
Restauración de Entra ID y a un punto en el tiempo: recuperación total para el MSP moderno
La mayoría partimos de ciertas suposiciones sobre la infraestructura de IT en la nube: que estará en línea (casi) siempre, que podremos acceder a ella desde cualquier lugar, que será segura y estará protegida, y que el proveedor en la nube “se encarga de todo”.
Sin embargo, si das un paso atrás y observas el diseño general de Microsoft 365 y Entra ID, verás que la piedra angular es la identidad. Aunque tengas copias de seguridad de cada documento, cada lista y cada ajuste de configuración (mucha suerte con eso), si el administrador no puede iniciar sesión, el usuario no puede acceder a sus datos y las aplicaciones no funcionan porque no pueden autenticarse, el negocio queda bloqueado.
Y, aunque la mayoría pensamos en Entra ID (antes conocido como Azure Active Directory, AAD) como un lugar para almacenar cuentas de usuarios, dispositivos y grupos, es mucho más que eso.
Tabla de contenido
Dependencias de las aplicaciones en Entra ID
Cada aplicación que se integra de alguna forma con la plataforma subyacente de Microsoft 365 (más de 700 de Microsoft, además de todas las de terceros que el administradores o el personal haya añadido) tiene ajustes esenciales de configuración y autenticación almacenados en Entra ID. Sin ellos, no funcionarán.
Entra ID también controla el acceso a canales compartidos de Teams en otros tenants, y todas las directivas de acceso condicional que permiten o bloquean inicios de sesión de usuarios de riesgo o dispositivos no fiables residen en Entra ID. Si utilizas Identity Governance, tendrás derechos y paquetes de acceso que asignan recursos y aplicaciones de forma automática a las usuarios adecuados en el momento adecuado.

Además, Entra no es una isla. La mayoría de las empresas trabajan en modo híbrido, con Windows Server Active Directory local como fuente de referencia para cuentas de usuarios y grupos, que luego se sincronizan con Entra ID.
Muchas organizaciones también dependen de sistemas de RR. HH. para la configuración inicial de nuevos usuarios y para controlar el acceso a aplicaciones y recursos.
Interrupciones históricas que afectaron a regiones completas
Quienes estuvimos presentes en los primeros años de Microsoft 365 sabemos que AAD sufría interrupciones generalizadas ocasionales, que afectaban a regiones enteras e incluso, a veces, al acceso global de grandes grupos de usuarios durante muchas horas.
Por suerte, hoy esas grandes interrupciones son poco frecuentes, gracias a que Microsoft rediseñó la plataforma subyacente para que fuera mucho más resiliente, con “shards” más pequeños que dan servicio a menos tenants y con autenticación de respaldo que entra en funcionamiento de forma transparente cuando la plataforma principal no responde.
Pero las interrupciones siguen ocurriendo, y recuerdan una realidad básica: si no puedes iniciar sesión, nada más funciona.
Y si eres un MSP responsable de tenants de terceros, asumir este riesgo con una copia de seguridad adecuada, en lugar de depender únicamente de Microsoft, es la opción más prudente.
Principales riesgos para tu tenant de Entra ID
Cómo gestionar interrupciones de la plataforma
Cualquier empresa debe tener en cuenta varios riesgos para su plataforma de gestión de identidades, que está en el centro de todo en la nube de Microsoft. El más evidente es una interrupción de la propia plataforma.
En esta situación, lo único que se puede hacer es esperar a que Microsoft restablezca el servicio y, mientras tanto, gestionar la comunicación con la empresa (a través de un canal que no dependa de M365). Por suerte, este tipo de interrupciones son muy poco frecuentes.
Errores humanos y configuraciones incorrectas
Son más probables los errores humanos, como que un administrador elimine el grupo o la cuenta de usuario equivocados, cambie el alcance de una directiva de acceso condicional o cometa un error similar. Un factor de riesgo importante es la automatización y el uso de scripts, donde un pequeño cambio puede afectar a 200 grupos en lugar de al grupo previsto, por ejemplo.
La versión más peligrosa de esto es un atacante que consigue acceso a la solución de Identity and Access Management (IAM), ya sea Active Directory, Entra ID o ambos.
Según su nivel de acceso y sus objetivos (espionaje frente a ransomware), podría eliminar todas las demás cuentas de administrador salvo la suya, o simplemente crear cuentas y service principals / aplicaciones empresariales para mantener el acceso si se le descubre y se cree que ya se le ha expulsado del entorno.
Los objetos eliminados de usuarios, grupos y directivas de acceso condicional tienen una papelera de “soft delete” integrada durante 30 días. Sin embargo, si se dispone de acceso de administrador, se pueden eliminar de estas ubicaciones para dificultar la recuperación de la empresa.
Corrupción sutil y ataques a las copias de seguridad
Otro enfoque más insidioso consiste en modificar de forma sutil cuentas, pertenencias a grupos y directivas de acceso para corromper la propia plataforma de identidad. El 15% de los ataques de ransomware atacan específicamente las copias de seguridad para paralizar aún más a la empresa y aumentar la probabilidad de pago.
En todos estos casos, necesitas más que las herramientas integradas para una restauración fiable de Entra ID. Para los MSP, el impacto es aún mayor. Imagina recrear manualmente cientos de grupos o cuentas de usuario, junto con sus relaciones y ajustes de acceso, basándote en documentación y como horas no facturables, frente a una recuperación a un punto en el tiempo con unos pocos clics.
Por qué tu copia de seguridad actual deja una brecha
La mayoría de las empresas hacen copias de seguridad de sus servidores Domain Controller locales, pero incluso con una arquitectura híbrida eso solo cubre la mitad del problema. Sí, ahora puedes restaurar usuarios y grupos locales (siempre que los delincuentes no hayan manipulado la copia de seguridad) y sincronizarlos con Entra ID, pero hay muchas otras configuraciones que solo existen en Entra ID.
Si tu organización solo utiliza Entra ID, la mayoría de las empresas no tienen ninguna copia de seguridad de su plataforma de identidad, lo que deja una brecha enorme. Imagina tener una copia verificada de cada documento de SharePoint y OneDrive, junto con cada buzón, pero no poder usarla porque ya no existen las cuentas de usuario y de grupo que tienen permisos sobre ellos.
En última instancia, es importante entender que Microsoft no asume la responsabilidad de tus datos en Entra ID / Microsoft 365. Esta es una cita del Contrato de servicios de Microsoft:
Nos esforzamos por mantener los Servicios en funcionamiento; sin embargo, todos los servicios en línea sufren interrupciones ocasionales, y Microsoft no se hace responsable de ninguna interrupción o pérdida que puedas sufrir como resultado. En caso de interrupción, es posible que no puedas recuperar tu Contenido o Datos almacenados. Te recomendamos que hagas copias de seguridad periódicas de tu Contenido y Datos que almacenes en los Servicios o mediante aplicaciones y servicios de terceros.
Herramientas nativas de Entra ID y sus limitaciones
Como se ha mencionado, los objetos de usuarios, grupos y directivas de CA se almacenan temporalmente en una papelera durante 30 días tras su eliminación, lo que se conoce como soft-delete. Después se eliminan de forma definitiva. Aquí puedes ver algunos usuarios eliminados, junto con la opción de restaurarlos o eliminarlos de forma definitiva.

Recientemente, Microsoft ha añadido un panel de Backup and recovery (en versión preliminar en el momento de escribir este artículo). Está activado por defecto, toma una instantánea cada 24 horas, conserva cinco días de historial y permite comparar el estado actual con cualquiera de esos puntos en el tiempo mediante Difference Reports.
Esta función no está pensada para una recuperación completa de Entra ID. Está más orientada a ver cambios individuales en un objeto a lo largo del tiempo y poder revertirlos.

Conviene señalar que no sabemos si esta funcionalidad formará parte de licencias costosas cuando alcance la disponibilidad general, ni si estará disponible un periodo de revisión superior a cinco días o copias más frecuentes que una vez cada 24 horas.
Lo más preocupante es que estas copias se almacenan en la propia plataforma, así que si hay un problema con Entra ID, no podrás usar esta función para recuperarte.
Es como guardar las cintas de copia de seguridad junto al servidor y sorprenderse de que la recuperación sea imposible cuando ambos se roban o se destruyen si el edificio se incendia.
Presentamos la restauración de Entra ID
Una copia de seguridad real toma una copia de todos los datos y la almacena separada del sistema de producción de origen. Tradicionalmente, lo hacíamos con copias en cinta o disco duro, que se enviaban fuera de las instalaciones. Si había un problema con los datos de origen, podíamos recuperar desde nuestras copias seguras.
Hoy, incluso los servidores locales suelen copiarse en la nube, lo que sigue cumpliendo el criterio: si los servidores se destruyen o se ven comprometidos, existe una copia en otro sistema. Pero, como has visto, las herramientas nativas de Entra ID no son soluciones de backup en este sentido. Son más bien una funcionalidad mínima que depende de que la plataforma subyacente esté disponible.

Hornetsecurity 365 Total Backup adopta un enfoque diferente. Cada buzón, Teams Chat, plan de Planner Group, documento de OneNote, OneDrive for Business y sitio de SharePoint se copia varias veces al día y se almacena en nuestra nube privada (en varios centros de datos para proteger frente a interrupciones) como almacenamiento inmutable, protegido con cifrado AES de 256 bits.
Y estamos ampliando esta protección a las cuentas de usuarios y grupos de Entra ID, que se copian y protegen de la misma forma que la restauración de Entra ID. La retención puede configurarse hasta 10 años.
Las cuentas de usuario eliminadas o comprometidas pueden restaurarse de forma individual o masiva, con la opción de restablecer la contraseña de todas ellas a una misma contraseña temporal o asignar una contraseña individual a cada usuario restaurado.
La asignación de licencias basada en grupos no se restaura, y las cuentas de invitado pueden exportarse, pero no restaurarse automáticamente. La copia de seguridad de directivas de acceso condicional también se incluirá próximamente.
Como corresponde a una solución de backup empresarial, existe autoservicio para que el usuario final restaure buzones o elementos individuales, así como documentos de OneDrive y blocs de notas de OneNote. En el lado administrativo, se necesitan dos cuentas de administrador para eliminar / cambiar / deshabilitar copias de seguridad o modificar periodos de retención, lo que se conoce de forma informal como 4-Eye Approval.
Aunque 365 Total Backup ofrece almacenamiento ilimitado, el proceso actual de restauración también permite ejecutar una restauración completa de todos los usuarios o grupos por carga de trabajo. Esto significa que cada carga de trabajo, como buzón, Teams Chat, Planner, OneNote, OneDrive y SharePoint, puede restaurarse por separado.
El poder de la recuperación a un punto en el tiempo y la soberanía
Los objetos de usuarios y grupos pueden restaurarse a cualquier punto de restauración guardado, incluidos metadatos y relaciones, lo que ofrece una experiencia fluida para la organización y para el propio usuario. Esto es recuperación ante desastres real para identidades en acción.
Para auditoría y cumplimiento (tanto el GDPR como HIPAA exigen que los datos puedan recuperarse y trasladarse fuera de la nube principal proporcionada), puedes acceder y exportar fácilmente datos de backup para elaborar informes.
El verdadero poder de 365 Total Backup viene de poder copiar tus identidades en una plataforma separada (tú eliges la región), donde se garantiza la soberanía de tus datos, junto con la recuperación de tus documentos y correos.
Protege la identidad que está en el centro de tu negocio
Una copia de seguridad que solo guarda archivos hace solo la mitad del trabajo. Asegúrate de que tu organización pueda recuperar usuarios y grupos con un solo clic. Al elegir 365 Total Backup, obtienes:
- Restauración completa de Entra ID: recrea usuarios y grupos eliminados, incluidos metadatos y relaciones, directamente en tu tenant.
- Soberanía de datos real: elimina el punto único de fallo con almacenamiento redundante e independiente fuera del proveedor en la nube principal.
- Escalabilidad sin complicaciones: disfruta de almacenamiento ilimitado y de un modelo de precios transparente y todo incluido que crece con tu negocio.
- Continuidad a prueba de todo: utiliza la recuperación a un punto en el tiempo para “deshacer” eliminaciones masivas o ataques de ransomware en segundos.

Si quieres proteger tu tenant y tu infraestructura de identidad, solicita una demo para ver cómo Hornetsecurity te ayuda a ahorrar tiempo y proteger tus activos más valiosos.
Conclusión: Total Backup significa control total
Cuando tu plataforma de identidad no funciona, nadie puede trabajar. Los atacantes saben que la identidad es el punto débil en la mayoría de las organizaciones; por eso es el foco de tantos ataques. Una vez dentro, escalar privilegios y poder interferir en otras identidades administrativas es clave para su éxito.
La única forma de proteger por completo todo tu sistema, no solo documentos y datos, consiste en proteger la plataforma de identidad junto con los datos. Microsoft ofrece productividad; Hornetsecurity aporta resiliencia y permite recuperarse de un tenant totalmente comprometido.
365 Total Backup hace exactamente eso y ofrece restauración de Entra ID, algo que puede salvarte en el que podría haber sido el peor día de tu carrera.
FAQ
¿A qué riesgos se enfrenta una organización con Entra ID?
Las organizaciones se enfrentan a riesgos como interrupciones, errores humanos como eliminaciones accidentales y posibles atacantes que podrían comprometer el acceso a soluciones de gestión de identidades. Actualmente, Microsoft 365 no incluye una función nativa para la restauración completa de Entra ID, algo crucial porque la gestión de identidades es central para todas las operaciones en la nube.
¿Qué ventajas ofrece la recuperación a un punto en el tiempo para las organizaciones?
La recuperación a un punto en el tiempo permite a las organizaciones restaurar objetos de usuarios y grupos, junto con sus metadatos y relaciones, para garantizar una reposición fluida en caso de eliminaciones o ataques.
¿Qué distingue el enfoque de Hornetsecurity 365 Total Backup?
Hornetsecurity 365 Total Backup crea copias separadas y completas de todos los datos, incluidas cuentas de usuario y configuraciones, y las almacena en un entorno seguro e inmutable durante hasta 10 años.

