Checklists y errores comunes en Migraciones Microsoft 365 (guía paso a paso y funcional)
¿Quieres que sea MSAdvance quien se encargue de todo el proceso?
Diseñamos tu migración con oleadas, validaciones, seguridad y un corte sin sustos. Si quieres foco en negocio y cero pérdida de datos, estamos listos.
Contacta con nuestro equipo Ver servicio de migración a Microsoft 365
Introducción
Migrar a Microsoft 365 sin perder datos ni productividad exige método. Esta guía funcional reúne checklists accionables, runbooks cronológicos, scripts de ejemplo y los errores más frecuentes con su solución. Está pensada para que un equipo de TI pueda ejecutarla y auditar cada decisión con fuentes oficiales.
1) Ruta paso a paso (runbook práctico)
Usa este runbook como columna vertebral. Ajusta fechas, responsables y ventanas a tu organización. Señalamos hitos “T-” (antes del corte) y “T+” (después).
| Hito | Tarea | Resultado esperado |
|---|---|---|
| T-30 a T-21 días | Assessment: inventario de buzones, OneDrive/SharePoint, Teams, apps, dispositivos; decisión de oleadas | Alcance aprobado y cronograma |
| T-20 a T-14 días | Seguridad base (MFA/CA), licencias, aprovisionamiento OneDrive, políticas de DLP y etiquetas básicas | Tenant destino endurecido |
| T-14 a T-7 días | Configurar lotes de Exchange, pruebas de envío/recepción, validación de enlaces y permisos críticos | Piloto estable |
| T-72 a T-48 horas | Bajar TTL de MX; congelar cambios; generar CSV finales de oleada | DNS listo para corte |
| T-24 horas | Sincronización incremental; checklist “go/no-go” con negocio | Go autorizado |
| Día 0 (corte) | Actualizar MX/SPF/DKIM/DMARC; comprobar flujo; soporte reforzado | Correo estable |
| T+1 a T+7 días | UAT por rol; recertificación de accesos; cerrar brechas; informes de KPIs | Cierre de oleada |
2) Checklist general previo
Antes de tocar datos, valida prerequisitos técnicos y de negocio. Este “semáforo” evita sorpresas.
| Ítem | Por qué importa | Cómo verificar | Estado |
|---|---|---|---|
| Dominios verificados | UPN/ruteo sin bloqueos | Centro de administración → Configuración → Dominios | ☐ |
| MFA y Acceso Condicional | Riesgo bajo en el cambio | Entra ID → Seguridad → Acceso condicional | ☐ |
| Licencias asignadas | Servicios activos (ExO/OD/Teams) | Admin M365 → Usuarios → Licencias | ☐ |
| OneDrive aprovisionado | Evita esperas el día 1 | Navega a https://tenant-my.sharepoint.com con la cuenta | ☐ |
| DLP y etiquetas base | Gobierno mínimo | Purview → Soluciones → DLP / Etiquetas | ☐ |
| Plan de comunicación | Menos tickets | Mailings T-14/T-7/Día 0 y guía de primer día | ☐ |
| Backup/rollback | Resiliencia | Snapshot/retención y plan de reversa redactado | ☐ |
3) Exchange Online: checklist + errores
El correo concentra sensibilidad y visibilidad. Prepara lotes, sincroniza antes del corte y valida reglas/delegaciones.
| Ítem | Detalle operativo | Comando/Referencia | Estado |
|---|---|---|---|
| Inventario buzones | Lista tamaño, delegaciones, compartidos, reglas | Get-Mailbox · Get-MailboxStatistics | ☐ |
| Lotes y CSV | Define oleadas por tamaño y criticidad | New-MigrationBatch -CSVData $csv | ☐ |
| Sincronización | Habilita incremental antes del corte | Get-MigrationUserStatistics -IncludeReport | ☐ |
| MX/SPF/DKIM/DMARC | Baja TTL, cambia registros, valida firmas | Docs oficiales (links al final) | ☐ |
| Validaciones post | Reglas transporte, conectores, delegaciones | Centro de administración de Exchange | ☐ |
Errores habituales y solución
- No bajar TTL → Bájalo 48–72 h antes para propagar MX rápido.
- Dejar POP/IMAP activos → Deshabilítalos tras migrar para reducir superficie de ataque.
- Ignorar reglas de transporte → Exporta y recrea/valida conectores y reglas.
Connect-ExchangeOnline
Get-MigrationBatch | Select-Object Name,Status,TotalCount,InitialSyncCompleteTime
Get-MigrationUser | Get-MigrationUserStatistics -IncludeReport | `
Select-Object Identity,ItemsTransferred,PercentComplete,ErrorSummaryMás info: Mejores prácticas de migración en Exchange · DKIM · DMARC
5) Microsoft Teams: checklist + errores
Define qué migrar (archivos, conversaciones, apps) y qué recrear. Evita “arrastrar” equipos obsoletos.
| Ítem | Detalle operativo | Referencia | Estado |
|---|---|---|---|
| Estructura | Identifica equipos por proceso y actividad | Admin Teams | ☐ |
| Archivos | Mapea bibliotecas asociadas a canales | SharePoint | ☐ |
| Apps/pestañas | Planner, Power BI, terceros: plan de recreación | Centro de Teams | ☐ |
| Grabaciones | Stream on SharePoint: permisos y retención | SharePoint | ☐ |
| Governance | Nomenclatura, expiración, invitados | Admin M365/Entra | ☐ |
Errores habituales y solución
- Migrar “todo” → Prioriza equipos vivos; archiva o recrea el resto.
- Olvidar pestañas y apps → Lista dependencias y prepara su reconfiguración.
- Permisos desalineados → Valida owners/miembros y políticas de invitados.
Más info: Governance en Teams
6) Identidad (Entra ID) y directorio: checklist + errores
La identidad sostiene acceso, seguridad y licencias. Define UPN, grupos y Acceso Condicional antes del go-live.
| Ítem | Detalle operativo | Referencia | Estado |
|---|---|---|---|
| UPN y alias | Esquema unificado; evita duplicados | Entra ID → Usuarios | ☐ |
| Grupos y roles | Grupos M365/seguridad; roles admins | Entra ID → Grupos/Roles | ☐ |
| Acceso Condicional | MFA por defecto; excepciones controladas | Entra ID → Seguridad | ☐ |
| Apps y permisos | Revisa OAuth/Graph; rota secretos | Entra ID → Reg. de apps | ☐ |
Errores habituales y solución
- UPN mal planificados → Unifica, comunica y migra alias.
- Falta de MFA/CA → Aplica baseline y ajusta por riesgo.
- Tokens caducados → Rota secretos y valida permisos mínimos.
Más info: Acceso Condicional · Permisos Microsoft Graph
7) Power Platform: checklist + errores
Los conectores y credenciales son los puntos frágiles. Asegura propietarios y cuentas de servicio.
| Ítem | Detalle operativo | Referencia | Estado |
|---|---|---|---|
| Entornos | Dev/Test/Prod; capacidades | Admin Power Platform | ☐ |
| Conectores | Reautenticación y mínimos privilegios | Centro de Power Apps/Automate | ☐ |
| Propietarios | Co-owners para continuidad | Power Apps/Automate | ☐ |
| Pruebas E2E | Casos de negocio con datos de ejemplo | UAT de procesos | ☐ |
Errores habituales y solución
- Conexiones huérfanas → Reautentica con cuentas de servicio.
- Sin copropietarios → Define al menos dos owners por activo crítico.
Más info: Microsoft Learn: Power Platform
8) Dispositivos e Intune: checklist + errores
La experiencia en dispositivos marca la percepción del proyecto. Define re-enrolamiento y comunica pasos claros por tipo de equipo.
| Ítem | Detalle operativo | Referencia | Estado |
|---|---|---|---|
| Políticas | Cumplimiento, configuración y apps | Admin Intune | ☐ |
| Autopilot | Hashes, perfiles y branding | Admin Intune → Dispositivos | ☐ |
| UX por rol | Guías por tipo (PC corporativo, BYOD) | Documentación interna | ☐ |
Errores habituales y solución
- Reenrolamiento improvisado → Plan por oleadas y soporte in-situ para el día 1.
- Perfiles inconsistentes → Homologa y prueba con piloto.
Más info: Microsoft Intune
9) DNS y dominios: checklist + errores
El corte de dominio es el “momento visible”. Ensáyalo y deja todo preparado para que el cambio sea limpio.
| Ítem | Detalle operativo | Referencia | Estado |
|---|---|---|---|
| TTL | Bajar TTL del MX 48–72 h antes | Panel DNS | ☐ |
| Registros | MX/SPF/DKIM/DMARC preparados | Guías oficiales | ☐ |
| Validación | Pruebas de entrega y firmas DKIM | Exchange Admin | ☐ |
| Ventana | Horario valle y guardias on-call | Calendario interno | ☐ |
# MX a Exchange Online Protection
MX @ 0 → empresa-com.mail.protection.outlook.com
TXT @ "v=spf1 include:spf.protection.outlook.com -all"
CNAME selector1._domainkey → selector1-empresa-com._domainkey.empresa.onmicrosoft.com
TXT _dmarc "v=DMARC1; p=quarantine; rua=mailto:dmarc@empresa.com"Más info: Crear registros DNS para Microsoft 365
10) Seguridad y cumplimiento: checklist + errores (corregido y ampliado)
Endurecer antes de migrar reduce el riesgo durante el cambio y evita “puertas abiertas” después. A continuación tienes un enfoque práctico que combina Acceso Condicional, Defender for Office 365 y Microsoft Purview con controles mínimos por defecto y un plan de madurez progresivo.
10.1 Acceso y autenticación (Entra ID)
| Política | Ámbito | Condiciones | Control | Notas |
|---|---|---|---|---|
| CA-00 Cuentas de emergencia | 2 cuentas “break-glass” solo cloud | Excluidas de todas las CA | — | Contraseñas largas, almacenadas fuera de banda, monitorizadas (sign-ins). |
| CA-01 MFA obligatoria | Todos los usuarios | Todos los clientes (navegador y apps) | Requerir MFA | Preferir phishing-resistant: Passkeys/FIDO2/Windows Hello cuando sea posible. |
| CA-02 Bloquear autenticación heredada | Todos los usuarios | Client apps: legacy | Bloquear acceso | Deja excepciones temporales solo si hay dependencia documentada. |
| CA-03 Requerir dispositivo conforme | Usuarios con datos sensibles | Ubicación “no confiable” o riesgo medio+ | Device compliance (Intune) | Usa listas de ubicaciones con IPs corporativas; evalúa CA basada en riesgo (P2). |
| CA-04 Sesiones seguras | Todos los usuarios | Aplicaciones M365 | Sign-in frequency, session controls | Frecuencia 12–24 h y continuous access evaluation cuando aplique. |
Referencias: Acceso Condicional · Authentication strengths (FIDO2/Passkeys) · Política MFA para todos
10.2 Correo seguro (Defender for Office 365)
| Control | Qué habilitar | Resultado |
|---|---|---|
| Safe Links | Reescritura y click-time protection | Bloqueo de URLs maliciosas |
| Safe Attachments | Detonación en sandbox | Bloqueo de adjuntos peligrosos |
| Anti-phishing | Impersonation protection, spoof intelligence | Menos suplantaciones |
| Tag de remitente externo | Marca “[EXTERNO]” nativa | Conciencia del usuario |
Connect-ExchangeOnline
Set-ExternalInOutlook -Enabled $true| Registro | Valor orientativo | Comentario |
|---|---|---|
| SPF | v=spf1 include:spf.protection.outlook.com -all | Usar -all si ya está auditado |
| DKIM | 2 selectores activos | Rotación periódica |
| DMARC | p=none → quarantine → reject | Transición gradual con reportes |
Referencias: Defender for Office 365 · SPF · DKIM · DMARC
10.3 Gobierno de información y cumplimiento (Microsoft Purview)
| Hito | Acción | Objetivo |
|---|---|---|
| Día 1–7 | Etiquetas MIP base: Público/Interno/Confidencial | Clasificación visible y simple |
| Día 1–14 | DLP correo/SharePoint/OneDrive (plantillas PII) | Prevenir fugas comunes |
| Día 7–30 | Políticas de retención en correos y sitios críticos | Conservación legal y regulatoria |
| Día 15–45 | Autoetiquetado (palabras clave/Trainable classifiers) | Menos esfuerzo manual |
| Día 30–90 | Insider Risk (según licencia) y auditoría avanzada | Detección temprana de riesgos |
Referencias: Microsoft Information Protection · Data Loss Prevention · Records Management · eDiscovery
10.4 Checklist de seguridad (listo para marcar)
| Ítem | Acción | Estado |
|---|---|---|
| Cuentas de emergencia | 2 cuentas exclusivas, excluidas de CA, monitorizadas | ☐ |
| MFA para todos | CA con Authentication strength adecuada | ☐ |
| Bloqueo de legacy auth | CA “Bloquear clientes heredados” + revisión excepciones | ☐ |
| Acceso por riesgo | Ubicaciones/named locations y sign-in risk (si P2) | ☐ |
| Safe Links/Attachments | Políticas activas para toda la organización | ☐ |
| SPF/DKIM/DMARC | Validado y con reports DMARC en p=none al inicio | ☐ |
| Etiquetas MIP | Taxonomía y política de uso publicada | ☐ |
| DLP inicial | Plantillas PII/financiero; modo auditoría → bloquear | ☐ |
| Retención | Policies básicas en correo y sitios críticos | ☐ |
| Auditoría | Revisar Unified Audit Log y permisos de eDiscovery | ☐ |
10.5 Errores frecuentes y cómo evitarlos
- Sin cuentas de emergencia → Crea 2 “break-glass” con contraseñas largas y exclusión de CA; supervisa inicios de sesión.
- Excepciones permanentes a MFA → Usa temporary access pass y elimina excepciones tras estabilizar.
- DMARC directo a
reject→ Empieza enp=nonecon reportes; sube aquarantiney luegoreject. - DLP agresiva el día 1 → Comienza en modo auditoría, mide falsos positivos y luego aplica bloqueo.
- Etiquetas sin formación → Publica una guía de 1 página con ejemplos y casos de uso por rol.
11) Comunicación, UAT y adopción
La mejor migración es la que “no se nota”. Comunica expectativas, guía el primer día y prueba con usuarios reales.
Calendario de comunicaciones
- T-14: anuncio general, qué cambia y por qué.
- T-7: instrucciones de acceso, apps y soporte.
- Día 0: recordatorio, canal de soporte, guía de 10 minutos.
- T+7: tips de productividad y encuesta de satisfacción.
UAT por rol
- Ventas: Outlook + Teams meetings y compartir externo.
- Finanzas: retención, etiquetas, bibliotecas críticas.
- Operaciones: canales por proceso y checklists de turno.
12) KPIs y control del éxito
Mide progreso (volumen), calidad (errores) y adopción (uso de OneDrive/Teams). Reporta a diario durante las oleadas.
13) TOP 25 errores y cómo evitarlos
| Error | Impacto | Cómo evitarlo |
|---|---|---|
| No bajar TTL antes del corte | Entregas inestables | TTL 48–72 h y ensayo de MX |
| Dejar POP/IMAP abiertos | Riesgo de seguridad | Deshabilitar post-migración |
| Ignorar reglas transporte | Flujos rotos | Exportar/validar reglas y conectores |
| Rutas largas en OneDrive/SPO | Ficheros omitidos | Normalizar nombres/rutas |
| Permisos heredados opacos | Accesos indebidos | Mapear y recertificar |
| Olvidar grabaciones Teams | Pérdida de histórico | Incluir Stream (SPO) |
| UPN/alias conflictivos | Errores de inicio de sesión | Esquema unificado y comunicación |
| Sin MFA/CA desde el día 1 | Brechas | Políticas baseline |
| Conexiones de Power Platform | Apps/flows rotos | Reautenticar con cuentas de servicio |
| Sin plan de reversa | Parálisis | Rollback simple y ensayado |
| Comunicación tardía | Tickets masivos | Plan 14/7/0 días |
| Falta de UAT real | Errores en producción | Pruebas por rol |
| Cuotas OneDrive/SPO | Cortes de carga | Revisar y ajustar |
| Secretos de apps caducados | Integraciones caídas | Rotación programada |
| Sin etiquetado MIP | Fugas de datos | Taxonomía básica |
| DLP demasiado agresiva | Falsos positivos | Ajuste gradual |
| Sin owners alternos | Dependencias | Co-owners |
| Horarios de corte malos | Mayor impacto | Horario valle + guardias |
| Sin métricas de éxito | Ceguera | KPIs diarios |
| No cerrar “puentes” temporales | Riesgo residual | Checklist post-go-live |
| Desatender móviles | Acceso inseguro | Intune + Outlook app |
| Exchange sin pruebas E2E | Rebotes | Pruebas extremo a extremo |
| Falta de documentación | Dependencia del equipo | Runbooks actualizados |
| Sin priorización por criticidad | Retrasos | Oleadas por negocio |
| No comunicar “qué cambia hoy” | Fricción | Guía de 10 minutos |
14) Snippets, CSVs y plantillas útiles
Usa estos fragmentos para estandarizar tareas repetitivas y monitorizar con rapidez.
Connect-ExchangeOnline
Get-CASMailbox -ResultSize Unlimited | Set-CASMailbox -ImapEnabled:$false -PopEnabled:$falseConnect-ExchangeOnline
Get-MigrationBatch | Select Name,Status,TotalCount
Get-MigrationUser | Get-MigrationUserStatistics -IncludeReport | `
Select Identity,PercentComplete,ItemsTransferred,ErrorSummaryEmailAddress
ana.perez@empresa.com
juan.garcia@empresa.com{
"displayName": "MFA para apps modernas",
"conditions": {
"users": { "includeUsers": ["All"] },
"clientAppTypes": ["browser", "mobileAppsAndDesktopClients"]
},
"grantControls": { "operator": "OR", "builtInControls": ["mfa"] }
}15) Plan de reversa (rollback) realista
No tener reversa eleva el riesgo. Este plan simple funciona en la mayoría de escenarios.
- Criterios de activación: % de errores > umbral, caída prolongada de servicio, fallo de entregabilidad no resoluble en 60–90 min.
- Pasos: restaurar MX anterior (TTL bajo), revertir reglas de transporte, pausar lotes, comunicar a negocio estado y nueva ventana.
- Validaciones: trazas de mensaje, pruebas de envío/recepción, verificación de DKIM/DMARC.
- Lecciones: documenta causa raíz y acciones preventivas para el siguiente intento.
16) Preguntas frecuentes (FAQ)
¿Cuánto tarda una migración completa?
Depende de volumen, ancho de banda y ventanas de negocio. Trabaja por oleadas con sincronizaciones previas y reserva un corte breve para el dominio.
¿Se conservan calendarios y delegaciones?
Sí, si se incluyen en el alcance y se validan en UAT. Prueba Free/Busy y accesos delegados.
¿Qué pasa con los enlaces compartidos?
Planifica la recertificación de accesos y la actualización/reenvío de enlaces externos en OneDrive y SharePoint.
¿Medidas mínimas de seguridad?
MFA y Acceso Condicional desde el día 1, Defender for Office 365 habilitado y políticas iniciales de DLP y etiquetado de sensibilidad.
17) Recursos oficiales y enlaces externos
- Exchange Online: mejores prácticas de migración
- SharePoint/OneDrive: Migration Manager
- Límites OneDrive/SharePoint
- Defender for Office 365
- Acceso Condicional (Entra ID)
- Microsoft Information Protection
- Microsoft Intune
- Permisos de Microsoft Graph
- Crear registros DNS para Microsoft 365
Si necesitas acompañamiento extremo a extremo, explora: Migración Microsoft 365, Modern Workplace, Arquitectura Azure o todo nuestro portafolio de servicios.
18) Conclusión y siguientes pasos
Con esta guía funcional tienes una base sólida para ejecutar migraciones a Microsoft 365: runbook claro, checklists por carga, seguridad desde el día 1, UAT real y KPIs que miden progreso y calidad. Ajusta los pasos a tu contexto, documenta decisiones y no improvises el corte de dominio.
¿Quieres que sea MSAdvance quien se encargue de todo el proceso?
Nos ocupamos del assessment, la coexistencia, la migración de Exchange/OneDrive/SharePoint/Teams, la seguridad y la adopción, con KPIs y soporte en el “día 1”.
Contacta con MSAdvance Conoce nuestro servicio de migración
· También podemos ayudarte con Modern Workplace y Arquitectura Azure · Todos los servicios
