Outlook постоянно запрашивает пароль в Microsoft 365: причины и решения 2026

Знакомая боль: пользователь третий раз за утро пишет в чат поддержки, что Outlook снова требует пароль — и да, это всё ещё одна из топовых заявок в 2026 году. За годы работы хелпдеском я думал, что эта тема давно умерла вместе с Basic Authentication. Но нет — она просто переехала в новый дом и обзавелась новыми соседями: WAM, Conditional Access, гибридные PRT. Старые рецепты вроде «удалите запись из Диспетчера учётных данных» сейчас работают примерно в 30% случаев. Остальные 70% требуют чуть более вдумчивого подхода.

В этом руководстве разберём, что реально происходит под капотом, и пройдёмся по диагностике — от пользовательских действий до серверных политик.

Почему Outlook запрашивает пароль в 2026 году

С августа 2025 года Microsoft окончательно закрыла дверь за Basic Authentication в Exchange Online. SMTP AUTH остался, но только если арендатор явно его включил, а EWS для сторонних приложений выключен по умолчанию (и, честно, давно пора). Это значит, что Outlook теперь обязан жить на Modern Authentication — то есть на OAuth 2.0 с токенами обновления. И как только что-то ломает работу этих токенов, пользователь видит тот самый бесконечный диалог.

Типичные виновники в 2026 году:

• Повреждённый кэш токенов в WAM (Web Account Manager) на Windows 10/11.
• Конфликт между несколькими учётными записями Microsoft в системе — особенно если у пользователя личный и корпоративный аккаунт перепутаны.
• Политики Conditional Access, требующие соответствия устройства (compliant device) или гибридного присоединения.
• Истёкший сертификат или сломанный Primary Refresh Token (PRT) на гибридно-присоединённой машине.
• Старые ключи реестра EnableADAL или DisableADALatopWAMOverride, которые тащатся ещё с миграции 2021 года.
• Антивирус или прокси, который перехватывает TLS до login.microsoftonline.com.
• Профиль Outlook, созданный во времена Basic Auth и так и не мигрированный на OAuth.
• Конфликт версий Office: классика — MSI-установка Office 2016 рядом с Click-to-Run Microsoft 365 Apps.

Быстрая диагностика: 5 шагов за 10 минут

Прежде чем лезть в реестр или открывать Sign-in logs, пройдитесь по короткому чек-листу. По моей статистике (и я веду её уже пару лет), он закрывает примерно 60% обращений.

Шаг 1. Проверьте версию Outlook

Modern Authentication требует Microsoft 365 Apps или Outlook 2019/2021 с актуальными обновлениями. Откройте Файл → Учётная запись Office → О программе Outlook и убедитесь, что номер сборки не ниже 16.0.17000 (это актуальная ветка Current Channel на 2026 год). Всё, что старше 16.0.13127, новый формат токенов попросту не понимает — обновляйте без раздумий.

Шаг 2. Удалите кэшированные учётные данные

Откройте Панель управления → Диспетчер учётных данных → Учётные данные Windows и удалите все записи, содержащие:

• MicrosoftOffice16_Data:*
• MicrosoftAccount:*
• msteams_adalsso/adal_context_*
• Любые ссылки на outlook.office365.com и autodiscover-s.outlook.com.

После удаления полностью закройте Outlook (не забудьте прибить OUTLOOK.EXE в Диспетчере задач — он любит висеть в фоне) и запустите заново.

Шаг 3. Сбросьте WAM-кэш

В Windows 11 токены Modern Auth хранятся в Web Account Manager. Сброс делается из PowerShell:

Get-AppxPackage Microsoft.AAD.BrokerPlugin | Reset-AppxPackage
dsregcmd /refreshprt

Команда dsregcmd /refreshprt обновляет Primary Refresh Token устройства, присоединённого к Entra ID. Если устройство только локальное (не в домене и не в Entra ID), команда вернёт ошибку — и это нормально, не пугайтесь.

Шаг 4. Проверьте состояние присоединения устройства

dsregcmd /status

Смотрите блок Device State: AzureAdJoined, EnterpriseJoined и DomainJoined должны соответствовать вашей схеме. А в блоке SSO State ключевая строчка — AzureAdPrt: YES. Если PRT отсутствует или помечен как NO, Outlook не сможет получить токен молча, и вот вам диалог пароля.

Шаг 5. Создайте новый профиль Outlook

Старые профили хранят настройки автообнаружения и ссылки на устаревшие точки доступа. Через Панель управления → Mail (Microsoft Outlook) → Показать профили создайте новый профиль и сделайте его профилем по умолчанию. Поверьте, это почти всегда быстрее, чем чинить старый.

Глубокая диагностика: реестр и параметры Modern Auth

Проверка ключей реестра, которые блокируют OAuth

В организациях, прошедших миграцию с локального Exchange или AD FS, часто остаются устаревшие GPO — настоящие археологические слои. Откройте regedit и проверьте следующие пути:

HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity
  EnableADAL              = 1   (или отсутствует)
  DisableADALatopWAMOverride = 0 (или отсутствует)
  Version                 = 1

HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\AutoDiscover
  ExcludeExplicitO365Endpoint = 0
  ExcludeHttpsAutoDiscoverDomain = 0
  ExcludeHttpsRootDomain = 0
  ExcludeScpLookup = 0

Если EnableADAL установлен в 0 — Outlook принудительно лезет в Basic Auth, а его, напомню, больше нет. Удалите значение или поставьте 1. Если DisableADALatopWAMOverride = 1 — Outlook игнорирует WAM и обращается к устаревшему ADAL-стеку. Удалите параметр или установите 0.

Принудительное включение Modern Auth через GPO

Для централизованной настройки в Active Directory импортируйте ADMX-шаблоны Microsoft 365 Apps 2026 и включите политику:

Конфигурация пользователя → Административные шаблоны → Microsoft Office 2016 → Безопасность → Параметры аутентификации → Использовать Modern Authentication для подключения к Office — Включено.

Сбор журналов аутентификации

Если ничего из вышеперечисленного не помогло, пора включать логи Outlook:

HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\Mail
  EnableLogging (DWORD) = 1

Логи появятся в %TEMP%\Outlook Logging\. Ищите строки с AADSTS — это коды ошибок Entra ID, и они куда полезнее, чем кажется. Самые частые гости:

• AADSTS50158 — требуется пройти MFA, но устройство не может её предоставить.
• AADSTS53000 — устройство не соответствует политике Conditional Access.
• AADSTS50059 — отсутствует tenant identifier в запросе (часто из-за устаревшего профиля).
• AADSTS700016 — приложение не найдено в арендаторе (заблокировано админом).
• AADSTS900561 — endpoint не принимает указанный grant_type (привет от остаточного Basic Auth).

Conditional Access и Modern Auth: что проверить администратору

В 2026 году большинство «упрямых» случаев — это именно политики условного доступа, режущие токен на этапе выдачи. Загляните в Microsoft Entra admin center → Protection → Conditional Access → Sign-in logs:

• Найдите попытку входа пользователя в приложение Office 365 Exchange Online.
• Откройте вкладку Conditional Access и посмотрите, какая политика применена и с каким статусом: Success, Failure, Not Applied.
• Самые распространённые блокировки в 2026: «Require compliant device», «Require Hybrid Azure AD joined device», «Block legacy authentication», «Require phishing-resistant MFA».

Если политика требует совместимое устройство, убедитесь, что оно действительно имеет статус Compliant в Intune. Проверка из PowerShell:

Connect-MgGraph -Scopes "DeviceManagementManagedDevices.Read.All"
Get-MgDeviceManagementManagedDevice -Filter "userPrincipalName eq '[email protected]'" |
    Select-Object DeviceName, ComplianceState, LastSyncDateTime

Гибридное присоединение и AD FS: типичные ловушки

Если организация использует Hybrid Azure AD Join или федерацию через AD FS, проблема часто живёт на стороне инфраструктуры — и пользователь тут вообще ни при чём:

• Истёкший сертификат подписи токенов AD FS. Проверяем: Get-AdfsCertificate -CertificateType Token-Signing. Если до истечения меньше 30 дней — обновляйте и синхронизируйте с Entra ID через Update-MgDomainFederationConfiguration.
• Расхождение времени. Kerberos и SAML не прощают скос часов больше 5 минут. w32tm /query /status в помощь.
• Неактуальная привязка устройства в Entra ID. Уберите старый объект устройства: Get-MgDevice -Filter "displayName eq 'PC-001'" | Remove-MgDevice, затем dsregcmd /leave и заново dsregcmd /join.
• Заблокированный Seamless SSO. Проверьте состояние Azure AD Connect: учётная запись AZUREADSSOACC должна существовать в AD, а её пароль обновляться раз в 30 дней (это часто забывают).

Особый случай: macOS и Outlook for Mac

В Outlook for Mac (версии 16.85+) Modern Auth работает через Keychain. При зацикленном запросе пароля делаем так:

1. Закройте Outlook полностью (Cmd+Q — именно Quit, не просто закрыть окно).
2. Откройте Keychain Access и удалите все записи, содержащие Microsoft Office Identities, MicrosoftOffice16_*, com.microsoft.adalcache.
3. Удалите файл кэша: ~/Library/Group Containers/UBF8T346G9.Office/Library/Caches/.
4. Запустите Outlook и пройдите вход заново.

Если Mac управляется через Intune и применяется Conditional Access — установите расширение Microsoft Enterprise SSO plug-in for Apple devices. Без него macOS просто не сможет передать токен устройства в Outlook, и вы будете долго ходить по кругу.

Скрипт PowerShell для массовой диагностики

Если у вас служба поддержки и таких заявок десятки в неделю, единый скрипт сэкономит часы. Сохраните как Diag-OutlookAuth.ps1:

$report = [ordered]@{}
$report.Computer = $env:COMPUTERNAME
$report.User     = $env:USERNAME
$report.OS       = (Get-CimInstance Win32_OperatingSystem).Caption
$report.OutlookVersion = (Get-ItemProperty `
    'HKLM:\SOFTWARE\Microsoft\Office\ClickToRun\Configuration' `
    -ErrorAction SilentlyContinue).VersionToReport

# Проверка ключей Modern Auth
$idPath = 'HKCU:\Software\Microsoft\Office\16.0\Common\Identity'
$report.EnableADAL = (Get-ItemProperty $idPath -Name EnableADAL `
    -ErrorAction SilentlyContinue).EnableADAL
$report.DisableWAM = (Get-ItemProperty $idPath `
    -Name DisableADALatopWAMOverride `
    -ErrorAction SilentlyContinue).DisableADALatopWAMOverride

# Статус устройства
$dsreg = dsregcmd /status | Out-String
$report.AzureAdJoined = if ($dsreg -match 'AzureAdJoined\s+:\s+YES') {'YES'} else {'NO'}
$report.AzureAdPrt    = if ($dsreg -match 'AzureAdPrt\s+:\s+YES')    {'YES'} else {'NO'}
$report.DomainJoined  = if ($dsreg -match 'DomainJoined\s+:\s+YES')  {'YES'} else {'NO'}

# Сетевая доступность
$endpoints = @(
    'login.microsoftonline.com',
    'outlook.office365.com',
    'autodiscover-s.outlook.com',
    'device.login.microsoftonline.com'
)
foreach ($ep in $endpoints) {
    $test = Test-NetConnection -ComputerName $ep -Port 443 `
        -WarningAction SilentlyContinue
    $report["TCP_$ep"] = $test.TcpTestSucceeded
}

$report | Format-Table -AutoSize
$report | Export-Csv "$env:TEMP\OutlookAuthDiag.csv" -NoTypeInformation

Запускайте без админских прав, в контексте того пользователя, у которого возникает проблема. На выходе — таблица и CSV, который удобно прикладывать к заявке.

Превентивные меры для ИТ-службы

• Перейдите на канал Monthly Enterprise Channel Microsoft 365 Apps — он получает обновления Modern Auth раньше Semi-Annual и при этом стабильнее, чем Current.
• Включите политику Block legacy authentication в Entra ID, но сначала запустите её в Report-only на 7 дней — выявите устаревшие клиенты до жёсткой блокировки (поверьте, найдётся пара сюрпризов).
• Настройте Intune Compliance Policy и применяйте Conditional Access только к compliant-устройствам. Это и риск утечки снижает, и при правильной настройке количество ложных запросов пароля.
• Документируйте процедуру очистки токенов в базе знаний и снабдите её скриптом — у нас это сократило MTTR с 25 до 5 минут (и инженеры стали меньше ругаться).

Часто задаваемые вопросы

Почему Outlook запрашивает пароль сразу после ввода правильного пароля?

В 2026 году это почти всегда означает, что токен получен, но не принят политикой Conditional Access. Загляните в Sign-in logs в Entra ID — увидите код ошибки AADSTS, который укажет точную причину (несоответствие устройства, отсутствие MFA, блокировка legacy auth).

Помогает ли отключение MFA для одного пользователя?

Нет — и это, прямо скажем, плохая практика. С 2024 года Microsoft постепенно делает MFA обязательной для всех арендаторов, а с октября 2025 — для административных порталов без исключений. Лечите корневую причину: устаревший клиент, повреждённый профиль или неправильно настроенный Conditional Access.

Что делать, если ничего не помогает и пароль запрашивается снова и снова?

Запустите Microsoft Support and Recovery Assistant (SaRA). В 2026 году она проверяет Modern Auth, состояние WAM, токены устройства и автообнаружение за один проход. SaRA бесплатна, доступна на сайте Microsoft и часто чинит проблему сама, очищая повреждённые данные.

Может ли антивирус вызывать постоянный запрос пароля?

Да, и это бывает чаще, чем хотелось бы. SSL-инспекция в Kaspersky, ESET, Sophos или корпоративных прокси (Zscaler, Netskope) может ломать цепочку сертификатов до login.microsoftonline.com. Добавьте домены *.microsoftonline.com, *.office.com, *.office365.com в исключения TLS-инспекции согласно официальному списку URL/IP Microsoft 365.

Нужно ли пересоздавать профиль Outlook после миграции на Modern Auth?

Microsoft официально это не требует, но на практике в 80% сложных кейсов пересоздание профиля решает проблему быстрее, чем многочасовая диагностика. Используйте параметр OUTLOOK.EXE /CleanProfile или мастер создания профиля в Панели управления.

Итоги

Постоянный запрос пароля в Outlook в 2026 году — это почти всегда симптом проблем с Modern Authentication: повреждённый WAM-кэш, устаревший профиль, политики Conditional Access или сетевое вмешательство. Начните с базовой очистки токенов и пересоздания профиля, затем переходите к Sign-in logs в Entra ID и проверке состояния устройства через dsregcmd. Скрипт диагностики и SaRA сокращают время решения до минут. И помните: возврат на Basic Auth больше не вариант — единственный путь вперёд лежит через корректно настроенный OAuth и совместимые устройства.