Cuando trabajas con Microsoft Teams dentro de una organización multitenant de Microsoft Entra ID, basta con que un solo tenant no emita tokens correctamente para que aparezca el temido “tenant resaltado en rojo”. Este artículo explica cómo aislar la causa y restaurar el acceso paso a paso.
Contexto del entorno multitenant
Las organizaciones que adoptan la funcionalidad “Multitenant Organization” en Entra ID buscan unir distintas entidades legales o áreas de negocio manteniendo la soberanía de cada tenant. Un motor de sincronización cross‑tenant publica objetos de usuario, grupo y dispositivo en los cuatro tenants, y Teams actúa como “hub” colaborativo bajo un único dominio de confianza.
En ese escenario, los usuarios cambian de perfil con el selector de upper‑right corner en Teams. El cambio depende de obtener un nuevo refresh token contra el tenant destino. Si algo bloquea ese token, el tenant se resalta en rojo y la sesión ni siquiera despega.
Síntomas clave cuando un tenant es inaccesible
- El tenant se muestra con fondo rojo al intentar seleccionarlo.
- El mensaje de error suele indicar “No podemos acceder a esta organización” o “Access denied” con un código como
700016o81010. - Outlook, SharePoint, Planner y otros servicios Microsoft 365 del mismo tenant siguen operativos; la incidencia es exclusiva de Teams.
- Los registros de inicio de sesión de Entra ID exponen fallos de Conditional Access con resultado
Failurey un estado “Blocked by policy”.
Hipótesis habituales de la causa raíz
- Política de acceso condicional que excluye a invitados o a objetos sincronizados cross‑tenant.
- Cross‑Tenant Access Settings que limitan B2B Collaboration o B2B Direct Connect.
- Errores en el motor de sincronización (provisioning logs) que dejan al usuario sin atributo crítico como
userPrincipalName. - Versión del cliente Teams obsoleta con tokens en caché ya caducados.
Marco metódico de diagnóstico
A continuación se muestran ámbitos prioritarios, pruebas sugeridas y su propósito. Sigue el orden de la tabla para descartar rápidamente causas probables.
| Ámbito | Qué verificar / ejecutar | Propósito |
|---|---|---|
| Sincronización cross‑tenant (Entra ID) | Confirma que el aprovisionamiento Cross‑Tenant Synchronization está habilitado sin errores. Valida que los objetos usuario de la vista previa estén presentes en los cuatro tenants. Revisa los límites documentados (máx. 100 000 objetos en preview). | Evitar que atributos faltantes provoquen fallos de token. |
| Acceso condicional | Inventaria todas las políticas, incluidas plantillas y Security Defaults heredados. Crea una ubicación de prueba deshabilitando temporalmente las políticas sospechosas. Observa los logs de Sign‑in para confirmar si la evaluación pasa de Failure a Success. | Detectar reglas que bloquean tokens de invitados. |
| Permisos de invitado (B2B) | Comprueba rol Guest o Member y pertenencia a los Teams implicados. Verifica que External Collaboration Settings no estén restringidos a dominios concretos. | Garantizar autorización dentro del equipo o canal. |
| Cross‑Tenant Access Settings | Asegura que B2B Collaboration y B2B Direct Connect estén en Allowed tanto Inbound como Outbound. Evita límites a grupos concretos que dejen fuera a los usuarios piloto. | Permitir el salto seguro entre tenants en Teams. |
| Cliente Teams | Vacía la caché local: %appdata%\Microsoft\Teams. Prueba en Teams Web (teams.microsoft.com) aislando el problema del cliente de escritorio. Confirma versión igual o superior a la última GA. | Descartar artefactos locales o builds obsoletos. |
| Registros y soporte | Extrae Correlation IDs del cliente (Ctrl+Alt+Shift+1) al replicar la incidencia. Coteja con Audit & Sign‑in Logs de Entra ID. Escala con el contrato Microsoft (Partner, Premier o FastTrack) para análisis interno. | Localizar la causa raíz y agilizar la resolución. |
Validación de la sincronización cross‑tenant
Con PowerShell para Entra ID, ejecuta:
# Comprobar estado del aprovisionamiento
Get-MgBetaSynchronizationJob -ServicePrincipalId <SPNID> |
Select-Object Status,LastSuccessfulExecution,LastExecutionLos estados inProgress o error indican fallos. Si el atributo userPrincipalName no replica, el token SSO no podrá crearse en el tenant destino.
Pruebas controladas de acceso condicional
Crea un grupo Piloto‑Bypass‑CAP y exclúyelo temporalmente de las políticas de acceso condicional del tenant problemático. Asegúrate de:
- Anotar hora y usuario para revisar correlaciones.
- Limitar la ventana de prueba a 30 minutos para no degradar la postura de seguridad.
- Comprobar inmediatamente el cambio de color del tenant en Teams.
Si el acceso se restablece, documenta la política responsable y ajusta condiciones en vez de dejarla deshabilitada de forma indefinida.
Revisión profunda de permisos Guest
Cambia al shell de Teams PowerShell:
# Ver todos los equipos donde el invitado está presente
Get-TeamUser -User <UPN invitado> |
Format-Table GroupId,RoleSi el resultado es nulo, el usuario aún no fue agregado como member o guest al equipo. Añádelo y repite la prueba.
Ajustes de Cross‑Tenant Access: checklist esencial
- Configuración predeterminada: debería permanecer en Allow access.
- Organizational settings: comprueba que el tenant origen figura con Trust settings inherited.
- Aplicación Teams: si existe una Cloud App condition, cerciórate de que incluye “Microsoft Teams” para invitados.
Comprobaciones en el cliente Teams
Aunque parezca trivial, la caché local causa hasta un 20 % de los casos reportados en soporte:
- Cierra Teams completamente (System Tray > Cerrar).
- Elimina el contenido de
%appdata%\Microsoft\Teamsexcepto la carpeta Backgrounds. - Inicia sesión de nuevo y reproduce el cambio de tenant.
Si Teams Web funciona y el cliente de escritorio no, planifica un despliegue “wide” de la última versión desde el Centro de administración de Teams.
Interpretar registros de Entra ID y Teams
Los siguientes eventos son indicativos:
| Log | Código / Descripción | Acción sugerida |
|---|---|---|
| AuditLog | 10040 – Policy evaluation failure | Revisar filtro de grupos y ubicación. |
| Sign‑in Logs | 700016 – Application with identifier not found | Sincronización cross‑tenant incompleta. |
| Teams Client Log | tsclienterror 0x8ac00014 | Error de autorización; relacionar con CAP. |
Estrategia de remediación definitiva
- Restablece la sincronización delta en Entra ID hasta que
LastSuccessfulExecutionsea <15 min. - Ajusta las políticas de acceso condicional para que los invitados se autentiquen con MFA equivalente, no más restrictiva.
- Revisa el RoleAssignment del Cloud App Security Admin; algunas organizaciones bloquean B2B inadvertidamente.
- Documenta la configuración actual de Cross‑Tenant Access en un runbook y aplica Change Control.
- Despliega Teams 24161.2306.2263.3365 o posterior en todas las estaciones.
- Cierra el ciclo con una sesión de aprendizaje interno sobre gobernanza multitenant.
Buenas prácticas para prevenir incidencias futuras
- Mantén un tenant de ensayos donde probar nuevas políticas de CA antes de moverlas a Prod.
- Activa la real‑time diagnostics preview de Entra ID; diagnostica tokens en vivo sin descargas de logs.
- Automatiza con Graph API un “health check” diario del aprovisionamiento cross‑tenant.
- Emplea grupos dinámicos para referenciar usuarios B2B y evita olvidos manuales.
- Revisa trimestralmente los invitation redemption rates y retira cuentas invitadas inactivas.
Preguntas frecuentes
¿Puedo desactivar completamente la MFA para invitados?
No se recomienda. Configura una política que acepte un nivel de confianza equivalente mediante trust framework policies en CAP, pero nunca bajes el umbral por debajo del tenant origen.
¿Por qué solo falla Teams y no Outlook?
Teams emplea un proceso de tokenización diferente (TeamsUnifiedResource) donde el escenario CrossCloudGw puede verse bloqueado por CA, mientras que Exchange Online suele ir en modo grant‑control con otra política.
¿Qué pasa si excedo el límite de objetos en la vista previa multitenant?
El aprovisionamiento se detendrá y marcará errorThresholdExceeded. Incrementa la cuota o selecciona un subconjunto de usuarios hasta que la funcionalidad salga de preview.
Conclusión
Un tenant resaltado en rojo en Microsoft Teams no es un misterio insoluble; siguiendo una secuencia lógica que combina sincronización, políticas de acceso y permisos B2B, puedes recuperar la productividad en minutos. Una vez resuelto, incorpora controles preventivos y gobernanza para que la colaboración multitenant crezca sin sobresaltos.