Microsoft Entra ID

Microsoft Entra ID es la plataforma de gestión de identidades en la nube más desplegada del mundo por volumen absoluto. Conocida como Azure Active Directory (Azure AD) desde su lanzamiento en 2010 hasta 2023, fue renombrada a Entra ID cuando Microsoft consolidó toda su línea de productos de identity bajo la marca Microsoft Entra, que hoy incluye Entra ID, Entra ID Governance, Entra Verified ID, Entra Permissions Management y Entra External ID.

No es un producto MFA puro sino una plataforma completa de Identity and Access Management (IAM) que incluye directorio de usuarios, autenticación, Single Sign-On, políticas condicionales, gestión de aplicaciones, gobernanza de identidad, protección contra amenazas de identidad, y más. Está integrada nativamente con todo el ecosistema Microsoft (365, Azure, Dynamics, Teams, Power Platform) y se comercializa tanto como componente de esos productos como de forma independiente.

La escala de Entra ID es difícil de comparar con cualquier competidor: más de 720.000 organizaciones la usan activamente, procesando más de 8.000 millones de autenticaciones diarias y sirviendo a más de 300 millones de usuarios activos mensuales. Esa escala genera un círculo virtuoso: el volumen de datos de threat intelligence que Microsoft ve le permite detectar ataques emergentes antes que nadie, lo que retroalimenta las capacidades de protección del producto.

Historia y evolución

Los orígenes como Azure Active Directory

Cuando Microsoft lanzó Azure AD en 2010, la narrativa era simple: "Active Directory en la nube para aplicaciones en la nube". Inicialmente era un directorio para autenticar a Microsoft 365 (entonces Office 365) y algunas SaaS con SAML. Las capacidades eran limitadas, la UX era pobre, y el posicionamiento era incierto.

Entre 2015 y 2020, Microsoft invirtió masivamente en Azure AD hasta convertirlo en la pieza central de su strategy de identity. Agregó Conditional Access, Identity Protection, Privileged Identity Management, passwordless, Identity Governance, integración con miles de SaaS, y capacidades de gobernanza que lo pusieron en par con Okta en el segmento enterprise.

El renombramiento a Entra

En julio 2023, Microsoft renombró Azure AD a Microsoft Entra ID como parte de una reestructuración más amplia de marca. La razón fue reducir la confusión: Azure AD no era realmente "Active Directory en Azure" (el Active Directory tradicional sigue existiendo, llamado Windows Server Active Directory o Active Directory Domain Services), y la marca Azure ya no describía el alcance real del producto.

La Microsoft Entra product family ahora incluye:

• Entra ID: la plataforma IAM core (lo que era Azure AD)
• Entra ID Governance: IGA enterprise (access reviews, lifecycle, entitlement management)
• Entra Verified ID: credenciales verificables descentralizadas basadas en estándares W3C
• Entra Permissions Management: CIEM (Cloud Infrastructure Entitlement Management) multi-cloud
• Entra External ID: identity para customers y partners (B2C)
• Entra Internet Access y Entra Private Access: componentes SSE/SASE

El renombre fue puramente de marca; funcionalidades, APIs y licenciamiento siguieron iguales.

Arquitectura y componentes

Cómo se estructura Entra ID

Tenant: la unidad organizacional básica. Cada empresa tiene su propio tenant, aislado del resto. El tenant incluye usuarios, grupos, aplicaciones, políticas y configuraciones.

Directory: el almacén de identidades del tenant. Contiene usuarios, grupos, dispositivos, aplicaciones registradas, y service principals (identidades para aplicaciones y servicios).

Global Administrator: el rol con máximos privilegios en el tenant. Microsoft recomienda tener al menos 2 y no más de 5 por tenant, todos con MFA obligatorio y preferiblemente con Privileged Identity Management para acceso just-in-time.

Authentication Methods: los métodos MFA disponibles para el tenant. Se configuran a nivel de tenant y se asignan por política.

Conditional Access: el motor de políticas que evalúa cada solicitud de autenticación y decide qué acción tomar (permitir, bloquear, requerir MFA, requerir dispositivo compatible, etc.).

Identity Protection: motor de ML que detecta identidades comprometidas, ataques, comportamiento anómalo, credenciales filtradas.

Application Registrations: registros de aplicaciones custom que usan Entra ID para autenticación.

Enterprise Applications: aplicaciones SaaS de terceros integradas con Entra ID para SSO.

Cómo es un login típico con Entra ID

Usuario intenta acceder a Microsoft 365:

1. Va a outlook.office.com o similar
2. Redirige a login.microsoftonline.com
3. Ingresa email corporativo — Entra ID identifica el tenant
4. Si el tenant tiene federación con on-premise AD configurada, redirige a ADFS o a Seamless SSO
5. Si no, pide contraseña (o si tiene passkey, autenticación passwordless)
6. Conditional Access evalúa la solicitud: usuario, dispositivo, ubicación, aplicación, nivel de riesgo
7. Según políticas, decide: permitir directamente, requerir MFA, bloquear, requerir dispositivo gestionado, etc.
8. Si requiere MFA, envía notificación a Microsoft Authenticator (el método principal) o genera código, según configuración
9. Usuario aprueba/completa MFA
10. Entra ID emite tokens de acceso y refresh
11. Usuario accede a Microsoft 365

Todo el flujo toma segundos en la mayoría de los casos. Cuando la sesión ya está activa y el usuario accede a otra aplicación integrada con Entra ID, no necesita re-autenticarse (Single Sign-On).

Características y capacidades completas

Métodos de autenticación multifactor

Entra ID soporta todos los métodos MFA relevantes:

Microsoft Authenticator app: la aplicación oficial de Microsoft, disponible para iOS y Android. Ofrece push notifications, passcode TOTP, passwordless sign-in, y almacenamiento de passkeys. Es el método recomendado por Microsoft y el más usado.

FIDO2 security keys: soporte completo para llaves físicas como YubiKey, SoloKeys, Feitian, Google Titan, y similares. Requisito en escenarios de alto riesgo y obligatorio para algunas certificaciones.

Passkeys: soporte nativo para passkeys sincronizados (iCloud Keychain, Google Password Manager, etc.) y passkeys device-bound. Microsoft fue uno de los primeros en ofrecer soporte completo.

Windows Hello for Business: biometría y PIN hardware-backed en dispositivos Windows, integrados con TPM. Cuenta como MFA strong según NIST AAL2.

Certificate-based authentication: autenticación con certificados X.509, común en escenarios gubernamentales y corporativos altamente regulados.

SMS y llamada telefónica: disponibles pero Microsoft los desaconseja activamente. En 2024 desactivó el SMS self-service signup por default en tenants nuevos y eliminó algunas capacidades legacy de SMS por motivos de seguridad.

Email OTP: como método de fallback para cuentas sin otros métodos registrados. Muy débil, solo recomendado en casos específicos.

Temporary Access Pass (TAP): credencial temporal generada por admin para onboarding de usuarios nuevos o recovery de cuentas bloqueadas. Reemplaza el password inicial tradicional.

Single Sign-On

SSO es central en Entra ID y viene en múltiples variantes:

Microsoft applications SSO: inmediato y sin configuración para todo el stack Microsoft (365, Azure, Dynamics, Power Platform, Teams, Viva, GitHub Enterprise Cloud).

Gallery applications: catálogo de miles de aplicaciones SaaS pre-integradas con configuración guiada. Microsoft publica una lista curada que incluye Salesforce, Workday, ServiceNow, Adobe Creative Cloud, Box, Dropbox Business, Slack, Zoom, Atlassian, SAP, Oracle, y cientos más.

Custom applications: cualquier aplicación custom con soporte SAML, OIDC/OAuth 2.0, o WS-Federation puede integrarse.

Password-based SSO: para aplicaciones legacy sin soporte SSO moderno, Entra ID puede almacenar credenciales y hacer login automático mediante un plugin de browser. Fallback útil para sistemas antiguos.

Header-based SSO: para aplicaciones que autenticam vía HTTP headers, típicamente mediante Azure AD Application Proxy que actúa como proxy inverso.

Seamless SSO: flujo transparente para usuarios en PCs dominio Microsoft que no requiere ingreso manual de credenciales.

Conditional Access

El motor de políticas condicionales es una de las piezas más poderosas de Entra ID y uno de los motivos principales por los que empresas eligen planes pagos sobre el tier Free.

Señales que evalúa Conditional Access:

• Usuario o grupo: políticas específicas por identidad
• Riesgo de usuario: score de Identity Protection (bajo, medio, alto)
• Riesgo de sign-in: evaluación del intento actual (IP sospechosa, travel imposible, patrón anómalo)
• Ubicación: ubicaciones nombradas (oficinas corporativas vs Internet vs países bloqueados)
• Dispositivo: compatible (Intune-managed), híbrido Azure AD joined, marcado como compliant
• Aplicación: cliente cloud, cliente móvil, aplicación específica
• Protocolo: browser, cliente moderno (OAuth), cliente legacy (POP, IMAP, SMTP)
• Hora y día: políticas por horario laboral

Controles disponibles:

• Block access: bloquear completamente
• Require MFA: exigir MFA independientemente de otros factores
• Require compliant device: requerir dispositivo gestionado y compliant
• Require Hybrid Azure AD joined device: requerir máquina dominio
• Require approved client app: requerir app específica aprobada
• Require app protection policy: requerir Intune App Protection
• Require password change: forzar cambio de contraseña
• Require terms of use: mostrar y requerir aceptación de términos
• Custom controls: integración con soluciones de MFA de terceros (Duo, por ejemplo)

Las políticas se combinan con lógica AND/OR compleja. Permite escenarios sofisticados como: "Si el usuario pertenece al grupo Finanzas Y está accediendo a la aplicación ERP Y viene de fuera de la red corporativa, requerir MFA con FIDO2 Y dispositivo compliant".

Identity Protection

Motor de ML que analiza señales de riesgo en tiempo real y asigna scores a usuarios y sesiones.

Detecciones típicas:

• Anonymous IP address: conexión desde Tor o proxy anónimo
• Atypical travel: viaje imposible entre dos ubicaciones distantes en poco tiempo
• Malware linked IP: IP asociada con campañas de malware conocidas
• Unfamiliar sign-in properties: patrón muy distinto al comportamiento histórico
• Leaked credentials: password encontrada en filtración pública
• Password spray: ataque de spray detectado
• Impossible travel: similar a atypical pero con mayor confianza
• New country: primer sign-in desde país nuevo
• Activity from anonymous IP: post-autenticación desde IP anónima

Acciones automatizables vía Conditional Access:

• Si riesgo de usuario es alto, bloquear acceso hasta password reset
• Si riesgo de sign-in es medio, requerir MFA
• Si riesgo de sign-in es alto, bloquear

Identity Protection es feature del tier P2 exclusivamente. Es una de las razones principales por las que empresas medianas-grandes escalan al P2 pese al costo incremental.

Privileged Identity Management (PIM)

Gestión de accesos privilegiados con enfoque just-in-time. En vez de que los administradores tengan permisos elevados permanentes, los activan temporalmente cuando los necesitan.

Capacidades:

• Eligible vs active assignments: los admins son eligible para un rol, pero deben activarlo
• Activation with MFA: exigir MFA al activar rol privilegiado
• Activation with justification: requerir texto explicando por qué activan
• Activation with ticket number: requerir número de ticket ITSM
• Activation with approval: requerir aprobación de otro admin
• Time-bound activations: activación por período limitado (1h, 4h, 8h)
• Access reviews: revisiones periódicas de asignaciones privilegiadas
• Audit history: log completo de activaciones y acciones

PIM reduce significativamente el riesgo de cuentas admin comprometidas: si el atacante compromete credenciales de admin, esas credenciales no tienen permisos elevados hasta que el admin legítimo los active.

PIM es feature del tier P2.

Identity Governance (Entra ID Governance)

Suite completa de IGA (Identity Governance & Administration). Se comercializa como add-on separado (Entra ID Governance) o incluido en la Microsoft Entra Suite.

Capacidades principales:

• Entitlement Management: paquetes de acceso (access packages) que agrupan múltiples permisos y se asignan/revocan como unidad
• Access Reviews: revisiones periódicas de asignaciones — usuarios en grupos, accesos a aplicaciones, memberships de equipos
• Lifecycle Workflows: automatización de joiner/mover/leaver — cuando alguien se contrata, cambia de puesto, o sale
• Connected Organizations: gestión de identidades de partners B2B
• Privileged Access Management: evolución de PIM con más controles

Compete directamente con SailPoint IdentityNow y Saviynt en el segmento IGA enterprise.

Passwordless Authentication

Microsoft viene liderando la transición hacia autenticación sin contraseñas desde 2018. En 2026, el stack passwordless de Entra ID incluye:

Passkeys: soporte completo para passkeys sincronizados y device-bound. Usuarios pueden autenticarse solo con biometría de su dispositivo.

Microsoft Authenticator passwordless phone sign-in: usuario ingresa username, recibe push en el celular, aprueba con biometría, queda autenticado sin escribir password.

Windows Hello for Business: biometría hardware-backed en PCs Windows. Reemplaza password en el dispositivo.

FIDO2 security keys: llaves físicas sin password.

Certificate-based: autenticación con certificados X.509.

Escenarios totalmente passwordless: posible configurar usuarios sin password alguna en el directorio, solo con métodos passwordless. Microsoft tiene guías específicas para implementarlo.

Integración con Microsoft Defender

Una ventaja estructural de Entra ID: integración profunda con Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, y Microsoft 365 Defender. Las señales de amenazas detectadas en cualquier punto del stack se propagan y alimentan el risk scoring de Identity Protection.

Por ejemplo: si Defender for Endpoint detecta malware en un dispositivo, Entra ID puede marcar automáticamente las sesiones de ese dispositivo como alto riesgo y forzar re-autenticación con MFA. O si Defender for Cloud Apps detecta una descarga masiva anómala, puede gatillar respuesta en Entra ID.

Planes y licenciamiento detallado

Entra ID tiene pricing que puede parecer confuso porque se distribuye de múltiples formas: standalone, incluido en Microsoft 365, incluido en Enterprise Mobility + Security (EMS), o en bundles Entra específicos.

Entra ID Free

Precio: USD 0 Incluido en: cualquier suscripción de Microsoft 365, Azure, o cuenta gratuita Azure Incluye:

• Directorio con hasta 50.000 objetos
• MFA básico con Microsoft Authenticator y SMS
• Single Sign-On para 10 aplicaciones SaaS pre-gallery
• Self-service password change (no reset)
• Autenticación para aplicaciones Azure y Microsoft 365
• Soporte para B2B básico

Target: PyMEs muy chicas, cuentas de evaluación, casos donde el tenant existe solo para autenticar Microsoft 365 básico.

Limitación importante: el Free no incluye Conditional Access. Solo tiene Security Defaults, una política all-or-nothing que aplica MFA a todos los usuarios. Para políticas granulares se requiere P1.

Entra ID P1

Precio: USD 6 por usuario por mes si se compra standalone Incluido en:

• Microsoft 365 Business Premium (plan para PyMEs hasta 300 empleados)
• Microsoft 365 E3
• Enterprise Mobility + Security E3
• Suite Microsoft Entra (P2 + Governance + Verified ID + otros)

Incluye todo lo del Free más:

• Conditional Access completo
• SSO para cantidad ilimitada de aplicaciones
• Self-service password reset con writeback a AD
• Entra Connect (sincronización con AD on-premise)
• Grupos dinámicos basados en atributos
• Access reviews básicos
• Cloud App Discovery
• B2B collaboration completo
• Password Protection (banned password lists custom)
• Application proxy para aplicaciones on-premise

Target: la mayoría de las empresas medianas. Es el tier que viene "gratis" con Microsoft 365 Business Premium, lo que lo convierte en default para cualquier PyME argentina, mexicana o brasileña pagando M365.

Entra ID P2

Precio: USD 9 por usuario por mes standalone (incluye P1) Incluido en:

• Microsoft 365 E5
• Enterprise Mobility + Security E5
• Suite Microsoft Entra

Incluye todo lo del P1 más:

• Identity Protection (ML de detección de amenazas)
• Privileged Identity Management (PIM)
• Risk-based Conditional Access
• Vulnerability monitoring de identidades
• Access reviews avanzados

Target: empresas medianas-grandes con SOC maduro, requisitos regulatorios, o necesidad de detección avanzada de amenazas de identidad.

Entra ID Governance

Precio: USD 7 por usuario por mes como add-on sobre P1 o P2 Incluye:

• Access packages (entitlement management)
• Lifecycle workflows (joiner/mover/leaver automation)
• Separation of duties policies
• Advanced access reviews
• Machine learning para recomendaciones de revocación

Target: empresas con requisitos formales de IGA, compliance serio (SOX, HIPAA enterprise), o workflows complejos de onboarding/offboarding.

Microsoft Entra Suite

Precio: USD 12 por usuario por mes standalone Incluye: P2 + Governance + Verified ID + Internet Access + Private Access + Permissions Management

Target: empresas que quieren todo el stack Entra sin cherry-picking licencias.

Consideraciones de licenciamiento

Usuario interno vs externo: Entra ID usa modelo de MAU (Monthly Active Users) para usuarios externos (B2B guests), típicamente incluyendo 50.000 MAUs gratis por tenant y precio por MAU adicional. Para B2C customers (External ID) hay pricing específico por MAU.

Mix de licencias: una empresa puede tener licencias distintas para distintos usuarios. Por ejemplo: los empleados regulares en P1 y los admins/seniors en P2. Requiere gestión cuidadosa pero permite optimizar costo.

Pago directo vs Enterprise Agreement: empresas grandes suelen negociar precios significativamente menores vía EA. Los precios list raramente son los que paga el cliente final enterprise.

Pricing LATAM: los precios list son en USD y aplican globalmente, aunque Microsoft suele tener ajustes regionales menores. Partners locales (Licencias Online, Softline, SVA en Argentina) pueden ofrecer condiciones específicas.

Compliance y certificaciones

Microsoft mantiene uno de los stacks de compliance más amplios de la industria:

ISO 27001, 27017, 27018, 27701: certificaciones completas vigentes.

SOC 1, SOC 2 Type II, SOC 3: auditadas anualmente.

FedRAMP High: autorización para cargas del gobierno federal estadounidense, incluyendo agencias de defensa.

DoD Impact Level 5: autorización para información sensible del Departamento de Defensa estadounidense.

HIPAA / HITECH: habilitado para healthcare con BAA disponible.

PCI DSS: nivel de compliance apropiado para procesamiento de tarjetas.

GDPR: compliance europeo con Data Processing Agreement.

LGPD: compliance brasileño.

NIST 800-63B AAL3: cumple el nivel más alto de autenticación NIST (requiere FIDO2 o equivalente).

CJIS: Criminal Justice Information Services para uso policial en EE.UU.

Essential Eight: marco de seguridad australiano con alineación completa.

C5: certificación alemana de cloud security.

IRAP: Australian Government Information Security Registered Assessors Program.

Microsoft publica reportes detallados en su Service Trust Portal.

Casos de uso típicos

Empresa estándar con Microsoft 365

El caso más común en LATAM. Empresa paga M365 Business Premium (PyMEs) o E3/E5 (medianas-grandes), y Entra ID viene incluido. El setup típico:

1. Activar Security Defaults el primer día
2. Deshabilitar Security Defaults y configurar Conditional Access propio cuando se tiene P1
3. Requerir MFA para todos los usuarios, sin excepciones
4. Requerir dispositivo compliant para acceder a aplicaciones sensibles
5. Bloquear legacy authentication (POP, IMAP, SMTP básico) — reduce superficie de ataque enormemente
6. Activar Identity Protection si tienen P2

Federación con Active Directory on-premise

Empresas que mantienen infraestructura on-premise y quieren usar esas identidades en cloud:

1. Desplegar Entra Connect en un servidor on-premise
2. Sincronizar usuarios, grupos, y atributos con cloud
3. Opcional: configurar Pass-through Authentication (validación contra AD on-premise) o Password Hash Sync (hashes sincronizados a cloud)
4. Opcional: federación con ADFS (menos recomendado en 2026, Microsoft empuja hacia Password Hash Sync + Seamless SSO)

Zero Trust end-to-end

Implementación Zero Trust completa requiere Entra ID como pieza central:

1. Identity: Entra ID con MFA universal y passwordless progresivo
2. Device: Intune para gestión de dispositivos + Conditional Access requiriendo compliant device
3. Network: Entra Internet Access + Entra Private Access como componentes SSE
4. Application: Defender for Cloud Apps para shadow IT y monitoreo
5. Data: Microsoft Purview Information Protection con políticas de DLP

Privileged access management

Empresas con requisitos estrictos de acceso privilegiado:

1. Configurar todos los Global Administrators como Eligible (no activos permanentes) en PIM
2. Requerir MFA + justification + approval al activar roles privilegiados
3. Activación limitada a 4 horas máximo
4. Access reviews trimestrales de asignaciones privilegiadas
5. Monitoring de Tier 0 con alertas inmediatas en Sentinel

B2B collaboration

Colaboración con partners externos:

1. Invitar usuarios externos como B2B guests a Entra ID
2. Políticas de Conditional Access específicas para guests
3. Access packages (con Governance) que otorgan accesos limitados por tiempo
4. Access reviews para validar que los partners todavía necesitan acceso

External ID para clientes finales

Aplicaciones customer-facing:

1. Configurar tenant Entra External ID (antes Azure AD B2C)
2. Registration flows custom (email, social, passwordless)
3. Branding completo de pantallas de login
4. MFA opcional o obligatorio según política
5. Integración con apps custom vía OAuth/OIDC

Experiencia de usuario final

Microsoft Authenticator

La app es simple y funcional. Características clave:

• Push notifications con detalles del intento de autenticación (aplicación, ubicación aproximada, número mostrado en pantalla)
• Number matching obligatorio desde 2023: el usuario debe escribir un número de 2 dígitos mostrado en la pantalla de login dentro de la app, eliminando ataques de push bombing
• Passcode TOTP disponible offline
• Passwordless sign-in con biometría
• Almacenamiento de passkeys
• Backup y restore con cuenta Microsoft personal
• Autofill para contraseñas en apps y sitios

Portal My Apps (myapplications.microsoft.com)

Portal donde los usuarios ven todas sus aplicaciones integradas y hacen SSO con un click. Customizable con branding corporativo.

Self-service capabilities

Usuarios pueden hacer por sí solos (según política):

• Reset de password
• Gestión de métodos MFA registrados
• Registro de nuevos dispositivos
• Ver historial de accesos propios
• Solicitar accesos adicionales (con access packages)

Limitaciones reales y consideraciones

Siendo honestos sobre los contras:

Curva de aprendizaje pronunciada

Conditional Access, PIM, e Identity Protection son poderosos pero no triviales. Una configuración mal hecha puede bloquear legítimamente a todos los usuarios o, peor, abrir huecos de seguridad no intencionales.

El admin panel está distribuido entre el Entra portal (entra.microsoft.com), el Azure portal (portal.azure.com), el Microsoft 365 admin center (admin.microsoft.com), y el Intune admin center (intune.microsoft.com). Microsoft está consolidando pero en 2026 todavía requiere moverse entre múltiples interfaces.

Configuración default no es segura

Un tenant nuevo viene con:

• Legacy authentication habilitado
• Security Defaults no siempre activo
• MFA no obligatorio
• Conditional Access sin políticas
• Gran cantidad de "Security Posture" recomendaciones sin aplicar

Requiere hardening activo para llegar a postura segura. Microsoft publica guías específicas (Zero Trust Deployment, Secure Score recommendations) pero ejecutarlas requiere tiempo y conocimiento.

Visión Microsoft-centric

Todo el diseño asume que Microsoft 365 y Azure son el centro del universo corporativo. Para empresas genuinamente multi-cloud (por ejemplo, stack principal en AWS + Google Workspace), Entra ID funciona pero no es óptima — Okta suele encajar mejor en esos escenarios.

Licensing complexity

El stack de licencias de identity es complejo: Entra ID P1, P2, Governance, External ID MAUs, Verified ID, Internet Access, Private Access, Permissions Management. Cada uno puede comprarse standalone o en bundles, y las combinaciones no siempre son obvias.

Integración con apps no Microsoft

Funciona pero a veces es menos pulida que Okta. Aplicaciones SaaS custom requieren más configuración. El catálogo gallery es grande pero algunas integraciones específicas funcionan mejor en Okta.

Identity Protection solo en P2

Las features ML más importantes están solo en P2, con costo incremental. Empresas con P1 (incluido en Business Premium o E3) se pierden Identity Protection, lo que es significativo para postura de seguridad.

Dependencia absoluta de Internet

Entra ID es 100% cloud-native. Una caída de conectividad a Internet significa que los usuarios no pueden autenticarse a Microsoft 365 ni a aplicaciones federadas. Microsoft ofrece backup authentication en algunos casos pero no cubre todos los escenarios.

Incidents históricos

Microsoft tuvo incidents relevantes de identity:

• Storm-0558 (2023): actor estatal chino accedió a cuentas de correo gubernamentales explotando una clave criptográfica robada
• Midnight Blizzard (2024): actor ruso comprometió cuentas de ejecutivos Microsoft via password spray contra tenant de prueba sin MFA
• Varios incidents menores de disponibilidad

Microsoft respondió con inversiones masivas en su Secure Future Initiative, pero los incidents generaron cuestionamiento legítimo sobre postura de seguridad interna de Microsoft.

Posicionamiento competitivo en 2026

Contra Okta Workforce Identity: Entra ID gana en empresas Microsoft-first por cero costo incremental y integración nativa. Okta gana en empresas multi-cloud, organizations que priorizan independencia de vendor, y escenarios donde la profundidad de integraciones SaaS es crítica. En LATAM, Entra ID domina claramente por la adopción masiva de Microsoft 365.

Contra Cisco Duo: Duo es más simple para deploy puro de MFA. Entra ID cubre territorio mucho más amplio (IAM completo, Identity Governance, External ID, cloud permissions). Muchas empresas usan ambos: Entra ID como plataforma IAM y Duo para casos específicos (VPN, RDP legacy) donde Duo integra más fácil.

Contra OneLogin, JumpCloud, Ping Identity: similar a Okta, ganan en nichos específicos. JumpCloud es fuerte en Mac-first startups; Ping domina en financials y aerolíneas tradicionales; OneLogin tiene nicho mid-market. Entra ID los supera en escala y adopción.

Contra soluciones open source (Keycloak, Authentik, Authelia): son viables para empresas con capacidad técnica y tolerancia a self-hosting. No compiten con Entra ID en empresas estándar por soporte, compliance, y facilidad operativa.

Conclusión

Microsoft Entra ID es, en 2026, la plataforma IAM más influyente del mundo. Su combinación de escala masiva, integración con el ecosystem Microsoft, pricing efectivamente "gratis" para clientes M365, y capacidades enterprise serias la convierten en el default razonable para la gran mayoría de empresas — especialmente aquellas ya pagando Microsoft 365.

Sus debilidades son reales: complejidad operativa, configuración default insegura, visión Microsoft-centric, y dependencia absoluta de cloud. Pero para la mayoría de los casos de uso empresariales estándar, ninguna alternativa ofrece mejor ratio valor/precio cuando ya existe stack Microsoft.

Para una PyME LATAM con Microsoft 365 Business Premium (USD 22/usuario/mes), Entra ID P1 ya está incluido y configurado correctamente provee cobertura MFA + SSO + Conditional Access que resuelve prácticamente todos los requisitos de seguridad de identidad que el negocio necesita. Para empresas medianas-grandes, el upgrade a P2 (via M365 E5 o add-on) desbloquea Identity Protection y PIM, que son inversiones de alto retorno en postura de seguridad.

La decisión estratégica más común en LATAM no es "¿Entra ID o Okta?" sino "¿qué tier de Entra ID activamos?". Y esa pregunta suele tener respuesta clara: tan alto como el presupuesto permita, porque cada tier agrega capacidades significativas.