MENU
  1. Accueil
  2. Microsoft 365
  3. Erreur Office “authentication protocol not supported” : résoudre l’ouverture bloquée des fichiers SharePoint

Erreur Office “authentication protocol not supported” : résoudre l’ouverture bloquée des fichiers SharePoint

Microsoft 365

Un message d’erreur indiquant que le protocole d’authentification n’est pas pris en charge s’affiche au premier clic sur un document SharePoint ; au second clic, l’ouverture réussit. Voici toutes les explications et un plan d’action exhaustif pour éliminer le problème de façon durable.

Sommaire

Contexte fonctionnel et portée du problème

Le message :
« The server you are trying to access is using an authentication protocol not supported by this version of Office » apparaît quand un utilisateur tente d’ouvrir un fichier Word, Excel, PowerPoint ou Visio stocké dans SharePoint Online ou OneDrive Entreprise via le navigateur (bouton Ouvrir dans l’application de bureau). L’échec survient souvent après :

  • Une migration vers Microsoft 365 ou un changement de canal de mise à jour Office.
  • Une modification du proxy ou du pare‑feu qui altère les requêtes TLS.
  • L’activation récente de la double authentification ou de règles d’accès conditionnel Azure AD.

À la différence d’une vraie perte de connectivité, l’erreur n’est pas bloquante : un second essai aboutit, ce qui trompe l’utilisateur et peut dissimuler une dégradation progressive de l’authentification moderne.

Analyse technique du phénomène

L’échange suivant a été observé avec Fiddler et les journaux Office 365 :

  1. Le client Office 2016/2019/Apps for enterprise lance une requête HEAD /_vti_bin/... vers SharePoint.
  2. Une négociation NTLM ou Kerberos se déclenche alors que Modern Auth (ADAL/MA) est normalement prioritaire.
  3. Comme le client ne détient aucun jeton applicable, le serveur renvoie un code 401, entraînant l’erreur.
  4. Le client déclenche alors ADAL, obtient un jeton OAuth 2.0 valide ; l’ouverture suivante fonctionne.

On aboutit à un cycle « échec‑réussite » lié à l’existence d’un jeton local obsolète ou d’un fallback NTLM imposé par la pile WinHTTP. La solution consiste donc à :

  • Purger les artefacts locaux (jetons, cache, credentials).
  • S’assurer que Modern Auth est forcé (tenant + poste).
  • Écarter tout proxy ou équipement réseau qui réécrit l’en‑tête Authorization.

Plan de remédiation rapide

La matrice ci‑dessous synthétise les actions correctives ; chaque étape est détaillée plus loin.

ÉtapeActionPourquoi / Résultat attendu
1Réinitialiser l’état d’activation Office 365
Exécuter le script Microsoft :
cscript OSPP.VBS /dstatus puis cscript OSPP.VBS /act, ou l’outil ResetOfficeActivation.ps1.		Détruit les jetons d’activation corrompus ; forçage d’une nouvelle négociation OAuth.
2Vérifier l’activation de l’authentification moderne
• Tenants : Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
• Postes : clés Registre EnableADAL=1, DisableADALatopWAMOverride=0.
• Contrôler TLS 1.2.		Réactive ADAL ; empêche le fallback NTLM/Basic.
3Mettre Office à jour (Current Channel recommandé)
OfficeC2RClient.exe /update user ou Intune : stratégie « Update channel ».		Corrige des bogues connus d’authentification intermittente.
4Purge locale complémentaire
• Vider %localappdata%\Microsoft\Office\16.0\OfficeFileCache
• Supprimer les entrées Office dans le Gestionnaire d’identifiants Windows.
• Redémarrage complet.		Évite la réutilisation de jetons ou cookies obsolètes.
5Audit SharePoint / réseau
• Authentification claims cohérente.
• URL *.sharepoint.com* en sites de confiance IE/Edge.
• Proxy : inspection SSL désactivée sur *.sharepoint.com*.		Écarte une cause serveur ou d’infrastructure persistante.
6Escalade Microsoft
Collecter journaux : Fiddler (.saz), %temp%\*.log, trace ULS.		Microsoft peut identifier un paramètre spécifique du tenant ou un bug backend.

Détails et procédures pas à pas

Réinitialiser l’état d’activation Office

Cette action supprime les secrets chiffrés stockés dans %programdata%\Microsoft\Office\Data.

cd "C:\Program Files\Common Files\Microsoft Shared\Office16"
cscript ospp.vbs /dstatus
cscript ospp.vbs /unpkey:ALL
cscript ospp.vbs /rearm
rem Redémarrer l'application Office puis /act

Pour un parc important, déployez le script signé ResetOfficeActivation.ps1 via Intune ou MECM ; il s’exécute en session utilisateur et consigne les actions dans l’Event Log.

Forcer l’authentification moderne

Depuis 2024, Microsoft bloque progressivement l’authentification de base. Sur un tenant hérité, le paramètre -OAuth2ClientProfileEnabled peut encore être $false. Vérifiez‑le :

Connect-ExchangeOnline
Get-OrganizationConfig | fl OAuth2ClientProfileEnabled

Côté poste, les clés « legacy » subsistent parfois après une mise à niveau Office 2013 → 2019 :

[HKCU\Software\Microsoft\Office\16.0\Common\Identity]
"EnableADAL"=dword:00000001
"DisableADALatopWAMOverride"=dword:00000000

Assurez‑vous aussi que TLS 1.2 n’a pas été désactivé par une GPO :

[HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

Mise à jour Office – choix du canal

Plusieurs correctifs essentiels sont arrivés en 2023‑2025 sur le Current Channel :

  • Mai 2023 : suppression d’un fallback NTLM résiduel dans la bibliothèque MSOID.
  • Novembre 2024 : correctif de fuite de handle provoquant un 401 ponctuel sur les locataires dotés de redondance géographique.

Pour passer un parc en Current Channel sans ré‑installer Office, poussez la stratégie suivante :

<Configuration>
  <Updates Channel="Current" />
</Configuration>

Encouragez ensuite l’utilisateur à lancer OfficeC2RClient.exe /update user ou programmez setup.exe /configure ConfiXML.xml.

Purge OfficeFileCache et Credential Manager

La suppression du dossier OfficeFileCache fait souvent disparaître le 401 dès la première relance Office. Utilisez le script suivant :

$path = "$env:LOCALAPPDATA\Microsoft\Office\16.0\OfficeFileCache"
if (Test-Path $path) {
    Get-ChildItem $path -Recurse | Remove-Item -Force
}
cmdkey /list | findstr /i "MicrosoftOffice16" | ForEach-Object {
    $target = $_.Split(":")[1].Trim()
    cmdkey /delete:$target
}

Pensez à fermer toutes les applications Office avant exécution pour éviter les fichiers verrouillés.

Contrôles réseau et SharePoint

Un proxy interceptant SSL peut remplacer Authorization: Bearer par Proxy-Authorization et provoquer la détection erronée d’un protocole « non pris en charge ». Vérifiez les points suivants :

  • Inspection HTTPS exclue pour *.sharepoint.com, *.office365.com, *.microsoftonline.com.
  • Conservation de l’en‑tête User-Agent; certains appliances réécrivent l’UA et déclenchent un fallback.
  • Pas de délégation Kerberos > NTLM forcée côté zone Intranet Local.

Côté SharePoint on‑prem (mode hybride), assurez‑vous que :

  • Les FQDN d’application Web utilisent l’authentification claims.
  • Le Provider‑Hosted App ou le Web Application Proxy délègue correctement les tickets au service web.

Escalade Microsoft : collecte de journaux

Avant d’ouvrir un ticket Premier/Unified Support, préparez :

  1. Un fichier Fiddler (.saz) comprenant l’échec puis la réussite.
  2. Les journaux Office %temp%\*_OFFICELOG*.txt.
  3. Un Support Diagnostic Toolset (MD5_OfficeDiag.cab).
  4. La version exacte d’Office : File > Account > About.

Plus ces éléments sont complets, plus l’ingénieur peut comparer la chaîne OAuth au comportement attendu.

Automatisation et déploiement à grande échelle

Pour traiter plusieurs centaines de postes, un Runbook Intune est le plus rapide. Exemple de séquence :

  1. Tâche PowerShell signée : ResetOfficeActivation.ps1.
  2. Stratégie Settings catalog : clés Registre EnableADAL + DisableADALatopWAMOverride.
  3. Profil de mise à jour Office : bascule en Current Channel.
  4. Reporting Proactive remédiation : détection du message d’erreur dans l’Event Log 3005, source Office 16.

Un workflow complet dans Azure Automation peut, en quinze minutes, identifier puis corriger la quasi‑totalité des postes exposés.

FAQ – questions fréquentes

Pourquoi l’erreur ne frappe‑t‑elle que certains utilisateurs ? Ils possèdent un jeton Modern Auth valide, tandis que d’autres héritent encore d’un token NTLM, souvent à cause d’une mise à niveau partielle d’Office ou d’une GPO restée active. Puis‑je supprimer uniquement les entrées SharePoint dans le Gestionnaire d’identifiants ? C’est insuffisant ; il faut également purger OfficeFileCache pour éliminer les cookies FEDAUTH persistants. Modern Auth est activé mais l’erreur subsiste ; pourquoi ? Un proxy ou un load balancer peut dégrader la première requête HEAD ; vérifiez si l’échec disparaît en contournant le proxy via un hotspot 4G sécurisé.

Prévention à long terme

  • Maintenir Office sur un canal de mise à jour mensuel et contrôler le pourcentage d’appareils hors version N‑2.
  • Appliquer Security Defaults ou une stratégie d’accès conditionnel interdisant NTLM.
  • Documenter et mettre à jour en continu la liste blanche SSL du proxy.

Conclusion

Bien que le second clic masque la gravité du problème, le message « The server you are trying to access is using an authentication protocol not supported by this version of Office » révèle un défaut sous‑jacent de l’authentification moderne. En réinitialisant l’activation, en forçant Modern Auth et en purgeant les caches locaux, vous éliminez la cause racine dans l’immense majorité des cas. Pour les environnements complexes (proxy, hybrides, MFA intensive), l’analyse réseau et l’escalade Microsoft restent vos alliées.

Microsoft 365
authentification troubleshooting Modern Auth SharePoint Online Office 365
Sommaire