Outlook e Google Workspace: como corrigir o erro de OAuth “We couldn’t log on” no IMAP/SMTP

Se o Outlook recusa a sua conta do Google Workspace com a mensagem “We couldn’t log on to the incoming (POP/IMAP) server” antes mesmo de pedir senha, o culpado costuma ser um token OAuth corrompido. Este guia mostra como limpar as credenciais e refazer o consentimento com segurança.

Visão geral do problema

Ao tentar adicionar ao Outlook uma caixa de e‑mail do Google Workspace (Gmail corporativo) pelo fluxo moderno de login, ocorre uma falha precoce de autenticação. O sintoma mais comum é a caixa de diálogo do Outlook exibindo:

“We couldn’t log on to the incoming (POP/IMAP) server. Please check your email address and password and try again.”

O detalhe importante: a mensagem surge antes de qualquer campo de senha, mesmo com IMAP/POP habilitados no Gmail e mesmo quando se tenta configurar manualmente os servidores imap.gmail.com e smtp.gmail.com. Na prática, o Outlook não consegue completar o handshake do OAuth com o Google por causa de credenciais locais antigas ou de um consentimento inválido do lado do Google.

Por que isso acontece

O Outlook para Windows guarda credenciais e tokens de sessão em cache. Quando um token OAuth para Gmail fica corrompido, expira de forma inconsistente ou perde alinhamento com o consentimento do lado do Google, o cliente tenta reutilizá‑lo e trava no início do processo. Três fatores aparecem com frequência:

• Tokens antigos no Windows: entradas no Gerenciador de Credenciais sob o prefixo MicrosoftOffice16Data:OAUTH2 (com tpgoogleimapOauth2) ficam desatualizadas.
• Consentimento inválido no Google: a permissão “Microsoft Apps and Services” associada à conta não corresponde mais ao que o Outlook espera.
• Ambiente bloqueando o fluxo: proxy, antivírus ou inspeção TLS interceptando accounts.google.com, oauth2.googleapis.com, imap.gmail.com ou smtp.gmail.com.

A solução confiável é “zerar” ambos os lados: remover o consentimento no Google, apagar as credenciais OAuth locais e refazer a conexão usando o navegador padrão.

Checklist rápido antes de começar

• Confirme que o IMAP está ativado em Gmail → Encaminhamento e POP/IMAP (POP é opcional).
• Verifique se o Outlook é suportado para OAuth (Outlook 2016/2019 ou Outlook clássico do Microsoft 365).
• Atualize o navegador padrão do Windows (Edge ou Chrome) e garanta que pop‑ups e cookies de terceiros não estão bloqueando logins do Google.
• Se a organização usa MFA/2FA ou Google Advanced Protection, certifique‑se de que conseguirá aprovar o desafio no navegador.
• Garanta data e hora corretas no Windows e que TLS 1.2+ está habilitado no ambiente.

Solução passo a passo

1. Revogar o acesso do Outlook na Conta Google
   • Acesse a sua Conta Google → Segurança → Apps de terceiros com acesso à conta.
   • Abra Microsoft Apps and Services e escolha Remover todo o acesso.
   Por que fazer isso: remove o vínculo antigo que o Outlook tenta usar. Na nova tentativa, um consentimento limpo será emitido.
2. Excluir credenciais OAuth antigas no Windows
   • Abra Gerenciador de Credenciais → Credenciais do Windows.
   • Em Credenciais genéricas, localize entradas que começam por MicrosoftOffice16Data:OAUTH2 e contenham tpgoogleimapOauth2.
   • Remova todas as entradas correspondentes à(s) conta(s) Gmail afetada(s). Se tiver várias, repita para cada uma.
   • Dica para mapear a conta: compare com as chaves em HKEYCURRENTUSER\Software\Microsoft\Office\16.0\Common\Identity\Identities.
   Observação: se preferir, exporte as credenciais antes de remover. Isso não apaga e‑mails do servidor, só limpa tokens locais.
3. Reabrir o Outlook e refazer a configuração
   • Se a conta ainda existir no perfil, o Outlook pedirá autenticação. Clique em Sign‑in via browser quando solicitado.
   • Se tiver removido a conta, vá em File → Add Account, digite o endereço do Gmail corporativo e siga o login no navegador.
   • Na tela de consentimento do Google, selecione a permissão Microsoft Apps and Services e confirme.
4. Confirmar sincronização
   • Aguarde a conclusão da autorização; o Outlook deve listar as pastas IMAP e começar a sincronizar mensagens.
   • Se houver antivírus ou firewall corporativo, confira se não bloqueiam imap.gmail.com/smtp.gmail.com e as portas 993/465.

Como identificar e remover as credenciais corretas

Em ambientes com várias contas Google, o Gerenciador de Credenciais pode ter diversas entradas parecidas. Use este roteiro para evitar confusões:

1. Com o Outlook fechado, abra o Gerenciador de Credenciais → Credenciais do Windows.
2. No grupo Genéricas, filtre visualmente por “MicrosoftOffice16Data:OAUTH2”.
3. Abra cada item e inspecione o campo Nome de usuário ou Destinatário: procure o endereço do Gmail corporativo.
4. Remova as entradas que contenham o sufixo tpgoogleimapOauth2.

Se ainda assim houver dúvida, consulte o Registro:

HKEYCURRENTUSER\Software\Microsoft\Office\16.0\Common\Identity\Identities

Aqui, cada subchave representa uma identidade usada pelo Office. Você pode cruzar o DisplayName ou o Account de cada identidade com o e‑mail correspondente e então apagar apenas as credenciais genéricas que coincidirem. Faça backup do Registro se planeja alterar chaves.

Verificações após a reconfiguração

• Abra Send/Receive → Update Folder e confirme se o contador de itens está avançando.
• Crie uma pasta de teste via Gmail na web e veja se aparece no Outlook após atualizar.
• Envie um e‑mail para si próprio. Verifique se o envio pelo smtp.gmail.com completa sem erros.
• Em Arquivo → Configurações da Conta → Contas de Email → selecione a conta → Reparar se algo ainda falhar.

Variantes de mensagens e o que significam

Mensagem exibida	Interpretação provável	Próxima ação
“We couldn’t log on to the incoming (POP/IMAP) server”	Token OAuth inválido ou cache corrompido.	Aplicar o procedimento de revogar consentimento e limpar OAUTH2 no Windows.
“Something went wrong and we couldn’t start the authentication process”	Falha em abrir o navegador padrão ou no componente WebView.	Atualize o navegador, verifique o Microsoft Edge WebView2 Runtime e tente novamente.
Janela de login fecha sem pedir senha	Bloqueio por extensão de navegador, ad‑blocker ou política de cookies.	Repetir em janela anônima e desativar bloqueadores durante o login.
Falha intermitente só no envio	Proxy/antivírus inspecionando TLS no smtp.gmail.com.	Colocar smtp.gmail.com e porta 465 em allowlist com inspeção desativada.

Particularidades por versão do Outlook

• Outlook clássico do Microsoft 365 / 2016 / 2019: usa OAuth para IMAP/SMTP com login via navegador do sistema. O procedimento acima se aplica integralmente.
• Outlook para Windows (novo): baseado no Outlook Web. Ainda usa OAuth, mas armazena parte da configuração na nuvem. Se o erro persistir nessa versão, além da revogação de acesso no Google, remova e adicione a conta diretamente nas Configurações de Conta do novo Outlook. O Gerenciador de Credenciais do Windows pode não conter as mesmas entradas.
• Outlook 2013 e anteriores: não têm suporte a OAuth para Gmail. Exigem senhas de app e estão fora de suporte de segurança. Recomenda‑se atualizar.

Interferências de navegador, proxy e segurança

Como o fluxo de login acontece no navegador padrão, qualquer bloqueio nele impacta o Outlook:

• Cookies: permita cookies de terceiros para accounts.google.com durante o login.
• Extensões: desative temporariamente bloqueadores (anúncios, privacy, script) e refaça o consentimento.
• WebView2: o componente Microsoft Edge WebView2 Runtime precisa estar instalado e atualizado para janelas de autenticação modernas.
• Inspeção TLS: se a empresa intercepta SSL, crie exceções sem inspeção para:
  • accounts.google.com, oauth2.googleapis.com, www.googleapis.com
  • imap.gmail.com (993/TLS) e smtp.gmail.com (465/TLS)
• Sincronização de hora: tokens OAuth são sensíveis a horário. Erros grandes no relógio do Windows quebram a autenticação.

Perguntas frequentes

Preciso ativar POP no Gmail?

Não. O Outlook moderno usa IMAP com OAuth para leitura e SMTP para envio. POP é opcional.

Tenho MFA obrigatório. Isso muda algo?

O fluxo continua igual, mas o navegador precisa concluir a aprovação em dois fatores. Tenha o dispositivo de MFA disponível e evite bloquear pop‑ups.

Posso usar configuração manual imap.gmail.com/smtp.gmail.com?

Mesmo na configuração manual, a autenticação é via OAuth; por isso, tokens quebrados causam a mesma falha. Limpar as credenciais e refazer o consentimento é a via mais segura.

Limpar credenciais apaga meus e‑mails?

Não. Os e‑mails permanecem no servidor do Gmail. Você apenas remove chaves locais inválidas; ao reconectar, o Outlook volta a sincronizar as pastas.

Como garantir que o consentimento foi dado para o app certo?

Na tela do Google, selecione explicitamente a opção Microsoft Apps and Services e conclua. Se tiver várias contas Google abertas, use uma janela anônima e autentique apenas com a conta corporativa desejada.

Procedimentos alternativos e complementares

• Criar um novo perfil do Outlook: no Painel de Controle → Mail (Microsoft Outlook) → Show Profiles → Add. Em alguns casos, perfis antigos arrastam caches de identidade.
• Ativar logging temporário: em Arquivo → Opções → Avançado, marque Habilitar logging. Útil para isolar falhas de rede (desative depois).
• Janela anônima para consentimento: se o navegador insiste em abrir outra conta Google, copie o URL de login para uma janela anônima e conclua o processo lá.

Tabela de portas, protocolos e destinos

Uso	Host	Porta	Criptografia	Observações
IMAP	imap.gmail.com	993	TLS	Leitura e sincronização de pastas.
SMTP	smtp.gmail.com	465	TLS	Envio de mensagens.
OAuth/Consentimento	accounts.google.com, oauth2.googleapis.com	443	TLS	Necessários para login e renovação de tokens.

Fluxo resumido para administradores

1. No Google Admin Console, reveja Controles de API e o acesso de apps de terceiros. Garanta que Microsoft Apps and Services esteja permitido/trustado para os escopos de Gmail.
2. Implemente exceções no proxy/firewall para os FQDNs de Gmail e endpoints OAuth.
3. Padronize versões do Outlook compatíveis com OAuth e distribua atualizações do WebView2 Runtime.
4. Documente um procedimento de limpeza de credenciais para help desk com os passos deste artigo.

Lista de verificação final

• Consentimento antigo do Google removido.
• Entradas MicrosoftOffice16Data:OAUTH2 com tpgoogleimapOauth2 eliminadas.
• Conta adicionada novamente ao Outlook via Sign‑in via browser.
• IMAP ativo no Gmail; POP opcional.
• Portas 993 e 465 liberadas e sem inspeção SSL invasiva.
• Sincronização concluindo com pastas e mensagens aparecendo normalmente.

Conclusão

Quando o Outlook falha ao adicionar uma caixa do Google Workspace logo no início do fluxo, quase sempre é um caso de credencial OAuth obsoleta. A combinação “revogar o app no Google + limpar OAUTH2 no Windows + refazer o login pelo navegador” restaura o handshake com segurança. Para ambientes corporativos, garantir exceções de rede para os domínios do Google e manter o WebView2 atualizado evita recidivas. Após a reautenticação, mantenha o IMAP habilitado (POP apenas se precisar) e, se houver MFA, conclua o consentimento em um navegador compatível. Assim, o Outlook volta a sincronizar pastas e a enviar/receber e‑mails normalmente.

Resumo essencial

• Erro típico: “We couldn’t log on to the incoming (POP/IMAP) server”.
• Causa comum: tokens OAuth corrompidos ou consentimento inválido.
• Conserto: revogar “Microsoft Apps and Services” na Conta Google, apagar entradas MicrosoftOffice16Data:OAUTH2 com tpgoogleimapOauth2 no Windows e refazer a adição da conta no Outlook com Sign‑in via browser.
• Verifique: portas 993/465 liberadas, IMAP ativo e sincronização concluída.