El Problema
Al intentar conectar mediante Escritorio Remoto (RDP) a un equipo con Windows 11 Pro unido a Azure AD (Microsoft Entra ID), la conexión falla sistemáticamente.
A pesar de introducir las credenciales correctas, el sistema devuelve el siguiente error (o similar):
«Error de inicio de sesión: puede que la causa sea una contraseña expirada o que la cuenta esté deshabilitada.»
Este error persiste incluso después de cambiar la contraseña en el portal de Azure y verificar que el usuario tiene permisos correctos.
El problema suele deberse a un conflicto entre la Autenticación a Nivel de Red (NLA) y la validación de credenciales modernas de Azure AD.
La Solución
Para resolverlo, es necesario realizar una configuración en el equipo destino y una modificación en el cliente de conexión.
Paso 1: Configuración en el Equipo Remoto (Destino)
Es imprescindible reducir el nivel de exigencia de autenticación en el equipo al que nos vamos a conectar para permitir que la validación se realice en la pantalla de inicio de sesión.
- En el equipo remoto, ve a Configuración > Sistema > Escritorio remoto.
- Despliega las opciones avanzadas (o haz clic en «Configuración avanzada»).
- Desmarca la casilla:
«Requerir que los dispositivos usen Autenticación a nivel de red (NLA) para conectarse» (Nota: En versiones antiguas de Windows, esto se encuentra en Propiedades del Sistema > Acceso Remoto).
Paso 2: Configuración en el Equipo Cliente (Desde donde conectamos)
Debemos forzar al cliente RDP a no intentar usar CredSSP antes de conectar.
- Abre la aplicación Conexión a Escritorio remoto (mstsc.exe).
- Despliega Mostrar Opciones.
- En la pestaña «General», introduce la IP o nombre del equipo y haz clic en Guardar como… para crear un archivo (por ejemplo, ConexionAzure.rdp).
- Haz clic derecho sobre ese archivo .rdp que acabas de crear y ábrelo con el Bloc de notas.
- Añade las siguientes dos líneas al final del archivo:
- enablecredsspsupport:i:0
- authentication level:i:2
- Guarda y cierra el archivo.
Cómo conectar
Utiliza siempre el archivo .rdp modificado haciendo doble clic sobre él. Verás que el sistema conecta inmediatamente y te muestra la pantalla de bloqueo de Windows 11 del equipo remoto. Introduce ahí tus credenciales:
- Usuario: AzureAD\NombreUsuario@dominio.com
- Contraseña: Tu contraseña actual de Azure/Microsoft 365.
¿Por qué funciona?
Al añadir enablecredsspsupport:i:0, estamos indicando al cliente RDP que no utilice el protocolo CredSSP antes de establecer la conexión. Esto hace un «bypass» de la Autenticación a Nivel de Red (NLA) desde el lado del cliente, permitiendo que la sesión gráfica se inicie primero y que introduzcamos las credenciales directamente en la pantalla de bloqueo de Windows 11 del equipo remoto, donde la autenticación contra Azure AD funciona correctamente.
Nota sobre el usuario: Recuerda que, para iniciar sesión, el formato correcto del usuario suele ser:
- AzureAD\NombreUsuario@dominio.com
- O simplemente: .\AzureAD\NombreUsuario@dominio.com
