Guía

Microsoft Security, Compliance, and Identity Fundamentals

Última revisión: mayo de 2026

Una referencia escaneable de patrones arquitectónicos que evalúa el examen SC-900. Lee de arriba a abajo o salta a una sección.

Describir los conceptos de seguridad, cumplimiento e identidad

Implementar un modelo de seguridad que asuma una brecha y requiera verificación para cada solicitud.

Adoptar el modelo de seguridad Zero Trust.

Por qué: Opera sobre tres principios fundamentales: Verificar explícitamente, usar el acceso de mínimo privilegio y asumir una brecha. Es un enfoque estratégico, no un producto único.

Referencia

Definir los límites de la propiedad de la seguridad para los servicios en la nube.

Aplicar el Modelo de Responsabilidad Compartida. El cliente siempre es responsable de: Información y datos, Dispositivos (endpoints), Cuentas e identidades.

Por qué: La responsabilidad del proveedor de la nube aumenta de IaaS a PaaS a SaaS, pero el cliente siempre conserva la responsabilidad de sus datos y la gestión de accesos.

Proteger contra el fallo de una única capa de seguridad.

Implementar una estrategia de seguridad de múltiples capas (Defensa en Profundidad) a través de las capas física, de identidad, perimetral, de red, de cómputo, de aplicación y de datos.

Por qué: Una brecha en una capa es ralentizada o contenida por las capas subsiguientes, reduciendo el riesgo y el impacto general de un ataque.

Diferenciar entre verificar la identidad de un usuario y otorgarle permisos.

Usar Autenticación (AuthN) para verificar la identidad (demostrar que eres quien dices ser). Usar Autorización (AuthZ) para determinar los derechos de acceso de una identidad autenticada (lo que se te permite hacer).

Por qué: La autenticación siempre debe ocurrir antes de la autorización. Un usuario puede ser autenticado pero no autorizado para acceder a un recurso específico.

Proteger la confidencialidad de los datos cuando están almacenados y cuando se están transmitiendo.

Usar Cifrado en Reposo para datos almacenados (por ejemplo, en discos, en bases de datos). Usar Cifrado en Tránsito para datos que se mueven por una red (por ejemplo, TLS/SSL).

Por qué: Protege contra diferentes vectores de amenaza. El cifrado en reposo mitiga el robo físico de medios de almacenamiento, mientras que el cifrado en tránsito previene la escucha no autorizada.

Describir las capacidades de Microsoft Entra

Administrar identidades de usuario y acceso para recursos en la nube y locales desde un único panel de control.

Usar Microsoft Entra ID como proveedor de identidad centralizado.

Por qué: Proporciona una única fuente de verdad para la identidad, habilitando el inicio de sesión único (SSO), la autenticación multifactor (MFA) y políticas de acceso consistentes en todo el entorno híbrido.

Aplicar controles de acceso dinámicos basados en riesgos para aplicaciones y datos.

Configurar políticas de Acceso Condicional de Microsoft Entra.

Por qué: Este es el motor de políticas de Zero Trust. Evalúa señales (usuario, ubicación, estado del dispositivo, riesgo) para aplicar decisiones como requerir MFA, limitar el acceso a la sesión o bloquear el acceso.

Referencia

Minimizar los riesgos de seguridad asociados con los privilegios administrativos permanentes.

Implementar Microsoft Entra Privileged Identity Management (PIM) para roles de Azure y Microsoft 365.

Por qué: Proporciona acceso Just-In-Time (JIT), requiriendo a los usuarios activar roles cuando sea necesario. La activación puede requerir MFA, justificación y/o aprobación, reduciendo drásticamente la superficie de ataque. Requiere Entra ID P2.

Eliminar los vectores de ataque basados en contraseñas como el phishing y el "password spray".

Implementar métodos de autenticación sin contraseña como Windows Hello para Empresas, claves de seguridad FIDO2 o la aplicación Microsoft Authenticator.

Por qué: Ofrece una alternativa más segura y fácil de usar a las contraseñas al depender de la biometría o claves criptográficas vinculadas a un dispositivo físico.

Proporcionar a los usuarios una única identidad para recursos tanto locales como en la nube.

Sincronizar Active Directory local con Microsoft Entra ID utilizando Microsoft Entra Connect.

Por qué: Crea una identidad de usuario común, habilitando el inicio de sesión único (SSO) sin interrupciones y una gestión de acceso consistente en todo el entorno híbrido.

Permitir a los socios externos acceder a los recursos de la empresa sin crear y administrar cuentas para ellos.

Usar la colaboración Microsoft Entra B2B (Business-to-Business).

Por qué: Invita a usuarios externos como invitados que usan sus propias identidades corporativas o sociales para autenticarse, reduciendo la sobrecarga administrativa y los riesgos de seguridad.

Detectar proactivamente y responder automáticamente a amenazas basadas en la identidad.

Habilitar Microsoft Entra ID Protection.

Por qué: Utiliza aprendizaje automático para detectar riesgos de identidad (por ejemplo, credenciales filtradas, inicios de sesión desde IPs anónimas). Las señales de riesgo pueden usarse en Acceso Condicional para activar respuestas automatizadas como forzar un restablecimiento de contraseña o MFA.

Permitir que las aplicaciones alojadas en Azure accedan a otros recursos de Azure sin gestionar credenciales en el código.

Asignar una Identidad Administrada al recurso de Azure (por ejemplo, VM, App Service).

Por qué: Elimina la necesidad de que los desarrolladores manejen secretos, cadenas de conexión o certificados. Azure gestiona automáticamente el ciclo de vida de la identidad.

Reducir la carga de trabajo del servicio de asistencia y capacitar a los usuarios para resolver sus propios bloqueos de cuenta u olvidos de contraseña.

Configurar el Restablecimiento de Contraseña de Autoservicio (SSPR) en Microsoft Entra ID.

Por qué: Permite a los usuarios restablecer de forma segura sus contraseñas después de verificar su identidad utilizando métodos pre-registrados (por ejemplo, teléfono, aplicación de autenticación, preguntas de seguridad).

Validar periódicamente que el acceso de los usuarios a aplicaciones y roles privilegiados sigue siendo necesario.

Programar revisiones de acceso recurrentes de Microsoft Entra.

Por qué: Automatiza el proceso de revisión de acceso, asegurando que el principio de mínimo privilegio se mantenga a lo largo del tiempo eliminando derechos de acceso innecesarios.

Describir las capacidades de las soluciones de seguridad de Microsoft

Agregar datos de seguridad de toda la empresa para la detección de amenazas y automatizar la respuesta a incidentes.

Implementar Microsoft Sentinel.

Por qué: Actúa como un Security Information and Event Management (SIEM) nativo de la nube para la recopilación y análisis de datos, y una plataforma de Security Orchestration, Automation, and Response (SOAR) utilizando Playbooks para acciones automatizadas.

Referencia

Evaluar y fortalecer continuamente la configuración de seguridad de los recursos en la nube.

Usar Microsoft Defender for Cloud por sus capacidades de Cloud Security Posture Management (CSPM).

Por qué: Proporciona una Puntuación Segura, recomendaciones de seguridad procesables y rastrea el cumplimiento con estándares regulatorios para mejorar la postura de seguridad general.

Proteger cargas de trabajo en la nube e híbridas como VMs, contenedores y bases de datos contra amenazas avanzadas.

Habilitar los planes específicos de Defender (Cloud Workload Protection - CWP) dentro de Microsoft Defender for Cloud.

Por qué: Proporciona capacidades avanzadas de detección y protección de amenazas específicas de la carga de trabajo, como la detección de endpoints para servidores y el escaneo de vulnerabilidades para registros de contenedores.

Investigar y responder a ataques complejos que abarcan endpoints, correo electrónico, identidades y aplicaciones en la nube.

Usar Microsoft 365 Defender.

Por qué: Proporciona una solución Extended Detection and Response (XDR) que correlaciona alertas de múltiples productos de Microsoft Defender en un solo incidente, ofreciendo una experiencia unificada de investigación y respuesta.

Proteger los dispositivos de usuario (endpoints) contra malware, ransomware y otros ataques sofisticados.

Implementar Microsoft Defender for Endpoint.

Por qué: Proporciona protección preventiva, detección posterior a la brecha (EDR), investigación automatizada y capacidades de respuesta para asegurar los endpoints.

Proteger contra el phishing, el compromiso del correo electrónico empresarial y los archivos adjuntos maliciosos en el correo electrónico y las herramientas de colaboración.

Implementar Microsoft Defender for Office 365.

Por qué: Ofrece funciones avanzadas de protección contra amenazas como Safe Attachments (cámara de detonación) y Safe Links (reescritura y escaneo de URL) para los servicios de Microsoft 365.

Detectar ataques dirigidos a la infraestructura local de Active Directory.

Implementar Microsoft Defender for Identity.

Por qué: Supervisa las señales de AD local para detectar amenazas avanzadas, identidades comprometidas y acciones maliciosas de usuarios internos que a menudo son precursores de brechas importantes.

Descubrir aplicaciones en la nube no autorizadas ("shadow IT") utilizadas por los empleados y controlar el flujo de datos a las aplicaciones autorizadas.

Usar Microsoft Defender for Cloud Apps.

Por qué: Funciona como un Cloud Access Security Broker (CASB) para proporcionar visibilidad del uso de aplicaciones en la nube, evaluar riesgos, aplicar políticas y proteger contra amenazas en la nube.

Controlar el tráfico de red entre recursos de Azure dentro de una red virtual.

Aplicar Grupos de Seguridad de Red (NSGs) a subredes y/o interfaces de red.

Por qué: Actúa como un firewall de filtrado de paquetes básico y con estado para permitir o denegar el tráfico basándose en la dirección IP, el puerto y el protocolo. Es un control de seguridad de red fundamental.

Proteger centralmente todos los recursos de la red virtual con un servicio de firewall inteligente y administrado.

Implementar Azure Firewall en una VNet hub.

Por qué: Un firewall como servicio totalmente administrado y nativo de la nube que proporciona filtrado basado en inteligencia de amenazas, alta disponibilidad y escalabilidad ilimitada.

Proteger las aplicaciones públicas en Azure de ser abrumadas por ataques de denegación de servicio distribuido (DDoS).

Habilitar Azure DDoS Protection Standard en la red virtual.

Por qué: Proporciona capacidades de mitigación mejoradas, incluyendo ajuste adaptativo, análisis de ataques y protección de costos, más allá de la protección predeterminada a nivel de infraestructura.

Proporcionar acceso seguro RDP y SSH a las máquinas virtuales de Azure sin exponer los puertos de administración a Internet público.

Implementar Azure Bastion en la red virtual.

Por qué: Proporciona una conexión segura basada en navegador a las máquinas virtuales a través del portal de Azure sobre TLS, eliminando la necesidad de direcciones IP públicas en las máquinas virtuales y reduciendo la superficie de ataque.

Describir las capacidades de las soluciones de cumplimiento de Microsoft

Clasificar y proteger documentos y correos electrónicos sensibles basándose en su contenido, independientemente de dónde estén almacenados o enviados.

Usar Microsoft Purview Information Protection con Etiquetas de Sensibilidad.

Por qué: Las etiquetas aplican protección persistente (cifrado, marcado de contenido, restricciones de acceso) que viaja con los datos, asegurando que permanezcan protegidos durante todo su ciclo de vida.

Referencia

Evitar que los usuarios compartan accidental o intencionadamente información sensible (por ejemplo, números de tarjetas de crédito, PII) fuera de la organización.

Configurar las políticas de Prevención de Pérdida de Datos (DLP) de Microsoft Purview.

Por qué: Las políticas DLP identifican, monitorean y aplican automáticamente acciones de protección al contenido sensible en los servicios de Microsoft 365, endpoints y aplicaciones en la nube.

Evaluar, gestionar y seguir el cumplimiento de las regulaciones y estándares de la industria como GDPR, HIPAA e ISO 27001.

Usar Microsoft Purview Compliance Manager.

Por qué: Proporciona un panel centralizado con una puntuación de cumplimiento, plantillas de evaluación predefinidas y acciones de mejora recomendadas para simplificar la gestión del cumplimiento.

Retener automáticamente el contenido durante un período requerido y eliminarlo cuando ya no sea necesario por razones comerciales o regulatorias.

Implementar Microsoft Purview Data Lifecycle Management utilizando políticas y etiquetas de retención.

Por qué: Aplica políticas de gobernanza de datos en Microsoft 365 para gestionar el ciclo de vida del contenido, reducir el riesgo y cumplir con las regulaciones.

Un asunto legal requiere identificar, preservar y recopilar datos electrónicos de Microsoft 365.

Usar Microsoft Purview eDiscovery (Standard o Premium).

Por qué: Proporciona las herramientas para buscar contenido relevante, colocarlo en retención legal para evitar su modificación o eliminación, y exportarlo para revisión legal.

Detectar e investigar posibles robos de datos o violaciones de políticas de seguridad por parte de empleados.

Configurar Microsoft Purview Insider Risk Management.

Por qué: Correlaciona varias señales de Microsoft 365 para identificar actividades internas potencialmente riesgosas y proporciona flujos de trabajo para investigarlas y actuar en consecuencia.

Una empresa regulada necesita evitar la comunicación entre departamentos específicos (por ejemplo, traders y analistas) para evitar conflictos de interés.

Implementar Microsoft Purview Information Barriers.

Por qué: Aplica políticas que restringen la comunicación y colaboración entre grupos de usuarios definidos en Microsoft Teams, SharePoint y OneDrive.

Crear un mapa integral y actualizado de todos los activos de datos en entornos locales, multinube y SaaS.

Usar Microsoft Purview Data Map y Data Catalog.

Por qué: Automatiza el descubrimiento de datos, la clasificación de datos sensibles y el seguimiento del linaje para proporcionar una visión holística del patrimonio de datos para una gobernanza eficaz.

Detectar, capturar y actuar sobre mensajes inapropiados (por ejemplo, acoso, intercambio de secretos) en las comunicaciones de la empresa.

Implementar Microsoft Purview Communication Compliance.

Por qué: Ayuda a minimizar los riesgos de comunicación utilizando aprendizaje automático para detectar violaciones de políticas en correo electrónico, Teams y otros canales para su revisión.

Asegurarse de que los ingenieros de soporte de Microsoft no puedan acceder a los datos de su organización sin su aprobación explícita y auditable.

Habilitar Customer Lockbox para Microsoft 365 o Azure.

Por qué: Proporciona una interfaz para que los clientes aprueben o rechacen las solicitudes de acceso a datos de los ingenieros de Microsoft, dándole el control final en escenarios de soporte poco comunes.

Investigar un incidente de seguridad o un problema de cumplimiento revisando las actividades de usuarios y administradores en Microsoft 365.

Buscar en el registro de Auditoría (Estándar o Premium) de Microsoft Purview.

Por qué: Proporciona un registro de auditoría unificado de actividades en servicios como Exchange Online, SharePoint Online, OneDrive y Entra ID para investigación forense.