MODERN WORKSECURITY15 junio, 201512 min de lectura

Cómo controlar los dispositivos que acceden a tu empresa con Microsoft 365

Este artículo, publicado originalmente en 2015, ha sido actualizado en mayo del 2026 para reflejar la evolución de Office 365 a Microsoft 365 y las capacidades actuales de seguridad, gestión de dispositivos y acceso condicional.

Cada vez es mayor el número de empleados que acceden a la información sensible de las empresas a través de portátiles, smartphones, tablets y otros dispositivos conectados, tanto corporativos como personales. Esta tendencia, agravada por el hecho de que muchos usuarios quieren trabajar con sus dispositivos personales (Bring Your Own Device o BYOD), representa una amenaza significativa para la seguridad de los datos de las empresas si no se gestiona adecuadamente.

Por tanto, contar con un sistema que controle el acceso a la información desde todo dispositivo móvil (Mobile Device Management o MDM) se ha convertido en una pieza clave para la seguridad de todas las empresas. Hoy, además del MDM, también es imprescindible hablar de Mobile Application Management (MAM), acceso condicional, autenticación multifactor y protección de la información corporativa.

En este sentido, Microsoft nos ofrece Microsoft Intune, que proporciona una completa gestión de dispositivos (tanto móviles como PCs) junto con la gestión avanzada de aplicaciones corporativas, y con la que puedes controlar y administrar el acceso de tus empleados desde cualquier dispositivo.

Desde la publicación original de este artículo, Office 365 ha evolucionado hacia Microsoft 365, una plataforma que integra productividad, seguridad, gestión de dispositivos, identidad y protección de datos. Por eso, cuando hablamos hoy de controlar los dispositivos que acceden a la empresa, ya no nos referimos únicamente a Office 365, sino al ecosistema completo de Microsoft 365, incluyendo Microsoft Intune, Microsoft Entra ID (antes Azure Active Directory), Microsoft Defender y Microsoft Purview.

No obstante, la seguridad en Microsoft 365 también incluye capacidades básicas de gestión de dispositivos para ayudar a las empresas a administrar dispositivos iOS/iPadOS, Android, Windows y macOS, dependiendo del plan contratado. Estas características permiten aplicar controles de seguridad sobre los dispositivos que acceden a los datos corporativos.

Para escenarios más avanzados, Microsoft Intune sigue siendo la solución recomendada, especialmente cuando se necesita una gestión completa de dispositivos, aplicaciones, cumplimiento, seguridad y acceso condicional.

¿Qué ofrece MDM para Microsoft 365 a las empresas?

MDM permite a los administradores de TI controlar qué dispositivos tienen acceso a datos de Microsoft 365, proporcionando la posibilidad de eliminar datos corporativos del dispositivo desde la consola de gestión en caso necesario.

Actualmente, estas capacidades se gestionan principalmente desde el centro de administración de Microsoft Intune y se integran con Microsoft Entra ID para controlar el acceso en función de la identidad del usuario, el estado del dispositivo, la ubicación, el riesgo y las aplicaciones utilizadas.

A continuación se detallan sus funcionalidades:

  • Dispositivos autorizados: Puedes establecer políticas de seguridad con las que determinar los tipos de dispositivos que pueden acceder a la información corporativa. Con esta función, tanto emails como documentos de todo tipo solo pueden ser utilizados por dispositivos autorizados por la compañía o por dispositivos que cumplan las políticas de seguridad definidas por la organización.
  • Gestión de dispositivos: También puedes crear políticas de seguridad tales como requerir una contraseña o PIN para trabajar con el dispositivo, exigir cifrado, bloquear dispositivos rooteados o con jailbreak, comprobar que el sistema operativo esté actualizado, restringir ciertas funciones del dispositivo y aplicar configuraciones de seguridad orientadas a proteger la información corporativa.
  • Informes: En el centro de administración de Microsoft Intune y en Microsoft Entra ID tienes informes con los que podrás obtener valiosa información sobre los dispositivos que acceden a los datos de tu empresa. Además, es posible revisar el estado de cumplimiento de los dispositivos, los inicios de sesión, los accesos bloqueados, los riesgos detectados y los dispositivos que ya no deberían seguir teniendo acceso.
  • Borrado selectivo de datos: Con esta función, si un dispositivo se pierde, ha sido robado o si el empleado ya no forma parte de la organización, los administradores pueden borrar los datos corporativos que había dentro del dispositivo, pudiendo opcionalmente hacerlo sin eliminar los datos personales del usuario. Esta capacidad es especialmente importante en escenarios BYOD, donde la empresa necesita proteger su información sin invadir la privacidad del empleado.
  • Protección de aplicaciones corporativas: Además de gestionar el dispositivo completo, Microsoft Intune permite proteger los datos corporativos dentro de aplicaciones como Outlook, Teams, OneDrive, SharePoint, Word, Excel o PowerPoint. Por ejemplo, se puede impedir que un usuario copie información de Outlook a una aplicación personal, guarde documentos en ubicaciones no autorizadas o comparta archivos corporativos con aplicaciones no gestionadas.
  • Acceso condicional: Microsoft 365 permite aplicar políticas de acceso condicional para decidir si un usuario puede acceder o no a los recursos corporativos según determinadas condiciones. Por ejemplo, se puede exigir MFA, bloquear el acceso desde países no autorizados, permitir acceso solo desde dispositivos conformes o limitar la descarga de archivos en equipos no gestionados.

Cómo administrar los dispositivos desde Microsoft 365

Los administradores de IT pueden gestionar y configurar las directivas de seguridad para los dispositivos iOS/iPadOS, Android, Windows y macOS desde el centro de administración de Microsoft Intune, mediante una interfaz fácil de usar y sin impactar en la productividad de los empleados.

El antiguo portal de administración de Office 365 ha dado paso a una administración mucho más integrada dentro de Microsoft 365. Hoy, la gestión de dispositivos, aplicaciones y políticas de cumplimiento se realiza desde Microsoft Intune, mientras que el control de identidades y accesos se gestiona desde Microsoft Entra ID.

Aquellas empresas que necesiten protección más allá de las capacidades básicas incluidas en Microsoft 365 tienen la posibilidad de licenciar Microsoft Intune, o utilizarlo dentro de planes como Microsoft 365 Business Premium, Microsoft 365 E3, Microsoft 365 E5 o Enterprise Mobility + Security, según el caso, para obtener capacidades adicionales de gestión de dispositivos y aplicaciones.

La gran ventaja actual es que Microsoft Intune ya no debe verse como una solución aislada, sino como una pieza central de la estrategia de seguridad de Microsoft 365. Intune se integra con Microsoft Entra ID, Microsoft Defender for Endpoint y las políticas de acceso condicional para permitir o bloquear accesos en función del estado real del usuario, del dispositivo y del nivel de riesgo.

Por ejemplo, una empresa puede definir una política que permita acceder al correo corporativo solo si:

  • El usuario ha iniciado sesión correctamente.
  • Tiene MFA activada.
  • El dispositivo está registrado o gestionado.
  • El dispositivo cumple las políticas de seguridad.
  • No se ha detectado un riesgo alto en el inicio de sesión.
  • La aplicación utilizada está autorizada por la compañía.

¿Y cuándo vamos a necesitar más de lo que nos ofrece Microsoft 365?

Cuando deseemos gestionar también los PC’s de nuestra empresa, desde su salud hasta desplegar aplicaciones y gestionar su protección de manera centralizada, entra en juego Microsoft Intune.

Microsoft Intune es un servicio basado en la nube que ayuda a tu empresa a proteger no solo dispositivos móviles y tablets, sino también los equipos Windows 10, Windows 11, macOS y, en determinados escenarios, dispositivos Linux, incluso aunque estos no se hayan unido a un dominio tradicional. Esto lo convierte en una solución ideal para empresas con modelos de trabajo híbrido, empleados distribuidos geográficamente o usuarios que trabajan desde múltiples ubicaciones y dispositivos.

A diferencia del enfoque tradicional, basado en proteger únicamente la red corporativa, Intune permite aplicar un modelo moderno de seguridad basado en Zero Trust. Este modelo parte de una premisa clara: no se debe confiar automáticamente en ningún usuario ni dispositivo, aunque esté dentro de la organización. Cada acceso debe verificarse en función de la identidad, el dispositivo, la ubicación, la aplicación, el riesgo y la sensibilidad de la información.

Intune incluye todas las capacidades básicas de MDM de Microsoft 365 y además:

  • Administración de aplicaciones: Los administradores de IT pueden desplegar y administrar tanto aplicaciones corporativas como controlar las de las tiendas de aplicaciones en los dispositivos móviles, pudiendo aplicar ciertas restricciones como no permitir copiar, cortar, pegar o guardar como. Además, mediante políticas MAM, es posible proteger los datos corporativos incluso en dispositivos personales no completamente gestionados por la empresa.
  • Control de navegación y acceso a recursos: Puedes restringir los sitios que pueden visitar los empleados de tu empresa. Actualmente, este control puede complementarse con Microsoft Defender, políticas de seguridad web, filtrado de contenido y reglas de acceso condicional para limitar qué usuarios y dispositivos acceden a determinados recursos corporativos.
  • Gestión avanzada de la seguridad: Puedes implementar y gestionar en los dispositivos perfiles de certificados, correo electrónico, VPN y Wi-Fi. También puedes exigir cifrado, configurar líneas base de seguridad, gestionar actualizaciones, establecer requisitos de cumplimiento y detectar dispositivos que no cumplen las políticas corporativas.
  • Gestión de PC’s: Administra dispositivos en la nube sin infraestructura requerida para gestionar PC’s, como su estado de salud, alarmas en caso de problemáticas, su protección y mucho más. Hoy esta gestión se centra especialmente en equipos Windows 10 y Windows 11, permitiendo aplicar configuraciones, desplegar aplicaciones, gestionar actualizaciones, preparar dispositivos con Windows Autopilot y aplicar políticas de seguridad de forma remota.
  • Inventarios de hardware y software: Puedes recopilar información sobre el hardware y el software utilizados en tu empresa como ayuda para planear un ciclo de actualización o para determinar si se ha instalado software no deseado en dispositivos administrados. Esta visibilidad es clave para detectar dispositivos obsoletos, aplicaciones no autorizadas, versiones vulnerables o activos que ya no deberían tener acceso a la información corporativa.
  • Acceso condicional basado en cumplimiento: Intune permite informar a Microsoft Entra ID sobre si un dispositivo cumple o no las políticas de seguridad. A partir de ahí, las políticas de acceso condicional pueden permitir, bloquear o limitar el acceso a Microsoft 365 según el estado del dispositivo.
  • Integración con Microsoft Defender for Endpoint: En escenarios avanzados, Intune puede integrarse con Microsoft Defender for Endpoint para tener en cuenta el nivel de riesgo del dispositivo. Por ejemplo, si un equipo presenta señales de compromiso o malware, se puede bloquear automáticamente su acceso a datos corporativos hasta que se resuelva la incidencia.
  • Protección de datos corporativos: Microsoft Intune, junto con Microsoft Purview, ayuda a proteger la información mediante etiquetas de sensibilidad, prevención de pérdida de datos, cifrado y controles sobre cómo se comparte la información dentro y fuera de la organización.

BYOD: cómo permitir dispositivos personales sin comprometer la seguridad

Una de las principales preocupaciones de las empresas es cómo permitir que los empleados trabajen con sus propios dispositivos sin poner en riesgo los datos corporativos.

Con Microsoft Intune, no siempre es necesario gestionar el dispositivo completo. En muchos casos, especialmente en escenarios BYOD, puede ser suficiente con gestionar únicamente las aplicaciones corporativas y los datos que contienen.

Por ejemplo, la empresa puede permitir que un empleado utilice Outlook o Teams en su móvil personal, pero aplicando políticas que impidan:

  • Copiar datos corporativos en aplicaciones personales.
  • Guardar documentos en ubicaciones no autorizadas.
  • Abrir archivos corporativos con aplicaciones no gestionadas.
  • Realizar capturas de pantalla en determinados contextos, según la plataforma y configuración disponible.
  • Mantener datos corporativos en el dispositivo si el usuario deja la compañía.

De esta forma, se consigue un equilibrio entre seguridad, productividad y privacidad del empleado. La empresa protege sus datos, pero no necesita acceder a la información personal del usuario.

Acceso condicional: controlar no solo el dispositivo, sino el contexto

Uno de los mayores avances respecto al enfoque original de MDM es el acceso condicional. Ya no se trata únicamente de saber si un dispositivo está autorizado, sino de decidir en tiempo real si un acceso debe permitirse, bloquearse o limitarse según el contexto.

Con Microsoft Entra ID, una empresa puede aplicar políticas como: exigir autenticación multifactor a todos los usuarios, bloquear accesos desde ubicaciones o países no autorizados, permitir acceso completo solo desde dispositivos gestionados y conformes, permitir acceso web, pero impedir la descarga de archivos en dispositivos no gestionados, y más.

Esto permite aplicar una seguridad mucho más inteligente y adaptada a cada situación, reduciendo la dependencia de la contraseña como único mecanismo de protección.

Checklist básico para controlar los dispositivos que acceden a tu empresa

Antes de permitir el acceso a la información corporativa desde cualquier dispositivo, es recomendable revisar los siguientes puntos:

  1. Activar MFA para todos los usuarios, especialmente administradores.
  2. Registrar y gestionar dispositivos corporativos con Microsoft Intune.
  3. Definir políticas de cumplimiento para Windows, macOS, iOS/iPadOS y Android.
  4. Exigir cifrado, bloqueo de pantalla y sistemas operativos actualizados.
  5. Bloquear dispositivos con jailbreak, rooteados o no conformes.
  6. Aplicar políticas de protección de aplicaciones para escenarios BYOD.
  7. Configurar acceso condicional en Microsoft Entra ID.
  8. Limitar la descarga de archivos en dispositivos no gestionados.
    Revisar periódicamente los dispositivos registrados y eliminar los obsoletos.
  9. Integrar Intune con Microsoft Defender for Endpoint en escenarios avanzados.
  10. Definir un procedimiento de borrado remoto o retirada de datos corporativos.

Conclusión

Las nuevas funcionalidades incorporadas a Microsoft 365 añaden todavía más valor a la plataforma y otorgan capacidad suficiente para cumplir con las necesidades de seguridad, movilidad y productividad demandadas por las empresas y los constantes cambios del mercado.

Desde la publicación original de este artículo, el escenario ha cambiado de forma significativa. Office 365 ha evolucionado a Microsoft 365, Windows Phone ha quedado atrás, el trabajo híbrido se ha consolidado y los dispositivos personales forman parte del día a día de muchas organizaciones. Por eso, controlar los dispositivos que acceden a la empresa requiere hoy una estrategia más completa de servicios gestionados en Microsoft 365.

La clave ya no está solo en permitir o bloquear dispositivos, sino en proteger los datos corporativos allí donde estén: en un portátil corporativo, en un móvil personal, en una aplicación cloud o en un acceso desde fuera de la oficina.

Con una configuración adecuada, Microsoft 365 permite ofrecer a los empleados la flexibilidad que necesitan sin renunciar a la seguridad que exige la empresa. Y si todavía necesitamos más control, automatización, visibilidad y protección avanzada, aquí sí: Microsoft Intune se convierte en una pieza fundamental.

Artículos relacionados

NOTICIA

Softeng, reconocido como Microsoft Fabric Featured Partner

Descubre más

ARTÍCULO

Microsoft Copilot: ¿multiplicar la eficiencia o amplificar el caos?

Descubre más

ARTÍCULO

Copilot Chat, Microsoft 365 Copilot y Copilot Studio: diferencias y cuándo usar cada uno

Descubre más

ARTÍCULO

Qué hacer ante un ciberataque: 3 claves para gestionar una crisis de seguridad

Descubre más