Hard2bit
← Volver al blog

Auditoría de Microsoft 365: checklist completa para empresas

Por Adrián González · 13 de marzo de 2026
Ciberamenazas
Checklist Auditoría de Microsoft 365

Microsoft 365 se ha convertido en el centro operativo de muchísimas empresas. Correo, identidad, colaboración, documentos, acceso remoto, administración y parte de la seguridad diaria conviven en el mismo entorno. Y precisamente por eso, cuando la configuración no está bien pensada, el riesgo también se concentra.

En la práctica, muchas organizaciones creen que “tener Microsoft 365” equivale a “estar razonablemente protegidas”. Pero no siempre es así. Una mala política de acceso, una cuenta privilegiada expuesta, un exceso de permisos heredados o una configuración débil en correo y colaboración pueden abrir la puerta a incidentes con impacto real.

Por eso una auditoría de Microsoft 365 no debería verse como una revisión superficial ni como una checklist rápida para marcar casillas. Debería entenderse como una evaluación estructurada de la seguridad real del entorno: identidad, privilegios, acceso condicional, correo, colaboración, telemetría, administración y capacidad de respuesta.

En esta guía encontrarás una checklist completa de auditoría de Microsoft 365 para empresas, pensada para ayudarte a detectar debilidades, priorizar mejoras y entender qué debería revisar una organización que quiera reducir exposición, ganar control y madurar su postura de seguridad.

Qué es una auditoría de Microsoft 365

Una auditoría de Microsoft 365 es una revisión técnica y funcional del entorno con el objetivo de analizar su postura de seguridad, detectar configuraciones débiles, identificar riesgos relevantes y proponer mejoras priorizadas.

No consiste solo en comprobar si el MFA está activado. Una auditoría seria revisa, entre otros aspectos:

  • configuración de identidad en Entra ID
  • cuentas con privilegios elevados
  • políticas de Conditional Access
  • métodos de autenticación
  • postura de Exchange Online
  • permisos y compartición en SharePoint y OneDrive
  • control de Teams y colaboración externa
  • logging, alertas y monitorización
  • exposición operativa y administrativa
  • coherencia entre controles, riesgo y necesidad de negocio

El objetivo real no es acumular checks. El objetivo es responder preguntas más útiles:

  • ¿Dónde está hoy la exposición real?
  • ¿Qué fallos son críticos y cuáles no?
  • ¿Qué quick wins conviene abordar primero?
  • ¿Qué controles faltan para operar con más seguridad?
  • ¿Está la empresa preparada para auditoría, comité o revisión de terceros?

Por qué una empresa debería revisar la seguridad de Microsoft 365

Muchas organizaciones asumen que, por tratarse de una plataforma cloud madura, la seguridad ya viene resuelta. La realidad es distinta: Microsoft ofrece capacidades muy potentes, pero la seguridad efectiva depende de cómo se diseñen, se activen, se mantengan y se gobiernen esas capacidades.

Una empresa debería plantearse una auditoría cuando se da alguna de estas situaciones.

Microsoft 365 ya es crítico para la operación

Si correo, identidad, colaboración y documentos dependen de Microsoft 365, cualquier debilidad en el tenant afecta de forma directa a la operativa diaria.

No ha existido una revisión formal previa

Es muy habitual que el entorno crezca por capas: nuevos usuarios, grupos, integraciones, apps, excepciones, delegaciones, cambios en Teams o SharePoint. Con el tiempo, la configuración deja de ser coherente, aunque “todo siga funcionando”.

Hay dudas sobre identidad, MFA o privilegios

Uno de los mayores focos de riesgo está en cuentas privilegiadas, MFA mal planteado, métodos inseguros o políticas de acceso condicional incompletas.

Ha habido cambios importantes

Migraciones, adquisiciones, teletrabajo, apertura a terceros, uso intensivo de colaboración externa o nuevos requisitos de cliente suelen aumentar la exposición.

La empresa necesita más trazabilidad

Clientes, auditorías, compliance, comité o proveedores críticos pueden exigir evidencias de control y una visión más seria del entorno.

Riesgos más frecuentes en Microsoft 365

Antes de entrar en la checklist, conviene aterrizar qué problemas aparecen con más frecuencia en entornos reales.

Identidades sobredimensionadas

Usuarios con más permisos de los necesarios, grupos mal mantenidos, administradores globales excesivos o cuentas antiguas con privilegios persistentes.

MFA mal diseñado

MFA activado parcialmente, aplicado solo a parte del entorno, con métodos débiles o con exclusiones demasiado amplias.

Conditional Access insuficiente

Políticas poco maduras, ausencia de segmentación por riesgo, controles demasiado permisivos o falta de lógica según rol, ubicación o dispositivo.

Correo expuesto

Protecciones débiles frente a phishing, reenvíos indebidos, reglas sospechosas o falta de control sobre autenticación del correo.

Colaboración externa sin gobernanza

Compartición excesiva en SharePoint, OneDrive o Teams, enlaces abiertos, invitados externos sin seguimiento o permisos heredados nunca revisados.

Falta de visibilidad útil

Sin logs adecuados, sin alertas bien trabajadas o sin explotación operativa de la telemetría disponible.

Ausencia de revisión continua

El tenant puede parecer correcto hoy y degradarse poco a poco si no existe criterio de operación, control de cambios y revisión periódica.

Checklist de auditoría de Microsoft 365 para empresas

A continuación tienes una checklist estructurada por bloques. No todos los puntos pesan igual, pero juntos permiten entender bastante bien el estado real del entorno.

1. Revisión de identidad y Entra ID

La identidad es el centro de gravedad de Microsoft 365. Si esta capa falla, el resto de controles pierde valor.

Qué revisar

  • inventario de usuarios activos, inactivos y heredados
  • cuentas compartidas o genéricas
  • cuentas con privilegios elevados
  • administradores globales y roles de alto impacto
  • grupos con permisos sensibles
  • cuentas sin propietario claro
  • cuentas de servicio, automatización o integraciones
  • configuraciones de riesgo de inicio de sesión
  • coherencia entre identidades on-premise y cloud si existe sincronización

Señales de riesgo

  • demasiados administradores globales
  • cuentas antiguas aún activas
  • usuarios con privilegios que no corresponden a su función
  • cuentas técnicas sin controles reforzados
  • ausencia de revisión periódica de roles

Qué debería salir de una auditoría

Una auditoría profesional debe identificar con claridad:

  • qué cuentas tienen privilegios excesivos
  • qué roles se pueden reducir
  • qué cuentas requieren protección reforzada
  • qué grupos o asignaciones necesitan limpieza

Si además tu organización está trabajando la capa de identidad y Zero Trust, esta parte cobra todavía más importancia.

2. MFA y autenticación multifactor

El hecho de “tener MFA” no significa necesariamente que el entorno esté bien protegido.

Qué revisar

  • porcentaje real de usuarios cubiertos
  • cobertura de cuentas privilegiadas
  • métodos de MFA permitidos
  • uso de métodos más robustos frente a métodos débiles
  • políticas de alta y renovación
  • excepciones existentes
  • acceso heredado o clientes antiguos
  • mecanismos de recuperación de cuenta

Señales de riesgo

  • exclusiones amplias y mal justificadas
  • MFA no obligatorio para administradores
  • uso de métodos débiles como única capa
  • ausencia de bloqueo de autenticación heredada
  • políticas incoherentes entre usuarios internos y externos

Buen criterio

Una auditoría útil no se queda en “sí/no hay MFA”. Valora si está implantado con cobertura, lógica y nivel de madurez suficientes.

3. Conditional Access y control de acceso

Conditional Access suele marcar la diferencia entre un tenant simplemente funcional y un tenant razonablemente gobernado.

Qué revisar

  • número y calidad de políticas activas
  • políticas por rol, criticidad o contexto
  • control por ubicación, dispositivo o riesgo
  • segmentación específica para administradores
  • acceso desde dispositivos no gestionados
  • acceso desde ubicaciones o escenarios sensibles
  • bloqueos, excepciones y dependencias
  • coherencia entre políticas y operativa real

Señales de riesgo

  • políticas mínimas o demasiado genéricas
  • ausencia de protección específica para admins
  • exclusiones permanentes que debilitan el modelo
  • tenant utilizable pero poco controlado
  • políticas activadas sin revisión de impacto

Qué debería aportar la auditoría

No solo una foto estática, sino una propuesta clara de mejora: qué políticas faltan, cuáles están mal planteadas y cuáles pueden endurecerse sin generar fricción innecesaria.

4. Cuentas privilegiadas y administración

Las cuentas privilegiadas concentran una parte desproporcionada del riesgo.

Qué revisar

  • roles administrativos existentes
  • cuentas break-glass y su protección
  • uso diario de cuentas con privilegios
  • separación entre cuentas personales y administrativas
  • protección reforzada de administradores
  • revisión de grupos y permisos administrativos
  • asignación temporal o permanente de privilegios
  • trazabilidad sobre actividad administrativa

Señales de riesgo

  • admins globales usados para tareas rutinarias
  • falta de cuentas administrativas separadas
  • privilegios permanentes innecesarios
  • ausencia de revisión formal de accesos privilegiados

Resultado esperado

La empresa debería salir de la auditoría con un mapa claro de privilegios y una estrategia realista para reducir riesgo administrativo.

5. Exchange Online y seguridad del correo

El correo sigue siendo una de las superficies de ataque más explotadas en el entorno empresarial.

Qué revisar

  • políticas anti-phishing, anti-malware y anti-spam
  • protección frente a impersonación
  • configuración de autenticación del correo
  • reglas de transporte y excepciones
  • buzones con configuración sensible
  • reenvíos automáticos
  • reglas de usuario sospechosas
  • accesos delegados y permisos de buzón
  • comportamientos anómalos o exposiciones evitables

Señales de riesgo

  • reenvíos externos activos sin control
  • reglas extrañas de bandeja
  • políticas poco afinadas contra phishing
  • dominios sin protección bien alineada
  • excepciones amplias para remitentes o flujos

Qué debe revisar una auditoría seria

No solo si existe protección básica, sino si el correo está realmente defendido frente a phishing, BEC, forwarding indebido y abuso interno.

6. SharePoint, OneDrive y Teams

La colaboración es uno de los grandes valores de Microsoft 365, pero también uno de los focos de exposición más silenciosos cuando no se gobierna bien.

Qué revisar

  • compartición interna y externa
  • configuración de enlaces
  • permisos heredados y accesos excesivos
  • sitios o bibliotecas sensibles
  • propietarios reales de espacios colaborativos
  • gobierno de Teams
  • invitados externos
  • acceso a información desde dispositivos no controlados
  • etiquetado y control de información sensible si aplica

Señales de riesgo

  • compartición abierta por defecto
  • invitados externos sin seguimiento
  • falta de segmentación entre información sensible y no sensible
  • proliferación de espacios sin gobierno claro
  • permisos históricos nunca revisados

Resultado esperado

La auditoría debe convertir la colaboración en riesgo comprensible: qué está demasiado abierto, qué debe restringirse y dónde falta control.

7. Aplicaciones, consentimiento y exposición derivada

Este es uno de los puntos más infravalorados en muchos tenants.

Qué revisar

  • aplicaciones empresariales conectadas
  • permisos concedidos
  • consentimientos de usuario y de administrador
  • apps con privilegios elevados
  • integraciones no justificadas
  • conectores con acceso sensible
  • revisión de propietarios y uso real

Señales de riesgo

  • aplicaciones con acceso amplio a correo o archivos
  • consentimientos históricos no revisados
  • apps sin dueño claro
  • exceso de confianza en integraciones heredadas

Por qué importa

Muchas exposiciones relevantes no entran solo por credenciales comprometidas. También aparecen por aplicaciones con permisos amplios mal gobernadas.

8. Logging, alertas y capacidad de detección

Sin visibilidad suficiente, el tenant puede parecer sano hasta que ocurre un incidente.

Qué revisar

  • logging habilitado y retenido de forma útil
  • eventos disponibles para investigación
  • alertas de seguridad configuradas
  • casos de uso realmente accionables
  • revisión de actividad administrativa
  • anomalías de inicio de sesión
  • señales de riesgo sobre correo, archivos y acceso
  • integración con SIEM o servicios de monitorización si aplica

Señales de riesgo

  • logs insuficientes
  • alertas irrelevantes o sin explotación
  • falta de revisión periódica
  • dependencia exclusiva de una revisión manual esporádica

Qué debe responder la auditoría

No solo si hay logs, sino si esos logs sirven para alertar, investigar y responder con criterio.

Si la organización necesita además una capa más operativa, este punto enlaza muy bien con servicios como SOC para empresas o SOC gestionado.

9. Hardening general del tenant

Más allá de cada bloque, una auditoría de Microsoft 365 debe revisar la coherencia global del entorno.

Qué revisar

  • configuración base del tenant
  • postura general de seguridad
  • valores por defecto inseguros
  • funciones activadas sin necesidad real
  • configuraciones heredadas
  • consistencia entre políticas y operación
  • alineación entre criticidad del negocio y nivel de control

Señales de riesgo

  • entorno funcional pero poco endurecido
  • demasiadas excepciones
  • controles aplicados sin una estrategia clara
  • falta de baseline técnica

Errores habituales en una auditoría interna de Microsoft 365

Muchas empresas intentan revisar su entorno con recursos internos. Puede ser útil como primer paso, pero suele quedarse corta.

Quedarse en una revisión superficial

Mirar unos pocos dashboards o comprobar cuatro ajustes no equivale a una auditoría.

No priorizar

No todos los hallazgos pesan igual. Sin criterio, se genera una lista infinita de tareas sin impacto real.

No conectar seguridad con negocio

Un hallazgo solo es útil cuando se entiende su riesgo, su impacto y su prioridad.

No revisar privilegios con seriedad

Los permisos heredados y la administración excesiva suelen ser uno de los problemas más persistentes.

No traducir resultados en roadmap

Una auditoría sin plan de acción se queda a medio camino.

Qué entregables debería incluir una auditoría profesional de Microsoft 365

Una buena auditoría no termina en un “está bien” o “hay cosas por mejorar”. Debería incluir al menos:

  • resumen ejecutivo
  • descripción del alcance
  • análisis por dominios revisados
  • hallazgos priorizados por criticidad
  • explicación del riesgo de cada hallazgo
  • quick wins
  • roadmap de remediación
  • recomendaciones técnicas y de gobierno
  • evidencias o trazabilidad suficiente para justificar conclusiones

Ese punto es importante: la calidad de una auditoría no se mide por el número de páginas, sino por su capacidad para ayudar a decidir y actuar.

Cuándo conviene pasar de revisión interna a auditoría especializada

Una empresa debería considerar una revisión especializada cuando:

  • Microsoft 365 es crítico para la operación
  • hay cuentas privilegiadas y dependencia fuerte de identidad
  • se usa intensivamente correo, Teams, SharePoint y OneDrive
  • existen integraciones o apps conectadas con permisos altos
  • hay exigencias de clientes, auditoría o terceros
  • se quiere una evaluación seria antes de endurecer el entorno
  • ya se sospecha que la configuración ha crecido sin una estrategia clara

En estos casos, una auditoría especializada suele aportar más claridad, más criterio y mejor priorización que una revisión interna aislada.

Cómo usar esta checklist en la práctica

Esta checklist puede servirte de tres formas.

Como autoevaluación inicial

Te ayuda a entender qué deberías estar revisando y dónde suelen esconderse los problemas.

Como guía para preparar una auditoría

Te permite ordenar expectativas y comprobar si el alcance planteado tiene sentido.

Como base para hablar con un especialista

Si tu empresa necesita una auditoría de Microsoft 365, esta estructura te ayudará a pedir una revisión más útil, menos superficial y mejor enfocada.


Resumiendo, Microsoft 365 concentra hoy una parte enorme de la superficie de riesgo de muchas empresas. Por eso una auditoría ya no debería verse como algo cosmético o secundario. Es una forma directa de ganar control sobre identidad, acceso, correo, colaboración y administración.

La clave no está en revisar más, sino en revisar mejor: con foco en exposición real, criterio técnico, capacidad de priorización y una salida práctica en forma de roadmap.

Si tu organización depende de Microsoft 365 y no ha revisado su postura de seguridad de forma estructurada, esta checklist es un buen punto de partida. Y si necesitas una evaluación profunda, la diferencia la marcará una auditoría que convierta configuración en decisiones útiles.

Si quieres revisar tu entorno con más profundidad, puedes ver también nuestros servicios de seguridad de Microsoft 365, consultoría de ciberseguridad o contactar directamente con el equipo desde la página de contacto.

Preguntas frecuentes sobre auditoría de Microsoft 365

¿Qué incluye una auditoría de Microsoft 365?

Normalmente incluye revisión de Entra ID, MFA, Conditional Access, cuentas privilegiadas, Exchange Online, SharePoint, OneDrive, Teams, aplicaciones, logs, alertas y hardening general del tenant.

¿Cuánto dura una auditoría de seguridad de Microsoft 365?

Depende del tamaño y complejidad del entorno, pero una auditoría real no debería limitarse a una revisión automática. Lo importante es el alcance y la calidad del análisis.

¿Una auditoría de Microsoft 365 sirve solo para grandes empresas?

No. También aporta mucho valor en pymes y medianas empresas, especialmente cuando Microsoft 365 es una pieza crítica de la operación diaria.

¿Cuál es la diferencia entre una auditoría de Microsoft 365 y una revisión rápida?

La revisión rápida suele ser superficial. Una auditoría estructurada analiza identidad, acceso, privilegios, correo, colaboración, logging y postura general con más profundidad y criterio.

¿Qué es lo primero que suele fallar en Microsoft 365?

Con mucha frecuencia aparecen problemas en MFA, privilegios administrativos, Conditional Access, compartición excesiva y falta de revisión de aplicaciones o permisos heredados.

¿Cada cuánto conviene revisar Microsoft 365?

No hay una única respuesta, pero conviene revisarlo de forma más seria cuando hay cambios importantes, crecimiento, nuevas integraciones, exigencias de clientes o señales de madurez insuficiente.