Si Outlook clásico en Windows te pide la contraseña una y otra vez con cuentas de Microsoft 365, la causa más habitual es que el tenant o el cliente no estén usando Autenticación Moderna (OAuth). Aquí verás cómo activarla y forzarla para salir del bucle sin migrar al Nuevo Outlook.

Resumen del escenario

Desde finales de 2023, distintos equipos con Outlook clásico para Windows comenzaron a mostrar el cuadro de credenciales en bucle al intentar conectar con buzones de Microsoft 365. La creación de un perfil nuevo, el arranque en modo seguro, borrar credenciales en el Administrador de credenciales e incluso usar SaRA (Support and Recovery Assistant) no resolvieron el problema.

La solución consiste en habilitar la Autenticación Moderna (OAuth) en Exchange Online y forzar su uso en el cliente Outlook clásico mediante el registro de Windows. Después, hay que reiniciar y recrear el perfil.

Por qué ocurre el bucle de contraseña

• Fin de la Autenticación Básica (Basic Auth): Microsoft retiró la compatibilidad de Basic Auth en Exchange Online. Si el tenant o el cliente siguen intentando autenticarse con métodos heredados, Outlook entra en un bucle de solicitudes.
• Diferencias entre clientes: El “Nuevo Outlook” y los clientes modernos usan OAuth de manera predeterminada. El Outlook clásico puede quedar anclado a flujos antiguos si el tenant lo deshabilita o si el cliente no lo fuerza.
• Tokens en conflicto: Credenciales antiguas cacheadas en Windows pueden competir con el flujo de OAuth y disparar nuevos avisos de contraseña.
• Configuraciones POP/IMAP: Si la cuenta está añadida como POP o IMAP, el comportamiento y las capacidades de seguridad cambian; en muchos casos no se podrá usar MFA y no se aprovechará todo el flujo de OAuth de Exchange.

Solución rápida recomendada

1. Habilitar Autenticación Moderna en Exchange Online.
2. Forzar Autenticación Moderna en el equipo Windows mediante registro:
   • HKEYCURRENTUSER\SOFTWARE\Microsoft\Office\16.0\Common\Identity\EnableADAL = 1 (REG_DWORD)
   • HKEYCURRENTUSER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover = 1 (REG_DWORD)
3. Reiniciar Windows.
4. Eliminar y recrear el perfil de Outlook.

Resultado esperado: Outlook clásico realiza el inicio de sesión con OAuth sin solicitar contraseña en bucle y sincroniza normalmente.

Guía paso a paso detallada

Habilitar Autenticación Moderna en Microsoft 365 (Exchange Online)

Comprueba que tu organización tiene activada la Autenticación Moderna para clientes como Outlook. Puedes hacerlo desde el centro de administración de Microsoft 365/Exchange o mediante PowerShell. Con PowerShell, el flujo típico es:

# Requisitos (una vez por equipo):
Install-Module ExchangeOnlineManagement -Scope CurrentUser

Conectar

Connect-ExchangeOnline

Comprobar el estado actual

Get-OrganizationConfig | Format-Table OAuth2ClientProfileEnabled

Habilitar si estuviera desactivado

Set-OrganizationConfig -OAuth2ClientProfileEnabled \$true 

Si trabajas en un entorno híbrido, asegúrate de que la ruta de Autodiscover y la publicación externa no fuerzan métodos heredados. En la mayoría de los tenants cloud‑only basta con el ajuste anterior.

Forzar Autenticación Moderna en el cliente Outlook clásico

En el equipo afectado, crea o ajusta las siguientes claves del Registro bajo el usuario que usa Outlook:

• HKEYCURRENTUSER\SOFTWARE\Microsoft\Office\16.0\Common\Identity\EnableADAL como REG_DWORD con valor 1.
• HKEYCURRENTUSER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover como REG_DWORD con valor 1.

Esto fuerza a Outlook a iniciar y mantener un flujo OAuth tanto en la detección automática (Autodiscover) como en el resto de componentes, evitando que intente caer en autenticaciones obsoletas.

Archivo .REG listo para importar

Si gestionas varios equipos, puedes desplegar el siguiente archivo .REG por GPO, Intune o scripts:

Windows Registry Editor Version 5.00

\[HKEY\CURRENT\USER\SOFTWARE\Microsoft\Office\16.0\Common\Identity]
"EnableADAL"=dword:00000001

\[HKEY\CURRENT\USER\Software\Microsoft\Exchange]
"AlwaysUseMSOAuthForAutoDiscover"=dword:00000001 

Reinicio del sistema

Reinicia Windows para asegurar que los servicios de Office, los proveedores de credenciales y el propio Outlook lean las nuevas claves.

Eliminar y recrear el perfil de Outlook

Antes de recrear, limpia credenciales obsoletas:

• Abre Administrador de credenciales de Windows y elimina entradas de tipo Outlook, MicrosoftOffice16, msteams_adalsso/ADAL, login.microsoftonline.com, etc., relacionadas con el usuario.
• Cierra el Administrador de credenciales.

Después, ve a Panel de control > Correo (Microsoft Outlook), elimina el perfil afectado y crea uno nuevo con la configuración automática de Exchange. No configures la cuenta como POP/IMAP si quieres mantener MFA, directiva de acceso condicional y experiencias completas.

Comprobaciones previas recomendadas

• Actualiza Office/Outlook a la compilación más reciente del canal que uses. Asegúrate de que el producto admite OAuth y WAM (Web Account Manager) sin parches faltantes.
• Sincronización de hora: un desfase notable de fecha/hora invalida tokens. Ejecuta w32tm /resync si es necesario.
• Proxy/inspección TLS: inspecciones SSL o proxies antiguos pueden romper la redirección de AAD. Prueba con el proxy deshabilitado o excluye dominios de inicio de sesión de Microsoft 365.
• TLS 1.2 habilitado: en sistemas antiguos puede requerir “Strong Crypto” para .NET/WinHTTP si otros componentes de Office hacen llamadas seguras.
• Sin GPO que desactive OAuth: revisa que no exista ninguna directiva que fuerce Basic Auth o desactive ADAL/WAM.
• Tipo de cuenta correcto: las cuentas deben agregarse como Exchange/“Microsoft 365” (Autodiscover). Con POP/IMAP perderás MFA y otras capacidades.

Verificación tras aplicar la solución

1. Abre Outlook. El cuadro de inicio de sesión debe ser el de cuenta Microsoft/organizacional con la marca de tu inquilino (señal de flujo OAuth).
2. Si usas MFA, completa el segundo factor.
3. Comprueba en Archivo > Configuración de la cuenta que la cuenta esté como Microsoft 365/Exchange.
4. Verifica la conectividad: envío/recepción, calendario, libre/ocupado y búsqueda.

Tabla de diagnóstico rápido

Síntoma	Causa probable	Acción recomendada
Cuadro de contraseña en bucle	Tenant/cliente sin OAuth o credenciales cacheadas	Habilitar OAuth en Exchange, forzar registro, limpiar credenciales y recrear perfil
MFA no aparece	Cuenta añadida como POP/IMAP o flujo heredado	Agregar como Exchange autodiscover; verificar EnableADAL y AlwaysUseMSOAuthForAutoDiscover
Autodiscover falla	Proxy/inspección TLS o DNS	Excluir dominios de Microsoft 365 del proxy, revisar DNS y conectividad
Funcionó en Nuevo Outlook, no en clásico	Claves de cliente/versión ancladas a Basic Auth	Forzar OAuth por registro y actualizar Office
Error intermitente tras iniciar sesión	Hora del sistema desincronizada	Resincronizar tiempo; verificar NTP

Buenas prácticas y notas operativas

• Respaldar antes de tocar el Registro: exporta las claves que vas a cambiar y asegúrate de tener permisos.
• Despliegue en escala: usa GPO, Intune o plataformas de gestión para aplicar las claves en HKCU al iniciar sesión del usuario.
• Evitar configuraciones mixtas: no conviene deshabilitar WAM si el resto de aplicaciones de Office lo usan; mantén el stack moderno consistente.
• Outlook 2013/2010: versiones antiguas requieren parches específicos y no son recomendables por soporte y seguridad. Lo adecuado es actualizar a una versión de Office compatible.
• Entorno híbrido: confirma que Autodiscover y la ruta de TargetAddress no te redirigen a Basic Auth en on‑prem. Ajusta el lado local si corresponde.

Preguntas frecuentes

¿Puedo seguir usando Outlook clásico con todas las funciones?

Sí, siempre que la autenticación se realice con OAuth y la cuenta esté configurada como Exchange. Tendrás acceso a calendario, contactos, libre/ocupado, búsquedas avanzadas y compatibilidad con MFA y directivas de acceso condicional.

¿SaRA arregla el bucle por sí solo?

SaRA ayuda a diagnosticar y, en algunos casos, repara problemas de conectividad. Sin embargo, si la Autenticación Moderna está deshabilitada en el tenant o el cliente insiste en Basic Auth, SaRA no podrá resolverlo por sí misma.

¿Por qué el Nuevo Outlook sí conecta?

El Nuevo Outlook está construido sobre servicios y una pila de autenticación actualizada que fuerza OAuth. Si el clásico está anclado a flujos heredados, verás diferencias de comportamiento hasta que fuerces el uso de Modern Auth como se describe.

¿Qué pasa si añadí la cuenta como IMAP/POP?

Con IMAP/POP perderás MFA y muchas capacidades de Exchange. El consejo es borrar esa entrada y agregar la cuenta como Exchange mediante Autodiscover. Solo así el cliente usará OAuth de extremo a extremo.

¿Necesito tocar también claves en HKLM?

No es obligatorio para este escenario. La vía soportada y menos intrusiva es usar HKCU (por usuario). En despliegues corporativos, podrías aplicar plantillas administrativas de Office para el mismo efecto.

Checklist de implementación

• Confirmar que la organización tiene OAuth2ClientProfileEnabled en $true.
• Aplicar en HKCU:
  • EnableADAL = 1 en Office\16.0\Common\Identity
  • AlwaysUseMSOAuthForAutoDiscover = 1 en Software\Microsoft\Exchange
• Actualizar Office a la compilación vigente.
• Limpiar credenciales antiguas en el Administrador de credenciales de Windows.
• Reiniciar Windows.
• Eliminar y recrear el perfil de Outlook como Exchange.
• Probar envío/recepción y MFA.

Errores comunes y cómo evitarlos

• Olvidar limpiar credenciales: los tokens caducados pueden hacer que Outlook vuelva a pedir la contraseña aun con OAuth activo.
• Seguir con IMAP/POP: aunque sincronice correo, perderás MFA y funciones clave; cambia a Exchange.
• No reiniciar: los servicios de Office y el proveedor de cuentas necesitan el reinicio para leer cambios del Registro.
• Deshabilitar WAM sin motivo: genera inconsistencias con el resto de apps de Office; solo desactívalo si estás resolviendo un caso muy concreto y controlado.
• Proxies agresivos: si el inicio de sesión moderno falla fuera de la red corporativa, prueba con red limpia para aislar el problema.

Procedimiento de reversión

Si necesitas revertir la forzada de Modern Auth (por pruebas o rollback), basta con devolver a 0 las claves cambiadas y reiniciar:

Windows Registry Editor Version 5.00

\[HKEY\CURRENT\USER\SOFTWARE\Microsoft\Office\16.0\Common\Identity]
"EnableADAL"=dword:00000000

\[HKEY\CURRENT\USER\Software\Microsoft\Exchange]
"AlwaysUseMSOAuthForAutoDiscover"=dword:00000000 

Ten en cuenta que volver a Basic Auth no es recomendado ni suele estar disponible en Exchange Online.

Conclusión

El bucle de petición de contraseña en Outlook clásico con Microsoft 365 no es un “fallo misterioso”, sino un desajuste entre lo que el servicio exige (OAuth) y lo que el cliente intenta usar (flujos heredados). Con dos ajustes de Registro y la habilitación de Autenticación Moderna en Exchange Online, el cliente recupera la sesión, habilita MFA y vuelve a ser estable para uso intensivo y offline. Completa el proceso con una limpieza de credenciales y la recreación del perfil, y tendrás un Outlook clásico plenamente operativo sin necesidad de adoptar el Nuevo Outlook si este no cumple tus requisitos.

Apéndice de comandos útiles

• Iniciar Outlook en modo seguro: outlook.exe /safe
• Comprobar proxy WinHTTP: netsh winhttp show proxy
• Forzar resincronización de hora: w32tm /resync
• Actualizar Microsoft 365 Apps (si usas Office C2R): OfficeC2RClient.exe /update user

Caso real resumido

En el escenario que motivó esta guía, varios equipos con Windows y Outlook clásico pedían la contraseña sin autenticar. Tras comprobar conectividad con SaRA y aplicar parches, el problema persistía. Se activó la Autenticación Moderna en el tenant, se forzó en cada equipo con EnableADAL y AlwaysUseMSOAuthForAutoDiscover, se reinició y se recrearon los perfiles. El resultado fue estable y operativo: MFA activo, sin más bucles de contraseña y con todas las funciones de Exchange disponibles.

Con estos pasos, podrás mantener el uso de Outlook clásico allí donde el Nuevo Outlook no cumple aún requisitos de funcionalidad u operación offline.