Protege el registro de dispositivos con TAP en Entra ID

Temporary Access Pass es una funcionalidad en los entornos de Microsoft Entra ID que permite, entre otras cosas, mejorar la seguridad en el registro de dispositivos. Si no se gestiona correctamente, permitir que cualquier usuario pueda registrar cualquier equipo sin control puede suponer un riesgo de accesos no autorizados.

En este artículo se habilitará Temporary Access Pass y se configurará una política de acceso condicional que exija su uso para registrar o unir dispositivos al entorno de Entra ID.

• Reducir el riesgo de registros no controlados.
• Mantener el control del inventario de dispositivos.
• Fortalecer un modelo de seguridad Zero Trust en Microsoft 365.

Paso 1: Habilitar el método de autenticación Temporary Access Pass

Accede al Centro de administración de Microsoft Entra y dirígete a: Métodos de autenticación → Directivas.

Allí se encontrará el método Pase de acceso temporal, que se habilitará.

Al editarlo se podrá configurar:

• Usuarios o grupos incluidos o excluidos

• Duración mínima y máxima del pase (por ejemplo, entre 1 y 8 horas).
• Longitud del código (mínimo recomendado: 8 caracteres).
• Si será de un solo uso o reutilizable durante su vigencia.

Paso 2: Crear un nivel de intensidad de autenticación con TAP

En el portal de Entra, sobre: Acceso condicional → Niveles de intensidad de autenticación.

Se creará un nuevo nivel llamado: Temporary Access Pass, y se seleccionará como método requerido el Pase de acceso temporal (uso único).

Paso 3: Crear una política de acceso condicional para registrar dispositivos

Ahora se definirá una política que exija el uso del nivel de autenticación creado al momento de registrar dispositivos.

Pasos recomendados:

• Clic Acceso condicional → Directivas → Nueva directiva.
• Se asigna un nombre descriptivo, por ejemplo: Require TAP to register devices.
• En la sección Usuarios, se selecciona a quién aplicará la política. Se recomienda comenzar con un grupo de prueba.

• En Recursos de destino: Acciones del usuario → Registrar o unir dispositivos.

• En Controles de acceso → Conceder se usa la opción Requerir autenticación multifactor y se escoge el nivel de autenticación creado previamente (TAP).

• Se guarda la directiva en modo Solo informe para pruebas iniciales, y más adelante se cambia el estado a Activado.

Paso 4: Validar la política

Cuando un usuario intente registrar un nuevo dispositivo, el sistema le pedirá introducir su Temporary Access Pass en lugar de otros métodos de autenticación. Esto garantiza que únicamente los usuarios autorizados por el equipo de TI puedan completar el proceso, evitando registros no deseados.

Recomendaciones finales

• Emitir los Temporary Access Pass únicamente a través de administradores autorizados.
• Limitar su duración al mínimo necesario.
• Empezar aplicando la política a un grupo piloto antes de extenderla.
• Combinar esta medida con otras políticas de seguridad como requerir uso de dispositivo registrado o compliance para acceder a los recursos de Microsoft 365.

🛡️¿Podemos ayudarte?

En Allbit ayudamos a las organizaciones a tomar el control de su entorno Microsoft 365 mediante configuraciones seguras, gobernadas y alineadas a las buenas prácticas de Microsoft y el CCN-CERT. ¿Quieres asegurar tu tenant y dispositivos?

👉 Solicita una revisión de seguridad sobre tu entorno M365 aquí

Sobre el autor:
Kevin Maldonado, LinkedIn

Técnico de Ciberseguridad en Allbit Solutions, especializado en la protección de entornos Microsoft 365 y endpoints. Cuenta con certificaciones de Microsoft en administración de identidades y seguridad (Identity and Access Administrator Associate, 2025; Azure Security Engineer Associate, 2024), entre otras acreditaciones.

Ver todas