Outlook classique : échec d’authentification Office 365 (boucle de mot de passe) — corriger OAuth/Modern Auth sans quitter le client hors‑ligne

Outlook « classique » affiche une boucle de mot de passe avec Exchange Online ? Voici un plan d’action complet pour rétablir l’authentification moderne (OAuth 2.0), corriger Autodiscover et conserver un Outlook hors‑ligne fiable.

Outlook « classique » n’arrive plus à s’authentifier auprès d’Office 365

Vue d’ensemble de la question

Depuis fin 2023, certains postes exécutant Outlook « classique » 32 bits (Microsoft 365 Apps v 2403, build 16.0.17425.20124) demandent le mot de passe en boucle : on saisit les identifiants, l’authentification échoue et la fenêtre revient, tandis que le « Nouvel Outlook » ou OWA fonctionnent. Les remèdes habituels (profil neuf, mode sans échec, outil SaRA, vidage des identifiants Windows) ne suffisent pas. L’objectif : rester sur Outlook « classique » pour le mode hors‑ligne (OST, mise en cache, complémentarité avec les compléments COM) tout en rétablissant la connexion à Exchange Online via Modern Authentication (OAuth 2.0).

Pourquoi cette panne survient‑elle ?

Deux évolutions se croisent :

• Basic Authentication est désactivée sur Exchange Online : les invites « nom d’utilisateur / mot de passe » classiques ne sont plus acceptées. La connexion doit passer par OAuth 2.0 (Modern Auth), avec jetons AAD (Azure AD/Entra ID), souvent via le Web Account Manager (WAM) de Windows.
• Outlook « classique » s’appuie sur des composants Windows (WAM, WebView2, proxy/TLS) et sur des clés de registre (EnableADAL, AlwaysUseMSOAuthForAutoDiscover) pour négocier l’authentification. Un seul maillon obsolète ou incohérent suffit à provoquer la boucle de mot de passe.

Dans ce contexte, corriger la chaîne OAuth (tenant, client, OS, Office) est la voie la plus rapide pour retrouver une session stable, sans basculer vers le Nouvel Outlook.

Réponse & solutions proposées

Étape	Action	Détails pratiques
Activer l’authentification moderne (OAuth 2.0)	Centre d’administration Microsoft 365 → Paramètres → Paramètres d’organisation → Authentification moderne → Activer	Sans cette option côté tenant, Exchange Online rejette les connexions Basic Auth et Outlook insiste en boucle sur le mot de passe.
Forcer Outlook à utiliser OAuth	Ajouter/modifier deux clés RegEdit dans le profil utilisateur : HKCU\SOFTWARE\Microsoft\Office\16.0\Common\Identity\EnableADAL = 1 HKCU\SOFTWARE\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover = 1	Valeurs REG_DWORD=1. Fermer Outlook avant modification.
Purger les anciennes informations d’identification	Panneau de configuration → Gestionnaire d’informations d’identification → Identifiants Windows : supprimer les jetons liés au compte @domaine et aux entrées Office/ADAL/WAM	Évite la réutilisation d’un jeton Basic Auth / OAuth corrompu.
Recréer le profil Outlook	Panneau de configuration → Courrier (Microsoft Outlook) → Profils → Ajouter…	Le nouvel assistant détecte OAuth, affiche la fenêtre de connexion Web et enregistre un jeton valide dans Windows.
Mettre Outlook et Office à jour	Fichier → Compte Office → Options de mise à jour → Mettre à jour maintenant	Certains builds antérieurs gèrent mal des flux OAuth/Autodiscover.
Vérifier les prérequis système	Contrôler TLS 1.2, proxy/pare‑feu, WAM et WebView2	Une interception SSL, un proxy obsolète ou un runtime WebView2 absent suffit à bloquer la redirection login.microsoftonline.com.

Procédure résumée

1. Activer Modern Auth côté tenant, redémarrer Outlook et tester.
2. Si la fenêtre Web n’apparaît pas : appliquer les clés de registre (ci‑dessus), redémarrer l’OS, effacer les identifiants, supprimer/créer le profil.
3. En dernier recours, exécuter Microsoft Support and Recovery Assistant en mode « Office 365 → Outlook → Connectivity ».

Guide pas à pas détaillé

Pré‑vérifications rapides

• Licence et boîte aux lettres : la licence Exchange est bien assignée au compte, la boîte existe et fonctionne via OWA/Nouvel Outlook.
• Heure système : l’horloge Windows est synchronisée (écart ≤ 5 min) ; sinon, la validation des jetons échoue.
• Réseau : un proxy/pare‑feu n’intercepte pas TLS (SSL inspection désactivée pour les domaines Microsoft) et n’impose pas de vieux protocoles.
• Applications Office : le compte est déconnecté de Fichier → Compte Office (Se déconnecter), puis reconnecté après correctifs.

Activer et forcer Modern Auth

Sur les tenants qui ont migré tardivement, Outlook peut garder des reliquats Basic Auth. Assurez Modern Auth côté service, puis imposez‑le côté client :

Windows Registry Editor Version 5.00

; Activer Modern Auth (ADAL) pour Office
\[HKEY\_CURRENT\_USER\SOFTWARE\Microsoft\Office\16.0\Common\Identity]
"EnableADAL"=dword:00000001

; Toujours utiliser OAuth pour Autodiscover Exchange
\[HKEY\_CURRENT\_USER\SOFTWARE\Microsoft\Exchange]
"AlwaysUseMSOAuthForAutoDiscover"=dword:00000001 

Précautions : sauvegardez le Registre (point de restauration), fermez Outlook, appliquez les clés, redémarrez Windows.

Purger proprement les identifiants Windows

1. Ouvrir Gestionnaire d’informations d’identification → Identifiants Windows.
2. Supprimer les entrées liées à MicrosoftOffice, ADAL/WAM, outlook.office365.com, login.microsoftonline.com, et celles portant le UPN (nom@domaine).
3. Fermer, puis redémarrer la session Windows.

But : éliminer tout jeton erroné (Basic Auth ou OAuth) et forcer une nouvelle négociation.

Recréer un profil Outlook propre

Depuis Courrier (Microsoft Outlook) du Panneau de configuration :

1. Afficher les profils → Ajouter… → saisir le nom du profil.
2. Entrer l’adresse principale UPN. L’assistant doit afficher une fenêtre de connexion Web (WebView2) et non une invite basique.
3. Vérifier que le mode Mise en cache Exchange est actif (pour l’hors‑ligne), et laisser la création initiale de l’OST se terminer.

Mettre Office à jour & vérifier le canal

• Fichier → Compte Office → Options de mise à jour → Mettre à jour maintenant.
• Privilégier un canal récent (Current Channel ou Monthly Enterprise) si vous gérez les builds via GPO/Intune.

Contrôler les prérequis Windows

Élément	Que vérifier	Symptôme en cas de défaut
TLS 1.2	Activé dans Schannel et non bloqué par le proxy	Échec silencieux après la saisie du mot de passe, erreurs réseau génériques
Proxy/pare‑feu	Pas d’inspection TLS sur *.microsoftonline.com, *.office365.com, aadcdn.msftauth.net, etc.	La fenêtre de connexion tourne à vide ou reste blanche
WAM (Web Account Manager)	Compte Accès au travail ou à l’école connecté et sain	Impossible de s’authentifier, erreurs AADSTS 50058/53003
WebView2 Runtime	Présent et à jour (utilisé par la fenêtre d’authentification)	Fenêtre de connexion vide/blanche, bouton inactif

Modules complémentaires : diagnostics utiles

État de la connexion

Ctrl + clic droit sur l’icône Outlook dans la zone de notification → État de la connexion. Vérifiez que les connexions Directory / Mail / HTTPS passent bien par OAuth et que l’authentification n’affiche pas Clear ou Anonymous.

Test E-mail AutoConfiguration

Ctrl + clic droit sur l’icône Outlook → Test de configuration automatique de la messagerie : cochez Utiliser l’Autodiscover, décochez Deviner par mot‑clé, puis Tester. Recherchez :

• URL https://autodiscover-s.outlook.com/autodiscover/autodiscover.json ou .xml
• Authentification : Bearer (OAuth) au lieu de Basic

Journalisation Outlook

Dans Fichier → Options → Avancé, activez Activer la journalisation (résolution des problèmes). Après reproduction, consultez les journaux (dossier Temp de l’utilisateur) pour les appels OAuth/Autodiscover et erreurs réseau.

Erreurs AADSTS fréquentes et interprétation

Code de l’erreur	Signification	Piste de résolution
AADSTS50058	Connexion silencieuse impossible / session absente	Nettoyez les identifiants, reconnectez le compte dans Accès au travail ou à l’école, recréez le profil
AADSTS50076	Authentification multifacteur requise	Autorisez la fenêtre Web, finalisez le MFA (appareil/numéro), vérifiez les stratégies d’accès conditionnel
AADSTS53003	Accès conditionnel non satisfait (conformité, emplacement)	Vérifiez l’enrôlement de l’appareil (Intune), la conformité et la localisation réseau
AADSTS700016/500011	Application/ressource introuvable	Mettre à jour Office, corriger le proxy qui filtre des endpoints AAD

Cas particuliers à forte incidence

Postes RDS/VDI, multi‑utilisateurs

• Privilégiez des GPO ou des Préférences de Registre pour pousser EnableADAL et AlwaysUseMSOAuthForAutoDiscover.
• Désactivez ponctuellement WAM si un bug de session affecte des profils itinérants : utilisez la clé ci‑dessous (temporaire).

Activer ADAL et, si besoin, neutraliser WAM (temporaire)

Windows Registry Editor Version 5.00

; (Recommandé) Modern Auth
\[HKEY\_CURRENT\_USER\SOFTWARE\Microsoft\Office\16.0\Common\Identity]
"EnableADAL"=dword:00000001

; (Optionnel, temporaire) contourner WAM si dysfonctionnel
\[HKEY\_CURRENT\_USER\SOFTWARE\Microsoft\Office\16.0\Common\Identity]
"DisableADALatopWAMOverride"=dword:00000001

; Autodiscover en OAuth
\[HKEY\_CURRENT\_USER\SOFTWARE\Microsoft\Exchange]
"AlwaysUseMSOAuthForAutoDiscover"=dword:00000001 

Note : l’objectif est de stabiliser l’authentification. Une fois les mises à jour appliquées (Office/Windows/WebView2), retirez la désactivation de WAM pour revenir au chemin supporté par Microsoft.

Contrats de sécurité (MFA, accès conditionnel)

• Si le MFA est requis, Outlook doit afficher une fenêtre Web autorisant la validation (application d’authentification, SMS, facteur FIDO2…).
• En présence d’une stratégie requiert appareil conforme, assurez l’enrôlement Intune et la conformité (chiffrement, code PIN, antivirus, etc.).

WebView2 Runtime et fenêtre blanche

Lorsque la fenêtre de connexion est blanche ou sans bouton, vérifiez que le Microsoft Edge WebView2 Runtime est installé et non bloqué. Après réparation du runtime, répétez la purge des identifiants et la recréation du profil.

Check‑list réseau : domaines et ports à autoriser

Autorisez (sans inspection TLS) au minimum :

• login.microsoftonline.com, device.login.microsoftonline.com
• aadcdn.msftauth.net, aadcdn.msauth.net
• outlook.office365.com, autodiscover-s.outlook.com
• graph.microsoft.com (tokens/Profils)

Ports : 443/TCP (TLS). Évitez tout « SSL break & inspect » sur ces domaines.

Déploiement à grande échelle (GPO/Intune)

Deux approches :

1. ADMX Office : Activez l’authentification moderne (politiques Identity/Modern Authentication) si disponibles dans votre version d’ADMX.
2. Préférences de Registre (fiables et universelles) : poussez les clés ci‑dessus sous HKCU. En contexte machine, vous pouvez aussi définir des valeurs miroirs sous HKLM\SOFTWARE\Policies\Microsoft\Office\16.0\Common\Identity (si votre gouvernance requiert des stratégies « tatouées »).

Exemple PowerShell (par utilisateur)

$idPath = "HKCU:\Software\Microsoft\Office\16.0\Common\Identity"
$exPath = "HKCU:\Software\Microsoft\Exchange"
New-Item -Path $idPath -Force | Out-Null
New-Item -Path $exPath -Force | Out-Null
Set-ItemProperty -Path $idPath -Name EnableADAL -Type DWord -Value 1
Set-ItemProperty -Path $idPath -Name DisableADALatopWAMOverride -Type DWord -Value 1   # optionnel/temporaire
Set-ItemProperty -Path $exPath -Name AlwaysUseMSOAuthForAutoDiscover -Type DWord -Value 1
Write-Host "Clés Modern Auth appliquées."

Procédures complémentaires (quand la boucle persiste)

• Accès au travail ou à l’école : Paramètres Windows → Comptes → Accès au travail ou à l’école → Déconnecter le compte d’entreprise, redémarrer, puis Reconnecter. Cela réinitialise WAM.
• Réparer Office : Applications et fonctionnalités → Microsoft 365 → Modifier → Réparation rapide (puis En ligne si nécessaire).
• Se déconnecter d’Office (Word/Excel) puis se reconnecter avant de lancer Outlook.
• Désactiver temporairement les compléments COM si la fenêtre d’authentification ne s’affiche pas correctement (test en mode sans échec : outlook.exe /safe).

Exemples concrets d’itinéraires de résolution

Scénario A — Tenant modernisé, postes anciens

1. Activez Modern Auth côté tenant.
2. Déployez EnableADAL et AlwaysUseMSOAuthForAutoDiscover via GPO.
3. Nettoyez les identifiants et recréez les profils.
4. Mettez à jour Office vers un canal récent.

Scénario B — Proxy « SSL inspect »

1. Excluez les domaines Microsoft des inspections TLS.
2. Vérifiez la résolution Autodiscover et l’échange de jetons OAuth.
3. Recreatez le profil après purge des identifiants.

Scénario C — WAM instable

1. Déconnectez/reconnectez Accès au travail ou à l’école.
2. Si échec, activez DisableADALatopWAMOverride=1 temporairement pour forcer ADAL sans WAM.
3. Après mises à jour (Windows/Office/WebView2), retirez l’override.

FAQ pratique

Le Nouvel Outlook fonctionne, pourquoi garder l’« ancien » ? Pour l’usage hors‑ligne poussé (OST complet, délégations MAPI, compléments COM métiers) et des scénarios avancés (archives locales, règles côté client). Ce guide vise à retrouver ces avantages sans renoncer à la sécurité OAuth.

Dois‑je supprimer l’OST ? Non, sauf corruption avérée. La recréation de profil suffit dans la majorité des cas. En dernier recours, laissez Outlook régénérer un nouvel OST.

Les boîtes partagées posent problème ? Vérifiez que les partages s’ouvrent en mode Exchange (et non via comptes IMAP hérités), et que la stratégie autorise l’accès via clients modernes.

Et les compléments ? Certains anciens compléments injectés peuvent interférer avec la fenêtre d’authentification. Testez en mode sans échec, mettez à jour, ou désactivez provisoirement.

Bonnes pratiques durables

• Standardisez la configuration (GPO/Intune) : clés Modern Auth, exclusions proxy, canal Office.
• Surveillez l’état des services et des builds Office dans votre poste de pilotage interne.
• Éduquez les utilisateurs : reconnaître les fenêtres d’authentification modernes vs invites obsolètes, signaler toute fenêtre blanche persistante.

Annexe A — .REG de remédiation rapide

Windows Registry Editor Version 5.00

; Modern Auth obligatoire pour Office
\[HKEY\_CURRENT\_USER\SOFTWARE\Microsoft\Office\16.0\Common\Identity]
"EnableADAL"=dword:00000001

; Option temporaire si WAM est défaillant (à retirer après correction)
\[HKEY\_CURRENT\_USER\SOFTWARE\Microsoft\Office\16.0\Common\Identity]
"DisableADALatopWAMOverride"=dword:00000001

; Autodiscover Exchange via OAuth
\[HKEY\_CURRENT\_USER\SOFTWARE\Microsoft\Exchange]
"AlwaysUseMSOAuthForAutoDiscover"=dword:00000001 

Annexe B — Script PowerShell (poste isolé)

# Exécuter dans une session PowerShell de l'utilisateur
$id = "HKCU:\Software\Microsoft\Office\16.0\Common\Identity"
$ex = "HKCU:\Software\Microsoft\Exchange"
foreach ($p in @($id,$ex)) { if (-not (Test-Path $p)) { New-Item -Path $p -Force | Out-Null } }
Set-ItemProperty -Path $id -Name EnableADAL -Type DWord -Value 1
Set-ItemProperty -Path $id -Name DisableADALatopWAMOverride -Type DWord -Value 1   # temporaire
Set-ItemProperty -Path $ex -Name AlwaysUseMSOAuthForAutoDiscover -Type DWord -Value 1
Write-Host "Modern Auth activée, Autodiscover forcé en OAuth."

Annexe C — Checklist d’après‑migration

• Modern Auth activée côté tenant
• Office à jour (canal cohérent)
• Exclusions proxy/pare‑feu en place
• WAM et WebView2 contrôlés
• Profils Outlook propres, identifiants purgés
• Politiques de sécurité (MFA/CA) validées

Informations complémentaires utiles (rappel synthétique)

• Basic Auth est retirée sur Exchange Online : les clients hérités échouent.
• Les versions Microsoft 365 Apps antérieures à mi‑2021 n’activent pas toujours Modern Auth par défaut ; la clé EnableADAL est essentielle.
• En environnement multi‑utilisateurs (RDS/VDI), préférez des politiques (ADMX/Intune) plutôt que des modifications manuelles.
• Si l’activation échoue encore, vérifiez : licence Exchange, règles d’accès conditionnel/MFA, certificats intermédiaires Microsoft, horloge Windows.
• À moyen terme, Microsoft pousse vers le Nouvel Outlook et OWA ; conserver l’« ancien » hors‑ligne reste possible avec une hygiène de mises à jour et de sécurité.

Conclusion

La boucle de mot de passe d’Outlook « classique » n’est pas une fatalité. En imposant Modern Auth (ADAL/OAuth), en purgeant les jetons, en recréant un profil propre et en assainissant l’OS (WAM, WebView2, TLS, proxy), vous restaurez une synchronisation Exchange Online stable — tout en conservant les atouts du client hors‑ligne historique.