Checklist M365

Agregar dominio(s) personalizados al Centro de Administración M365. Verificar mediante registro DNS TXT en tu registrador o Cloudflare.

Establecer tu dominio personalizado como predeterminado para nuevos usuarios. Actualizar sufijos UPN.

Configurar nombre de la org, dirección, configuración de privacidad y preferencias de lanzamiento (Estándar vs Dirigido).

Crear Admin Global de emergencia (excluido de políticas MFA para emergencias), al menos 2 administradores.

Asignar licencias apropiadas (Business Basic/Standard/Premium, E3, E5). Monitorear uso mensualmente.

Entra ID → Protección → Métodos de autenticación. Requerir Microsoft Authenticator + llaves FIDO2.

Políticas base: Requerir MFA para admins, bloquear autenticación legacy, bloquear inicios de sesión de alto riesgo, requerir dispositivo compatible.

Habilitar para todos los usuarios. Requerir 2 métodos de verificación. Configurar writeback local si es híbrido.

Habilitar lista de contraseñas prohibidas. Establecer expiración nunca (recomendación NIST con MFA). Exigir mínimo de 14 caracteres.

Definir IPs de confianza (VPN de oficina). Bloquear inicios de sesión desde países de alto riesgo. Habilitar Protección de Identidad.

Configurar ajustes de colaboración B2B. Restringir invitaciones a administradores específicos. Revisar usuarios externos trimestralmente.

Para tenants pequeños: habilitar Valores Predeterminados de Seguridad. Para avanzado: deshabilitar y usar Acceso Condicional + políticas personalizadas.

Anti-phishing, anti-spam, anti-malware, enlaces seguros, archivos adjuntos seguros. Establecer en preset estándar o estricto.

Microsoft Purview → Auditoría. Habilitar Registro de Auditoría Unificado. Configurar retención (90+ días recomendado).

Alertas para: cambios de rol de admin, reglas de reenvío sospechosas, eliminación masiva de archivos, viaje imposible.

Restringir uso compartido externo a "Invitados existentes" o "Dominios específicos". Bloquear enlaces anónimos.

Restringir acceso externo a dominios permitidos. Bloquear intercambio de archivos en chats externos. Revisar políticas de reuniones.

Configurar inscripción MDM automática. Establecer restricciones de inscripción (bloquear dispositivos personales si es necesario).

Requerir BitLocker, firewall, versión mínima de SO, antivirus, bloqueo de pantalla con contraseña/PIN.

Desplegar perfiles Wi-Fi, configuraciones VPN, confianza de certificados, anillos de Windows Update.

Requerir PIN para aplicaciones gestionadas. Bloquear copiar/pegar entre aplicaciones gestionadas y personales.

Revisar usuarios activos vs licencias. Recuperar licencias no utilizadas. Verificar facturación por cargos inesperados.

Revisar registros de inicio de sesión de Entra ID, usuarios riesgosos, efectividad de políticas de Acceso Condicional, Secure Score.

Checklist de incorporación: crear usuario, asignar grupos + licencias, inscribir dispositivo. Desvinculación: revocar sesiones, convertir a buzón compartido, eliminar licencias después de 30 días.

Usar una solución de respaldo M365 de terceros (Veeam, Synology Active Backup, etc.). Exchange, SharePoint, Teams, OneDrive no tienen respaldo nativo de Microsoft.