Minecraft Education : corriger l’erreur d’authentification proxy 2606 (Proxy Authentication Error 2606)

Ce guide pas‑à‑pas explique comment corriger « Proxy Authentication Error [2606] » lors de la connexion à Minecraft Education avec un compte scolaire, en ciblant précisément les causes liées au proxy, au filtrage réseau et à l’authentification Microsoft (AAD).

Vue d’ensemble du problème

L’erreur Proxy Authentication Error [2606] survient au moment où Minecraft Education tente d’ouvrir la page de connexion Microsoft pour un compte scolaire ou académique. Le flux d’authentification passe par Azure AD, puis valide des services Xbox Live/PlayFab et des API propres à Minecraft Education. Un proxy exigeant une authentification, une inspection TLS ou un filtrage de domaines peut interrompre ce flux et renvoyer le code 2606.

Dans le cas étudié, les premières actions suivantes n’ont pas suffi :

• Désactivation du VPN.
• Réinitialisation d’Internet Explorer via RunDll32.exe InetCpl.cpl,ResetIEtoDefaults.

Solutions déjà testées et utiles à conserver

• Se connecter depuis un réseau « propre » (hotspot 4G, Wi‑Fi externe sans proxy) pour isoler la cause réseau.
• Vérifier qu’aucun VPN ou proxy local n’est actif côté poste, navigateur ou agent de sécurité.

Pourquoi l’erreur 2606 apparaît

Le code 2606 n’est pas une simple panne du jeu ; il signale le plus souvent que l’environnement réseau empêche l’obtention ou la validation d’un jeton Azure AD/Xbox Live. Les causes typiques sont :

• Proxy authentifiant qui bloque ou réécrit les requêtes de connexion (SSO non transparent, challenge NTLM/Basic, session expirée, etc.).
• Inspection TLS (SSL break/inspect) sans certificat racine correctement déployé dans le magasin de l’ordinateur et de l’utilisateur.
• Filtrage par domaine/catégorie qui bloque des hôtes nécessaires (Azure AD, Xbox Live, PlayFab, services Minecraft Education).
• Ports fermés côté pare‑feu pour STUN/TURN, limitant la signalisation et les connexions multijoueurs.
• Conflit d’installation entre version Microsoft Store et version bureau, ou binaire d’authentification bloqué par l’antivirus.
• Horloge système inexacte entraînant un décalage de validité des jetons OAuth (AAD rejette les jetons si l’heure dérive).

Diagnostic rapide en cinq minutes

1. Test réseau propre : connectez le PC à un hotspot 4G. Si la connexion à Minecraft Education réussit, la cause est bien le proxy/filtrage de l’établissement.
2. Vérifier le proxy Windows (WinINET) : Paramètres > Réseau & Internet > Proxy > « Utiliser un serveur proxy » = Désactivé. Effacez également toute configuration « Script d’installation automatique du proxy ».
3. Vérifier le proxy WinHTTP : exécutez en invite admin : netsh winhttp show proxy netsh winhttp reset proxy
4. Purger le cache réseau local : ipconfig /flushdns netsh winsock reset netsh int ip reset Redémarrez.
5. Réessai connexion dans Minecraft Education. Si l’erreur 2606 persiste uniquement sur le réseau de l’établissement, passez au plan d’action complet ci‑dessous.

Plan d’action complet

Axe	Étapes recommandées
Installation	Assurez‑vous qu’une seule édition de Minecraft Education est installée : soit version bureau, soit version Microsoft Store. Désinstallez l’autre pour éviter les collisions d’authentification et d’URI de redirection.
Proxy & VPN	Désactivez tout proxy local : Paramètres Windows > Réseau & Internet > Proxy > « Utiliser un serveur proxy » = Désactivé. Coupez VPN/agents filtrants. Réinitialisez WinHTTP (netsh winhttp reset proxy).
Liste blanche réseau	Autorisez sans inspection TLS (bypass SSL) les domaines indispensables : *.minecrafteduservices.com, login.microsoftonline.com, *.xboxlive.com, *.playfabapi.com, ainsi que les hôtes de distribution et de télémétrie Microsoft nécessaires.
Processus à autoriser	Vérifiez que Minecraft.AdalServer.exe et l’exécutable client de Minecraft Education ne sont pas bloqués par l’antivirus/pare‑feu ; ces composants gèrent le flux d’authentification AAD.
Ports	Ouvrez TCP 443 (authentification et API) et les UDP 3478–3481 utilisés par STUN/TURN pour le multijoueur.
Réinitialisation réseau Windows	En invite admin : netsh winsock reset netsh int ip reset netsh winhttp reset proxy Redémarrez la machine.
Mises à jour	Installez la dernière build de Minecraft Education (au moins v 1.21.06 ou supérieure) et appliquez les mises à jour Windows en attente.
Support	Si l’erreur persiste, ouvrez un ticket auprès du support Minecraft Education avec capture d’écran, version du jeu/OS, dxdiag et une network trace reproduisant la tentative de connexion.

Liste blanche recommandée : domaines et rôles

Si votre pare‑feu n’accepte pas les jokers (wildcards), déclinez les sous‑domaines explicitement. Ajoutez un bypass d’inspection SSL pour ces hôtes afin d’éviter toute rupture de certificat.

Domaine ou modèle	Rôle / Pourquoi c’est nécessaire
login.microsoftonline.com	Point d’entrée Azure AD pour l’authentification des comptes scolaires.
*.minecrafteduservices.com	Services backend Minecraft Education (licence, catalogue, services cloud).
*.xboxlive.com	Validation d’identité Xbox/XSTS et services de présence requis par le client.
*.playfabapi.com	APIs PlayFab utilisées par Minecraft Education pour des fonctionnalités en ligne.
*.microsoft.com, *.msauth.net, *.msftauth.net	Éléments Microsoft variés (authent, contenu, dépendances).
*.azureedge.net, *.cdn.microsoft.com	CDN pour la distribution des composants/ressources du client.
*.services.minecraft.net (si applicable)	Points de terminaison additionnels de services Minecraft.

Vérifications côté poste Windows

Désactiver totalement les proxys locaux

• WinINET (Proxy Windows) : Paramètres > Réseau & Internet > Proxy > tout sur « Désactivé » (serveur proxy et script d’auto‑config).
• WinHTTP : netsh winhttp show proxy netsh winhttp reset proxy
• Navigateur : effacez toute extension ou configuration de proxy/VPN (Chrome/Edge/Firefox).
• Agents de sécurité : mettez en pause temporairement les modules « Web Filtering / SSL Inspection » pour tester (si votre politique le permet).

Réparer les composants Microsoft Store (si version UWP)

• Ouvrez Paramètres > Applications > Applications installées ; sur Minecraft Education : Options avancées > Réinitialiser.
• Exécutez WSReset : wsreset.exe

Synchronisation de l’horloge et TLS

• Assurez‑vous que la date/heure du PC sont correctes (fuseau et NTP).
• Resynchronisez : w32tm /resync
• Vérifiez que TLS 1.2 n’est pas désactivé par stratégie. Évitez tout middleware cassant la chaîne TLS sans certificat racine de confiance.

Jetons AAD et comptes de travail

Les jetons de connexion sont stockés par le Web Account Manager (WAM). Si un jeton corrompu existe, la séquence d’authentification peut échouer.

1. Ouvrez Paramètres > Comptes > Accès professionnel ou scolaire : déconnectez puis reconnectez le compte si possible.
2. Dans Paramètres > Comptes > E‑mail et comptes : supprimez les connexions personnelles en conflit (si autorisé), puis reconnectez‑vous avec le compte scolaire.

Antivirus/pare‑feu : processus à autoriser

• Minecraft.AdalServer.exe (authentification AAD du client).
• Exécutable du client Minecraft Education (édition installée). Autorisez les connexions sortantes TCP 443 et UDP 3478–3481.

Vérifications côté réseau/administration IT

Politiques de proxy

• Évitez d’exiger une authentification proxy sur les domaines de la liste blanche ci‑dessus ; privilégiez un transparent proxy ou un contournement explicite.
• Si inspection TLS activée, déployez la racine CA dans Ordinateur local et Utilisateur actuel, et excluez les domaines Microsoft critiques de l’inspection.

Ports et règles de pare‑feu

• Sortant : TCP 443 ouvert vers les domaines Microsoft/Minecraft/Xbox/PlayFab.
• Sortant : UDP 3478–3481 pour STUN/TURN (sessions multijoueurs, découverte, relais).
• Ne réécrivez pas les paquets STUN/TURN ; l’ALG doit laisser passer les messages sans altération.

DNS et filtrage catégoriel

• Placez les domaines listés dans une catégorie « éducation/jeux autorisés », non bloquée par défaut.
• Évitez les blocages par « jeux » globaux : Minecraft Education s’appuie sur Xbox Live/PlayFab bien que l’usage soit pédagogique.

Procédure guidée de résolution

Étape A : isoler la cause réseau

Testez la connexion avec un hotspot 4G. Si la connexion réussit, la pile applicative est valide ; concentrez‑vous sur le proxy/pare‑feu de l’établissement.

Étape B : assainir le poste

ipconfig /flushdns
netsh winsock reset
netsh int ip reset
netsh winhttp reset proxy
shutdown /r /t 0

Après redémarrage, assurez‑vous que seul un client Minecraft Education est installé et tentez une nouvelle connexion.

Étape C : vérifier la chaîne TLS

1. Ouvrez un navigateur et authentifiez‑vous avec le compte scolaire sur un service Microsoft (ex. portail AAD). Si un avertissement de certificat apparaît, corrigez l’inspection TLS ou le certificat racine.
2. Contrôlez les magasins de certificats (certmgr.msc pour l’utilisateur, mmc.exe + composant « Certificats » pour l’ordinateur). Ajoutez la racine du proxy si l’inspection est imposée.

Étape D : valider la connectivité vers les hôtes clés

Exécutez quelques tests rapides :

nslookup login.microsoftonline.com
nslookup xsts.auth.xboxlive.com
nslookup api.playfabapi.com
powershell -command "Test-NetConnection login.microsoftonline.com -Port 443"
powershell -command "Test-NetConnection title.mgt.xboxlive.com -Port 443"

Les résolutions DNS et les ports 443 doivent répondre positivement.

Étape E : collecter des preuves si le blocage persiste

Préparez un dossier pour le support en consignant : heure exacte, réseau utilisé, version du jeu/OS, capture d’écran de l’erreur, et un traçage réseau.

dxdiag /t %USERPROFILE%\Desktop\dxdiag.txt
netsh trace start scenario=InternetClient capture=yes tracefile=%USERPROFILE%\Desktop\mc_edu.etl
REM — lancez Minecraft Education et reproduisez l’erreur, puis :
netsh trace stop

Bonnes pratiques et points d’attention

• Ne multipliez pas les couches proxy : un PAC file plus un proxy explicite plus un agent filtrant peuvent produire des challenges d’auth imprevus.
• Évitez les extensions de navigateur « VPN » : elles cassent souvent les redirections AAD.
• Maintenez l’OS et le client à jour : nouvelles versions corrigent des bogues d’authentification et adaptent la gestion des dépendances réseau.
• Respect de la politique IT : toute modification doit être validée par l’administrateur, notamment pour l’inspection TLS et l’ouverture de ports.

Exemples de scénarios et résolution

Scénario : fonctionne en 4G, échoue au collège

Cause probable : le proxy authentifiant de l’établissement intercepte login.microsoftonline.com et déclenche un challenge non géré par le client. Résolution : ajouter ces domaines à la liste blanche sans inspection, désactiver la demande d’authentification pour ces hôtes et vérifier les ports UDP 3478–3481.

Scénario : client Microsoft Store + version bureau

Cause probable : deux versions enregistrent des gestionnaires d’URI différents, d’où une confusion dans le flux d’authentification. Résolution : ne garder qu’une seule édition, purger le cache Store (wsreset.exe), redémarrer.

Scénario : antivirus bloque Minecraft.AdalServer.exe

Cause probable : le module d’authentification AAD ne peut pas ouvrir la fenêtre de connexion ni communiquer avec Azure AD. Résolution : créer une exclusion (application/processus) et autoriser TCP 443 sortant.

Check‑list rapide pour administrateurs

• Listes blanches : domaines Azure AD, Minecraft Education, Xbox Live et PlayFab, hors inspection TLS.
• Règles pare‑feu : TCP 443, UDP 3478–3481 sortants autorisés sans NAT restrictif.
• Proxy : pas de challenge d’auth pour les hôtes whitelists ; idéalement mode transparent.
• Certificats : racine du proxy déployée si inspection imposée ; pas d’erreur de chaîne.
• Client : une seule édition installée, version à jour, WSReset exécuté si UWP.
• Poste : heure synchronisée, caches réseau purgés, jetons AAD rafraîchis.

Script de vérification PowerShell (exemple)

Exécutez PowerShell en administrateur et copiez le script ci‑dessous pour vérifier la résolution DNS et l’ouverture du port 443 sur les hôtes critiques :

$hosts = @(
  "login.microsoftonline.com",
  "xsts.auth.xboxlive.com",
  "title.mgt.xboxlive.com",
  "api.playfabapi.com",
  "www.minecraft.net"
)

foreach ($h in $hosts) {
try {
$dns = Resolve-DnsName -Name $h -ErrorAction Stop
$tcp = Test-NetConnection -ComputerName $h -Port 443 -InformationLevel Quiet
Write-Host ("{0,-30} DNS={1}  TLS443={2}" -f $h, ($dns.NameHost -join ","), ($tcp))
} catch {
Write-Host ("{0,-30} DNS/TLS : échec — {1}" -f $h, $_.Exception.Message)
}
}

Récapitulatif concret

• Cause dominante : proxy scolaire/filtrage bloquant l’authentification Microsoft, l’inspection TLS ou des domaines nécessaires.
• Test décisif : connexion depuis un hotspot/ réseau externe ; si ça marche, ajustez la configuration proxy/pare‑feu de l’établissement.
• Coups classiques : désactiver proxy/VPN, lister les domaines, autoriser Minecraft.AdalServer.exe, ouvrir ports 443 et 3478–3481, réinitialiser Winsock/IP/WinHTTP, mettre à jour le client.
• Taux de résolution : la grande majorité des incidents 2606 se règle après la mise sur liste blanche des domaines et la désactivation des proxys locaux sur la machine.

Modèle de ticket pour accélérer le support

Copiez/collez ce canevas lorsque vous ouvrez un ticket :

Objet : Erreur « Proxy Authentication Error [2606] » — Minecraft Education

Contexte :

* Établissement / Classe / Salle :
* Type de client : Microsoft Store | Bureau (choisir)
* Version du client :
* Version Windows :
* Réseau : Établissement | Hotspot 4G (mentionner les deux si testés)
* Proxy/Inspection TLS : Oui | Non (préciser la solution)

Symptômes :

* Message exact affiché :
* Étapes déjà réalisées : désactivation VPN/proxy, resets réseau, etc.

Pièces jointes :

* Capture d’écran (écran de l’erreur).
* dxdiag.txt
* mc_edu.etl (trace netsh avec tentative de connexion)
* Journal d’événements Application/Système (export .evtx)

Attendu :

* Connexion réussie avec compte scolaire sur le réseau de l’établissement.

FAQ ciblée

Faut‑il impérativement ouvrir les ports UDP 3478–3481 ?
Oui pour le multijoueur/stabilité des sessions ; l’authentification elle‑même passe en TCP 443, mais l’expérience en classe s’en trouve meilleure avec STUN/TURN ouverts.

Le reset d’Internet Explorer est‑il encore pertinent ?
Il peut nettoyer des paramètres WinINET hérités, mais ne suffit pas si le proxy d’établissement exige une authentification ou pratique l’inspection TLS.

Dois‑je conserver une inspection TLS sur les domaines Microsoft ?
Si une politique l’impose, installez la racine CA sur tous les postes et excluez au minimum les domaines d’authentification (Azure AD) et services Minecraft/Xbox/PlayFab pour éviter les ruptures.

Deux versions du client peuvent‑elles coexister ?
Déconseillé : conservez une seule édition (Store ou Bureau) pour éviter les conflits d’association d’URI et de modules d’authentification.

Que fournir au support ?
Capture d’écran, versions du jeu/OS, dxdiag, trace réseau et description du réseau/proxy. Ces éléments permettent souvent une résolution rapide.

Conclusion

« Proxy Authentication Error [2606] » révèle presque toujours un problème de proxy ou d’inspection TLS sur le chemin vers Azure AD/Xbox/PlayFab. En validant d’abord sur un réseau « propre », puis en appliquant la liste blanche de domaines, l’ouverture des ports requis et la réinitialisation de la pile réseau, vous éliminez la majorité des causes. Une fois le client à jour et les processus autorisés, la connexion à Minecraft Education avec un compte scolaire redevient fiable en environnement filtré.