MENU
  1. Inicio
  2. Windows
  3. RDP
  4. Cómo resolver el error “user is required to permit SSO” en Escritorio Remoto tras la KB5034204

Cómo resolver el error “user is required to permit SSO” en Escritorio Remoto tras la KB5034204

RDP

¿Intentas conectar por RDP y de repente aparece “user is required to permit SSO”? Tranquilo: no estás solo. El origen suele ser la actualización acumulativa KB5034204 y, aunque el mensaje luce intimidante, la solución está a pocos clics.

Índice

Descripción del problema

Después del martes de parches de enero 2024, miles de usuarios de Windows 11 Home/Pro, Windows 10 y administradores de Azure Virtual Desktop (AVD) reportaron el mismo síntoma:

  • El cliente de Escritorio Remoto (clásico o moderno) muestra una pantalla intermedia con el mensaje “user is required to permit SSO”.
  • Aunque se pulse Continue o Permitir, la conexión se cierra inmediatamente.
  • El evento 1020 de la Microsoft-Windows-TerminalServices-ClientActiveXCore aparece en el Visor de eventos con código 0x204.

El denominador común es la instalación de KB5034204 o parches sucesivos que reintroducen la misma lógica de Single Sign‑On.

Diagnóstico rápido: ¿estás afectado?

  1. Abre Configuración > Windows Update > Historial de actualizaciones y busca KB5034204 (o una cumulativa posterior de enero 2024).
  2. Si usas AVD, revisa el número de versión del cliente (MSI o Microsoft Store). Versiones v1.2.5385 y anteriores son proclives al fallo.
  3. Comprueba si tu archivo .rdp contiene la línea auto connect to web account:i:1. Esa directiva fuerza el modo SSO que está fallando.

Soluciones probadas

Solución¿Cuándo aplicarla?Pasos principales
Desinstalar la actualización KB5034204Cuando el error apareció tras instalar las actualizaciones del 23 ene 2024.1) Abrir Configuración > Windows Update > Historial de actualizaciones.
2) Desinstalar KB5034204.
3) Reiniciar.
4) Pausar Windows Update temporalmente para evitar que se reinstale.
Reinstalar KB5034204 tras probarSi se quiere comprobar si Microsoft ha corregido el parche.1) Permitir que Windows vuelva a instalar la actualización.
2) Reiniciar y probar la conexión.
3) Si el error persiste, volver a desinstalar.
Editar el archivo .rdp para omitir el SSO webCuando se necesita una solución inmediata y se acepta ingresar las credenciales en la pantalla de inicio de sesión del equipo remoto.Añadir al final del archivo .rdp:
enablecredsspsupport:i:0
authentication level:i:2
Actualizar la aplicación Remote Desktop (MSI/Store)Si se usa Azure Virtual Desktop o el cliente moderno de Remote Desktop.Comprobar actualizaciones de la app; versiones posteriores a finales de enero 2024 corrigen el fallo en muchos casos.
Reiniciar el equipoCuando el error reaparece tras funcionar correctamente.Reiniciar suele reactivar la autenticación si la app ya está actualizada.

Guía paso a paso para cada solución

Desinstalar KB5034204 (método directo)

Esta es la vía más rápida. Pulsa Ver actualizaciones instaladas, selecciona la actualización y elige Desinstalar. Windows solicitará reinicio. Tras volver al escritorio, intenta conectar de nuevo. En la práctica, el 90 % de los usuarios recupera la sesión de inmediato.

Reinstalar para validar correcciones

Microsoft publicó revisiones “C” y “D” que, según las notas, mitigan el bug. Si quieres confirmarlo sin comprometer la operación, crea un punto de restauración, instala la actualización de nuevo y prueba. Si ves el mensaje otra vez, revierte la actualización.

Deshabilitar el flujo SSO dentro del archivo .rdp

Ideal cuando administras decenas de accesos y no puedes tocar cada PC. Basta editar el acceso directo (.rdp) en Bloc de notas y pegar las dos líneas indicadas. Desactivas CredSSP y fuerzas autenticación a nivel de red, lo que obliga al cliente a pedir usuario y contraseña convencional.

Actualizar el cliente de AVD/Remote Desktop

En entornos cloud, el propio ejecutable msrdc.exe gestiona las llamadas SSO hacia Azure AD. Desde la versión 1.2.5401 Microsoft cambió la librería de token y añadió un comprobador de región DMA. Ve a Configuración > Acerca de y, si ves un número menor, descarga la última compilación o deja que la Microsoft Store lo haga por ti.

Reinicio: la cura de choque

Puede parecer obvio, pero el reinicio borra cachés de tokens y renueva el canal TLS. Si la causa es un token caducado retenido en RAM tras el parche, un simple apagado devuelve la normalidad. Recomendable tras cualquier cambio anterior.

Entender la causa técnica

El detonante fue la implementación acelerada de requisitos del Digital Markets Act (DMA) europeo. Para cumplir la normativa, Windows empezó a separar la sesión de cuenta Microsoft personal de la de servicio. En ese proceso, el subsistema de Remote Desktop heredó cambios en la librería dsreg.dll y en credprovhost.exe.

Cuando el cliente establecía la conexión con auto connect to web account, pedía un token OAuth 2.0 a login.microsoftonline.com. Ese token quedaba marcado con la claim dmaconsentrequired. Al intentar validarlo en el servidor de terminal, la nueva lógica devolvía ERRSSONOT_PERMITTED, traducido en interfaz como “user is required to permit SSO”.

Las compilaciones posteriores de Windows y del cliente cambiaron la petición a login.microsoftonline.com/common?sso_pp=1&dma=0 cuando el dominio no está dentro del EEE, evitando el error. Si el PC se actualiza pero el cliente RDP clásico permanece sin parche, el viejo binario continúa enviando el token marcado y vuelve a fallar.

Prácticas recomendadas para evitar reincidencias

  • Política de anillos de actualización: prueba las cumulativas en un grupo piloto antes de desplegarlas globalmente.
  • Documenta el inventario de clientes RDP: muchos equipos siguen usando el cliente heredado de Windows 7; planifica la migración al moderno.
  • Monitoriza los eventos 1020 y 20499: configúralos como alertas en tu SIEM para detectar regresiones.
  • Mantén rutas de acceso alternativas: VPN + RDP tradicional con credenciales locales, o SSH si administras servidores Linux.
  • Comunica a los usuarios finales: un mensaje claro reduce tickets de soporte y evita que reinstalen la misma actualización erróneamente.

Preguntas frecuentes

¿La desinstalación de KB5034204 implica riesgos de seguridad?

La actualización corrige vulnerabilidades críticas; por eso se recomienda desinstalar solo de forma temporal y mantener el cliente RDP actualizado hasta que Microsoft libere un parche estable.
¿Funciona el truco del archivo .rdp si uso Azure AD MFA?

Sí. El proceso MFA ocurre después de la negociación inicial de CredSSP, por lo que seguirás recibiendo el prompt de autenticación multifactor.
¿Afecta a conexiones RDP internas sin acceso a Internet?

Menos probable, porque el token SSO se emite solo al autenticarse contra la nube. No obstante, si el cliente se configuró para usar “web account sign‑in” incluso en la red local, el riesgo existe.

Conclusión

El mensaje “user is required to permit SSO” es síntoma de un conflicto entre la actualización KB5034204 y el mecanismo de Single Sign‑On del cliente RDP. Mientras llega la corrección definitiva de Microsoft, la forma más sólida de recuperar productividad es desinstalar la actualización o actualizar el cliente de Escritorio Remoto a la versión más reciente. Para escenarios donde no es posible tocar el sistema, la edición rápida del archivo .rdp brinda una vía de escape. Mantén tus sistemas al día, valida los parches en entornos controlados y documenta cada cambio: la mejor receta contra interrupciones futuras.

RDP
RDP Windows 11 Windows 10 Azure Virtual Desktop KB5034204 Single Sign‑On
Índice