¿El botón Save aparece en gris al intentar deshabilitar Email OTP en Microsoft Entra Admin Center? En esta guía explico por qué ocurre, cómo resolverlo paso a paso y qué comprobaciones hacer si el portal no guarda los cambios. Incluye buenas prácticas, notas de permiso y alternativas con Microsoft Graph/PowerShell.

Qué es Email OTP y por qué conviene deshabilitarlo

Email OTP (One‑Time Password por correo electrónico) es un método de autenticación que permite a los usuarios iniciar sesión recibiendo un código en su buzón. Aunque puede resultar cómodo, introduce superficies de ataque adicionales: el correo electrónico suele ser objetivo de phishing, reenvíos automáticos y reglas maliciosas. En entornos que buscan elevar su postura de seguridad, lo habitual es deshabilitar Email OTP y apostar por factores más robustos (aplicaciones de autenticación, FIDO2, number matching, etc.).

Por qué el botón Save se muestra deshabilitado

En la pantalla Authentication methods → Email OTP, el botón Save queda inactivo cuando:

• No se ha definido un Target (objetivo de la directiva), es decir, no hay “All users” ni grupos asignados.
• No se ha aceptado el aviso de confirmación (I acknowledge…) que solicita el portal cuando cambia el estado a Off.
• El usuario no tiene permisos suficientes para administrar el método.

El resultado es una UI que no permite guardar hasta que se cumplan estas condiciones. A continuación, el procedimiento testado que soluciona el bloqueo.

Procedimiento paso a paso para deshabilitar Email OTP

1. Abra Authentication methods → Email OTP y ponga Enable = On temporalmente.
2. En Target, seleccione All users (o un grupo específico) y pulse Save. Este guardado inicial fija el ámbito de la directiva.
3. Vuelva a la misma pantalla de Email OTP y cambie Enable = Off.
4. Si aparece un aviso, marque I acknowledge… para confirmar la desactivación.
5. Compruebe que ahora Save está habilitado y pulse Save para aplicar la desactivación.

Resultado esperado: con estos pasos, la desactivación se guarda correctamente y el método “Email OTP” queda deshabilitado para el ámbito definido.

Resumen visual de la solución

Estado inicial	Acción	Objetivo	Resultado
Save en gris y Enable = Off	Ponga Enable = On	Preparar UI	Se habilitan controles de Target
Target sin definir	Seleccione All users o grupo	Definir ámbito	Pulse Save (se guarda el Target)
Target guardado	Ponga Enable = Off	Desactivar método	Aparece aviso
Aviso visible	Marque “I acknowledge…”	Confirmar impacto	Save se habilita
Save habilitado	Pulse Save	Aplicar cambio	Email OTP deshabilitado

Comprobaciones clave si algo falla

• Target definido: verifique que el ámbito no está vacío (All users o al menos un grupo).
• Aviso aceptado: si el portal muestra la advertencia, marque la casilla I acknowledge….
• Permisos: confirme que su cuenta pertenece a un rol con privilegios para administrar métodos de autenticación, como Authentication Policy Administrator o Global Administrator. En muchos escenarios también es válido Privileged Authentication Administrator.
• Propagación: los cambios en políticas pueden tardar unos minutos en replicarse. Cierre sesión y vuelva a iniciar sesión para validar el comportamiento actualizado.

Validación posterior al cambio

Para comprobar que el método ha quedado realmente deshabilitado:

• Intente iniciar un flujo de autenticación con una cuenta del ámbito afectado y confirme que no se ofrece Email OTP como opción.
• Revise Authentication methods en el portal y asegúrese de que Enable = Off para el método Email OTP y que el Target corresponde a su expectativa.
• Si la organización usa Conditional Access, verifique que no exista una exclusión o conflicto de políticas que permita Email OTP indirectamente.

Alternativas cuando el portal presenta comportamientos anómalos

Si la UI no responde o no guarda, puede aplicar la configuración mediante Microsoft Graph o el Microsoft Graph PowerShell SDK. La idea general es:

• Modificar la configuración del método de autenticación de Email OTP estableciendo state = disabled.
• Definir el includeTargets deseado (por ejemplo, All users o uno o más grupos) y aplicar los cambios.

Plantilla conceptual (JSON orientativo):

{
  "state": "disabled",
  "includeTargets": [
    {
      "targetType": "group", 
      "id": "<ObjectId-del-grupo-o-AllUsers>"
    }
  ]
}

Notas prácticas:

• Use permisos de aplicación/delegados con el ámbito Policy.ReadWrite.AuthenticationMethod.
• Si utiliza el SDK de PowerShell, conecte con Connect-MgGraph solicitando el ámbito anterior y trabaje con los cmdlets de políticas de métodos de autenticación (versión estable o beta según disponibilidad en su tenant).
• Antes de aplicar en producción, pruebe en un grupo controlado y documente el cambio.

Diferencia entre Email OTP y Email one‑time passcode para invitados

Un error común es confundir dos opciones con nombres parecidos. Esta tabla ayuda a diferenciarlas:

Característica	Email OTP (método de autenticación)	Email one‑time passcode (B2B External Identities)
Ámbito	Usuarios del directorio (internos) según Target	Usuarios invitados B2B sin credencial local
Ubicación en el portal	Authentication methods → Email OTP	External Identities → Email one‑time passcode
Objetivo de seguridad	Controlar si se permite iniciar sesión con código recibido por correo	Permitir acceso de invitados mediante código por correo si no tienen otro método
Efecto de deshabilitar	No se ofrecerá Email OTP a los usuarios en el Target	Los invitados no podrán usar el passcode por email; puede impactar colaboraciones

Conclusión: si su objetivo es reforzar la autenticación de sus usuarios internos, modifique Email OTP en Authentication methods. Si desea controlar el acceso de invitados, ajuste la opción de External Identities por separado.

Buenas prácticas para una desactivación segura

• Planifique la ventana de cambio: comunique a los propietarios de aplicaciones y al equipo de soporte que Email OTP dejará de estar disponible.
• Prepare métodos alternativos: asegúrese de que los usuarios tengan habilitados métodos más seguros (aplicación de autenticación, FIDO2, SMS/voz si es imprescindible, claves de seguridad).
• Uso de grupos “piloto”: primero deshabilite en un grupo reducido para verificar impacto funcional y de soporte.
• Auditoría y registro: documente cuándo, quién y cómo se deshabilitó el método; utilice etiquetas de cambio internas.
• Revisión de accesos heredados: confirme que no existen flujos heredados o aplicaciones que dependan de Email OTP.

Errores frecuentes y cómo evitarlos

• Deshabilitar sin Target: intentar poner Enable = Off sin haber guardado previamente un Target. Solución: siga el procedimiento de dos fases (guardar Target y luego deshabilitar).
• Permisos insuficientes: editar como administrador de servicio sin privilegios de políticas de autenticación. Solución: utilice Authentication Policy Administrator o Global Administrator.
• Confusión con B2B: deshabilitar la opción equivocada en External Identities. Solución: use la tabla comparativa anterior y valide la ruta del portal.
• No aceptar el aviso: olvidar marcar I acknowledge…. Solución: revise la parte inferior de la pantalla al cambiar a Off.
• Conclusión apresurada: probar inmediatamente y asumir fallo por caché de sesión. Solución: espere unos minutos y reinicie sesión.

Checklist rápido

• ✔ Target definido y guardado (All users o grupos).
• ✔ Enable = Off aplicado.
• ✔ Aviso de confirmación aceptado.
• ✔ Permisos adecuados (Authentication Policy Administrator/Global Administrator).
• ✔ Validación tras replicación: el método no aparece al autenticarse.

Flujo alternativo con grupos específicos

Si prefiere un despliegue gradual, utilice grupos:

1. Con Enable = On, establezca el Target en un grupo piloto (Security group).
2. Ponga Enable = Off y guarde. El efecto solo impactará al grupo piloto.
3. Una vez verificado, amplíe el Target a All users o agregue más grupos y vuelva a Save.

Preguntas frecuentes

¿Puedo revertir el cambio rápidamente?

Sí. Manteniendo el mismo Target, cambie Enable de Off a On, acepte el aviso si corresponde y guarde. La replicación suele ser rápida, pero puede tardar unos minutos.

¿Qué rol mínimo necesito?

Authentication Policy Administrator es suficiente en la mayoría de los casos. Global Administrator también tiene privilegios. En algunos tenants, Privileged Authentication Administrator puede cubrir estas acciones.

¿Afecta a usuarios invitados?

No directamente. Los invitados B2B se controlan desde External Identities → Email one‑time passcode, configuración independiente. Revise ambos si trabaja con colaboración externa.

¿Qué hago si el portal no responde o se “queda pensando”?

Intente: refrescar la página, limpiar caché/cookies, reautenticar su sesión o usar otro navegador. Si el problema persiste, aplique la alternativa de Microsoft Graph/PowerShell y considere abrir un ticket a soporte.

Guía de resolución de problemas

Síntoma	Causa probable	Acción recomendada
Save en gris	Target no definido o aviso no aceptado	Defina Target, guarde; cambie a Off y marque “I acknowledge…”
Mensaje de acceso denegado	Rol inadecuado	Use Authentication Policy Administrator o Global Administrator
Cambio no surte efecto	Replicación pendiente o sesión cacheada	Espere unos minutos, cierre sesión y reintente
Impacto en invitados inesperado	Se editó la opción de External Identities	Revise la configuración de Email one‑time passcode (B2B) por separado

Política de comunicación al usuario final

Para reducir tickets de soporte, anticipe una comunicación clara:

• Motivo: “Incrementar el nivel de seguridad eliminando códigos de correo”.
• Fecha efectiva y alcance: grupos o All users afectados.
• Métodos alternativos permitidos: app de autenticación, FIDO2, etc.
• Enlace a procedimiento interno de alta de métodos (si aplica) y contacto de soporte.

Ejemplo de política por fases

1. Fase 1 (piloto de 2 semanas): deshabilitar Email OTP en grupo de TI.
2. Fase 2 (ampliación): deshabilitar en grupos de alto riesgo (administradores, finanzas).
3. Fase 3 (global): deshabilitar en All users y retirar excepciones.

Conclusión

El botón Save deshabilitado al intentar apagar Email OTP en Entra suele deberse a un Target no definido o a no aceptar el aviso. Con el procedimiento de “guardar Target con Enable = On” y, a continuación, “poner Off y aceptar la advertencia”, la UI permite guardar y el método queda correctamente deshabilitado. Si el portal se comporta de forma anómala, la configuración puede aplicarse vía Microsoft Graph/PowerShell. Combine este ajuste con buenas prácticas de MFA para elevar el nivel de seguridad de su tenant.

Nota final: No confunda esta opción con “Email one‑time passcode” para identidades externas (B2B), que se gestiona en otra sección y tiene efectos distintos sobre los usuarios invitados.