Microsoft le hizo un flaco favor a mucha gente al ponerle "Azure Active Directory" al principio, y otro al renombrarlo "Entra ID" después. El nombre sugiere "el Active Directory, pero en la nube", y esa intuición es justo la que lleva a diseñar mal. Entra ID no es Active Directory hosteado en un centro de datos de Microsoft. Es una cosa distinta, con otro propósito, otros protocolos y otro modelo mental. Aclararlo ahorra muchísimos dolores de cabeza.
Qué es Entra ID en realidad
Entra ID es un proveedor de identidad para la nube: su trabajo es autenticar usuarios y darles acceso a Microsoft 365 y a miles de aplicaciones web y SaaS de terceros —Salesforce, Zoom, tu banca empresarial— mediante inicio de sesión único. Donde Active Directory gobierna equipos y recursos en una red local, Entra ID gobierna el acceso a aplicaciones en internet. Uno vive en tu edificio; el otro, entre tu gente y la nube.
Lo que NO tiene (y por qué importa)
La forma más rápida de entender Entra ID es ver en qué no se parece a AD:
- No hay controladores de dominio ni "unión al dominio" clásica. Los equipos se registran o se unen a Entra, que es otra cosa.
- No hay GPO. Las políticas de equipo se hacen con otra herramienta —Intune—, no con directivas de grupo.
- No habla Kerberos ni LDAP como lengua principal. Habla los protocolos de la web moderna: OAuth 2.0, OpenID Connect y SAML, que son los que usan las apps en la nube para delegar el inicio de sesión.
- No hay unidades organizativas en árbol como en AD; el orden se lleva con grupos y unidades administrativas, con otra lógica.
Si intentas operar Entra ID buscando sus "OUs" y sus "GPO", vas a frustrarte: no están porque el problema que resuelve es otro.
Lo que sí hace, y hace bien
Entra ID es donde viven las herramientas de seguridad de identidad modernas: el inicio de sesión único (SSO) a todo tu catálogo de apps, el MFA y el acceso condicional (las reglas de "quién entra, desde dónde y con qué equipo"), el registro de dispositivos, y el aprovisionamiento automático de cuentas hacia otras aplicaciones. Es, en la práctica, el guardia de la puerta para todo lo que tu empresa usa fuera de su red local.
El punto que desarma la confusión
AD y Entra ID no compiten ni se reemplazan: resuelven capas distintas. AD autentica a Juan en su laptop de la oficina y le da acceso a la carpeta compartida del servidor. Entra ID autentica a Juan cuando abre su correo de M365 desde el celular en un aeropuerto y le da SSO a las apps de la empresa. La mayoría de las organizaciones necesita ambos, funcionando en conjunto —y hacer que convivan bien es su propio tema—.
Unido, registrado o híbrido: los estados de un dispositivo
Una fuente de confusión que vale la pena despejar: en el mundo de Entra ID, un equipo puede relacionarse con la identidad de tres maneras distintas, y no son lo mismo. Registrado (Entra registered) es el caso del dispositivo personal (BYOD) que solo se "presenta" para acceder a recursos de trabajo, sin ceder su control a la empresa. Unido a Entra (Entra joined) es un equipo corporativo nativo de la nube, propiedad de la organización, que se gestiona con Intune sin depender de un AD local. Y unido híbrido (Hybrid joined) es el equipo que pertenece a los dos mundos a la vez: unido a tu Active Directory de siempre y, además, presente en Entra ID. Cuál usar depende de si el equipo es corporativo o personal y de si todavía dependes de AD —justo la decisión que define una identidad híbrida—.
La idea que se queda
Entra ID es el proveedor de identidad de tu empresa hacia la nube, no un Active Directory reubicado. Cambia el modelo (apps en vez de equipos), los protocolos (web en vez de red local) y las herramientas (Intune en vez de GPO). Entenderlo así es lo que te deja diseñar la identidad híbrida sin pelear contra la herramienta —una pieza más de la identidad como perímetro—.