Ciberseguridad

Protege tu organización con el Admin Consent Workflow de Microsoft Entra

Tiempo de lectura: 6 minutos

Aprende a configurar el Admin Consent Workflow para evitar accesos no autorizados a los datos corporativos.

Evita que aplicaciones maliciosas comprometan tu seguridad

Imagina que un empleado, con o sin intención, otorga permisos a una app maliciosa. En pocos minutos, esta podría:

Extraer información sensible.
Inyectar malware.
Crear accesos persistentes (backdoors).

Esto ocurre a diario. Por defecto, Microsoft Entra permite que cualquier usuario otorgue acceso a apps de terceros. ¿Cómo evitarlo? Configurando correctamente el Admin Consent Workflow.

Bloquea el consentimiento directo de los usuarios

La mejor forma de reducir riesgos es impidiendo que usuarios comunes otorguen permisos. Así, solo los administradores podrán autorizar estos accesos.

Pasos para deshabilitar el consentimiento de usuarios:

Ingresa al portal: entra.microsoft.com
Navega a:
Identidad > Aplicaciones > Aplicaciones empresariales > Consentimiento y permisos > Configuración de consentimiento de usuario
Marca "No permitir consentimiento de usuarios".

Asegúrate de que la opción esté visible como en la imagen para aplicar correctamente la configuración.
Guarda los cambios

Comprende el flujo de consentimiento

Usuario sin privilegios

Al intentar acceder a una app con permisos adicionales, el usuario verá un aviso indicando que necesita permiso de administrador para continuar y deberá solicitar acceso.

Mensaje de Microsoft Entra solicitando permiso de administrador

Este mensaje refuerza que solo un administrador puede conceder el acceso necesario a los recursos organizacionales.

Usuario administrador

Podrá aprobar directamente las solicitudes de acceso.

Vista de los permisos solicitados por la aplicación

El administrador verá una lista detallada de los permisos que la aplicación está solicitando, lo que le permite evaluar el nivel de acceso requerido antes de tomar una decisión.

Roles necesarios para aprobar solicitudes

Para otorgar consentimiento en nombre de la organización necesitas roles específicos:

Privileged Role Administrator: acceso total para consentir cualquier aplicación.
Cloud/Application Administrator: acceso a todas las aplicaciones excepto los roles de aplicación de Microsoft Graph.
Rol personalizado de directorio con permisos de consentimiento. Más información en la documentación oficial de Microsoft

Recomendaciones adicionales

Cuenta cloud y sin licencia: Se recomienda que el usuario revisor utilice una cuenta cloud dedicada, sin licencias asociadas, que no sea utilizada para tareas diarias.
MFA habilitada: Es altamente recomendable activar la autenticación multifactor (MFA) como medida adicional de seguridad.

Configura revisores de solicitudes

Accede a Identidad > Aplicaciones > Aplicaciones empresariales > Configuración de consentimiento administrativo
En "Revisores", selecciona los usuarios o grupos encargados
Define duración de solicitudes (recomendado: 30 días)

Vista de configuración del flujo de consentimiento en Microsoft Entra

Esta imagen muestra cómo debería lucir la configuración final del apartado.

Guarda los cambios

Así funciona el flujo de consentimiento

Cuando un usuario solicita acceso:

Verá un mensaje de “Aprobación requerida”
Podrá justificar su solicitud al revisor

Solicitud de acceso al revisor en Microsoft Entra

El usuario puede enviar una solicitud formal con una justificación, como se muestra en la imagen.

El revisor podrá:

Ver nombre de la app y permisos solicitados (ver solicitudes de acceso en Microsoft Entra)
Leer la justificación del usuario
Tomar una decisión:
- Aprobar
- Denegar
- Bloquear permanentemente

Revisión de los permisos solicitados por la aplicación

Justificación del usuario en la solicitud de acceso

Las imágenes muestran cómo el revisor puede analizar tanto los permisos requeridos como la justificación proporcionada por el usuario antes de decidir.

Riesgos de no controlar los accesos

Fuga de datos sensibles
Instalación de malware
Backdoors en el sistema
Phishing de consentimiento
Falta de control centralizado

Conclusión: Admin Consent Workflow para mejorar la seguridad sin afectar la productividad

Implementar el Admin Consent Workflow ayuda a evitar ataques y proteger los datos de tu organización. Solo las aplicaciones verificadas podrán acceder.

¿Listo para mejorar la seguridad de tu entorno Microsoft Entra?

👉 Contáctanos ahora para ayudarte con las configuraciones recomendadas.

Ver todas