MENU
  1. Inicio
  2. Windows
  3. troubleshooting
  4. Problemas de inicio de sesión del Ejército (Army): soluciones CAC/MFA, cumplimiento MDM e Intune

Problemas de inicio de sesión del Ejército (Army): soluciones CAC/MFA, cumplimiento MDM e Intune

troubleshooting

¿No puedes iniciar sesión en portales del Ejército/DoD aunque tus credenciales sean correctas? Esta guía te ayuda a diagnosticar y resolver bucles de inicio de sesión, bloqueos por cumplimiento (compliance) y errores con CAC/PIV o MFA, con pasos claros para usuarios y para Soporte/TI.

Índice

Resumen del problema

Síntoma: el sistema acepta usuario/credenciales, pero al procesarlas se muestran errores o bucles de autenticación y no se concede acceso.

Diagnóstico más probable: el dispositivo o su configuración no cumplen los requisitos de seguridad/compliance establecidos por la organización en el entorno DoD.

Solución de fondo: que Soporte/TI revise la cuenta, el estado del dispositivo y las políticas (acceso condicional, cumplimiento MDM/EDR, ubicación/red, método de autenticación) y, si procede, corrija asignaciones o excepciones.

Cómo resolverlo rápido: lista de comprobación esencial

  1. Usa el portal correcto de tu organización (Ejército/DoD), no el portal comercial. Entra con tu UPN/correo corporativo.
  2. Valida el método de autenticación exigido.
    • CAC/PIV: selecciona el certificado de autenticación, elimina certificados vencidos, actualiza middleware/controlador del lector y verifica que los certificados raíz/intermedios DoD están instalados.
    • MFA (app, token, SMS): confirma que el segundo factor está activo y sincronizado; si cambiaste de teléfono, vuelve a registrar el dispositivo.
  3. Comprueba el cumplimiento del dispositivo. A menudo se requiere equipo GFE/administrado inscrito en el MDM (p. ej., Intune), con cifrado, antivirus/EDR y SO al día. Los dispositivos personales pueden estar bloqueados por política.
  4. Limpia sesiones y caché: cierra sesión en todos los servicios, borra cookies/caché e intenta con ventana privada/incógnito.
  5. Prueba otro navegador/equipo y red: usa un navegador compatible y actualizado (Edge/Chrome), valida hora/fecha del sistema, desactiva extensiones que interfieran y prueba desde otra red o, si procede, a través de la VPN/segmento que exige tu organización.
  6. Lee el mensaje de error: si ves “no cumple requisitos” o un bucle de inicio, suele deberse a una política de acceso condicional (dispositivo no conforme, ubicación no permitida o método de autenticación no válido).

Por qué ocurre: acceso condicional y cumplimiento en entornos DoD

En entornos del Ejército/DoD, el acceso a aplicaciones (por ejemplo, Microsoft 365 en GCC High u otros portales) está protegido por políticas que exigen:

  • Identidad verificada (UPN corporativo) con CAC/PIV o MFA.
  • Dispositivo conforme y administrado por MDM (p. ej., Intune): cifrado (BitLocker/FileVault), antivirus/EDR activo, parches recientes, contraseñas robustas, firewall habilitado, dispositivo registrado/inscrito y, si aplica, join a Azure AD/Entra ID.
  • Ubicación/red autorizada (por ejemplo, dentro de rangos IP aprobados o tras una VPN corporativa específica).

Si algún requisito falla, el sistema puede aceptar las credenciales, pero negar el acceso o quedar en bucle al reforzar la política.

Guía detallada paso a paso

Verifica que entras por el portal correcto

  • Asegúrate de usar el portal oficial del Ejército/DoD de tu unidad, no el portal comercial genérico.
  • Autentícate con tu UPN/correo corporativo (no uses cuentas personales).
  • Si te redirige entre dominios (STS/IdP), permanece en la página hasta que termine la redirección; evita recargar.

Si usas CAC/PIV

  • Elige el certificado correcto: en el selector, usa el certificado de autenticación (no el de firma o cifrado). Si hay varios, compara fechas y emisor; evita los que están expirados.
  • Elimina certificados vencidos/duplicados: abre el administrador de certificados de usuario y limpia entradas caducadas. En Windows, ejecuta certmgr.msc > Personal > Certificados.
  • Actualiza middleware y lector: instala/actualiza el controlador del lector de tarjetas inteligente y el middleware CAC (si tu organización lo requiere). Asegura compatibilidad con el SO.
  • Instala las raíces/intermedias DoD: verifica que las CA DoD están en Entidades de certificación raíz de confianza y Intermedias (certmgr.msc). Sin ellas, el navegador no confiará en tu certificado.
  • PIN correcto y no bloqueado: tres intentos fallidos pueden bloquear la tarjeta; si lo sospechas, solicita desbloqueo a tu unidad.
  • Navegador compatible: usa Edge o Chrome actualizados. Evita extensiones que interceptan certificados.
  • Reinicia servicios de tarjeta inteligente: en Windows, reinicia el servicio Tarjeta inteligente si el lector deja de responder.

Si usas MFA (aplicación, token o SMS)

  • Revisa la aplicación de autenticación: debe estar registrada en tu cuenta corporativa. Si cambiaste de móvil, pide a TI que restablezca el registro MFA y vuelve a inscribirlo.
  • Sincronización de hora: si usas códigos temporales (TOTP), la hora del teléfono y del equipo debe ser exacta. Activa la sincronización automática.
  • Conectividad de notificaciones push: desactiva “ahorro de batería/datos” que bloqueen la app del autenticador. Comprueba que recibes las aprobaciones.
  • Método alternativo: si no funciona la app, usa un token físico, SMS o llamada (si tu política lo permite).

Comprueba el cumplimiento del dispositivo (MDM/Intune u otros)

La mayoría de los fallos se deben a que el dispositivo no es conforme. Usa esta tabla como guía:

RequisitoCómo comprobar en WindowsCómo comprobar en iOS/iPadOS/AndroidSeñal típica en el portal
Inscripción MDMConfiguración > Cuentas > Acceso laboral o escolar > Conectado. En CMD: dsregcmd /status (PRT y AzureAdJoined).App de “Company Portal” o gestor corporativo: estado Compliant.Mensaje de “dispositivo no registrado/no conforme”.
CifradoBitLocker activo (Panel de control > Cifrado de unidad BitLocker).FileVault (iOS/macOS) o cifrado del fabricante (Android) habilitado.Requisito de cifrado no cumplido.
Antivirus/EDRMicrosoft Defender u otra solución activa y actualizada.Perfil de seguridad aplicado; sin jailbreak/root.“Riesgo de seguridad no aceptable”.
ActualizacionesWindows Update al día, sin reinicios pendientes críticos.SO y app del agente MDM actualizados.“Versión de SO no permitida”.
Política de contraseñaLongitud/Complejidad exigidas; bloqueo de pantalla.Código de acceso con complejidad y tiempo de bloqueo.“Política de contraseña insuficiente”.
Unión/RegistroAzureAdJoined/WorkplaceJoined en dsregcmd /status.Inscripción correcta visible en el portal del agente.“Se requiere dispositivo administrado”.

Limpia sesiones, cookies y credenciales almacenadas

  • Cerrar sesión en todos los sitios de la organización y en el navegador.
  • Borrar cookies y caché: en Edge/Chrome, Configuración > Privacidad > Borrar datos de navegación (cookies y archivos en caché).
  • Probar en InPrivate/Incógnito para evitar cookies antiguas.
  • Eliminar credenciales guardadas en el Administrador de credenciales (Windows) si se utilizaron credenciales personales por error.
  • Sincronizar la hora del sistema: la hora incorrecta rompe TLS/MFA. w32tm /resync tzutil /s "Pacific Standard Time"

Prueba con otro navegador, equipo y red

  • Navegador: Edge o Chrome actualizados. Desactiva extensiones como bloqueadores de anuncios, gestores de contraseñas o VPNs del navegador durante la prueba.
  • Equipo: si tu dispositivo personal falla y la política exige GFE, intenta desde un equipo gestionado.
  • Red: conecta desde una red autorizada. Algunas políticas solo permiten IPs corporativas o el uso de una VPN específica. Evita redes públicas/cautivas.

Interpreta el mensaje de error

Muchos errores muestran un código o descripción que indica la política que bloquea. Esta tabla resume los más comunes y su causa probable:

Mensaje/código típicoQué significaSolución recomendada
“Se requiere un dispositivo compatible” / “Device not compliant”Acceso condicional exige dispositivo conforme.Inscribe el equipo en MDM, aplica políticas, verifica cifrado/EDR y espera la sincronización.
“Your sign-in was blocked”Bloqueo por ubicación/riesgo/método.Conéctate desde red autorizada/VPN, usa el método MFA requerido o CAC válida.
“Necesitas iniciar sesión con tu cuenta de la organización”Se usó cuenta personal.Cierra sesión de personales, borra cookies y entra con el UPN corporativo.
Bucles de inicio de sesiónCookies corruptas o PRT inválido; extensión interfiere.Borra cookies, prueba en incógnito, desactiva extensiones, renueva PRT con dsregcmd /status y cierre/apertura de sesión de Windows.
“No se encontró el certificado” / “Seleccione un certificado” vacíoLector/middleware o certificados raíz DoD faltantes; tarjeta bloqueada.Actualiza controlador/middleware, instala raíces DoD, verifica PIN y reemplaza tarjeta si está bloqueada.

Escenarios frecuentes y solución concreta

El sistema acepta mi usuario y luego me devuelve a la pantalla de inicio

Esto suele ser un bucle de cookies/PRT o una política que exige dispositivo conforme que no se cumple.

  • Borra cookies y caché. Prueba en incógnito.
  • Valida en Windows: dsregcmd /status. Debe indicar AzureAdJoined = YES o WorkplaceJoined = YES (según el caso) y SSO State: AzureAdPrt = YES.
  • Si el dispositivo no está inscrito o no tiene PRT, conecta la cuenta en Acceso laboral o escolar o vuelve a inscribirlo en el MDM.

Mensaje de “no cumples requisitos” aunque tengo Intune

  • Abre el agente MDM (Company Portal u homólogo) y pulsa Comprobar cumplimiento para forzar sincronización.
  • Verifica que BitLocker/FileVault esté activo; en algunos modelos el cifrado depende del chip TPM/seguridad por hardware.
  • Actualiza el SO y reinicia si hay parches pendientes.
  • Revisa que el antivirus/EDR esté encendido y reportando.

No aparece mi certificado CAC/PIV en el navegador

  • Comprueba que el servicio de tarjeta inteligente esté en ejecución.
  • Actualiza el driver del lector y, si tu organización lo requiere, el middleware CAC.
  • Instala/valida raíces e intermedias DoD en los almacenes del sistema.
  • Prueba con otro puerto USB/otro lector.

MFA no llega o códigos no funcionan

  • En la app de autenticación, revisa que la cuenta corporativa esté registrada y activa.
  • Sincroniza la hora del móvil y del PC.
  • Si cambiaste de teléfono, pide a TI el restablecimiento de MFA y vuelve a registrar el dispositivo.
  • Activa un método alternativo (token/SMS) si tu política lo permite.

Acceso solo desde red autorizada

  • Conéctate a la VPN de la organización si la política lo exige.
  • Evita redes públicas o con portal cautivo; pueden romper la redirección de autenticación.
  • Si estás en misión/ROTA con IP externa, comunica a TI para que validen si la ubicación debe permitirse temporalmente.

Buenas prácticas del navegador

  • Usa Edge o Chrome actualizados. Si una aplicación heredada del DoD lo requiere, usa modo IE en Edge según lo defina tu organización.
  • Autoriza cookies de terceros y emergentes para dominios corporativos si la app lo requiere.
  • Desactiva temporalmente extensiones que inyecten certificados, gestores de contraseñas invasivos o bloqueadores agresivos.
  • Comprueba que TLS moderno esté habilitado (TLS 1.2+).

Checklist para el usuario final

  • Estoy entrando en el portal oficial con mi UPN corporativo.
  • Mi método de autenticación (CAC/MFA) está activo y actualizado.
  • Mi equipo está inscrito en el MDM, cifrado, con antivirus/EDR activo y parches al día.
  • He limpiado cookies/caché o probé en modo Incógnito.
  • He probado otro navegador, otro equipo (GFE si está disponible) y otra red o la VPN requerida.
  • La hora/fecha del sistema es correcta.

Checklist para Soporte/TI

  1. Revisar registros de inicio de sesión en la plataforma de identidad: comprobar Conditional Access, risk, método de autenticación, ubicación, dispositivo y resultado.
  2. Validar pertenencia del usuario a grupos que habilitan la app y a las políticas correctas (y que no haya políticas conflictivas).
  3. Estado del dispositivo en MDM: compliant/non-compliant, último check-in, perfiles aplicados, cifrado, AV/EDR, SO mínimo.
  4. Verificar unión/registro del dispositivo: Azure AD Join/Workplace Join, PRT emitido. En el equipo del usuario: dsregcmd /status.
  5. Comprobar certificados CAC del usuario: vigencia, CRL/OCSP accesibles, cadenas de confianza DoD en el endpoint.
  6. Ubicación/red: confirmar que la IP de origen está permitida o que la VPN corporativa enruta por rangos autorizados.
  7. MFA: validar registro del método, reestablecer si el usuario cambió de teléfono, forzar re-registro si es necesario.
  8. Pruebas A/B: excluir temporalmente al usuario de una política para aislar la causa, documentando el cambio.

Cómo preparar la información para escalar a TI

Si tras estos pasos el problema persiste, contacta al soporte de tu unidad e incluye:

  • Hora exacta del fallo y zona horaria.
  • Capturas del mensaje y códigos de correlación/ID de error (si aparecen).
  • Usuario/UPN y apps a las que intentabas acceder.
  • Tipo de dispositivo (GFE/personal), estado de MDM (conforme/no conforme), versión de SO y navegador.
  • Red usada (con/sin VPN, ubicación aproximada).
  • Cualquier cambio reciente (contraseña, teléfono, reemplazo de CAC, reinstalación del SO, nuevas políticas).

Plantilla de reporte de incidente (copiar y pegar)

USUARIO/UPN:
FECHA/HORA DEL FALLO (con zona horaria):
APLICACIÓN/PORTAL:
MENSAJE O CÓDIGO DE ERROR (captura si es posible):
MÉTODO DE AUTENTICACIÓN (CAC/MFA):
TIPO DE DISPOSITIVO (GFE/personal) y SO/versión:
ESTADO MDM (inscrito/compliant, última sincronización):
NAVEGADOR Y VERSIÓN:
RED (oficina/VPN/casa/otra) + ubicación aproximada:
CAMBIOS RECIENTES (contraseña, CAC, móvil, políticas):
PASOS YA PROBADOS (borrado caché, otro navegador, etc.):

Preguntas frecuentes

¿Puedo iniciar sesión desde mi equipo personal?
Depende de la política. Muchas unidades del Ejército/DoD permiten acceso solo desde equipos gestionados (GFE) y conformes con MDM. Si tu equipo personal no cumple, será bloqueado.

¿Qué navegador funciona mejor?
Edge o Chrome actualizados. Para apps heredadas, tu organización puede requerir modo IE en Edge. Mantén TLS 1.2+ habilitado y evita extensiones que interfieran.

¿Cómo sé si mi dispositivo está “conforme”?
En Windows, revisa Acceso laboral o escolar y ejecuta dsregcmd /status. En móviles, consulta el agente MDM (Company Portal u homólogo). Si ves “No compliant”, solicita a TI los requisitos exactos.

Mi CAC está vigente pero sigo sin entrar.
Comprueba el lector/middleware, instala las raíces DoD en el sistema, verifica que seleccionas el certificado de autenticación y que el PIN no esté bloqueado. Prueba en otro equipo para aislar si el problema es del endpoint.

¿Qué es el UPN?
Es tu nombre principal de usuario en la organización (similar a un correo), p. ej., nombre.apellido@dominio.mil, utilizado para SSO.

¿Por qué me piden VPN?
Algunas políticas limitan el acceso a rangos IP corporativos. La VPN asegura que te presentes con una IP autorizada y a través de rutas seguras.

Glosario rápido

  • CAC/PIV: credencial de tarjeta inteligente usada para autenticación fuerte.
  • UPN: identificador de inicio de sesión corporativo.
  • MDM: gestión de dispositivos móviles/endpoint (p. ej., Intune).
  • EDR: solución de detección y respuesta en endpoints.
  • GFE: equipo proporcionado por el Gobierno.
  • Acceso condicional: políticas que exigen métodos de autenticación, dispositivo conforme, ubicación o riesgo aceptable.
  • PRT: Primary Refresh Token, habilita SSO en dispositivos unidos/registrados.
  • GCC High: entorno de nube de Microsoft para entidades gubernamentales de EE. UU., frecuente en DoD.

Resumen accionable

Si el inicio de sesión del Ejército/DoD falla tras aceptar tus credenciales, piensa primero en cumplimiento de dispositivo y políticas de acceso condicional. Inscribe el equipo en el MDM, confirma cifrado/EDR/actualizaciones, usa el método de autenticación requerido (CAC/MFA) y limpia cookies. Si no se resuelve, eleva el caso a TI con los datos de diagnóstico: hora exacta, capturas, ID de correlación, UPN, estado MDM, red y cambios recientes. Con esa información, el equipo de Soporte podrá ajustar políticas, validar tu cuenta y normalizar tu acceso.

Acción inmediata recomendada

  1. Accede por el portal correcto con UPN corporativo.
  2. Usa el método exigido (CAC/PIV o MFA), con certificados DoD y lector actualizados.
  3. Garantiza dispositivo conforme (inscrito en MDM, cifrado, AV/EDR, parches).
  4. Limpia cookies/caché y prueba en modo incógnito y otro navegador.
  5. Conéctate desde red/VPN autorizada.
  6. Si persiste, escala a TI con el checklist de evidencias.

Aplicando estos pasos, más del 80% de los incidentes de inicio de sesión en entornos Army/DoD se resuelven sin cambios complejos en la infraestructura. Para el resto, el análisis de políticas y registros por parte de Soporte/TI desbloqueará el acceso con seguridad.

troubleshooting
Windows Troubleshooting Microsoft 365 Edge
Índice