio y las sincronizaciones a traves de nuestro sistema centralizado y revisamos trimestralmente los permisos de todos los usuarios para eliminar accesos innecesarios. Si tu empresa crece y la gestion de usuarios se complica, contacta con nosotros para una evaluacion de tu infraestructura de identidades.