Configuración inicial de Microsoft Entra ID

Configuración inicial de Microsoft Entra ID

Configuración inicial de Microsoft Entra ID

El Módulo de Identidades de TecnetSOC se conecta directamente con Microsoft Entra ID (antes Azure Active Directory) para sincronizar usuarios, evaluar riesgos, analizar políticas de Acceso Condicional y monitorear inicios de sesión. Este artículo te guía paso a paso para dejar la integración funcionando desde cero.

---

Descripción general

El Módulo de Identidades de TecnetSOC te permite:

  • Sincronizar usuarios desde tu tenant de Entra ID (hasta cientos de cuentas en minutos).
  • Calcular un Risk Score de 0 a 100 por usuario, basado en 17 factores de seguridad.
  • Detectar brechas de Acceso Condicional revisando automáticamente 13 mejores prácticas.
  • Monitorear sign-in logs con análisis de errores, tasas de fallo y alertas de actividad sospechosa.
  • Gestionar identidades privilegiadas y roles administrativos con visibilidad de PIM.
Todo esto sin necesidad de instalar agentes adicionales en tu entorno. La integración usa la Microsoft Graph API con una App Registration propia de tu organización, lo que garantiza que los datos nunca salen de tu tenant.

---

Requisitos previos

Antes de comenzar, asegúrate de contar con lo siguiente:

RequisitoDetalle
Rol en AzureGlobal Administrator o Privileged Role Administrator
Suscripción de AzureActiva y asociada al tenant de tu organización
Licencia Entra IDP1 (mínimo) para sign-in logs; P2 para Identity Protection y PIM
Acceso a TecnetSOCRol de client_admin o superior en la plataforma (portal.tecnetone.com)

Nota: Las funciones básicas (lista de usuarios, Risk Score, estado de MFA) funcionan con licencias gratuitas de Entra ID. Sin embargo, los sign-in logs, Identity Protection y PIM requieren Entra ID P1 o P2 según la función.

---

Paso 1: Crear App Registration en Azure Portal

La App Registration es la identidad que TecnetSOC usará para leer datos de tu tenant de manera segura.

  • Abre el Portal de Azure e inicia sesión con una cuenta de Global Administrator.
  • En la barra de búsqueda superior, escribe "App registrations" y selecciona el resultado.
  • Haz clic en "+ New registration" (Nueva registro).
  • Completa el formulario:
    • - Name: TecnetSOC-IdentityModule (o el nombre que prefieras identificar fácilmente) - Supported account types: Selecciona "Accounts in this organizational directory only" (solo tu tenant) - Redirect URI: Déjalo en blanco por ahora
  • Haz clic en "Register".

    • Una vez creada, verás la página de resumen de la app. Copia y guarda los siguientes valores — los necesitarás en el Paso 4:

    • Application (client) ID — identificador único de la app
    • Directory (tenant) ID — identificador de tu organización en Azure

    Nota: Guarda estos valores en un lugar seguro. El Tenant ID tiene el formato xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.

    ---

    Paso 2: Configurar permisos de Graph API

    TecnetSOC necesita permisos específicos de solo lectura para acceder a los datos de identidad. Todos son Application permissions (no delegados), ya que la sincronización ocurre en segundo plano sin un usuario conectado.

  • En la página de tu App Registration, selecciona "API permissions" en el menú izquierdo.
  • Haz clic en "+ Add a permission".
  • Selecciona "Microsoft Graph" y luego "Application permissions".
  • Busca y agrega cada uno de los siguientes permisos:

    • PermisoTipoFunción
    User.Read.AllApplicationLeer todos los usuarios del directorio
    Directory.Read.AllApplicationLeer configuración del directorio, grupos y OAuth consents
    Policy.Read.AllApplicationLeer políticas de Acceso Condicional
    AuditLog.Read.AllApplicationLeer sign-in logs y logs de auditoría
    UserAuthenticationMethod.Read.AllApplicationLeer métodos de MFA por usuario
    RoleManagement.Read.AllApplicationLeer roles y asignaciones (incluyendo PIM)
    IdentityRiskyUser.Read.AllApplicationLeer usuarios riesgosos de Identity Protection
    IdentityRiskEvent.Read.AllApplicationLeer detecciones de riesgo individuales (sign-ins comprometidos, IP sospechosa)
    Application.Read.AllApplicationLeer service principals y credenciales de aplicaciones (para monitoreo de cuentas de servicio)
    AccessReview.Read.AllApplicationLeer definiciones de Access Reviews de Entra ID Governance
    EntitlementManagement.Read.AllApplicationLeer Access Packages de Entitlement Management
    Reports.Read.AllApplicationLeer reportes de uso y autenticación

  • Una vez agregados todos, haz clic en "Grant admin consent for [nombre de tu organización]" y confirma.

    • Nota: El botón de admin consent solo está disponible para cuentas con rol Global Administrator. Sin este paso, la app no podrá leer ningún dato.

    Verifica que todos los permisos muestren el estado "Granted" con una palomita verde antes de continuar.

    ---

    Paso 3: Crear Client Secret

    El Client Secret es la "contraseña" que TecnetSOC usará para autenticarse como la app registration.

  • En la página de tu App Registration, selecciona "Certificates & secrets" en el menú izquierdo.
  • Haz clic en "+ New client secret".
  • Completa el formulario:
    • - Description: TecnetSOC Production (o cualquier etiqueta descriptiva) - Expires: Selecciona 24 months (recomendado; recuerda renovarlo antes de que expire)
  • Haz clic en "Add".
  • Copia inmediatamente el valor que aparece en la columna "Value".

    • Advertencia: El valor del secret solo se muestra una vez. Si cierras la página sin copiarlo, tendrás que eliminar el secret y crear uno nuevo.

    Guarda el secret en un gestor de contraseñas o vault seguro. No lo compartas por correo ni Slack.

    ---

    Paso 4: Ingresar credenciales en TecnetSOC

    Con los tres valores (Tenant ID, Client ID y Client Secret), ya puedes configurar la integración en la plataforma.

  • Inicia sesión en TecnetSOC y navega al Módulo de Identidades.
  • Si es la primera vez que accedes, verás el asistente de configuración automáticamente. Si no, ve a Configuración → Integraciones → Microsoft Entra ID.
  • Completa los campos:
    • - Tenant ID: El Directory ID que copiaste en el Paso 1 - Client ID: El Application ID que copiaste en el Paso 1 - Client Secret: El valor del secret que copiaste en el Paso 3
  • Haz clic en "Validar credenciales".

    • Si las credenciales son correctas, verás un mensaje de confirmación verde: "Conexión exitosa. Iniciando sincronización inicial..."

    Nota: La validación de credenciales hace una llamada de prueba a Microsoft Graph para confirmar que los permisos están correctamente configurados. Si falla, revisa el Paso 2 para asegurarte de que el admin consent fue otorgado.

    ---

    Paso 5: Verificar sincronización

    La sincronización inicial puede tardar entre 2 y 10 minutos dependiendo del número de usuarios en tu tenant.

  • En TecnetSOC, navega al Dashboard de Identidades.
  • Verifica que el contador de Identidades muestre el número esperado de usuarios de tu directorio.
  • Revisa que el Risk Score general y los KPIs de MFA estén poblados.
  • En la pestaña Usuarios, busca un usuario específico y verifica que sus datos (métodos de MFA, roles, última actividad) sean correctos.
  • En la pestaña Acceso Condicional, verifica que las políticas de tu tenant aparezcan en la lista.

    • Nota: La sincronización se ejecuta automáticamente cada 2 horas. Los datos del dashboard siempre muestran la información de la última sincronización exitosa, junto con la fecha y hora.

    ---

    Solución de problemas comunes

    "Error de validación de credenciales"

    • Verifica que el Tenant ID tenga el formato GUID correcto (xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx). No uses el nombre de dominio del tenant.
    • Confirma que el Client Secret no haya expirado. En el Portal de Azure, ve a App Registrations → tu app → Certificates & secrets para verificar la fecha de expiración.
    • Asegúrate de haber copiado el Value del secret, no el Secret ID.

    "El módulo muestra 0 usuarios"

    • Verifica que el permiso User.Read.All esté concedido y en estado "Granted".
    • Confirma que el admin consent fue otorgado por un Global Administrator.
    • Espera 5 minutos después de hacer los cambios de permisos antes de reintentar.

    "Las políticas de Acceso Condicional no aparecen"

    • El permiso Policy.Read.All es necesario. Verifica que esté en la lista y marcado como "Granted".
    • Si el tenant usa Conditional Access con licencias Entra ID Free, algunas políticas pueden no estar disponibles via API.

    "Los sign-in logs están vacíos"

    • Esta función requiere Entra ID P1 o P2. Verifica la licencia de tu tenant en Entra Admin Center bajo Billing → Licenses.
    • El permiso AuditLog.Read.All debe estar concedido.

    La sincronización tarda más de 15 minutos

    • Es normal en tenants con más de 5,000 usuarios durante la primera sincronización.
    • Verifica el estado en TecnetSOC bajo Configuración → Estado de sincronización.
    • Si el estado muestra "Error", revisa los logs en la misma sección para identificar el problema específico.
    ---

    Recursos adicionales

    ---

    Última actualización: Abril 2026 | TecnetOne Knowledge Base

      • Related Articles

      • Configuración de Google Workspace

        Configuración de Google Workspace El módulo de Identidades de TecnetSOC puede conectarse con Google Workspace para sincronizar usuarios, grupos y el estado de verificación en dos pasos (2SV/MFA). Esta guía te explica cómo preparar tu entorno de ...

      • Solución de problemas — Módulo de Identidades

        Solución de problemas — Módulo de Identidades Este artículo cubre los problemas más frecuentes que pueden presentarse al configurar o usar el Módulo de Identidades de TecnetSOC, con sus causas probables y los pasos para resolverlos. --- "Sin datos" / ...

      • Risk Score explicado — Cómo se calcula el puntaje de riesgo

        Risk Score explicado — Cómo se calcula el puntaje de riesgo El Risk Score es el corazón del Módulo de Identidades de TecnetSOC. Cada usuario en tu directorio recibe un puntaje de 0 a 100 que refleja su nivel de riesgo de seguridad basado en la ...

      • Configuración de Cloudflare Zero Trust

        Configuración de Cloudflare Zero Trust El módulo de Zero Trust de TecnetSOC se conecta directamente con tu cuenta de Cloudflare para sincronizar políticas DNS Gateway, aplicaciones de Access, dispositivos WARP y detecciones de Shadow IT. Este ...

      • Análisis de brechas de Acceso Condicional

        Análisis de brechas de Acceso Condicional El Acceso Condicional (CA) de Microsoft Entra ID es el principal mecanismo de control de acceso para organizaciones en Microsoft 365 y Azure. Sin embargo, configurarlo correctamente requiere atender múltiples ...