Conditional Access con agentes de Security Copilot: lo que cambió de mi configuración

 

Conditional Access en Entra siempre fue donde se decidían los detalles. Quién entra, en qué condiciones, con qué autenticación. Cuando llegó el agente de Conditional Access en Security Copilot, tenía expectativas mixtas. Pasados varios meses con él en producción, voy a contar la experiencia.

Qué hace el agente

Tres cosas principales. Analiza tus políticas de Conditional Access existentes para encontrar contradicciones, redundancias, gaps. Sugiere optimizaciones — consolidar, simplificar, fortalecer. Y, opcionalmente con tu aprobación, las aplica.

Mi tenant tenía 47 políticas de Conditional Access. Acumuladas a lo largo de tres años, con dueños distintos, criterios distintos, niveles de comprensión distintos. El estándar de muchos tenants medianos.

El agente, primer scan: marcó 4 contradicciones, 11 redundancias, 6 gaps. Total 21 hallazgos de los 47 policies.

Los hallazgos

Las contradicciones eran graves. Una política bloqueaba acceso desde geografía X. Otra, más reciente, lo permitía con condición Y. La interacción entre ambas dejaba un escenario donde acceso desde X con Y pasaba sin la fricción que la política original quería. Yo no había detectado esa interacción.

Las redundancias eran ruido. Tres políticas hacían lo mismo con criterios ligeramente distintos. Consolidamos en una con criterios bien definidos.

Los gaps eran lo más útil. Casos donde “esperarías” tener una política y no había. Por ejemplo: ningún policy bloqueaba tokens de OAuth obtenidos desde aplicaciones de tercer país no aprobado. Lo cubrimos.

Lo que el agente hace bien

Volumen de análisis. Yo no tengo el tiempo de revisar 47 policies con detalle cada quarter. El agente sí.

Patrones conocidos. Microsoft ha visto millones de configuraciones. El agente conoce los antipatterns. Los marca.

Sugerencias razonadas. No solo dice “cambia X por Y”. Dice “X tiene problema A, te sugiero Y porque resuelve A sin abrir gap B”.

Lo que el agente no hace bien

Lo específico de tu negocio. El agente no sabe que tu sucursal en X tiene una excepción legítima por razones que no están documentadas. Las sugerencias en esos casos pueden empujar hacia una simplicidad que rompe operación. Hay que filtrar.

Lo político. “Reducir esta política afecta al departamento de Y, que va a quejarse”. El agente no ve esa dinámica. Tú sí.

Cómo lo opero

Reviso al agente quincenalmente. No diariamente — me satura. No mensualmente — me pierdo cosas. Quincenal funciona.

Apruebo cambios solo si los entiendo. La tentación de “auto-aprobar todo lo que sugiera” es real. La resisto. Cada cambio que aprueba, lo entiendo. Si no lo entiendo, no lo apruebo. Eso me ha bajado la velocidad pero subido la confianza.

Roto el dueño de las revisiones. Antes era yo siempre. Ahora roto entre dos personas del equipo. Eso me da double-check humano sobre el agente.

Mi métrica: número de incidents de identidad relacionados con misconfiguration de CA. Bajó 40% el primer trimestre con el agente activo. Suficiente para justificar el costo de SCUs.

 

¿Recomendación? Si tu tenant tiene más de 20 policies de CA, el agente vale la pena. Si tienes menos, probablemente no necesitas la herramienta. La complejidad escala el valor.

Shadow AI: los agentes que ya están en tu casa

 

Una mañana hace un par de meses, encendí el dashboard nuevo de Defender que muestra agentes locales detectados en endpoints. Esperaba ver dos o tres.

Vi treinta y siete.

OpenClaw en máquinas de marketing. Claude Code en máquinas de desarrollo. GitHub Copilot CLI en varias laptops de ingeniería. Algún agente custom que ni siquiera pude identificar al primer intento — resultó ser un script con un MCP server montado por alguien del equipo de data science.

Esto es shadow AI. Y a febrero 2026, es probablemente el riesgo más subestimado de las organizaciones medianas y grandes.

Defino shadow AI como cualquier agente o herramienta de IA que opera en endpoints o en la nube de la empresa sin estar registrada, gobernada o auditada por el equipo de seguridad. La parte “sin gobierno” es la importante. No es que sea malicioso — la mayoría no lo es. Es que está fuera del radar.

Por qué importa

Primera razón: estos agentes operan con permisos del usuario que los corre. Si el usuario tiene acceso a tu CRM, el agente local también. Y el agente no sigue las mismas reglas que tú aplicas a Copilot empresarial. No tiene Prompt Shields, no tiene DLP de Purview, no tiene logging unificado. Lo que filtre, ya está filtrado.

Segunda: muchos de estos agentes mandan datos a APIs de terceros. Cada query hecha a un agente local que se conecta a la API de Anthropic, OpenAI, o cualquier otro proveedor, manda contexto fuera. Si ese contexto incluye texto sensible — y casi siempre incluye algo — tienes flujo de datos no inventariado.

Tercera: al ser locales, sobreviven a apagones de servicios cloud y a controles de red. Si tu firewall corporativo bloquea el dominio del proveedor, el agente local que ya tenía credenciales y caché puede operar offline parcialmente. Hay menos puntos de control que con servicios SaaS.

 

 

Lo que está dando Microsoft

Microsoft empezó a atacar esto en serio con Defender más Intune. La capacidad de descubrir agentes locales — empezó con OpenClaw y se expandió a GitHub Copilot CLI y Claude Code — es el primer paso. Te dice qué tienes. Después tú decides qué hacer.

Las opciones

Bloquear todo. Política dura: ningún agente local en endpoints corporativos. Ventaja: simple. Desventaja: matas productividad real, y la gente buscará caminos. Le pasó a una empresa amiga: bloquearon Claude Code, los devs lo siguieron usando desde laptops personales conectadas a recursos de la empresa por VPN. Empeoraron el problema.

Permitir todo. Política blanda: la gente usa lo que quiera. Ventaja: nadie protesta. Desventaja: no sabes qué pasa. No me parece responsable.

Permitir con governance. Lo que yo hago. Lista permitida de agentes locales aprobados (Claude Code y GitHub Copilot CLI están en mi lista hoy). Configuración obligatoria que registra el agente con identidad de Entra Agent ID. Logging activado. Restricciones por destinos web y por tipos de datos.

Esto último es lo que hace posible la combinación de Agent 365 más Defender más Intune. Hace doce meses, ni siquiera tenía la capacidad técnica de hacer governance sobre estos agentes. Ahora sí.

 

 

Lo que aprendí en el camino

No subestimes el número. Vas a encontrar más de lo que esperas. Si tu primer escaneo te encuentra dos, mira mejor — probablemente hay diez.

No subestimes el valor que la gente le saca. Hay quien usa Claude Code seriamente para trabajo crítico. Bloquearlo sin alternativa es romper el flujo de alguien que está aportando. Habla con los usuarios antes de cortarles.

Sí subestima la conciencia que tienen sobre los riesgos. Mucha gente buena, talentosa, técnica, no tiene la menor idea de que su prompt se manda a un servidor externo. Lo da por hecho. Las charlas de awareness siguen siendo importantes.

 

¿Hacia dónde va esto? A mi juicio, hacia un modelo de “AI runtime” empresarial donde los agentes locales son ciudadanos de primera clase pero con governance. Microsoft está apostando a que sea su control plane (Agent 365) el que orquesta. Otros proveedores tienen visiones distintas. La pelea por el control plane de los agentes va a ser una de las grandes en el 2027.

Por ahora, escanea. Inventariа. Decide. No mires hacia otro lado.

ISO 42001 y Copilot: lo que aprendí intentando certificarme

 

Mi organización decidió ir por ISO 42001 en Q3 del año pasado. Estamos en proceso. Voy a contar lo que aprendí intentando alinear nuestro uso de Copilot con el estándar.

ISO 42001 es el primer estándar internacional de Sistema de Gestión de IA. Annex A tiene 38 controles agrupados. La estructura es similar a ISO 27001 pero el enfoque es distinto: gobernar el ciclo de vida de sistemas de IA.

El alcance importa más de lo que parece

Si declaras “todos los sistemas de IA de la empresa” en tu alcance, te metes en un berenjenal. Yo declaré “sistemas de IA con impacto en clientes externos y procesos críticos internos”. Eso me dejó fuera del scope pilotos experimentales y herramientas internas de bajo riesgo. La auditora aceptó.

Copilot 365 es complicado de encajar

Es un sistema de IA, está dentro del alcance de cualquier organización con uso empresarial. Pero el control no es solo tuyo. Es de Microsoft. ¿Cómo justificas controles sobre algo que no controlas tú?

Lo que hice. Documenté el contrato con Microsoft como evidencia primaria de controles compartidos. DPA, EDP, attestations. Cada control de Annex A donde Microsoft es responsable principal, lo apoyé con documentación contractual.

Para los controles donde la responsabilidad es mía (configuración, supervisión, uso adecuado), construí mi documentación. Políticas internas de uso, capacitaciones, monitoreo, incident response.

Para los controles donde es responsabilidad compartida, documenté el split: qué hace Microsoft, qué hago yo, dónde está la frontera. Esto fue lo más laborioso.

El AI System Impact Assessment de cada caso de uso significativo de Copilot. Cada agente custom tiene su AIAS. Plantilla común, contenido específico.

Lo que me sorprendió

Que la auditoría no exigió evidencia técnica profunda de Copilot — Microsoft ya tiene certificaciones que la auditora aceptó como base. Mi trabajo fue probar mi gobierno encima de eso, no replicar la auditoría de Microsoft.

Que la madurez del programa importa más que la cantidad de documentos. La auditora preguntó cómo decido aprobar un nuevo caso de uso de Copilot. Le mostré el comité, las plantillas, las decisiones recientes con sus rationales. Eso convenció más que mil páginas estáticas.

Lo que está mal en muchos programas que vi después

Sobredocumentación. Mil páginas de políticas que nadie ha leído. Nadie aprueba un programa con políticas estáticas que no se aplican.

Subimplementación. Mucha política, poca evidencia operativa. La política dice “revisamos riesgos trimestralmente” pero no hay actas trimestrales. La auditora lo huele.

Si te pones a esto: empieza por el alcance honesto, después los AIAs de tus casos de uso principales, después la política. La política sin casos no protege a nadie.