Outlook постоянно запрашивает пароль в Microsoft 365: причины и решения 2026

Пошаговое руководство 2026: разбираем причины бесконечного запроса пароля в Outlook (Modern Auth, WAM, Conditional Access) и даём готовые скрипты для службы поддержки.

Outlook M365 просит пароль: Fix 2026

Знакомая боль: пользователь третий раз за утро пишет в чат поддержки, что Outlook снова требует пароль — и да, это всё ещё одна из топовых заявок в 2026 году. За годы работы хелпдеском я думал, что эта тема давно умерла вместе с Basic Authentication. Но нет — она просто переехала в новый дом и обзавелась новыми соседями: WAM, Conditional Access, гибридные PRT. Старые рецепты вроде «удалите запись из Диспетчера учётных данных» сейчас работают примерно в 30% случаев. Остальные 70% требуют чуть более вдумчивого подхода.

В этом руководстве разберём, что реально происходит под капотом, и пройдёмся по диагностике — от пользовательских действий до серверных политик.

Почему Outlook запрашивает пароль в 2026 году

С августа 2025 года Microsoft окончательно закрыла дверь за Basic Authentication в Exchange Online. SMTP AUTH остался, но только если арендатор явно его включил, а EWS для сторонних приложений выключен по умолчанию (и, честно, давно пора). Это значит, что Outlook теперь обязан жить на Modern Authentication — то есть на OAuth 2.0 с токенами обновления. И как только что-то ломает работу этих токенов, пользователь видит тот самый бесконечный диалог.

Типичные виновники в 2026 году:

  • Повреждённый кэш токенов в WAM (Web Account Manager) на Windows 10/11.
  • Конфликт между несколькими учётными записями Microsoft в системе — особенно если у пользователя личный и корпоративный аккаунт перепутаны.
  • Политики Conditional Access, требующие соответствия устройства (compliant device) или гибридного присоединения.
  • Истёкший сертификат или сломанный Primary Refresh Token (PRT) на гибридно-присоединённой машине.
  • Старые ключи реестра EnableADAL или DisableADALatopWAMOverride, которые тащатся ещё с миграции 2021 года.
  • Антивирус или прокси, который перехватывает TLS до login.microsoftonline.com.
  • Профиль Outlook, созданный во времена Basic Auth и так и не мигрированный на OAuth.
  • Конфликт версий Office: классика — MSI-установка Office 2016 рядом с Click-to-Run Microsoft 365 Apps.

Быстрая диагностика: 5 шагов за 10 минут

Прежде чем лезть в реестр или открывать Sign-in logs, пройдитесь по короткому чек-листу. По моей статистике (и я веду её уже пару лет), он закрывает примерно 60% обращений.

Шаг 1. Проверьте версию Outlook

Modern Authentication требует Microsoft 365 Apps или Outlook 2019/2021 с актуальными обновлениями. Откройте Файл → Учётная запись Office → О программе Outlook и убедитесь, что номер сборки не ниже 16.0.17000 (это актуальная ветка Current Channel на 2026 год). Всё, что старше 16.0.13127, новый формат токенов попросту не понимает — обновляйте без раздумий.

Шаг 2. Удалите кэшированные учётные данные

Откройте Панель управления → Диспетчер учётных данных → Учётные данные Windows и удалите все записи, содержащие:

  • MicrosoftOffice16_Data:*
  • MicrosoftAccount:*
  • msteams_adalsso/adal_context_*
  • Любые ссылки на outlook.office365.com и autodiscover-s.outlook.com.

После удаления полностью закройте Outlook (не забудьте прибить OUTLOOK.EXE в Диспетчере задач — он любит висеть в фоне) и запустите заново.

Шаг 3. Сбросьте WAM-кэш

В Windows 11 токены Modern Auth хранятся в Web Account Manager. Сброс делается из PowerShell:

Get-AppxPackage Microsoft.AAD.BrokerPlugin | Reset-AppxPackage
dsregcmd /refreshprt

Команда dsregcmd /refreshprt обновляет Primary Refresh Token устройства, присоединённого к Entra ID. Если устройство только локальное (не в домене и не в Entra ID), команда вернёт ошибку — и это нормально, не пугайтесь.

Шаг 4. Проверьте состояние присоединения устройства

dsregcmd /status

Смотрите блок Device State: AzureAdJoined, EnterpriseJoined и DomainJoined должны соответствовать вашей схеме. А в блоке SSO State ключевая строчка — AzureAdPrt: YES. Если PRT отсутствует или помечен как NO, Outlook не сможет получить токен молча, и вот вам диалог пароля.

Шаг 5. Создайте новый профиль Outlook

Старые профили хранят настройки автообнаружения и ссылки на устаревшие точки доступа. Через Панель управления → Mail (Microsoft Outlook) → Показать профили создайте новый профиль и сделайте его профилем по умолчанию. Поверьте, это почти всегда быстрее, чем чинить старый.

Глубокая диагностика: реестр и параметры Modern Auth

Проверка ключей реестра, которые блокируют OAuth

В организациях, прошедших миграцию с локального Exchange или AD FS, часто остаются устаревшие GPO — настоящие археологические слои. Откройте regedit и проверьте следующие пути:

HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity
  EnableADAL              = 1   (или отсутствует)
  DisableADALatopWAMOverride = 0 (или отсутствует)
  Version                 = 1

HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\AutoDiscover
  ExcludeExplicitO365Endpoint = 0
  ExcludeHttpsAutoDiscoverDomain = 0
  ExcludeHttpsRootDomain = 0
  ExcludeScpLookup = 0

Если EnableADAL установлен в 0 — Outlook принудительно лезет в Basic Auth, а его, напомню, больше нет. Удалите значение или поставьте 1. Если DisableADALatopWAMOverride = 1 — Outlook игнорирует WAM и обращается к устаревшему ADAL-стеку. Удалите параметр или установите 0.

Принудительное включение Modern Auth через GPO

Для централизованной настройки в Active Directory импортируйте ADMX-шаблоны Microsoft 365 Apps 2026 и включите политику:

Конфигурация пользователя → Административные шаблоны → Microsoft Office 2016 → Безопасность → Параметры аутентификации → Использовать Modern Authentication для подключения к OfficeВключено.

Сбор журналов аутентификации

Если ничего из вышеперечисленного не помогло, пора включать логи Outlook:

HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\Mail
  EnableLogging (DWORD) = 1

Логи появятся в %TEMP%\Outlook Logging\. Ищите строки с AADSTS — это коды ошибок Entra ID, и они куда полезнее, чем кажется. Самые частые гости:

  • AADSTS50158 — требуется пройти MFA, но устройство не может её предоставить.
  • AADSTS53000 — устройство не соответствует политике Conditional Access.
  • AADSTS50059 — отсутствует tenant identifier в запросе (часто из-за устаревшего профиля).
  • AADSTS700016 — приложение не найдено в арендаторе (заблокировано админом).
  • AADSTS900561 — endpoint не принимает указанный grant_type (привет от остаточного Basic Auth).

Conditional Access и Modern Auth: что проверить администратору

В 2026 году большинство «упрямых» случаев — это именно политики условного доступа, режущие токен на этапе выдачи. Загляните в Microsoft Entra admin center → Protection → Conditional Access → Sign-in logs:

  • Найдите попытку входа пользователя в приложение Office 365 Exchange Online.
  • Откройте вкладку Conditional Access и посмотрите, какая политика применена и с каким статусом: Success, Failure, Not Applied.
  • Самые распространённые блокировки в 2026: «Require compliant device», «Require Hybrid Azure AD joined device», «Block legacy authentication», «Require phishing-resistant MFA».

Если политика требует совместимое устройство, убедитесь, что оно действительно имеет статус Compliant в Intune. Проверка из PowerShell:

Connect-MgGraph -Scopes "DeviceManagementManagedDevices.Read.All"
Get-MgDeviceManagementManagedDevice -Filter "userPrincipalName eq '[email protected]'" |
    Select-Object DeviceName, ComplianceState, LastSyncDateTime

Гибридное присоединение и AD FS: типичные ловушки

Если организация использует Hybrid Azure AD Join или федерацию через AD FS, проблема часто живёт на стороне инфраструктуры — и пользователь тут вообще ни при чём:

  • Истёкший сертификат подписи токенов AD FS. Проверяем: Get-AdfsCertificate -CertificateType Token-Signing. Если до истечения меньше 30 дней — обновляйте и синхронизируйте с Entra ID через Update-MgDomainFederationConfiguration.
  • Расхождение времени. Kerberos и SAML не прощают скос часов больше 5 минут. w32tm /query /status в помощь.
  • Неактуальная привязка устройства в Entra ID. Уберите старый объект устройства: Get-MgDevice -Filter "displayName eq 'PC-001'" | Remove-MgDevice, затем dsregcmd /leave и заново dsregcmd /join.
  • Заблокированный Seamless SSO. Проверьте состояние Azure AD Connect: учётная запись AZUREADSSOACC должна существовать в AD, а её пароль обновляться раз в 30 дней (это часто забывают).

Особый случай: macOS и Outlook for Mac

В Outlook for Mac (версии 16.85+) Modern Auth работает через Keychain. При зацикленном запросе пароля делаем так:

  1. Закройте Outlook полностью (Cmd+Q — именно Quit, не просто закрыть окно).
  2. Откройте Keychain Access и удалите все записи, содержащие Microsoft Office Identities, MicrosoftOffice16_*, com.microsoft.adalcache.
  3. Удалите файл кэша: ~/Library/Group Containers/UBF8T346G9.Office/Library/Caches/.
  4. Запустите Outlook и пройдите вход заново.

Если Mac управляется через Intune и применяется Conditional Access — установите расширение Microsoft Enterprise SSO plug-in for Apple devices. Без него macOS просто не сможет передать токен устройства в Outlook, и вы будете долго ходить по кругу.

Скрипт PowerShell для массовой диагностики

Если у вас служба поддержки и таких заявок десятки в неделю, единый скрипт сэкономит часы. Сохраните как Diag-OutlookAuth.ps1:

$report = [ordered]@{}
$report.Computer = $env:COMPUTERNAME
$report.User     = $env:USERNAME
$report.OS       = (Get-CimInstance Win32_OperatingSystem).Caption
$report.OutlookVersion = (Get-ItemProperty `
    'HKLM:\SOFTWARE\Microsoft\Office\ClickToRun\Configuration' `
    -ErrorAction SilentlyContinue).VersionToReport

# Проверка ключей Modern Auth
$idPath = 'HKCU:\Software\Microsoft\Office\16.0\Common\Identity'
$report.EnableADAL = (Get-ItemProperty $idPath -Name EnableADAL `
    -ErrorAction SilentlyContinue).EnableADAL
$report.DisableWAM = (Get-ItemProperty $idPath `
    -Name DisableADALatopWAMOverride `
    -ErrorAction SilentlyContinue).DisableADALatopWAMOverride

# Статус устройства
$dsreg = dsregcmd /status | Out-String
$report.AzureAdJoined = if ($dsreg -match 'AzureAdJoined\s+:\s+YES') {'YES'} else {'NO'}
$report.AzureAdPrt    = if ($dsreg -match 'AzureAdPrt\s+:\s+YES')    {'YES'} else {'NO'}
$report.DomainJoined  = if ($dsreg -match 'DomainJoined\s+:\s+YES')  {'YES'} else {'NO'}

# Сетевая доступность
$endpoints = @(
    'login.microsoftonline.com',
    'outlook.office365.com',
    'autodiscover-s.outlook.com',
    'device.login.microsoftonline.com'
)
foreach ($ep in $endpoints) {
    $test = Test-NetConnection -ComputerName $ep -Port 443 `
        -WarningAction SilentlyContinue
    $report["TCP_$ep"] = $test.TcpTestSucceeded
}

$report | Format-Table -AutoSize
$report | Export-Csv "$env:TEMP\OutlookAuthDiag.csv" -NoTypeInformation

Запускайте без админских прав, в контексте того пользователя, у которого возникает проблема. На выходе — таблица и CSV, который удобно прикладывать к заявке.

Превентивные меры для ИТ-службы

  • Перейдите на канал Monthly Enterprise Channel Microsoft 365 Apps — он получает обновления Modern Auth раньше Semi-Annual и при этом стабильнее, чем Current.
  • Включите политику Block legacy authentication в Entra ID, но сначала запустите её в Report-only на 7 дней — выявите устаревшие клиенты до жёсткой блокировки (поверьте, найдётся пара сюрпризов).
  • Настройте Intune Compliance Policy и применяйте Conditional Access только к compliant-устройствам. Это и риск утечки снижает, и при правильной настройке количество ложных запросов пароля.
  • Документируйте процедуру очистки токенов в базе знаний и снабдите её скриптом — у нас это сократило MTTR с 25 до 5 минут (и инженеры стали меньше ругаться).

Часто задаваемые вопросы

Почему Outlook запрашивает пароль сразу после ввода правильного пароля?

В 2026 году это почти всегда означает, что токен получен, но не принят политикой Conditional Access. Загляните в Sign-in logs в Entra ID — увидите код ошибки AADSTS, который укажет точную причину (несоответствие устройства, отсутствие MFA, блокировка legacy auth).

Помогает ли отключение MFA для одного пользователя?

Нет — и это, прямо скажем, плохая практика. С 2024 года Microsoft постепенно делает MFA обязательной для всех арендаторов, а с октября 2025 — для административных порталов без исключений. Лечите корневую причину: устаревший клиент, повреждённый профиль или неправильно настроенный Conditional Access.

Что делать, если ничего не помогает и пароль запрашивается снова и снова?

Запустите Microsoft Support and Recovery Assistant (SaRA). В 2026 году она проверяет Modern Auth, состояние WAM, токены устройства и автообнаружение за один проход. SaRA бесплатна, доступна на сайте Microsoft и часто чинит проблему сама, очищая повреждённые данные.

Может ли антивирус вызывать постоянный запрос пароля?

Да, и это бывает чаще, чем хотелось бы. SSL-инспекция в Kaspersky, ESET, Sophos или корпоративных прокси (Zscaler, Netskope) может ломать цепочку сертификатов до login.microsoftonline.com. Добавьте домены *.microsoftonline.com, *.office.com, *.office365.com в исключения TLS-инспекции согласно официальному списку URL/IP Microsoft 365.

Нужно ли пересоздавать профиль Outlook после миграции на Modern Auth?

Microsoft официально это не требует, но на практике в 80% сложных кейсов пересоздание профиля решает проблему быстрее, чем многочасовая диагностика. Используйте параметр OUTLOOK.EXE /CleanProfile или мастер создания профиля в Панели управления.

Итоги

Постоянный запрос пароля в Outlook в 2026 году — это почти всегда симптом проблем с Modern Authentication: повреждённый WAM-кэш, устаревший профиль, политики Conditional Access или сетевое вмешательство. Начните с базовой очистки токенов и пересоздания профиля, затем переходите к Sign-in logs в Entra ID и проверке состояния устройства через dsregcmd. Скрипт диагностики и SaRA сокращают время решения до минут. И помните: возврат на Basic Auth больше не вариант — единственный путь вперёд лежит через корректно настроенный OAuth и совместимые устройства.

Об авторе Priya Raghavan

Priya is an 8-year Windows endpoint engineer who came up through service desk tier 2 at TCS, then spent three years at Insight Enterprises building Autopilot deployment profiles for retail and healthcare clients. She moved in-house in 2023 to run desktop engineering for a 2,800-employee insurance group, where she owns the SCCM-to-Intune co-management roadmap. She writes mostly about Autopilot, Win32 app packaging with the IntuneWinAppUtil, and the very specific pain of PowerShell detection scripts that work in test rings and fail in production. Her last big project was migrating 1,400 kiosk machines off Windows 10 LTSC 2019 to Windows 11 IoT Enterprise without losing the bespoke shell launcher config - a story she still tells at user group meetups in Manchester. She holds MD-102 and SC-300 and is slowly working through the Azure Solutions Architect track on weekends.