MENU
  1. Inicio
  2. Microsoft 365
  3. Deshabilitar MFA en Microsoft Entra para migraciones con BitTitan y alternativas modernas

Deshabilitar MFA en Microsoft Entra para migraciones con BitTitan y alternativas modernas

Microsoft 365

Durante una migración de correo y OneDrive con BitTitan puede resultar imprescindible iniciar sesión sin verificación en dos pasos; de lo contrario, los procesos automáticos se detienen. Este artículo describe, paso a paso, cómo deshabilitar o evitar el MFA en Microsoft Entra de forma controlada, segura y temporal.

Índice

Resumen del escenario

Un proveedor de servicios administrados (MSP) debía mover cientos de buzones y perfiles de OneDrive a un nuevo tenant. BitTitan exige autenticación sin MFA para las cuentas origen y destino, pero:

  • El tenant usaba Security Defaults, que impone verificación en dos pasos para todos los usuarios.
  • Además, existía una directiva de Conditional Access que demandaba MFA para cualquier inicio desde fuera de la red corporativa.
  • Tras deshabilitar Security Defaults y crear exclusiones en CA, BitTitan seguía solicitando MFA o mostraba errores de autenticación.
  • Después de varios días sin éxito, la migración se ejecutó manualmente, duplicando esfuerzos y extendiendo la ventana de riesgo.

Por qué el MFA bloquea las migraciones

Herramientas como BitTitan emplean llamadas SOAP o Graph/OAuth desa­tho­rizadas para leer y escribir datos. Cuando el tenant exige un segundo factor, estas aplicaciones no consiguen completar el flujo interactivo (no pueden recibir un código temporal ni aprobar una notificación push):

  1. La herramienta envía usuario y contraseña.
  2. Entra detecta que la cuenta requiere MFA y devuelve el desafío.
  3. BitTitan no dispone de interfaz de usuario para resolver ese desafío, por lo que la sesión se corta y aparece un error 401 o 500.

Por ello hay que ofrecer un “pasillo libre” (break glass) controlado que permita autenticarse solo durante la migración.

Estrategias para permitir la autenticación sin MFA

EstrategiaPasos esencialesConsideraciones
Desactivar temporalmente Security DefaultsEntra admin center → Identity › Overview › Properties › Manage security defaults → “Disable” → Save.Úselo solo para pruebas breves; el tenant queda sin MFA ni bloqueos de legacy auth.
Exclusión mediante Conditional AccessCrear grupo “Migración”, agregar cuentas de BitTitan y excluirlo en la directiva que exige MFA.Verifique otras directivas, Authentication Strength y el orden de prioridad. Un conflicto puede anular la exclusión.
Cuenta dedicada sin MFACrear usuario de servicio, asignar Exchange Administrator y SharePoint Administrator, excluirlo de toda directiva.Fácil de auditar y de eliminar tras la migración.
Autenticación moderna basada en aplicaciónRegistrar una App Registration, conceder permisos delegados o application (Exchange, SharePoint, Graph) y configurar BitTitan (o la herramienta elegida) con client ID y secreto/certificado.Evita MFA interactiva; compatible con la eliminación de Basic Auth.
Herramientas alternativasUsar Exchange Online Migration Endpoints, SPMT, Mover.io o terceros que admitan OAuth completo (Quest, Cloudiway, ShareGate, AvePoint, SkyKick).Confirme compatibilidad y soporte antes de comenzar.

Desactivar temporalmente Security Defaults

Esta opción es la más rápida pero también la más arriesgada. Security Defaults habilita MFA por defecto para todos los usuarios y bloquea la autenticación básica. Al desactivarla, cualquier cuenta sin CA personalizada queda expuesta solo con su contraseña. Use esta vía exclusivamente para entornos piloto o tandas limitadas:

  • Avise al SOC o equipo de seguridad antes del cambio.
  • Programe la ventana fuera de horario pico.
  • Active alertas de inicio sospechoso en Azure AD sign‑in logs.
  • Rehabilite Security Defaults en cuanto termine la carga.

Exclusión mediante Conditional Access

La mayoría de los inquilinos empresariales ya operan con CA. La clave está en aislar la(s) cuenta(s) de migración dentro de un grupo de seguridad e incluir ese grupo en la sección Exclusions de la directiva que exige MFA. Consejos prácticos:

  • Compruebe el Assignment Priority; si existe otra directiva que exija MFA con prioridad superior, la exclusión no surtirá efecto.
  • Si usa Authentication Strength (p. ej. FIDO2 only), establezca “not applied” para el grupo “Migración”.
  • Audite con la utilidad What If de CA para verificar que la cuenta iniciará sesión sin MFA.
  • Desactive la exclusión en cuanto la herramienta confirme “migration completed”.

Cuenta dedicada sin MFA

Crear un usuario “svc_migracion” aislado es, en la práctica, la solución más clara y fácil de rastrear:

  1. Genere la cuenta con un UPN interno (p. ej. svc_migracion@empresa.onmicrosoft.com).
  2. Asigne los roles –nunca Global Admin– estrictamente necesarios: Exchange Administrator y SharePoint Administrator.
  3. Colóquelo en un grupo CA que solo permita contraseñas (sin MFA) o, mejor, exclúyalo de toda directiva.
  4. Una vez completada la migración, cambie la contraseña, quite los roles y elimine la cuenta.

Esta táctica ofrece trazabilidad: cualquier acción queda registrada a nombre del usuario de servicio.

Autenticación moderna mediante App Registration

La aproximación recomendada a largo plazo es que la herramienta use OAuth 2.0 con client credentials:

  1. Entra admin center → Identity › Applications › App registrations → New registration.
  2. Defina un nombre descriptivo (“BitTitan Migration App”) y establezca que la cuenta será del tipo Single tenant.
  3. En API permissions, agregue Application permissions para Exchange.ManageAsApp, Sites.FullControl.All y los permisos Graph mínimos.
  4. En Certificates & secrets, cargue un certificado o genere un secreto con vigencia corta.
  5. Configure la herramienta para que se autentique con el client ID y el certificado/secreto. No se requiere MFA porque la autenticación es de aplicación a aplicación.

Ventajas:

  • No hace falta desactivar MFA ni jugar con exclusiones.
  • Compatibilidad total con la eliminación de autenticación básica en Exchange Online (Oct‑2025).
  • Puedes rotar secretos/certificados sin afectar a usuarios finales.

Contras:

  • BitTitan solo soporta este método en versiones recientes; actualice a la última release.
  • Requiere aprovisionar un Managed Identity o Enterprise App si planea delegar accesos limitados por site.

Herramientas alternativas compatibles con OAuth

Si BitTitan no satisface el requisito, evalúe soluciones que ya funcionan íntegramente con Modern Auth:

  • Exchange Online Migration Endpoints: método nativo de Microsoft para mover buzones entre tenants.
  • SharePoint Migration Tool (SPMT) y Mover.io: para archivos y OneDrive.
  • Quest On Demand Migration, Cloudiway, ShareGate, AvePoint, SkyKick: soportan OAuth 2.0 o utilizan un motor propio que simula credenciales delegadas sin MFA interactiva.

La curva de adopción es baja: basta registrar una App en Entra y autorizar permisos application; la interfaz de estas suites guía al administrador.

Buenas prácticas antes, durante y después

Plan de reversión

Documente con antelación cómo volver a habilitar MFA en menos de cinco minutos. Tome capturas o scripts PowerShell (cmdlets Set‑AzureADMSConditionalAccessPolicy) para revertir cambios.

Auditoría y alertas

Active los Sign‑in logs y el envío de alertas a un canal de Teams o a la plataforma SIEM para:

  • Detectar inicios sospechosos con ubicación fuera de rango.
  • Monitorizar el uso anómalo del usuario/aplicación de migración (exceso de fallos, volumen inusual).

Permisos mínimos

Evite usar la cuenta Global Administrator. Con los roles Exchange Administrator y SharePoint Administrator (o Migration en roles delegados) basta para leer, crear y mover buzones y sitios.

Pruebas piloto

Antes de liberar la carga completa:

  • Seleccione 1 – 2 buzones representativos (p. ej. un buzón con reglas y uno con archivado online).
  • Migre un sitio de prueba de OneDrive o SharePoint.
  • Valide el acceso desde web y desde Outlook/Teams.

Comunicación al usuario final

Informe a los usuarios de que pueden recibir un aviso para volver a iniciar sesión durante la ventana de migración. Aclare que la verificación en dos pasos se reactivará en cuanto se complete la tarea.

Errores comunes y cómo evitarlos

  • Dejar activos Security Defaults y CA a la vez: Security Defaults se evalúa después de CA; si está activado, ignorará cualquier exclusión.
  • Olvidar policies de prueba en modo Report‑only: Aunque no bloquean, pueden marcar un inicio como riesgoso y disparar MFA.
  • Confundir permisos delegados con application: BitTitan necesita application si no va a iniciar sesión con un usuario humano.
  • No rotar secretos tras la migración: El secreto usado por la App Registration sigue funcionando. Bórralo o cámbialo inmediatamente.

Preguntas frecuentes

¿Qué ocurre si dejo MFA deshabilitado varios días?

Aumenta la superficie de ataque. Un actor con credenciales válidas podría iniciar sesión solo con contraseña. Minimice el periodo sin MFA y audite accesos.

¿Puedo usar PIM para limitar la cuenta de migración?

Sí. Asigne el rol Exchange Administrator con activación manual a través de Privileged Identity Management. La tarea de migración se ejecutará mientras el rol esté activo.

¿Cómo afecta la depreciación de Basic Auth en Exchange Online?

Desde octubre de 2025, Basic Auth ya no es compatible. Use Modern Auth con App Registration; de lo contrario, BitTitan mostrará error –2147024891.

Conclusión

Deshabilitar MFA en Microsoft Entra no debe ser un tabú, pero sí una excepción estrictamente temporal. El camino más robusto es migrar con OAuth y App Registration; las exclusiones en Conditional Access o la creación de una cuenta dedicada son medidas de contención que deben auditarse y revertirse enseguida. Con un plan de reversión, monitoreo en tiempo real y roles mínimos, puede completar la migración sin exponer todo el tenant.

Microsoft 365
OneDrive MFA Office 365 BitTitan Microsoft Entra migraciones Conditional Access
Índice