Si compraste una Surface Pro 7 usada y, aun tras reinstalar Windows, el asistente inicial insiste en “correo de trabajo o escuela”, no es un fallo tuyo: el equipo sigue inscrito en gestión corporativa (MDM). La solución real es que el propietario anterior la libere de Intune/Autopilot o devolverla.
Resumen de la pregunta
Se adquirió una Surface Pro 7 de segunda mano en eBay. Aunque se creó un USB de recuperación y se reinstaló Windows varias veces, el proceso de primer inicio (OOBE) no ofrece “configurar para uso personal” y obliga a iniciar sesión con una cuenta de trabajo o escuela. ¿Se puede dejar totalmente limpia por cuenta propia?
Diagnóstico: por qué tu Surface “se resiste”
El comportamiento descrito es característico de los dispositivos con Mobile Device Management (MDM) activo, normalmente mediante Microsoft Intune y registrado en Autopilot. La inscripción se asocia al ID de hardware y, en el caso de Surface, puede extenderse al firmware a través de DFCI (Device Firmware Configuration Interface). Por eso, aunque restablezcas, formatees o incluso borres la TPM, al conectarse a Internet durante la configuración, Windows consulta los servicios de Microsoft, detecta que el hardware está preinscrito por una organización y vuelve a aplicar el encuadre corporativo.
En la actualidad, el directorio de identidades de Microsoft se llama Entra ID (antes Azure AD). Ahí también queda constancia del dispositivo, lo que permite que la política obligue a inscribirse y a utilizar una cuenta corporativa.
Qué son MDM, Intune, Autopilot y DFCI
- MDM: sistema de gestión remota que aplica políticas y controla el ciclo de vida de equipos.
- Intune: solución MDM/MAM de Microsoft, desde la cual se inscriben, retiran y eliminan equipos.
- Autopilot: servicio que “reconoce” el hardware por su hardware hash y fuerza una configuración organizada durante el OOBE.
- DFCI: capa de gestión del firmware en Surface que puede bloquear opciones de UEFI y persistir más allá de reinstalaciones.
Por qué un restablecimiento no la “desinscribe”
El restablecimiento local solo limpia el sistema operativo. La inscripción y la pertenencia en Autopilot/Intune/Entra ID no residen en tu instalación recién creada, sino en la nube y, en Surface con DFCI, además puede gobernarse a nivel de firmware. Por eso, el asistente vuelve a forzar la ruta “Trabajo o escuela” al detectar el equipo en los servicios de Microsoft.
Señales inequívocas de MDM/Autopilot activo
- En el OOBE no aparece la opción “Configurar para uso personal” y el flujo exige “correo de trabajo o escuela”.
- Aparece el nombre de una organización o mensajes como “Este dispositivo pertenece a tu organización”.
- Tras completar el asistente con una cuenta corporativa, se instalan automáticamente perfiles, apps de empresa (p. ej., Company Portal), restricciones de UEFI o BitLocker sin pedirte permiso.
| Síntoma observable | Interpretación probable |
|---|---|
| OOBE fuerza “Trabajo o escuela” | Autopilot asignado al hardware |
| Mensaje con nombre de empresa | Registro en Entra ID e Intune vigente |
| No permite cambiar opciones de UEFI | DFCI controlado por la organización |
| Vuelven políticas tras un formato | Inscripción persistente en la nube |
Soluciones legítimas que sí funcionan
Existen dos vías viables y legales. Cualquier otra ruta que prometa “saltar” controles no solo es poco fiable, también puede ser ilegal y dejarte sin soporte o con un equipo inusable.
Pedir la liberación al propietario anterior u organización
El vendedor o su departamento de TI deben retirar y eliminar el equipo de todas las ubicaciones pertinentes. Pide expresamente que verifiquen estos puntos:
- Autopilot: en Intune > Windows enrollment > Devices (Autopilot) > Delete.
- Intune (All devices): acción Retire y, una vez retirado, Delete.
- Entra ID (Devices): eliminar el dispositivo para que deje de estar vinculado al directorio.
- DFCI/UEFI (si aplica): quitar la asignación de firmware para devolver el control de la UEFI.
Tras completar esos pasos, es recomendable que el vendedor confirme por escrito (o con capturas de pantalla) la eliminación. Después, vuelve a restablecer o reinstala desde tu USB de recuperación. Si el flujo de OOBE ofrece “Uso personal”, la liberación surtió efecto.
Si no quieren o no pueden liberar: devolución y reembolso
Si el equipo permanece MDM-bloqueado, no es un producto apto para uso personal. En plataformas de compraventa suele aplicarse la protección al comprador cuando el artículo está mal descrito. Argumenta que no puede configurarse para uso personal por estar inscrito en una organización y solicita reembolso.
| Panel | Ruta | Acción necesaria | Responsable |
|---|---|---|---|
| Intune | Windows enrollment > Devices (Autopilot) | Eliminar del Autopilot | TI del vendedor |
| Intune | Devices > All devices | Retire y luego Delete | TI del vendedor |
| Entra ID | Azure/Entra ID > Devices | Delete del directorio | TI del vendedor |
| DFCI | Gestión de firmware de Surface | Revocar asignación de UEFI | TI del vendedor |
Lo que no funciona (y por qué)
- Restablecer, formatear o reinstalar Windows: al conectarse, Autopilot detecta el hardware y fuerza la inscripción otra vez.
- Borrar la TPM: no elimina el registro en la nube ni la pertenencia en Entra ID.
- Configurar “sin Internet” para crear una cuenta local: en cuanto el equipo vea la red, volverá a aplicar el bloqueo.
- Herramientas de “bypass”: además de ser inestables y potencialmente ilícitas, te dejan sin garantías y pueden inutilizar seguridad, activación o firmware.
Plantilla de mensaje para el vendedor o su TI
Copia y pega, y adapta los campos entre corchetes:
Hola, compré la Surface [modelo y serial] y, al iniciar, Windows me obliga a usar “correo de trabajo o escuela”. Esto indica que el dispositivo sigue inscrito en su organización (Autopilot/Intune/Entra ID). ¿Podrían liberar completamente el equipo siguiendo estos pasos? 1. Intune > Windows enrollment > Devices (Autopilot) > Delete 2. Intune > Devices > All devices: Retire y luego Delete 3. Entra ID (Azure AD) > Devices: Delete 4. (Si aplica) DFCI/UEFI: quitar cualquier asignación de firmware Les adjunto el número de serie y fotos de la pantalla que solicita “correo de trabajo o escuela”. Una vez hecho, por favor confirmen por escrito o con capturas. Después yo restableceré el equipo. Gracias.
Consejos prácticos para gestionar la conversación
- Envía pruebas: número de serie, fotografía del OOBE que pide “trabajo o escuela” y, si aparece, el nombre de la organización.
- Explica el porqué: recalca que no pides “credenciales”, solo que eliminen el dispositivo del inventario corporativo.
- Pide confirmación: una captura de Autopilot/Intune/Entra ID donde ya no aparezca el equipo.
- Marca un plazo razonable: si no hay respuesta, inicia la devolución por artículo mal descrito.
Procedimiento paso a paso después de la liberación
- Restablece o reinstala con tu USB de recuperación de Surface o desde el entorno de recuperación de Windows.
- Conéctate a Internet con normalidad. Si el dispositivo fue eliminado correctamente, el OOBE ya debe mostrar la opción “Configurar para uso personal”.
- Finaliza el OOBE con tu cuenta Microsoft (o local, si así lo prefieres).
- Comprueba el estado de pertenencia:
- Configuración > Cuentas > Acceso laboral o escolar: debe aparecer vacío.
- En una ventana de Terminal, ejecuta
dsregcmd /status: no debería figurar AzureAdJoined como YES.
- Actualiza controladores y firmware desde Windows Update y la aplicación Surface.
- Activa y configura BitLocker (opcional) ya bajo tu control personal.
Comprobaciones rápidas para asegurarte de que ya es tuyo
- El asistente de inicio ofreció “Uso personal”.
- En Acceso laboral o escolar no hay conexiones.
- No se instalan perfiles ni apps corporativas automáticamente.
- Puedes entrar a la UEFI y cambiar opciones sin restricciones impuestas por DFCI.
Prevención para futuras compras
Lo mejor es evitar el problema antes de pagar. Exige evidencias de que el equipo no está inscrito.
| Antes de comprar | Qué pedir | Por qué |
|---|---|---|
| Verificación de estado | Video del OOBE mostrando “Uso personal” | Demuestra que no está forzado por Autopilot |
| Identificación | Número de serie | Permite a TI confirmar y, si procede, eliminar |
| Compromiso del vendedor | Garantía por escrito de “no inscripción MDM” | Base para devolución/reembolso si no se cumple |
| Fuente | Reacondicionado de canal oficial o con garantía | Menor probabilidad de equipos aún corporativos |
Preguntas frecuentes
¿Basta con borrar la TPM o formatear el SSD?
No. La pertenencia vive en la nube (Intune/Autopilot/Entra ID) y, en Surface, puede haber políticas DFCI. Volverá a aplicarse cuando el equipo vea Internet.
¿Puedo “saltarme” la pantalla de cuenta de trabajo/escuela?
No te conviene. Los métodos de bypass violan políticas y pueden ser ilegales. Además, aunque consigas crear una cuenta local, al conectarte a la red reaparecerá la obligación de inscribirse.
¿Y si el vendedor no colabora?
Recopila evidencias (fotos, videos del OOBE) y tramita la devolución. Un equipo inscrito en MDM no corresponde a un “uso personal” pleno.
¿Puede ser un equipo robado?
No necesariamente, pero un dispositivo empresarial vendido sin darse de baja es una señal de alarma. Evita comprar sin garantías de liberación.
¿Qué pasa si estaba en Windows 10 y quiero Windows 11?
Tras la liberación, puedes instalar la versión soportada por tu Surface y por Microsoft. La inscripción no depende de la versión de Windows, sino de la asociación del hardware.
¿La liberación tiene coste?
No debería tener coste para ti. Es el propietario anterior quien debe gestionar la baja desde su inquilino de Entra ID/Intune.
¿Cuánto tarda en propagarse la baja?
La eliminación suele ser casi inmediata, pero algunos servicios tardan un poco en reflejarse. Si ves que aún obliga tras la confirmación, espera un poco y prueba a restablecer de nuevo.
¿Qué diferencia hay entre “Retire” y “Delete” en Intune?
Retire intenta quitar la administración del dispositivo. Delete elimina el objeto del inventario. En muchos casos se recomiendan ambos pasos, seguidos de la eliminación en Entra ID y Autopilot.
¿Cómo sé si DFCI estaba activo?
Si la UEFI tenía opciones bloqueadas (arranque, puertos, cámaras) probablemente DFCI estaba aplicado. Tras la revocación, esas restricciones desaparecen.
¿Puedo usarla con una cuenta Microsoft personal después?
Sí. Una vez liberada, el OOBE permite el flujo personal y el equipo funcionará como un dispositivo doméstico estándar.
Mitos comunes y aclaraciones
- Mito: “Si instalo una versión vieja de Windows, se quita”.
Realidad: al conectarte, Autopilot vuelve a imponer sus políticas. - Mito: “Cambiar el SSD evita el bloqueo”.
Realidad: el registro se asocia al hardware del equipo, no al disco. - Mito: “Con una BIOS nueva se limpia”.
Realidad: en Surface, DFCI puede reimponerse si no lo revoca la organización.
Glosario rápido
- OOBE: Out Of Box Experience, asistente de primer arranque.
- MDM: gestión de dispositivos móviles/escritorio.
- Intune: plataforma MDM de Microsoft.
- Autopilot: servicio para preconfigurar dispositivos por hardware.
- Entra ID: directorio de identidades (antes Azure AD).
- DFCI: control de firmware en equipos Surface.
- TPM: chip de seguridad; borrarlo no “desinscribe” el equipo.
Checklist de acción rápida
| Acción | Resultado esperado | Quién lo hace |
|---|---|---|
| Solicitar baja de Autopilot | Deja de forzar “Trabajo o escuela” | TI del vendedor |
| Retire + Delete en Intune | El dispositivo sale del inventario MDM | TI del vendedor |
| Eliminar en Entra ID | Quita la pertenencia al directorio | TI del vendedor |
| Revocar DFCI | Recuperas el control de UEFI | TI del vendedor |
| Restablecer o reinstalar | OOBE con “Uso personal” disponible | Comprador |
Buenas prácticas de seguridad y ética
Saltarse controles corporativos no es una solución y puede exponerte a riesgos legales. Si la organización no puede o no quiere liberar el equipo, devuélvelo. Mantén siempre la transparencia con el vendedor y evita métodos que prometen “soluciones mágicas”.
Resumen ejecutivo
Si tu Surface usada exige cuenta de trabajo o escuela después de restaurarla, no está “rota”: sigue inscrita en MDM/Autopilot. Eso no se arregla con formateos ni con borrar la TPM. La solución es que el propietario anterior la elimine de Autopilot, Intune y Entra ID (y que revoque DFCI si aplica). Sin esa liberación, lo apropiado es gestionar la devolución y el reembolso. Para futuras compras, exige prueba en video del OOBE en modo personal y una garantía de no inscripción MDM.