Si Outlook o Teams en Android te piden contraseña y MFA una y otra vez sin abrir la bandeja ni los chats, esta guía te explica por qué ocurre, cómo resolverlo de forma definitiva y qué hacer en móviles gestionados por Intune y perfiles de trabajo.
Resumen del problema
Después de actualizar Android, Outlook, Teams o Microsoft Authenticator, algunos usuarios se encuentran con un bucle de autenticación: la app solicita usuario, contraseña y aprobación MFA (notificación o código), parece aceptar las credenciales, vuelve a pedirlas y nunca llega a cargar la interfaz. En PC todo funciona bien y en Android ya se intentó “Quitar y volver a agregar la cuenta” y “Borrar datos y caché” sin éxito.
Causa más probable
El origen suele ser un estado incoherente entre:
- Sesiones y tokens de Microsoft Entra ID (antes Azure AD) almacenados en el dispositivo.
- El perfil de trabajo o las cuentas de trabajo añadidas al sistema Android.
- Datos locales de las apps (Outlook, Teams, Authenticator, Company Portal) tras cambios de versión o de políticas de la organización.
Cuando estos componentes no están alineados, el flujo de inicio de sesión se relanza en bucle: la app redirige al navegador o WebView para autenticarse, recibe un token “antiguo” o inválido, vuelve a pedir MFA y así sucesivamente.
Solución efectiva en tres pasos
Esta secuencia ha resuelto casos reales de bucle de autenticación en Outlook y Teams para Android:
- Eliminar las cuentas de trabajo del sistema Android.
Ruta típica: Ajustes del teléfono → Cuentas (o Cuentas y copia de seguridad → Administrar cuentas). Elimina todas las cuentas etiquetadas como Trabajo, Exchange, Microsoft o similares, incluidas antiguas o duplicadas. - Limpiar las apps (Outlook y Teams).
Ajustes → Aplicaciones → Outlook → Almacenamiento → Borrar datos y Borrar caché. Repite lo mismo con Teams. - Reabrir e iniciar sesión desde cero en cada app, completando el MFA cuando lo solicite.
Importante: si el teléfono está gestionado por tu organización (Intune/Company Portal o perfil de trabajo), coordínate con TI antes de quitar la cuenta o el perfil de trabajo, ya que se eliminarán datos corporativos locales y será necesario volver a aprovisionar el dispositivo.
Rutas típicas por fabricante
| Fabricante / Capa | Ruta para quitar cuentas | Notas |
|---|---|---|
| Samsung (One UI) | Ajustes → Cuentas y copia de seguridad → Administrar cuentas | Elimina cuentas marcadas como Trabajo/Exchange/Microsoft. Si hay Perfil de trabajo, evalúa eliminarlo completo con TI. |
| Google Pixel / Android “stock” | Ajustes → Contraseñas y cuentas | Revisa “Cuenta del trabajo” y “Cuenta corporativa de Exchange”. |
| Xiaomi (MIUI) / POCO | Ajustes → Cuentas y sincronización | Busca cuentas de Microsoft, Exchange o Empresa. |
| Huawei (EMUI) | Ajustes → Usuarios y cuentas | Comprueba “Trabajo” y “Correo corporativo”. |
Procedimiento detallado, con verificación
Antes de empezar
- Comprueba que puedes recibir MFA (notificaciones o códigos). Si usas Microsoft Authenticator, asegúrate de tener backup de cuentas si procede.
- Desconecta VPNs o firewalls de red en el móvil si es posible.
- Ten a mano la contraseña actual; si TI te indicó que la restablecieron, úsala.
Paso A: eliminar cuentas de trabajo del sistema
- Abre Ajustes del teléfono y entra en la sección de Cuentas (o equivalente).
- Localiza y elimina cuentas corporativas: Trabajo, Exchange, Oficina, Microsoft, Empresa, etc. Si ves duplicados, elimina todos.
- Si el dispositivo usa Perfil de trabajo (iconos con maletín): valora eliminar todo el perfil de trabajo desde Ajustes → Privacidad o Gestión del dispositivo. Esto borra apps y datos de trabajo; realiza este paso solo con aprobación de TI.
Paso B: limpiar datos de Outlook y Teams
- Ve a Ajustes → Aplicaciones → busca Outlook.
- En Almacenamiento, pulsa Borrar datos y Borrar caché.
- Repite exactamente lo mismo con Teams.
- Opcional avanzado: si también usas Microsoft Authenticator y sospechas de tokens obsoletos, puedes borrar datos de Authenticator como último recurso. Advertencia: podrías perder accesos de otras cuentas si no tienes copia de seguridad y recuperación.
Paso C: iniciar sesión desde cero
- Abre Outlook, agrega la cuenta corporativa, introduce usuario y contraseña, y completa el MFA. Verifica que carga la bandeja.
- Abre Teams y repite el proceso. Verifica que abre la organización correcta.
Comprobaciones adicionales si el bucle continúa
- Red y VPN: intenta con otra Wi‑Fi, desactiva VPN o cambia a datos móviles. Algunos portales cautivos y proxies rompen el flujo de SSO.
- Hora y zona: activa “Fecha y hora automáticas” y “Zona horaria automática”. Tokens con desfase de reloj fallan silenciosamente.
- Navegador predeterminado y WebView: usa Chrome como predeterminado temporalmente. Actualiza Android System WebView y Servicios de Google Play. El flujo de login usa Custom Tabs/WebView.
- Modo trabajo/personal: asegúrate de que Outlook y Teams que abres correspondan al mismo perfil (personal o trabajo). Si lanzas la app del otro perfil, se reabre el login.
- Intune/Company Portal: si el móvil está gestionado, solicita a TI:
- Retirar el dispositivo del portal corporativo y volver a aprovisionarlo.
- Revisar políticas de Conditional Access y cumplimiento.
- Revocar sesiones en Entra ID y, si procede, reset de contraseña para forzar renovación de tokens.
- Reinstalación limpia: desinstala y vuelve a instalar Outlook, Teams y, si procede, Microsoft Authenticator y Company Portal. Inicia sesión nuevamente.
Escenarios típicos y cómo actuar
| Escenario | Qué sucede | Acción recomendada |
|---|---|---|
| Dispositivo personal con perfil de trabajo (BYOD) | Apps duplicadas con icono de maletín. Bucle al cambiar de perfil o tras políticas nuevas. | Eliminar cuentas de trabajo y, si falla, eliminar el perfil de trabajo completo y volver a registrar con Company Portal. |
| Dispositivo corporativo totalmente gestionado | Políticas estrictas de Intune. Login reiniciado por incumplimiento. | Coordinar con TI: retirar/reinscribir dispositivo. No eliminar perfiles sin aprobación. |
| Dispositivo no gestionado | Tokens locales o WebView desactualizado. | Eliminar cuentas, limpiar apps, actualizar WebView y Servicios de Google Play, reinstalar. |
Tabla de decisión rápida
| Síntoma | Causa probable | Acción inmediata | Plan B |
|---|---|---|---|
| Outlook/Teams piden MFA sin fin | Tokens obsoletos + cuenta de trabajo duplicada | Quitar cuentas de trabajo del sistema y limpiar datos de ambas apps | Reinstalar apps; cambiar red; revisar hora |
| Tras MFA aparece pantalla en blanco | WebView/Browser desactualizado | Actualizar Android System WebView y usar Chrome predeterminado | Limpiar caché del navegador; reiniciar dispositivo |
| Mensaje de “se requiere acción de tu organización” | Políticas de Intune o cumplimiento | Abrir Company Portal y completar requisitos | Solicitar a TI retirar y volver a inscribir el dispositivo |
| Funciona en PC, falla solo en móvil | Desfase de hora, red o perfil de trabajo | Activar hora automática; probar otra red; verificar perfil | Revocar sesiones desde TI y reingresar |
Mensajes y códigos habituales y cómo responder
- AADSTS50058 / 50173 / 50076 (mención indirecta en detalles técnicos): renovación de credenciales/MFA requerida o sesión inconsistente. Acción: revocar sesiones desde TI y repetir el inicio tras limpiar cuentas y apps.
- “Algo salió mal. Vuelve a intentarlo más tarde.” Acción: cambia de red, actualiza WebView/Servicios de Google Play y repite el flujo tras borrar datos.
- “Tu organización requiere configurar este dispositivo.” Acción: abre Company Portal, completa el registro y cumplimiento; si queda atascado, pide a TI retirar y reaprovisionar.
Buenas prácticas para evitar que vuelva a ocurrir
- Mantén una sola identidad de trabajo activa en el sistema Android. Evita duplicados de la misma cuenta en “Cuentas”.
- Actualiza por orden lógico: primero Microsoft Authenticator y Company Portal (si aplican), luego Outlook y Teams. Reinicia el dispositivo.
- Comprueba el navegador predeterminado: usa uno compatible con SSO (Chrome suele ser la opción más estable). Evita bloqueos de cookies en el flujo de login.
- Sincroniza hora y zona horaria automáticamente.
- Coordina cambios de contraseña o de políticas con TI para que no queden tokens antiguos en el móvil.
Checklist express
- Eliminar todas las cuentas de trabajo del sistema Android.
- Borrar datos y caché de Outlook y Teams.
- Iniciar sesión desde cero en cada app y completar MFA.
- Si persiste: cambiar de red, activar hora automática, actualizar WebView/Servicios de Google Play.
- Si el móvil está gestionado: abrir Company Portal, cumplir requisitos o pedir a TI retirar y reaprovisionar el dispositivo; revocar sesiones si es necesario.
- Como último recurso: reinstalar Outlook, Teams y, con precaución, Authenticator/Company Portal.
Notas útiles
- En dispositivos Samsung (One UI), la ruta típica es: Ajustes → Cuentas y copia de seguridad → Administrar cuentas; elimina cualquier cuenta marcada como Trabajo, Exchange, Microsoft o similar.
- Quitar una cuenta o perfil de trabajo elimina datos corporativos locales del perfil. Si el dispositivo está administrado por Intune, coordínate con TI para reaprovisionar sin perder acceso.
Guía avanzada para administradores TI
Si eres administrador y el usuario sigue en bucle tras la “Solución efectiva en tres pasos”, revisa:
- Estado del dispositivo en Intune: cumplimiento, errores de registro, marcas de dispositivo duplicadas. Retira el registro y solicita reinscripción.
- Sesiones y tokens en Entra ID: revoca sesiones de usuario y sesiones por aplicación (Teams, Outlook). Si procede, fuerza restablecimiento de contraseña y MFA.
- Condicional Access: políticas que exigen dispositivo marcado como compatible o aplicación cliente específica. Verifica exclusiones temporales para aislar la causa.
- Diagnóstico de red: proxies, inspección TLS o SSL break-and-inspect que afecte al flujo OIDC/SAML. Probar sin VPN o en red móvil.
- Versionado: garantiza versiones mínimas de Outlook, Teams, Authenticator y Company Portal alineadas con las políticas de la organización.
Conclusión
En la gran mayoría de casos, el bucle de autenticación en Outlook y Teams para Android se resuelve eliminando las cuentas de trabajo obsoletas del sistema y limpiando los datos de las apps antes de un inicio de sesión completamente nuevo. Cuando el dispositivo está gestionado, el factor determinante suele ser la coherencia entre políticas de Intune, estado de cumplimiento y tokens válidos en el móvil. Aplicar el procedimiento indicado —comenzando por cuentas, siguiendo por limpieza de apps, y rematando con comprobaciones de red, hora y WebView— ofrece una salida sólida y repetible al problema.
Si tras todo lo anterior persiste el bucle, escala con TI para retirar y volver a aprovisionar el dispositivo y revocar sesiones. Con ese enfoque, el usuario vuelve a acceder a su correo y a sus equipos sin contratiempos ni sorpresas.