La obligatoriedad de MFA en el Microsoft 365 Admin Center es, ante todo, una mejora de seguridad. Sin embargo, una implementación incompleta o apresurada puede generar riesgos operativos reales. A continuación, se detallan los principales riesgos identificados en organizaciones medianas y grandes, junto con las estrategias de mitigación recomendadas por Microsoft y por buenas prácticas de gobierno de identidades.
Riesgo 1: Bloqueo de acceso administrativo (admin lockout)
A partir del 9 de febrero de 2026, cualquier administrador que intente ingresar al Microsoft 365 Admin Center sin completar MFA será bloqueado automáticamente, sin bypass temporal ni periodo de gracia. En entornos donde existen cuentas administrativas heredadas, usuarios externos (B2B) o accesos delegados, este riesgo se incrementa de forma significativa.
Impacto potencial
- Imposibilidad de gestionar usuarios, licencias o incidentes
- Retrasos en procesos críticos (auditorías, cierres financieros, respuesta a incidentes)
- Necesidad de escalar casos críticos a soporte de Microsoft
Mitigación recomendada
- Inventariar todas las cuentas con acceso al Admin Center (incluyendo B2B y cuentas históricas)
- Verificar que cada administrador tenga al menos dos métodos MFA registrados
- Probar acceso efectivo a los tres endpoints del Admin Center antes del deadline
Riesgo 2: Cuentas “break-glass” mal protegidas o inutilizables
Las cuentas de emergencia (break‑glass) existen para recuperación ante fallas; sin embargo, Microsoft confirma que estas cuentas también estarán sujetas a MFA obligatorio para el acceso al Admin Center. El mal diseño de políticas puede dejar a la organización sin ningún acceso administrativo funcional.
Impacto potencial
- Lockout total del tenant
- Riesgo operativo extremo durante incidentes de seguridad
- Dependencia absoluta de soporte externo
Mitigación recomendada
- Mantener mínimo dos cuentas break-glass
- Protegerlas con métodos resistentes al phishing (por ejemplo, llaves FIDO2/passkeys)
- Excluirlas cuidadosamente de políticas de riesgo excesivamente restrictivas, manteniendo controles compensatorios.
Riesgo 3: Impacto no detectado en accesos de terceros o identidades B2B
Proveedores, partners o consultores externos que acceden al Admin Center mediante B2B están igualmente bajo el alcance del requisito de MFA obligatorio.
Impacto potencial
- Terceros claves sin acceso cuando se necesite soporte
- Incidentes por falta de comunicación previa
- Afectación a acuerdos operativos o SLA
Mitigación recomendada
- Revisar accesos B2B con roles administrativos
- Validar que los tenants externos cumplan con MFA
- Limitar permisos: aplicar principio de least privilege
