Si al crear un equipo de Microsoft Teams no puedes agregar usuarios internos y ves mensajes como “You are not authorized” (cliente clásico) o “Unknown user” (nuevo Teams), la causa más habitual es una opción del inquilino que impide a los usuarios leer el directorio. En esta guía te explico cómo diagnosticarlo y resolverlo en minutos.
Resumen del escenario
En algunos inquilinos de Microsoft 365, el propietario de un equipo de Microsoft Teams no puede agregar miembros internos desde el propio cliente. En el cliente clásico el mensaje es “You are not authorized” y en el nuevo Teams aparece “Unknown user”. Curiosamente, sí funciona crear primero un Grupo de Microsoft 365 desde Outlook, agregar allí a las personas y, después, “elevar” ese grupo a un equipo de Teams. Todos los usuarios disponen de licencia Microsoft 365 Business Premium.
La explicación: el inquilino tiene deshabilitada la lectura del directorio para usuarios no administradores. Al no poder “resolver” a las personas del directorio (Microsoft Entra ID, antes Azure AD), el selector de personas de Teams falla y devuelve errores.
Síntomas y cómo se manifiestan
- Al escribir el nombre o correo de un usuario interno en “Agregar miembro”:
- El cuadro de búsqueda no sugiere coincidencias.
- Tras pulsar Enter, aparece “Unknown user” en el nuevo cliente de Teams.
- En el cliente clásico, aparece “You are not authorized”.
- Los mismos usuarios SÍ pueden agregarse si:
- Creas un Grupo de Microsoft 365 desde Outlook, agregas allí a los miembros, y luego creas el equipo a partir de ese grupo.
- Un administrador global o de Entra ID intenta la operación.
Causa principal: acceso restringido al directorio (Entra ID)
En el inquilino existe un ajuste que controla si los usuarios sin rol administrativo pueden leer/buscar información básica de otros usuarios en el directorio. Históricamente, en Azure AD/MSOnline se expone como la propiedad:
UsersPermissionToReadOtherUsersEnabled
Cuando esta propiedad está en False, se restringe la lectura del directorio a los usuarios estándar. Como el selector de personas de Teams (People Picker) depende de esa lectura para resolver nombres y correos, no puede encontrar a nadie y la experiencia de agregado de miembros falla con errores confusos.
¿Dónde se ve en el portal?
En el centro de administración de Microsoft Entra (antes Azure AD), en Users → User settings, este control puede mostrarse con textos como:
- Restrict user access to the directory → Debe estar en No.
- Users can read other users → Debe estar en Yes.
Ambas formulaciones equivalen a que UsersPermissionToReadOtherUsersEnabled = True (es decir, permitir que los usuarios lean a otros usuarios).
| Ajuste | Valor | Efecto en Teams |
|---|---|---|
| Users can read other users | Yes / True | El selector de personas de Teams puede resolver usuarios internos y agregarlos. |
| Restrict user access to the directory | No | Experiencia normal de búsqueda/agregado de miembros. |
| UsersPermissionToReadOtherUsersEnabled | False | No se resuelven usuarios → “Unknown user” / “You are not authorized”. |
Cómo verificar la configuración (métodos prácticos)
Opción A: desde Microsoft Entra admin center (GUI)
- Abre Microsoft Entra admin center.
- Ve a Users → User settings.
- Localiza el control de acceso al directorio:
- “Restrict user access to the directory” (debe estar en No), o
- “Users can read other users” (debe estar en Yes).
Opción B: PowerShell (MSOnline, rápido para auditar)
El módulo MSOnline (heredado pero aún útil para este ajuste) permite comprobar y cambiar el valor:
# Ejecutar en PowerShell como administrador
Install-Module MSOnline -Scope CurrentUser
Import-Module MSOnline
Connect-MsolService
Comprobar el estado actual
(Get-MsolCompanyInformation).UsersPermissionToReadOtherUsersEnabled
Si devuelve False, habilitarlo:
Set-MsolCompanySettings -UsersPermissionToReadOtherUsersEnabled \$true
Validar el cambio
(Get-MsolCompanyInformation).UsersPermissionToReadOtherUsersEnabled Nota: necesitarás permisos administrativos adecuados en el inquilino para conectar y modificar la configuración.
Solución recomendada (requiere rol de administrador en Entra ID)
- Ve a Microsoft Entra admin center → Users → User settings.
- Establece:
- Restrict user access to the directory = No, o
- Users can read other users = Yes.
- Guarda los cambios.
- Espera unos minutos a la propagación y vuelve a intentar agregar miembros desde Teams (recomiendo cerrar y abrir Teams para limpiar caché de búsqueda).
Alternativa temporal (workaround válido)
Mientras se cambia el ajuste del inquilino, puedes seguir este flujo que sí funciona:
- Desde Outlook, crea un Grupo de Microsoft 365.
- Agrega en Outlook a todos los miembros deseados (allí la membresía se establece directamente en el grupo).
- En Teams, crea un equipo a partir de ese grupo. La membresía ya existe y el equipo la heredará.
Esto funciona porque la “resolución” de miembros se hace previamente en el Grupo de Microsoft 365, evitando la búsqueda directa en el selector de Teams.
Comprobaciones adicionales para descartar otras causas
- Propiedad del equipo: Confirma que eres Owner del equipo. Solo los propietarios pueden agregar miembros (salvo que las políticas lo impidan).
- Grupos dinámicos: Si el equipo está respaldado por un Grupo de Microsoft 365 con membresía dinámica en Entra ID, no podrás agregar miembros manualmente. Comprueba el tipo de membresía del grupo (Asignada vs Dinámica).
- Information Barriers (IB): Si tu organización usa barreras de información, podrían bloquear la adición entre segmentos. Comprueba las directivas de segmentos si al agregar miembros de ciertas áreas falla siempre.
- Políticas de Teams: Verifica en Teams admin center que no existan políticas personalizadas que limiten la creación de equipos por roles o la experiencia de búsqueda (por ejemplo, restricciones de acceso externo no aplican aquí, pero conviene revisar el conjunto de políticas).
- Licenciamiento: Microsoft 365 Business Premium otorga las funcionalidades necesarias para Teams. Si ves el problema en todos los usuarios con esa licencia, es improbable que sea un tema de licencias.
- Caché del cliente: Si tras cambiar el ajuste de Entra ID los errores persisten, cierra el cliente de Teams y vuelve a iniciar sesión. En algunos casos ayuda limpiar la caché del cliente.
Guía paso a paso para el usuario final
En el nuevo Teams
- Abre el equipo → Administrar equipo → Miembros.
- Haz clic en Agregar miembro.
- Escribe el nombre o correo del usuario. Si el ajuste del directorio está correcto, verás sugerencias y podrás seleccionarlo.
- Confirma con Agregar.
En el cliente clásico de Teams
- Abre el equipo → … (Más opciones) → Agregar miembro.
- Busca por nombre o correo y selecciona al usuario.
- Confirma con Agregar.
Tabla de diagnóstico rápido (Help Desk)
| Prueba | Resultado esperado | Interpretación |
|---|---|---|
| El propietario intenta agregar a “Juan Pérez” desde Teams. | Aparece sugerencia y lo agrega sin error. | Lectura del directorio habilitada. Todo OK. |
| El cuadro no sugiere y devuelve “Unknown user”. | Fallo al resolver. | Probable UsersPermissionToReadOtherUsersEnabled = False. |
| Administrador global sí puede agregar. | Correcto con admin, falla con usuario estándar. | Indicio fuerte de restricción a lectura del directorio. |
| Crear Grupo M365 en Outlook → agregar miembros → crear equipo. | Funciona. | Confirma que el problema está en la búsqueda del selector de Teams. |
Procedimiento de corrección con PowerShell (opcional)
Si prefieres automatizar o documentar el cambio, puedes usar el módulo MSOnline (legado) para un ajuste rápido:
# 1) Conectarse
Install-Module MSOnline -Scope CurrentUser
Connect-MsolService
2) Auditar
\$company = Get-MsolCompanyInformation
\$company.UsersPermissionToReadOtherUsersEnabled
3) Corregir (si False)
Set-MsolCompanySettings -UsersPermissionToReadOtherUsersEnabled \$true
4) Validar
(Get-MsolCompanyInformation).UsersPermissionToReadOtherUsersEnabled Documenta en tu cambio que el ajuste es global al inquilino y puede mejorar otras experiencias de búsqueda (Delve/People, sugerencias de destinatarios, etc.).
Impacto, seguridad y buenas prácticas
- Alcance global: Permitir que los usuarios lean a otros usuarios facilita la colaboración en toda la suite Microsoft 365 (Teams, SharePoint, Outlook, Planner, etc.).
- Datos expuestos: Solo se trata de información básica del directorio (nombre, correo, puesto, etc.). No otorga permisos de administración ni de lectura de contenido.
- Privacidad y cumplimiento: En entornos altamente regulados, algunas organizaciones restringen este ajuste para perfiles muy específicos. Si es tu caso, evalúa Information Barriers o segmentaciones para cumplir normativa sin bloquear el funcionamiento general.
- Auditoría: Registra el cambio en tu sistema de control de cambios. Puedes anotar la fecha, el responsable y el motivo (“restaurar funcionalidad de agregado de miembros en Teams”).
Errores frecuentes y su interpretación
| Mensaje en Teams | Contexto | Probable causa | Acción sugerida |
|---|---|---|---|
| “Unknown user” | Nuevo Teams, al intentar agregar por nombre/correo. | Lectura del directorio deshabilitada. | Habilitar Users can read other users. |
| “You are not authorized” | Cliente clásico de Teams. | El selector no puede resolver al usuario. | Revisar ajuste del inquilino y rol del propietario. |
| No aparecen sugerencias | Buscas por nombre y no devuelve nada. | Directorio no accesible para usuarios estándar. | Verificar configuración en Entra ID. |
Checklist de resolución para TI
- Confirmar el rol del solicitante (Owner del equipo).
- Validar que el equipo no mapea a un Grupo M365 con membresía dinámica.
- Comprobar
UsersPermissionToReadOtherUsersEnabledy activar la lectura del directorio. - Reintentar desde el nuevo Teams tras reiniciar el cliente.
- Si persiste, revisar políticas de Teams y posibles Information Barriers.
- Documentar el cambio y comunicar a soporte de primer nivel el motivo y la solución.
Preguntas frecuentes (FAQ)
¿Por qué crear el Grupo en Outlook sí funciona?
Porque defines la membresía en el Grupo de Microsoft 365 antes de que Teams necesite resolver usuarios. Teams, al crear el equipo desde ese grupo, hereda la lista ya resuelta.
¿Cambiar este ajuste expone información sensible?
No. Habilitar “Users can read other users” permite que usuarios estándar vean información de contacto básica del directorio (lo normal en entornos colaborativos). No otorga privilegios adicionales ni acceso a contenido.
¿Necesito licencias especiales?
No. Con Microsoft 365 Business Premium es suficiente. El problema no es de licenciamiento, sino de configuración del inquilino.
¿Cuánto tarda en surtir efecto?
Normalmente pocos minutos. Si usas clientes persistentes, cierra y vuelve a abrir Teams para refrescar la caché de búsqueda.
¿Esto afecta a invitados externos (B2B)?
El ajuste trata sobre lectura del directorio interno por usuarios internos. La adición de invitados externos tiene su propia configuración de B2B y políticas de Teams.
¿Puedo limitar la búsqueda sin romper Teams?
Sí, con herramientas como Information Barriers o políticas específicas, pero no deshabilites por completo la lectura del directorio si esperas que los propietarios agreguen miembros con normalidad.
Ejemplo de comunicación al usuario final
“Hemos corregido una configuración del directorio que impedía que Teams encontrara a tus compañeros. Ya puedes agregar miembros buscando por nombre o correo. Si no ves sugerencias, cierra y vuelve a abrir Teams e inténtalo de nuevo.”
Resumen ejecutivo
Los errores “Unknown user” y “You are not authorized” al agregar miembros internos a un equipo de Microsoft Teams se deben, con mucha probabilidad, a que el inquilino tiene deshabilitada la lectura del directorio para usuarios estándar (UsersPermissionToReadOtherUsersEnabled = False). La corrección consiste en permitir la lectura del directorio desde Microsoft Entra admin center (Users can read other users = Yes / Restrict user access to the directory = No). Como alternativa temporal, crea la membresía en un Grupo de Microsoft 365 desde Outlook y luego genera el equipo a partir de dicho grupo. Complementa la solución revisando que el equipo no sea dinámico, que el propietario tenga permisos, y que no existan barreras de información que lo impidan.
Apéndice: comandos útiles (referencia rápida)
Auditar y corregir el ajuste con MSOnline
# Requisitos: PowerShell, módulo MSOnline, privilegios adecuados
Install-Module MSOnline -Scope CurrentUser
Connect-MsolService
Estado actual (True = lectura permitida)
(Get-MsolCompanyInformation).UsersPermissionToReadOtherUsersEnabled
Corregir
Set-MsolCompanySettings -UsersPermissionToReadOtherUsersEnabled \$true Extra: validar propietario y miembros con Microsoft Teams PowerShell
# Listar equipos y validar que eres propietario
Install-Module MicrosoftTeams -Scope CurrentUser
Connect-MicrosoftTeams
Busca el equipo por nombre (ajusta el filtro)
Get-Team | Where-Object {$\_.DisplayName -like "Nombre del equipo"}
Ver miembros/propietarios del equipo
\$team = Get-Team -DisplayName "Nombre del equipo"
Get-TeamUser -GroupId \$team.GroupId Comprobar si el grupo asociado es dinámico (portal recomendado)
Desde Microsoft Entra admin center → Groups, abre el grupo de Microsoft 365 que respalda el equipo y revisa Membership type. Si es Dynamic, no podrás agregar miembros manualmente.
Conclusión
Este problema no es un “bug” de Teams sino una consecuencia directa de una configuración global del directorio que, si está demasiado restringida, rompe funciones básicas de colaboración. Con un simple cambio en Microsoft Entra ID —permitir que los usuarios lean a otros usuarios— restauras la experiencia esperada: los propietarios pueden buscar, encontrar y agregar miembros internos sin salir de Teams. Documenta la modificación, comunica a soporte y, si necesitas segmentación adicional, apóyate en barreras de información u opciones avanzadas de cumplimiento en lugar de bloquear por completo la lectura del directorio.