Conditional Access en Entra siempre fue donde se decidían los detalles.
Quién entra, en qué condiciones, con qué autenticación. Cuando llegó el agente
de Conditional Access en Security Copilot, tenía expectativas mixtas. Pasados
varios meses con él en producción, voy a contar la experiencia.
Qué hace el agente
Tres cosas principales. Analiza tus políticas de Conditional Access
existentes para encontrar contradicciones, redundancias, gaps. Sugiere
optimizaciones — consolidar, simplificar, fortalecer. Y, opcionalmente con tu
aprobación, las aplica.
Mi tenant tenía 47 políticas de Conditional Access. Acumuladas a lo largo
de tres años, con dueños distintos, criterios distintos, niveles de comprensión
distintos. El estándar de muchos tenants medianos.
El agente, primer scan: marcó 4 contradicciones, 11 redundancias, 6 gaps.
Total 21 hallazgos de los 47 policies.
Los hallazgos
Las contradicciones eran graves. Una política bloqueaba acceso desde
geografía X. Otra, más reciente, lo permitía con condición Y. La interacción
entre ambas dejaba un escenario donde acceso desde X con Y pasaba sin la
fricción que la política original quería. Yo no había detectado esa
interacción.
Las redundancias eran ruido. Tres políticas hacían lo mismo con criterios
ligeramente distintos. Consolidamos en una con criterios bien definidos.
Los gaps eran lo más útil. Casos donde “esperarías” tener una política y
no había. Por ejemplo: ningún policy bloqueaba tokens de OAuth obtenidos desde
aplicaciones de tercer país no aprobado. Lo cubrimos.
Lo que el agente hace bien
Volumen de análisis. Yo no tengo el tiempo de revisar 47 policies con
detalle cada quarter. El agente sí.
Patrones conocidos. Microsoft ha visto millones de configuraciones. El
agente conoce los antipatterns. Los marca.
Sugerencias razonadas. No solo dice “cambia X por Y”. Dice “X tiene
problema A, te sugiero Y porque resuelve A sin abrir gap B”.
Lo que el agente no hace bien
Lo específico de tu negocio. El agente no sabe que tu sucursal en X tiene
una excepción legítima por razones que no están documentadas. Las sugerencias
en esos casos pueden empujar hacia una simplicidad que rompe operación. Hay que
filtrar.
Lo político. “Reducir esta política afecta al departamento de Y, que va a
quejarse”. El agente no ve esa dinámica. Tú sí.
Cómo lo opero
Reviso al agente quincenalmente. No diariamente — me satura. No
mensualmente — me pierdo cosas. Quincenal funciona.
Apruebo cambios solo si los entiendo. La tentación de “auto-aprobar todo
lo que sugiera” es real. La resisto. Cada cambio que aprueba, lo entiendo. Si
no lo entiendo, no lo apruebo. Eso me ha bajado la velocidad pero subido la
confianza.
Roto el dueño de las revisiones. Antes era yo siempre. Ahora roto entre
dos personas del equipo. Eso me da double-check humano sobre el agente.
Mi métrica: número de incidents de identidad relacionados con
misconfiguration de CA. Bajó 40% el primer trimestre con el agente activo.
Suficiente para justificar el costo de SCUs.
¿Recomendación? Si tu tenant tiene más de 20 policies de CA, el agente
vale la pena. Si tienes menos, probablemente no necesitas la herramienta. La
complejidad escala el valor.
No hay comentarios.:
Publicar un comentario