¿Cómo desactivar la autenticación multifactor en Microsoft 365?

Si eres administrador de Office 365 y necesitas deshabilitar la obligación de autenticación de doble factor (MFA) con Microsoft Authenticator, esta guía te mostrará el proceso paso a paso usando PowerShell.

¿Cuándo aparece el requerimiento de MFA?

Microsoft activa por defecto los Security Defaults (valores predeterminados de seguridad) que requieren MFA en situaciones como:

• Durante el proceso OOBE (Out-of-Box Experience) de Windows 11
• Al cambiar contraseñas
• Al acceder a configuraciones administrativas sensibles
• Al iniciar sesión desde nuevos dispositivos

📋 Requisitos Previos

• Cuenta de Administrador Global de Office 365
• Windows 10/11 con PowerShell 5.1 o superior
• Conexión a Internet

🚀 Solución: Deshabilitar Security Defaults con PowerShell

1 Instalar Microsoft Graph PowerShell

Abre PowerShell como Administrador y ejecuta:

2 Conectar a Microsoft Graph

Conecta con los permisos necesarios:

Se abrirá una ventana del navegador:

1. Inicia sesión con tu cuenta de Administrador Global
2. Acepta los permisos solicitados
3. Vuelve a PowerShell

3 Verificar el Estado Actual de Security Defaults

Comprueba si Security Defaults está habilitado:

Busca la línea que dice:

Si dice True, significa que Security Defaults está activo y forzando MFA.

4 Deshabilitar Security Defaults

Ejecuta el siguiente comando para deshabilitar:

5 Verificar que se Deshabilitó Correctamente

Comprueba nuevamente el estado:

Ahora debería mostrar:

6 Esperar la Propagación

Los cambios tardan entre 5-10 minutos en propagarse por todos los servidores de Microsoft.

7 Cerrar Sesión (Opcional)

Desconecta de Microsoft Graph:

✔️ Verificación

Para confirmar que funciona correctamente:

1. Espera 10 minutos después de hacer el cambio
2. Abre un navegador en modo incógnito
3. Ve a https://office.com
4. Inicia sesión con un usuario de tu organización
5. No debería pedirte Microsoft Authenticator

Probar en OOBE de Windows 11

Si estás configurando un nuevo equipo:

1. En el proceso OOBE, introduce el correo del usuario
2. Introduce la contraseña
3. Debería iniciarse sin solicitar MFA

🔧 Resolución de Problemas

Error: «Access Denied» o «Forbidden»

Solución: Asegúrate de estar usando una cuenta con rol de Administrador Global. Verifica en:

• https://admin.microsoft.com → Usuarios activos → Tu usuario → Roles

El módulo MSOnline no funciona

Solución: MSOnline está obsoleto. Usa siempre Microsoft.Graph como se muestra en esta guía.

Sigue pidiendo MFA después de deshabilitarlo

Posibles causas:

1. No han pasado los 10 minutos de propagación
2. Existen Políticas de Acceso Condicional adicionales
3. El usuario tiene MFA configurado individualmente

Para verificar políticas adicionales:

🛡️ Recomendaciones de Seguridad

Ahora que Security Defaults está deshabilitado, implementa estas medidas:

1. Contraseñas fuertes: Mínimo 12 caracteres con mayúsculas, minúsculas, números y símbolos
2. Capacitación: Educa a los usuarios sobre phishing y seguridad
3. Monitoreo: Revisa periódicamente los logs de inicio de sesión sospechosos
4. MFA selectivo: Considera habilitar MFA solo para cuentas de administrador usando Políticas de Acceso Condicional

📝 Comandos de Referencia Rápida

🎯 Conclusión

Has deshabilitado exitosamente los Security Defaults en Office 365, eliminando el requerimiento automático de MFA con Microsoft Authenticator. Recuerda que esto afecta la seguridad de tu organización, por lo que es fundamental implementar otras medidas de protección.

🔗 Enlaces Útiles

• Documentación oficial de Microsoft Graph
• Security Defaults en Azure AD
• Centro de administración de Microsoft 365

Fecha de publicación: Diciembre 2025
Última actualización: Diciembre 2025
Versión de PowerShell: Microsoft.Graph 2.x

¿Te ha sido útil esta guía? Agradécelo con tu experiencia aquí: Valora a Zona Digital España