Impedir bloqueos de inquilino

Los bloqueos de inquilino pueden producirse cuando todos los administradores globales pierden el acceso debido a directivas mal configuradas, credenciales expiradas o errores de MFA. Los asociados desempeñan un papel fundamental para evitar estos problemas al garantizar que los inquilinos estén configurados con redundancia, opciones de recuperación y conciencia del ciclo de vida.

Lista de comprobación para la configuración del inquilino y la administración de GDAP

El socio comercial debe revisar la guía de roles de GDAP para encontrar roles adecuados para apoyar a los clientes.
- El administrador de autenticación con privilegios es necesario para acceder a acciones relacionadas con el acceso, como el restablecimiento de contraseña y el restablecimiento de MFA.
El partner debe revisar proactivamente las características de administración de GDAP para asegurar que la relación de GDAP con el cliente final no expira.
Redundancia de la cuenta de administrador global
- Asegúrese de que cada inquilino tenga al menos dos cuentas de administrador global con credenciales distintas y métodos de MFA.
- Configure estas cuentas para admitir el acceso de emergencia y evitar el bloqueo durante interrupciones o errores de autenticación.
- Para obtener más información, consulte Prácticas de acceso seguro para administradores en Microsoft Entra ID.
cuentas de Break-Glass
- Cree cuentas de emergencia excluidas de las directivas de acceso condicional.
- Use contraseñas complejas y supervise la actividad de inicio de sesión para estas cuentas.
- Para obtener más información, consulte Administrar cuentas de administrador de acceso de emergencia.
Diseño de directivas de acceso condicional
- Evite las directivas generales que se aplican a todos los administradores.
- Pruebe siempre las directivas antes de la implementación y excluya las cuentas de emergencia.
- Para obtener más información, vea Compilar directivas de acceso condicional en Microsoft Entra.
Planificación de recuperación de emergencia y SSPR
- Documente los procedimientos de recuperación y asegúrese de que todos los administradores saben cómo acceder a las cuentas de emergencia.
- Inste a los clientes a configurar el Restablecimiento de contraseña de autoservicio (SSPR) y a mantener actualizados los métodos de recuperación. Para obtener más información, consulte Análisis detallado del autoservicio de restablecimiento de contraseña.
Reconocimiento del ciclo de vida
- Revise periódicamente las cuentas de administrador y los roles de actividad y validez.
- Quite cuentas de administrador obsoletas o sin usar para reducir el riesgo.
- Para más información, consulte Procedimientos recomendados para los roles de Microsoft Entra.

Nota:

Para cualquier escenario que implique al inquilino del cliente, Microsoft debe trabajar directamente con un administrador global en el inquilino en el que se producen problemas de acceso. En la mayoría de los escenarios, si el partner tiene los permisos de administrador delegados pormenorizados adecuados (GDAP), deben poder ayudar al cliente sin interactuar con Microsoft. Los clientes y partners siempre deben intentar recuperar el acceso a través de la herramienta autoservicio de restablecimiento de contraseña antes de ponerse en contacto con Microsoft para obtener soporte técnico.

Bloqueo de inquilinos: escenarios y pasos siguientes

A continuación se muestran algunos escenarios que los partners y clientes pueden encontrar y pasos sobre cómo resolverlos.

Para ponerse en contacto con el soporte técnico de Microsoft: busque los números de teléfono de soporte técnico de Microsoft 365 para empresas por país o región.

Los escenarios se clasifican en dos categorías generales:

Sin acceso de GDAP o sin relación de partners: abarca todos los escenarios en los que el cliente no tiene ninguna relación de partner o ninguna relación de GDAP con ningún asociado.
GDAP Access: Este abarca todos los escenarios en los que el Partner tiene una relación de GDAP con un cliente. Dado que GDAP se basa en roles de Entra ID, es importante revisar los roles activos para determinar si un Partner puede realizar la acción solicitada.

Escenario 1.1: Restablecimiento de contraseña, MFA o nombre de usuario olvidado

GDAP Activo con socio que tiene funciones de restablecimiento de contraseña. El cliente ha perdido el acceso a un inquilino, necesita una contraseña y el partner tiene privilegios de administrador delegados pormenorizados (GDAP) con los roles adecuados, consulte ¿Quién puede restablecer las contraseñas para obtener instrucciones sobre roles?

El partner debe trabajar directamente con el cliente para restaurar el acceso. No es necesario interactuar con Microsoft.
- Preguntas más frecuentes sobre GDAP
- Administración de cuentas de usuario

Escenario 1.2: restablecimiento de contraseña, MFA o nombre de usuario olvidado

GDAP Activo con socio sin roles de restablecimiento de contraseña. El cliente perdió el acceso a un inquilino, necesita una contraseña y el partner tiene privilegios de administrador delegados pormenorizados (GDAP), pero no tiene los roles necesarios para restablecer la contraseña de usuario.

Los partners deben ayudar a los clientes a usar la herramienta autoservicio de restablecimiento de contraseña para recuperar el acceso.
El administrador global del cliente final del inquilino debe ponerse en contacto con Microsoft para obtener soporte técnico.
- Para obtener más información, consulte Buscar números de teléfono de soporte técnico de Microsoft 365 para empresas por país o región.

Escenario 2.1: Promoción del usuario al administrador global

El usuario del cliente debe convertirse en administrador global en un inquilino y el asociado tiene privilegios de administrador delegados pormenorizados (GDAP) con los roles adecuados, ya sea administrador global o administrador de roles con privilegios.

El partner debe trabajar directamente con el cliente para promover al usuario al administrador global. No es necesario interactuar con Microsoft.
- Para obtener más información, consulte Administración de usuarios y licencias.

Escenario 2.2: Promoción del usuario al administrador global

El cliente debe convertirse en Administrador Global en un entorno y el socio no tiene una relación de GDAP activa o no tiene los roles de GDAP adecuados para elevar los privilegios del usuario.

El cliente debe encontrar otro administrador global en el inquilino para elevar este rol, si ningún otro administrador global está disponible, el propietario del inquilino debe ponerse en contacto con Microsoft para obtener soporte técnico.
- Buscar números de teléfono de soporte técnico de Microsoft 365 para empresas por país o región: administrador de Microsoft 365 | Microsoft Learn

Escenario 3: Los administradores globales de los usuarios finales perdieron el acceso a su arrendatario y no hay otro administrador global, pero no tienen un socio con acceso GDAP o necesitan establecer una nueva relación GDAP con un socio.

Los partners deben ayudar a los clientes a usar la herramienta autoservicio de restablecimiento de contraseña para recuperar el acceso.
El administrador global del cliente final del inquilino debe ponerse en contacto con Microsoft para obtener soporte técnico.
- Para obtener más información, consulte Buscar números de teléfono de soporte técnico de Microsoft 365 para empresas por país o región.

Escenario 4: Directiva de acceso condicional o actividad inusual que impide el acceso del tenant para todos los clientes finales y socios

El administrador global del cliente final del inquilino puede ponerse en contacto con Microsoft para obtener soporte técnico.
- Para obtener más información, consulte Buscar números de teléfono de soporte técnico de Microsoft 365 para empresas por país o región.

Escenario 5: El asociado debe crear una solicitud de servicio en nombre del cliente

El asociado debe tener una relación de GDAP activa con el rol de administrador de soporte técnico del servicio para crear una solicitud de soporte técnico en nombre del cliente.
- Introducción a los privilegios de administrador delegados granulares (GDAP)
- Notificar problemas en nombre de un cliente

Escenario 6: El cliente no está disponible en el Portal del Centro de partners

El asociado de GDAP no puede ver el inquilino del cliente final en su panel del Centro de partners.

El partner debe comprobar con el cliente si aceptó el vínculo de relación de revendedor.
Si el asociado configura la administración de GDAP sin una relación de revendedor para el cliente final, el asociado debe comprobar si el cliente ha aceptado.
El socio debe ponerse en contacto con Soporte técnico del Centro de Partners.

Escenario 7: disputa de dominio

El cliente debe agregar su dominio a un inquilino, pero el dominio se mantiene en otro inquilino de Microsoft 365.

Si el cliente final o asociado no puede quitar el dominio del inquilino actual, el cliente o asociado debe enviar una solicitud de soporte técnico.
El administrador global del cliente final debe crear una solicitud de soporte técnico con Microsoft desde el inquilino donde intenta agregar el dominio. O bien, el partner puede abrir una solicitud de servicio en nombre del cliente desde el tenant del cliente final donde intenta agregar el dominio.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-11-12