MENU
  1. Inicio
  2. Microsoft 365
  3. Recuperar acceso a cuenta .onmicrosoft.com bloqueada por 2FA en Microsoft 365/Entra

Recuperar acceso a cuenta .onmicrosoft.com bloqueada por 2FA en Microsoft 365/Entra

Microsoft 365

¿Te quedaste fuera de tu cuenta empresarial admin@*.onmicrosoft.com porque pide confirmación en Authenticator y no tienes ningún segundo factor? En esta guía práctica verás por qué no se puede “saltar” el doble factor y cómo recuperar el acceso de forma segura con soporte oficial o con ayuda de otro administrador.

Índice

Resumen de la situación

La cuenta de administrador de Microsoft 365/Entra ID está bloqueada por verificación adicional. Aunque conoces la contraseña e incluso puedes restablecerla mediante el correo de recuperación, el sistema exige aprobar un aviso en la app Microsoft Authenticator (o introducir un código de una app TOTP) que ya no está disponible. Tampoco hay acceso a otros métodos de segundo factor como SMS, llamada o clave de seguridad. La petición común es “omitir” la verificación para entrar.

Conclusión clave: no existe una forma legítima de desactivar o saltar la verificación en dos pasos desde fuera. Por diseño, la única vía es restablecer los métodos de autenticación multifactor (MFA) por canales oficiales o utilizar un método temporal emitido por soporte o por un administrador con el rol adecuado.

Respuesta corta

No es posible omitir el doble factor. Por seguridad, siempre debes restablecer MFA a través de soporte de Microsoft o con la intervención de otro administrador global del tenant. Si tenías métodos alternativos ya registrados, puedes usarlos; de lo contrario, procede con soporte.

Vías para recuperar el acceso

Soporte de Microsoft para empresas

Es la opción indicada cuando no tienes ningún método de MFA disponible o eres el único administrador global del tenant. El equipo de soporte puede verificar tu identidad y restablecer los factores de autenticación en el backend.

  • Cuándo usarla: sin métodos alternativos, sin otro administrador que te ayude, o si el tenant está en un estado que impide acciones de autoservicio.
  • Qué harán: validarán la titularidad del tenant y, una vez confirmada, eliminarán los métodos de MFA o emitirán un código temporal de acceso para que vuelvas a registrar tu MFA.
  • Cómo contactarlos: busca Microsoft 365 for business support phone numbers y llama al número de tu país o crea un caso desde el centro de administración. Ten a mano la información del tenant y datos de facturación.

Qué preparar para acelerar la verificación:

  • Nombre del tenant/organización y el dominio principal (por ejemplo, contoso.onmicrosoft.com).
  • UPN de la cuenta afectada (admin@contoso.onmicrosoft.com).
  • Datos de suscripción y facturación (identificador de suscripción, último importe facturado, método de pago, nombre del titular).
  • Correo y teléfono de contacto operativos.
  • Cualquier evidencia adicional de propiedad o relación contractual con el tenant.

Intervención de otro administrador global

Si existe otro usuario con el rol de administrador global, puede devolverte el acceso desde el portal de administración de Microsoft Entra (antes Azure AD). Existen dos caminos principales:

  1. Restablecer los métodos de MFA del usuario: eliminar los métodos registrados del usuario afectado y marcar exigir nuevo registro. En el siguiente inicio de sesión, el sistema pedirá registrar de nuevo la verificación.
  2. Emitir un pase de acceso temporal (Temporary Access Pass, TAP): generar un código temporal con el que puedes entrar sin la app Authenticator y, acto seguido, registrar nuevos métodos de MFA.

Importante: estas acciones requieren permisos de administrador adecuados. No se pueden realizar desde foros, usuarios sin rol o por canales no oficiales.

Uso de un método alternativo ya registrado

En la pantalla de autenticación, busca la opción Iniciar sesión de otra manera. Si antes registraste SMS, llamada telefónica, una clave FIDO2 o un código de verificación alternativo, podrás elegirlo y entrar. Si no aparecen opciones, regresa a soporte o a la ayuda de otro administrador.

Guías paso a paso para administradores

Emisión de un pase de acceso temporal

El pase de acceso temporal (TAP) es un código con duración limitada y uso configurable que permite al usuario iniciar sesión y completar el registro de métodos fuertes de autenticación. Úsalo cuando el usuario ha perdido todos sus factores.

  1. Entra al centro de administración de Microsoft Entra con una cuenta con rol apropiado.
  2. Ve a Métodos de autenticación y asegúrate de que la directiva de pase de acceso temporal está habilitada para el ámbito deseado (todos los usuarios o grupos seleccionados).
  3. Abre la ficha del usuario afectado, sección Métodos de autenticación, y elige Agregar métodoPase de acceso temporal.
  4. Define si será de un solo uso o multiuso y ajusta la vigencia de acuerdo con las políticas internas.
  5. Comunica el código de forma segura al usuario (canal verificado, nunca público) y añade instrucciones claras: “usa el código solo para iniciar sesión y registrar tus nuevos factores ahora mismo”.
  6. Una vez dentro, el usuario debe registrar inmediatamente Microsoft Authenticator y al menos un método adicional resistente al phishing (por ejemplo, clave FIDO2 o passkey), además de un método de respaldo.
  7. Revoca el pase temporal si era multiuso o deja que expire según lo configurado.

Restablecimiento de métodos de autenticación de un usuario

Empléalo si el usuario aún puede completar la autenticación con algún factor o si realizas la operación desde una sesión de administrador distinta.

  1. En el centro de administración, localiza al usuario y entra en Métodos de autenticación.
  2. Elimina los métodos registrados que el usuario ya no controla (aplicaciones TOTP antiguas, números obsoletos, claves extraviadas).
  3. Activa la opción exigir nuevo registro para forzar la configuración de MFA en el siguiente inicio.
  4. Si el usuario no puede pasar la verificación actual, combina esta acción con un pase de acceso temporal o solicita soporte.

Habilitación de restablecimiento de contraseña de autoservicio

El restablecimiento de contraseña de autoservicio (SSPR) con registro combinado simplifica futuros incidentes.

  1. Habilita SSPR y el registro combinado para usuarios o grupos objetivo.
  2. Define qué métodos de contacto se permiten y cuántos son obligatorios (por ejemplo, teléfono móvil y clave de seguridad).
  3. Comunica a los usuarios cómo completar el registro y verifica el cumplimiento.
  4. Si hay entorno híbrido, revisa las opciones de escritura en directorio local según sea necesario.

Recomendaciones de seguridad y continuidad

  • Cuentas de emergencia (break glass): crea un par de cuentas de administrador global, con contraseñas largas y únicas, exentas de directivas de acceso condicional y MFA solo si tu modelo de amenaza lo exige, almacenadas de forma segura y con monitoreo de inicio de sesión.
  • Política de registro combinado: facilita a los usuarios registrar MFA y SSPR en una sola experiencia.
  • Habilitación del pase temporal: deja TAP preparado antes de un incidente, limitado por grupos y con alertas.
  • Métodos resistentes al phishing: prioriza Microsoft Authenticator con verificación de número, claves FIDO2 y passkeys. Evita depender solo de SMS.
  • Documentación clara: define en un runbook quién puede emitir TAP, cómo verificar la identidad del solicitante y cómo revocar accesos temporales.
  • Transferencia de Authenticator: establece un procedimiento cuando cambies de dispositivo. Si la organización permite respaldo en la nube de la app, úsalo; si no, planifica un re-registro ordenado antes de cambiar de teléfono.

Preguntas frecuentes

¿Puedo entrar si conozco la contraseña y tengo el correo de recuperación?
No. Si el tenant exige MFA, la contraseña no es suficiente. El correo de recuperación puede ayudarte a restablecer la contraseña, pero no sustituye la segunda verificación.

¿Y si soy el único administrador global?
Acude a soporte de Microsoft para empresas. Ellos verificarán la propiedad del tenant y restablecerán los métodos de autenticación.

¿Qué es un pase de acceso temporal?
Es un código con validez limitada emitido por un administrador o por soporte que permite iniciar sesión y registrar nuevos métodos de autenticación. No es una contraseña permanente.

¿Sirve Google Authenticator si lo tenía antes?
Si la cuenta estaba registrada en otra app TOTP y aún conservas el dispositivo, puedes usarla con la opción “Iniciar sesión de otra manera”. Si no la tienes, necesitas restablecimiento por administrador o soporte.

¿Se puede exportar la cuenta de trabajo desde la app Authenticator antigua?
Algunas organizaciones deshabilitan la restauración para cuentas laborales. En ese caso, la única vía es re-registrar con ayuda de un administrador o con un pase temporal.

Errores comunes que llevan al bloqueo

  • Eliminar la app Authenticator del teléfono o hacer un restablecimiento de fábrica sin desregistrar antes los métodos de MFA.
  • No registrar al menos dos métodos de autenticación alternativos.
  • Carecer de cuentas de emergencia o de un proceso para emitir pases temporales.
  • No documentar la transferencia de métodos de verificación al cambiar de dispositivo.
  • Confiar exclusivamente en SMS cuando la cobertura o el número telefónico pueden cambiar.

Lista de verificación para una recuperación rápida

  • Confirma que realmente no tienes acceso a ningún método alternativo con Iniciar sesión de otra manera.
  • Si no hay alternativas, determina si existe otro administrador global activo que pueda ayudarte hoy.
  • Si no, inicia un caso con soporte de Microsoft para empresas y reúne evidencias de propiedad del tenant.
  • Si hay otro administrador, que emita un pase temporal o reinicie los métodos de MFA y marque exigir nuevo registro.
  • Una vez dentro, registra de inmediato múltiples métodos (Authenticator, clave FIDO2 o passkey, teléfono) y comprueba el inicio de sesión con cada uno.
  • Actualiza tu runbook: habilita registro combinado, SSPR, directiva de pase temporal y cuentas de emergencia.

Procedimiento sugerido para el usuario afectado

  1. Intenta acceder y selecciona Iniciar sesión de otra manera. Si no hay opciones, continúa.
  2. Contacta a soporte de Microsoft o a otro administrador global e indica: “Soy el propietario o administrador de contoso.onmicrosoft.com y he perdido el acceso a los métodos de MFA. Necesito restablecimiento de métodos o un pase temporal.”
  3. Una vez recibido el pase temporal o tras el restablecimiento, inicia sesión y completa el registro de nuevos factores inmediatamente.
  4. Verifica que todos los métodos funcionen y, si procede, revoca el pase temporal o deja que expire.

Plantilla de solicitud para otro administrador

Asunto: Solicitud de ayuda para restablecer MFA o emitir pase temporal

Hola,
Perdí el acceso a mis métodos de autenticación en la cuenta [admin@contoso.onmicrosoft.com](mailto:admin@contoso.onmicrosoft.com).
¿Podrías, por favor, desde Microsoft Entra:

- Eliminar mis métodos registrados y marcar “exigir nuevo registro”, o
- Emitir un pase de acceso temporal y compartirlo por este canal?

Tras acceder, registraré Authenticator y una clave FIDO2 de inmediato.
Gracias.

Tabla resumen de decisiones

EscenarioAcción recomendadaQuién ejecutaNotas
No hay ningún método de verificación disponible y eres el único administradorAbrir caso con soporte de Microsoft para restablecer métodos o emitir pase temporalSoportePrepara evidencias de propiedad del tenant
Existe otro administrador globalEmitir pase temporal o restablecer métodos y exigir re-registroAdministradorAcciones desde el portal de Microsoft Entra
Había métodos alternativos registradosElegir “Iniciar sesión de otra manera” y usar SMS, llamada o claveUsuarioSi no aparecen opciones, regresar a soporte o administrador
Recuperaste accesoRegistrar múltiples métodos fuertes, habilitar SSPR y pase temporalUsuario y administradorDocumentar procedimiento de transferencia de Authenticator

Pasos de endurecimiento después de la recuperación

  • Registrar múltiples factores: Authenticator con aprobación por número, una clave de seguridad FIDO2 o passkey, y un método telefónico.
  • Revisar directivas de acceso condicional: exigir métodos resistentes al phishing en administradores y personal sensible.
  • Configurar cuentas de emergencia: credenciales almacenadas en un cofre seguro, monitoreo de uso y pruebas periódicas controladas.
  • Habilitar el pase temporal: limitarlo a grupos de servicio y establecer procesos claros de emisión, uso y revocación.
  • Capacitar a los usuarios: guía ilustrada para mover Authenticator a un dispositivo nuevo y checklist de verificación anual de métodos registrados.

Por qué no existe una vía legítima para saltar el doble factor

El diseño de la autenticación multifactor protege contra el compromiso de contraseñas. Permitir la entrada sin verificación adicional convertiría un robo de contraseña en un acceso total a datos corporativos. Por ello, los flujos de recuperación dependen de la verificación administrativa o del servicio de soporte, donde hay controles de identidad y trazabilidad. Cualquier “atajo” que prometa bypassear el sistema implica un riesgo extremo para la organización y suele contravenir políticas de seguridad y cumplimiento.

Notas finales

Si perdiste el teléfono o cambiaste de dispositivo, evita repetir el incidente: registra más de un método y conserva al menos un factor independiente del teléfono (por ejemplo, una clave de seguridad física guardada en lugar seguro). Documenta el procedimiento de transferencia de métodos y revisa las directivas de acceso condicional para minimizar la posibilidad de bloqueo total del tenant.

En síntesis: no existe forma legítima de “saltar” la verificación. La recuperación pasa por soporte oficial o por la acción de otro administrador para restablecer métodos o emitir un pase temporal, y luego por el registro inmediato de múltiples factores robustos.

Microsoft 365
Microsoft 365 2FA MFA Entra ID Temporary Access Pass SSPR
Índice