# No se pudo obtener el token de acceso

## Problema

Cuando intentas iniciar sesión en KONNEKT, aparece el mensaje de error "Failed to obtain access token".

## Causa

KONNEKT no admite tener "Excluded Apps" en una directiva de Conditional Access de Microsoft Entra (Azure AD) que requiera MFA en combinación con una sesión de Windows sin SSO.

## Solución alternativa

Nuestra solución alternativa recomendada es habilitar la máquina Windows para que tenga un Primary Refresh Token (PRT), por ejemplo mediante Entra Join (AAD Join) o Register. Consulta [aquí ](https://learn.microsoft.com/en-us/entra/identity/devices/concept-primary-refresh-token#how-is-a-prt-issued)para más detalles.

Otras alternativas son (no realmente recomendadas):

* Eliminar el requisito de MFA de la correspondiente directiva de Conditional Access. Para mantener cierta seguridad en las directivas de CA sin MFA, podrías imponer [Trusted Locations (por ejemplo, direcciones IP públicas de tus hosts VDI)](https://learn.microsoft.com/en-us/entra/identity/conditional-access/location-condition)

o

* usar una directiva de Conditional Access sin "Excluded Apps". Consulta también [configuración de Conditional Access](https://docs.konnekt.io/es/installation/security/conditional-access).

## Solución

Se implementó una solución en la versión 2.10 de KONNEKT - "[Enhanced OAuth](https://docs.konnekt.io/es/configuration/system-settings/autenticacion-mejorada)".