Outlook Clássico não autentica no Microsoft 365 (O365): habilite Autenticação Moderna (OAuth 2.0) e corrija prompts de senha infinitos

Se o Outlook Clássico começou a pedir senha sem parar ao conectar no Microsoft 365, este guia prático mostra como habilitar a Autenticação Moderna no tenant e no cliente, ajustar o registro do Windows e recriar o perfil para voltar a trabalhar sem interrupções.

Visão geral do problema

Em diversos ambientes, a edição “Clássica” do Outlook — por exemplo, o build 16.0.17425.20124 (32‑bit) — passou a exibir repetidamente a janela de credenciais e não autentica mais em caixas hospedadas no Microsoft 365 (Exchange Online). O comportamento começou a ser notado no fim de 2023 e afeta múltiplos computadores e contas, mesmo quando o nome de usuário e a senha estão corretos.

O cerne do problema é a incompatibilidade entre o método de autenticação que o Outlook tenta usar e o que o serviço do Microsoft 365 aceita atualmente. A Autenticação Básica (Basic Auth) foi descontinuada por motivos de segurança; quem ainda estiver preso a ela verá prompts de senha infinitos. A solução é garantir que Autenticação Moderna (OAuth 2.0/ADAL) esteja habilitada no tenant e no cliente.

Sintomas comuns

• Solicitações de senha recorrentes ao abrir o Outlook ou ao enviar/receber.
• Perfil novo funciona apenas por alguns minutos e volta a pedir credenciais.
• OWA (Outlook na web) e o “Novo Outlook” autenticam normalmente, mas o Outlook Clássico não.
• Mensagens de erro genéricas como “Algo deu errado” durante a configuração automática.

Causas identificadas

1. Desativação da Autenticação Básica no Microsoft 365 — medida de segurança implementada gradualmente desde 2022/2023.
2. Autenticação Moderna (OAuth 2.0/ADAL) desativada no tenant ou no próprio Outlook, impedindo o uso do método compatível exigido pelo serviço.

Solução comprovada (passo a passo)

O procedimento abaixo foi aplicado na prática e restabeleceu a autenticação do Outlook Clássico com o Microsoft 365:

Etapa	Ação
1	Ative a Autenticação Moderna (OAuth 2.0) no Centro de Administração do Microsoft 365. Caminho típico: Portal de administração → Configurações → Configurações da Organização → Serviços & suplementos → Modern authentication → ON.
2	Forçe o Outlook a usar ADAL (OAuth) no Windows via Registro. Crie/ajuste as chaves: HKEYCURRENTUSER\SOFTWARE\Microsoft\Office\16.0\Common\Identity EnableADAL (DWORD) = 1 HKEYCURRENTUSER\SOFTWARE\Microsoft\Exchange AlwaysUseMSOAuthForAutoDiscover (DWORD) = 1 Você pode aplicar com reg.exe (executar em Prompt de Comando como o usuário afetado): reg add "HKCU\SOFTWARE\Microsoft\Office\16.0\Common\Identity" /v EnableADAL /t REG_DWORD /d 1 /f reg add "HKCU\SOFTWARE\Microsoft\Exchange" /v AlwaysUseMSOAuthForAutoDiscover /t REG_DWORD /d 1 /f Dica: se houver políticas ou scripts que desativam ADAL/WAM, remova-os ou ajuste-os.
3	Reinicie o Windows para garantir que o Outlook injete as novas configurações de identidade.
4	Exclua o perfil antigo do Outlook, crie um novo e reconfigure a caixa postal. Use “Perfis de E‑mail” no Painel de Controle (Mail).

Resultado esperado: após essas alterações, o Outlook Clássico volta a conectar normalmente ao Microsoft 365 sem solicitar a senha a todo momento.

Observações importantes sobre o Registro

• Faça backup do Registro antes de alterar (regedit → Arquivo → Exportar).
• As chaves acima são por usuário (HKCU). Para impor por máquina, você pode replicar em HKLM (respeitando o WOW6432Node em Office 32‑bit em Windows 64‑bit) ou usar GPO.
• Garanta que nenhum script de logon, GPO ou ferramenta de hardening esteja revertendo as chaves a cada reinício.

O que não resolveu (mas vale citar)

• Excluir credenciais no Gerenciador de Credenciais do Windows.
• Criar perfil novo e iniciar o Outlook em modo de segurança.
• Executar o SaRA (Support and Recovery Assistant).

Essas ações são úteis para casos gerais, mas não bastam quando a Autenticação Moderna está desabilitada no tenant ou bloqueada no cliente.

Checklist de diagnóstico rápido

Se a solução acima não surtir efeito imediato, percorra esta lista em ordem:

1. Tenant: confirme que “Modern authentication” está ON. Em ambientes legados, o campo “OAuth2ClientProfileEnabled” deve estar habilitado.
2. Cliente Outlook: verifique as chaves EnableADAL=1 e AlwaysUseMSOAuthForAutoDiscover=1. Remova qualquer chave que desative ADAL/WAM, como DisableADALatopWAMOverride (quando definido indevidamente).
3. Conectividade: valide DNS e acesso a endpoints da Microsoft (sem proxies bloqueando). Sem resolução de Autodiscover confiável, a autenticação falha.
4. TLS e hora do sistema: certifique-se de que TLS 1.2 está ativo e que a hora/fuso do Windows está correta (tokens OAuth são sensíveis a hora errada).
5. Políticas de Acesso Condicional/MFA: confira no Azure AD se há regras excluindo clientes legados ou exigindo controles incompatíveis com sua versão do Outlook.
6. Teste cruzado: autentique a mesma conta no OWA ou no “Novo Outlook”. Se funcionar, o foco do problema está no cliente clássico/configuração local.

Boas práticas complementares

• Mantenha o Office/Outlook atualizado via Windows Update ou Microsoft 365 Apps for enterprise.
• Se possível, teste o Novo Outlook ou o Outlook na Web (OWA) para descartar problemas de conta/licença.
• Revise no Azure AD se políticas de Conditional Access e MFA não bloqueiam especificamente clientes antigos.
• Para organizações que dependem de funcionalidades indisponíveis no Novo Outlook, o procedimento de habilitar ADAL/Modern Auth no Outlook Clássico permite continuar com a interface conhecida sem comprometer a segurança.

Automatização: como aplicar em escala

Para múltiplas máquinas/usuários, considere estes métodos:

Script com reg.exe

@echo off
REM Habilita ADAL e força OAuth no Autodiscover para o usuário atual
reg add "HKCU\SOFTWARE\Microsoft\Office\16.0\Common\Identity" /v EnableADAL /t REG_DWORD /d 1 /f
reg add "HKCU\SOFTWARE\Microsoft\Exchange" /v AlwaysUseMSOAuthForAutoDiscover /t REG_DWORD /d 1 /f
echo Concluído. Reinicie o Windows e recrie o perfil do Outlook.

Arquivo .REG para importação

Windows Registry Editor Version 5.00

[HKEYCURRENTUSER\SOFTWARE\Microsoft\Office\16.0\Common\Identity]
"EnableADAL"=dword:00000001

[HKEYCURRENTUSER\SOFTWARE\Microsoft\Exchange]
"AlwaysUseMSOAuthForAutoDiscover"=dword:00000001

Política de Grupo (GPO)

• Use os modelos administrativos (ADMX) do Office para definir “Habilitar autenticação moderna” para o Outlook/Office 2016+.
• Prefira HKCU quando a política for por usuário; para impor por máquina, documente exceções e teste cuidadosamente.

Validação pós-correção

1. Abra o Outlook e adicione a conta do Microsoft 365.
2. Verifique se a janela de login apresenta a experiência moderna (com logotipo/branding da organização e, eventualmente, MFA), e não a caixa simples de usuário/senha repetindo.
3. Faça o envio/recebimento e monitore alguns minutos. A ausência de prompts recorrentes indica que os tokens OAuth foram obtidos e estão sendo renovados corretamente.

Onde checar logs e eventos

Para uma análise mais profunda, você pode habilitar logs do Office/Outlook:

• Event Viewer → Applications and Services Logs → Microsoft → Office → 16.0 → Common → Identity → Operational — eventos de token e falhas de ADAL.
• Event Viewer → Windows Logs → Application — erros gerais do Outlook/MAPI.

Erros indicando “Legacy auth” ou falhas de token geralmente apontam para ADAL/WAM desativado ou conflito com acesso condicional.

Erros típicos e soluções rápidas

Erro/Sintoma	Causa provável	Correção sugerida
Prompt de senha infinito	Autenticação moderna desabilitada no cliente	Aplicar EnableADAL=1 e AlwaysUseMSOAuthForAutoDiscover=1, reiniciar e recriar o perfil
Falha ao descobrir configurações (Autodiscover)	Cliente insistindo em Basic Auth no Autodiscover	Garantir AlwaysUseMSOAuthForAutoDiscover=1 e DNS correto
OWA funciona, Outlook não	Bloqueio de ADAL/WAM no PC local	Revisar GPOs, remover chaves que desabilitam ADAL, atualizar Office
MFA requerido, mas janela do Outlook não exibe MFA	Janela de login herdada (legacy)	Forçar ADAL, atualizar Web Components, checar hora/TLS

Notas por versão e arquitetura

• Outlook 2016/2019/Microsoft 365 Apps (canal semestral ou atual): Modern Auth já vem habilitada por padrão, mas ambientes antigos podem ter políticas legadas desativando ADAL. Revise e limpe essas políticas.
• 32‑bit x 64‑bit: as chaves em HKCU valem para ambas. Ao usar HKLM, lembre do caminho WOW6432Node quando for Office 32‑bit em Windows 64‑bit.

Segurança e conformidade

Ao migrar do Basic Auth para OAuth 2.0, você ganha:

• Suporte nativo a MFA e políticas de acesso condicional.
• Tokens expirados por design, reduzindo risco de vazamento de credenciais.
• Telemetria e auditoria mais ricas no Azure AD.

Evite gambiarras que reativem Basic Auth; além de inseguras, tendem a quebrar novamente e infringem diretrizes modernas.

Perguntas frequentes

Preciso recriar o perfil do Outlook?

Sim. Após habilitar ADAL, o perfil antigo costuma carregar credenciais/fluxos legados. Criar um perfil novo elimina cache e repara a associação com tokens OAuth.

Isso funciona se eu usar POP/IMAP?

Ambos tiveram Basic Auth descontinuada. Para Exchange Online, prefira MAPI/HTTP com OAuth (o padrão do Outlook) e deixe POP/IMAP apenas quando indispensável, com suporte a OAuth.

E se o “Novo Outlook” não tiver recursos de que eu preciso?

Sem problemas: habilitar ADAL no Outlook Clássico permite seguir com a interface clássica enquanto mantém segurança e compatibilidade.

Como desfazer as mudanças?

Exclua as chaves que você adicionou (EnableADAL e AlwaysUseMSOAuthForAutoDiscover) e restaure o backup do Registro. No entanto, não há motivo técnico para voltar ao Basic Auth.

Plano de ação resumido para administradores

1. Confirme Modern authentication = ON na organização.
2. Distribua as chaves EnableADAL=1 e AlwaysUseMSOAuthForAutoDiscover=1 por GPO/Intune.
3. Reinicie os dispositivos e recrie o perfil do Outlook.
4. Monitore falhas de login e eventos de identidade por alguns dias.

Resumo em uma linha

Habilite a Autenticação Moderna no tenant e no cliente (via Registro), recrie o perfil — e o Outlook Clássico voltará a autenticar corretamente no Microsoft 365.

---

Análise técnica rápida: por que isso funciona?

O Outlook Clássico fala com o Exchange Online usando MAPI/HTTP e outros endpoints que, hoje, exigem OAuth 2.0. Quando o cliente tenta autenticar por Basic Auth, o serviço rejeita a sessão; o Outlook interpreta como credenciais inválidas e volta a pedir senha. Ao ativar ADAL e forçar OAuth no Autodiscover, o cliente passa a obter tokens do Azure AD (com suporte a MFA), guarda-os em cache e renova-os silenciosamente antes de expirar. O resultado é login estável, seguro e sem prompts recorrentes.

Riscos, cuidados e reversão segura

• Backup do Registro é obrigatório em ambientes corporativos, de preferência com PR aprovado.
• Teste em pilotos (máquinas representativas) antes de aplicar em massa.
• Documente versões do Office, canal de atualização, políticas aplicadas e ferramentas de endpoint que possam interferir (por exemplo, hardening de TLS, proxies, controladores de credenciais).
• Se precisar reverter, remova as chaves e restaure o backup; porém, considere que o serviço seguirá exigindo OAuth.

Exemplos de comunicação para usuários finais

Ao aplicar a correção em larga escala, encaminhe uma mensagem curta explicando:

• Que o Outlook poderá solicitar um novo login com MFA após a mudança.
• Que o perfil antigo será removido e recriado; dados locais PST/arquivos não serão apagados, mas devem estar fechados/backupados.
• Quem contatar em caso de erro (service desk) e em quais horários.

Conclusão

O fim do Basic Auth não é um bug do cliente, mas uma evolução de segurança do serviço. Ajustando o tenant e o Outlook para a Autenticação Moderna, você elimina os prompts de senha e alinha o ambiente às melhores práticas — inclusive com suporte a MFA e a controles de acesso condicional. O procedimento é simples, repetível e pode ser automatizado por GPO/Intune para toda a organização.