Una cuenta corporativa onmicrosoft.com ya eliminada en Azure AD genera avisos constantes de inicio de sesión en Windows 10/11. Aquí descubrirás cómo borrar todo rastro de la cuenta y desunir por completo el PC sin necesidad de iniciar sesión online.
Señales de que el dispositivo aún cree que pertenece a Azure AD
Los indicios más comunes son:
- Banner amarillo en Configuración > Cuentas con el mensaje “Se requiere atención para su cuenta laboral o educativa”.
- Ventanas emergentes de Microsoft Office solicitando contraseña de la cuenta antigua.
- Error 80180018 al intentar unir de nuevo el equipo a un inquilino diferente.
dsregcmd /statusmuestra AzureAdJoined : YES aunque el usuario ya no exista.
Qué ocurre tras bastidores
La unión a Azure AD escribe varios identificadores en el registro, almacena tokens en el Administrador de credenciales y crea un perfil local en C:\Users<Alias>. Cuando el tenant desaparece esos objetos no pueden renovarse y Windows interpreta que la sesión ha caducado, por lo que insiste en el inicio de sesión.
Respaldo antes de tocar nada
Aunque el procedimiento es seguro, crea un punto de restauración o exporta la clave HKLM\SOFTWARE\Microsoft\Enrollments por si necesitas volver atrás.
Método directo desde Configuración
- Abre Inicio ⇢ Configuración ⇢ Cuentas ⇢ Acceso al trabajo o la escuela.
- Selecciona la entrada something.onmicrosoft.com.
- Pulsa Desconectar y confirma la advertencia.
- Reinicia el equipo para soltar el token MDM.
Si la entrada permanece después del reinicio
No te asustes: significa que alguna dependencia sigue marcada. Revisa lo siguiente en orden de menor a mayor agresividad.
Comprobar cuentas locales con Netplwiz
- Ejecuta
netplwiz. - En la pestaña Usuarios verifica que la antigua cuenta no figure. Si aparece, selecciónala y pulsa Quitar.
Limpiar el Administrador de credenciales
- Panel de control ⇢ Cuentas de usuario ⇢ Administrador de credenciales.
- En Credenciales de Windows elimina todas las entradas cuyo recurso contenga
login.microsoft.comoautologon.microsoftazuread-sso.com.
Eliminar perfiles residuales
- Abre Sistema ⇢ Configuración avanzada del sistema ⇢ Perfiles de usuario.
- Selecciona el perfil fantasma y elige Eliminar.
- Si el botón está gris, borra manualmente la carpeta en
C:\Userstras asegurarte de que ninguna sesión la usa.
Remover claves de inscripción MDM en el Registro
Solo si los pasos previos fallan. Ejecuta regedit como administrador y navega a:
HKLM\SOFTWARE\Microsoft\Enrollments HKLM\SOFTWARE\Microsoft\Enrollments\Status
Dentro verás subclaves con GUID. Abre cada una y busca UPN o Tenant; elimina la que apunte al dominio huérfano. Repite en:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM\Enrollment
Forzar la salida del dispositivo con PowerShell
Start-Process powershell -Verb runAs
dsregcmd /leaveEl comando expulsa el objeto AzureADDevice. A continuación reinicia y confirma con dsregcmd /status que AzureAdJoined y WorkplaceJoined figuren como NO.
Quitar restos en Microsoft 365 y Outlook
Si usas Office, abre Archivo ⇢ Configuración de la cuenta ⇢ Administrar perfiles. En Cuentas de correo borra la entrada laboral, luego visita Cuentas usadas por otras aplicaciones en Configuración ⇢ Cuentas y elimina la referencia al dominio.
Checklist de verificación final
| Elemento | Comando o ruta | Estado deseado |
|---|---|---|
| AzureAdJoined | dsregcmd /status | NO |
| Entrada en Acceso trabajo/escuela | Configuración | No presente |
| Credenciales SSO | Administrador de credenciales | Eliminadas |
| Perfil local | C:\Users | Carpeta ausente |
| Claves Enrollments | Regedit | No contienen onmicrosoft |
Preguntas frecuentes
¿Perderé mis archivos si elimino el perfil?
Sí, cualquier dato almacenado únicamente allí se eliminará. Copia antes “Escritorio”, “Documentos” y cualquier PST o archivo relevante.
¿Puedo volver a unir el dispositivo a otro tenant?
Sin problemas: inicia sesión con la nueva cuenta laboral y Windows creará las claves necesarias desde cero.
¿Qué pasa si aún me pide contraseña al abrir Word?
Abre una aplicación de Office, cierra sesión en todas las cuentas, reinicia, y vuelve a iniciar con la nueva dirección.
Buenas prácticas para evitar el problema en el futuro
- Usa un usuario local o una cuenta de Microsoft personal como administrador principal del dispositivo.
- Si la empresa entrega un equipo gestionado, no mezcles cuentas personales y laborales.
- Antes de abandonar una organización, desvincúlate desde Configuración y cierra sesión en Office.
- Documenta y guarda tu clave BitLocker; al dejar el tenant la recuperación en la nube dejará de funcionar.
Automatizar el proceso con un script de limpieza
Para administradores que deban atender varios equipos es recomendable consolidar los comandos anteriores en un archivo .ps1 que ejecute cada fase sin intervención:
# CleanAzureResiduals.ps1
Write-Host "⏳ Cerrando sesión y desvinculando dispositivo..."
dsregcmd /leave
Write-Host "⏳ Eliminando credenciales AAD..."
Get-Credential | Out-Null # Fuerza interfaz
cmdkey /list | ForEach-Object {
if ($\_ -match "microsoft") {
\$target = ($\_ -split ':')\[1].Trim()
cmdkey /delete:\$target
}
}
Write-Host "⏳ Borrando claves Enrollment..."
\$paths = @(
'HKLM:\SOFTWARE\Microsoft\Enrollments',
'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM\Enrollment'
)
foreach(\$p in \$paths){
Get-ChildItem \$p | Remove-Item -Recurse -Force
}
Write-Host "⏳ Tarea completada. Reinicia ahora." Interacción con Políticas de Grupo y Autopilot
Si el dispositivo fue registrado mediante Windows Autopilot, la entrada de hardware permanece en el servicio hasta que un administrador la retire. Asegúrate de que el equipo haya sido marcado como Retired o eliminado del perfil antes de reiniciar, o bien ejecuta gpupdate /force para refrescar directivas y liberar el estado.
Diferencias de interfaz entre Windows 10 y Windows 11
- En Windows 11 el apartado se llama Acceso al trabajo o la escuela pero aparece dentro de Cuenta en la barra lateral izquierda de Configuración.
- El botón Conectar ahora es Agregar, y la confirmación cambia a “Este dispositivo ya no tendrá acceso a los recursos de su organización”.
- El icono clásico de clave azul se sustituyó por una campana, por lo que los avisos se mezclan con notificaciones de Outlook.
Depurar registros para entender la causa
Habilita el canal Microsoft-Windows-AAD/Operational en el Visor de eventos y filtra por ID 1098 (Token acquisition failed
) para documentar la diferencia antes y después de la limpieza.
Recomendaciones de seguridad adicional
- Borra la carpeta
%ProgramData%\Microsoft\Crypto\RSA\MachineKeyssolo si las claves pertenecen al tenant eliminado. - Revisa Programador de tareas ⇢ Microsoft ⇢ Windows ⇢ Workplace Join y deshabilita Automatic‑Device‑Join.
- Confirma con
gpresult /rque la Directiva de registro automático MDM esté deshabilitada.
Script BAT de un solo clic para usuarios finales
Si prefieres una solución “hazlo tú mismo”, abre el Bloc de notas, copia lo siguiente y guarda como LimpiarCuentaAAD.bat:
@echo off
echo ### Salir de Azure AD
dsregcmd /leave
echo ### Eliminar credenciales AAD
for /f "tokens=1,2 delims=:" %%a in ('cmdkey /list ^| findstr /i "microsoft"') do cmdkey /delete:%%b
echo ### Reiniciando...
shutdown /r /t 5
Vínculo con licencias de Microsoft Store y OneDrive
Las aplicaciones instaladas con la cuenta empresarial pierden la licencia y podrían dejar de abrirse. Vuelve a iniciar sesión con tu cuenta personal, abre la Store y selecciona Biblioteca ⇢ Obtener actualizaciones para re‑adquirir los paquetes. Del mismo modo, abre OneDrive, elige Desvincular este PC y configura con tu nueva cuenta o mantén solo archivos locales.
Plantilla de comunicación para usuarios finales
«Hola equipo,
El próximo viernes 15 de agosto cerraremos el tenant contoso.onmicrosoft.com. Para evitar notificaciones:
- Ve a Configuración ⇢ Cuentas ⇢ Acceso al trabajo o la escuela y desconecta Contoso.
- Reinicia el PC.
- Cierra sesión en Office y vuelve a iniciar con tu nuevo correo.
En caso de duda, responde a este correo o contacta a IT.»
Contador de problemas más comunes tras la limpieza
| Problema | Causa raíz | Solución |
|---|---|---|
| No puedo abrir Teams | Token vinculado al tenant eliminado | Cierra sesión y vuelve a entrar con la nueva cuenta |
| Se bloqueó BitLocker | La clave estaba guardada en la cuenta laboral | Introduce la clave impresa o desactiva BitLocker antes de eliminar la cuenta |
| Mi licencia de Windows bajó a Home | La actualización a Pro dependía de Azure AD | Introduce una clave Pro válida o inicia con otra cuenta con licencia |
Resumen ejecutivo
Desvincular una cuenta onmicrosoft.com de Windows implica:
- Desconectar desde Configuración.
- Eliminar credenciales y perfiles.
- Borrar claves de Registro de enrolamiento.
- Ejecutar
dsregcmd /leave. - Verificar con
dsregcmd /status.
Con estos pasos tu sistema quedará limpio y listo para funcionar como equipo personal o asociarse a un nuevo entorno corporativo sin errores de autenticación.