¿Cambiaste la placa base y ahora Windows muestra el error 0xc0090016 impidiendo iniciar sesión en Teams, OneDrive y Outlook? Aquí tienes una guía completa y directa para resolverlo de forma segura y permanente.

Resumen rápido de la solución

Este problema se produce porque los tokens de autenticación de Microsoft 365 que residen en tu perfil de Windows quedaron vinculados al TPM (chip de seguridad) de la placa vieja. Al cambiar de placa/TPM, esos tokens ya no son válidos y las apps se bloquean con 0xc0090016. La solución consiste en forzar que Windows regenere los tokens eliminando la caché del AAD Broker Plugin.

Pasos en 1 minuto (visión general):

1. Habilitar la cuenta integrada Administrador para trabajar sin bloqueos.
2. Renombrar (o borrar) la carpeta Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy en tu perfil de usuario.
3. Deshabilitar de nuevo la cuenta Administrador.
4. Abrir Outlook/Teams/OneDrive y completar el inicio de sesión cuando lo pidan.

Síntomas y contexto

Síntoma	Qué ves	Cuándo ocurre
Error 0xc0090016	Las apps muestran bucles de inicio de sesión o fallos de autenticación	Tras cambiar placa base/TPM o reinstalar firmware/BIOS
Web funciona	En el navegador y en el móvil sí puedes iniciar sesión	Tokens del dispositivo no intervienen en la web o el móvil
Apps de escritorio bloqueadas	Teams, OneDrive y Outlook no pasan de la pantalla de autenticación	El caché local vinculado al TPM quedó inválido

Causa técnica explicada

Microsoft 365 aprovecha el TPM del equipo para proteger credenciales (por ejemplo el Primary Refresh Token, PRT) que permite Single Sign-On con WAM (Web Account Manager). El componente que gestiona esa relación en Windows es el Microsoft AAD Broker Plugin. Sus datos se guardan en tu perfil en %LOCALAPPDATA%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy. Cuando cambias la placa base (y, por tanto, el TPM), el material criptográfico con el que se emitieron los tokens deja de coincidir. Resultado: las apps no pueden validar el PRT y devuelven errores como 0xc0090016. Forzando la regeneración limpia de esa caché, todo vuelve a la normalidad.

Solución paso a paso

Habilitar la cuenta integrada de Administrador

Abre un Símbolo del sistema con privilegios elevados y ejecuta:

net user administrator /active:yes

Nota: En Windows en español puede ser:

net user administrador /active:yes

• Cierra sesión e inicia sesión con la cuenta Administrador.
• Si el sistema te solicita contraseña y no tiene, puedes asignarla primero (opcional pero recomendado): net user administrador o net user administrator según el idioma del sistema.
• En equipos corporativos, esta cuenta puede estar deshabilitada por directiva. Si no puedes habilitarla, pasa directamente a la Opción A del siguiente apartado usando tu propia cuenta y Modo seguro.

Renombrar la carpeta del AAD Broker Plugin

El objetivo es renombrar la carpeta del componente para que Windows la regenere desde cero al siguiente inicio de sesión. Tienes dos caminos:

Opción A — Desde tu propia sesión (rápida)

1. Cierra por completo las apps de Office: Outlook, OneDrive, Teams (incluido el icono de la bandeja).
2. Pulsa Win + R, escribe %localappdata%\Packages y pulsa Aceptar.
3. Localiza Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy y renómbrala a:
   Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy.old
4. Si aparece “en uso”, prueba a cerrar sesión e intentarlo en Modo seguro (mantén Shift mientras haces clic en Reiniciar → Solucionar problemas → Opciones avanzadas → Configuración de inicio → Reiniciar → F4).

Opción B — Desde la cuenta Administrador (segura cuando la carpeta está bloqueada)

Inicia sesión con la cuenta Administrador que habilitaste y navega manualmente a la carpeta del usuario afectado (no la del Administrador). Es decir:

C:\Users\TUUSUARIO\AppData\Local\Packages\Microsoft.AAD.BrokerPlugincw5n1h2txyewy

Renómbrala a:

C:\Users\TUUSUARIO\AppData\Local\Packages\Microsoft.AAD.BrokerPlugincw5n1h2txyewy.old

Consejo: Si no ves AppData, habilita “Mostrar archivos ocultos” en el Explorador.

Alternativa con PowerShell (avanzado)

# Sustituye TU_USUARIO por el perfil afectado
$path = "C:\Users\TUUSUARIO\AppData\Local\Packages\Microsoft.AAD.BrokerPlugincw5n1h2txyewy"
Rename-Item -Path $path -NewName "Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy.old"

Deshabilitar de nuevo la cuenta integrada de Administrador

Para dejar el equipo seguro:

net user administrator /active:no

o en sistemas en español:

net user administrador /active:no

Abrir Outlook, Teams y OneDrive y completar el inicio de sesión

• Abre las aplicaciones y vuelve a escribir tu contraseña cuando lo soliciten.
• Si aparece el aviso “Permitir que mi organización administre este dispositivo”, elige Sí.
• Es posible que el mensaje relacionado con TPM aparezca una vez más; puedes ignorarlo. Las apps deberían cargar con normalidad en adelante.

Resultado: Tras estos pasos, el problema queda resuelto.

Detalles importantes y buenas prácticas

• ¿Por qué renombrar y no borrar? Renombrar es reversible. Si algo no va bien, puedes restaurar el nombre original.
• ¿Se pierden datos? No. Solo se regeneran cachés y tokens. Tus archivos de OneDrive/Outlook no se borran.
• ¿Afecta a otras apps? Puede mejorar el inicio de sesión en otras apps de Microsoft 365 que usen WAM (por ejemplo, Office, Edge, Store).

Verificación y diagnóstico después del arreglo

Para confirmar que todo quedó en orden, puedes revisar el estado de registro del dispositivo con:

dsregcmd /status

En la salida te interesan, entre otros, estos campos:

• Device State: AzureAdJoined/DomainJoined/EnterpriseJoined.
• SSO State: AzureAdPrt (debería ser YES tras iniciar sesión en las apps).
• WamDefaultSet / WamDefaultGUID: indica que WAM está inicializado para tu cuenta.

Nota: Los nombres pueden variar ligeramente entre versiones de Windows 10/11.

Alternativas si persiste el problema

Si por cualquier motivo el error continúa, prueba estas acciones, en este orden recomendado:

1. Desconectar y volver a conectar la cuenta del trabajo o escuela
   Configuración → Cuentas → Acceso laboral o escolar: selecciona tu cuenta → Desconectar y después Conectar de nuevo.
2. Limpiar credenciales de “Administrador de credenciales”
   Abre Administrador de credenciales (Panel de control) → Credenciales de Windows y elimina entradas relacionadas con MicrosoftOffice / ADAL / WAM. A continuación, vuelve a abrir las apps y autentícate.
3. Reiniciar OneDrive
   %localappdata%\Microsoft\OneDrive\OneDrive.exe /reset Después, inicia OneDrive desde el menú Inicio.
4. Vaciar la caché de Teams (por si el cliente quedó en mal estado):
   • Cierra Teams por completo.
   • Elimina el contenido de %AppData%\Microsoft\Teams (cliente clásico) o %LocalAppData%\Microsoft\Teams (cliente nuevo).
   • Inicia Teams y vuelve a iniciar sesión.
5. Reparar Office
   Aplicaciones y características → Microsoft 365 → Modificar → Reparación en línea.
6. Comprobar políticas corporativas
   Si el equipo está gestionado (Intune, GPO, etc.), consulta con TI antes de ejecutar comandos como dsregcmd /leave o quitar el registro del dispositivo. Un leave puede romper el acceso si hay requisitos de cumplimiento.

Tabla de decisiones rápidas

Escenario	Acción recomendada	Notas
Carpeta del Broker “en uso”	Usar cuenta Administrador o Modo seguro	Renombra en C:\Users\TU_USUARIO\AppData\Local\Packages
Equipo corporativo	Validar con TI políticas y registro del dispositivo	Evita dsregcmd /leave sin aprobación
OneDrive no se sincroniza	Reset de OneDrive	OneDrive.exe /reset
Teams sigue en bucle	Limpiar caché de Teams	Elimina carpeta de caché e inicia de nuevo
Solicitud “administrar este dispositivo”	Responder Sí	Necesario para SSO con M365

Errores frecuentes y cómo evitarlos

• Renombrar la carpeta en el perfil equivocado: si entras con la cuenta Administrador, no olvides apuntar a C:\Users\TU_USUARIO\..., no al perfil del administrador.
• Dejar activada la cuenta integrada: desactívala al terminar (/active:no).
• Olvidar cerrar las apps: Outlook, Teams y OneDrive deben estar cerrados para que la carpeta no esté bloqueada.
• Confundir idioma de la cuenta integrada: en Windows en español el nombre puede ser administrador, en inglés administrator.

Preguntas frecuentes

¿Por qué aparece este error justo después de cambiar la placa base?
Porque el TPM es otro. Los tokens emitidos antes para tu usuario estaban firmados/atados al TPM anterior. Al no poder validarse, las apps rechazan el inicio de sesión con 0xc0090016.

¿Es seguro renombrar la carpeta del AAD Broker Plugin?
Sí. Es un caché. Windows la recreará automáticamente. Es una práctica común para forzar una renovación limpia de tokens.

¿Perderé configuraciones?
No se pierden archivos ni correos. Puede que tengas que volver a aceptar “permitir que mi organización administre este dispositivo” y volver a introducir tu contraseña.

¿Puedo evitar habilitar la cuenta integrada?
Sí. Puedes intentar el renombrado desde tu propio usuario cerrando apps o usando Modo seguro. Solo si la carpeta está bloqueada recurre a la cuenta Administrador.

¿Y si uso Windows Hello (PIN, huella, etc.)?
Tras el cambio de placa, es posible que Windows Hello pida revalidación. Si falla, elimina y vuelve a crear el PIN desde Configuración → Cuentas → Opciones de inicio de sesión.

Apéndice de comandos útiles

Cerrar procesos que puedan bloquear el renombrado

taskkill /IM OneDrive.exe /F
taskkill /IM OUTLOOK.EXE /F
taskkill /IM ms-teams.exe /F

Reset completo de OneDrive

%localappdata%\Microsoft\OneDrive\OneDrive.exe /reset

Reparación de Office (interfaz gráfica)
Aplicaciones y características → Microsoft 365 → Modificar → Reparación en línea.

Comprobar estado de unión al directorio

dsregcmd /status

Restaurar la carpeta renombrada (si hiciera falta volver atrás)

# Renombra .old al nombre original
Renombrar desde el Explorador o:
PowerShell:
Rename-Item "C:\Users\TUUSUARIO\AppData\Local\Packages\Microsoft.AAD.BrokerPlugincw5n1h2txyewy.old" `
  -NewName "Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy"

Glosario breve

• TPM (Trusted Platform Module): chip que almacena claves y operaciones criptográficas. Aporta seguridad de hardware a Windows.
• PRT (Primary Refresh Token): token de actualización que habilita el inicio de sesión único de Microsoft 365 en Windows.
• WAM (Web Account Manager): servicio de Windows que gestiona cuentas web para apps.
• ADAL/WAM: bibliotecas/proveedores de autenticación usados por Office/Windows.
• Microsoft AAD Broker Plugin: componente per‑usuario que intermedia la autenticación de cuentas de Entra ID (antes Azure AD).

Conclusión

El error 0xc0090016 al iniciar sesión en Teams, OneDrive y Outlook después de cambiar la placa base se debe a un desajuste entre tokens locales y el nuevo TPM. Renombrar la carpeta Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy obliga a Windows a emitir credenciales nuevas, devolviendo la normalidad al inicio de sesión. Si te encuentras en un entorno corporativo, coordina cualquier paso adicional (como desconectar/reconectar la cuenta del trabajo o usar dsregcmd) con tu equipo de TI para respetar las políticas de seguridad.

---

Guía original resumida

Causa técnica (resumen): Los tokens de autenticación de Microsoft 365 almacenados localmente quedaron vinculados al TPM anterior. Tras el cambio de placa/TPM ya no coinciden, por lo que las apps fallan.

Solución: Forzar la regeneración de tokens renombrando la carpeta del AAD Broker Plugin.

Pasos detallados

1. Habilitar la cuenta integrada de Administrador
   • Abrir Símbolo del sistema como administrador.
   • Ejecutar: net user administrator /active:yes Nota: En equipos con Windows en español podría ser:net user administrador /active:yes
   • Cerrar sesión e iniciar sesión con la cuenta Administrador.
2. Renombrar la carpeta del Broker
   • Win + R → escribir %localappdata%\Packages → Aceptar.
   • Buscar la carpeta: Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy
   • Renombrarla a: Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy.old
   • Cerrar sesión del Administrador e iniciar sesión con tu usuario habitual.
3. Deshabilitar la cuenta integrada de Administrador
   • Abrir Símbolo del sistema como administrador.
   • Ejecutar: net user administrator /active:no (o administrador en sistemas en español)
4. Abrir Outlook/Teams/OneDrive
   • Vuelve a escribir tu contraseña cuando lo pidan.
   • Si aparece el aviso “Permitir que mi organización administre este dispositivo”, selecciona Sí.
   • Es posible que el error de TPM aparezca una vez más; ignóralo y la aplicación debería cargar con normalidad en adelante.

Información complementaria

• Si no puedes renombrar la carpeta (permisos en uso), cierra por completo las apps de Office o prueba en Modo seguro.
• Alternativas si persiste:
  • Configuración → Cuentas → Acceso laboral o escolar: desconectar y volver a conectar la cuenta.
  • Limpiar credenciales de Administrador de credenciales (entradas MicrosoftOffice/ADAL/WAM) y volver a iniciar sesión.
  • En entornos corporativos, antes de usar comandos como dsregcmd /leave, consulta con TI.
• Precaución: Cambios de hardware pueden afectar el registro del dispositivo en la organización; si el equipo está gestionado por tu empresa, verifica las políticas con soporte de TI.