Se su Android Teams o Outlook entrano in un loop infinito di accesso dopo password e MFA, questa guida pratica spiega come risolvere in modo definitivo: rimuovi i “work account” di sistema, pulisci le app e ripeti il login. Include cause tecniche, varianti per Intune/MDM e checklist di verifica.
Panoramica del problema
Dopo un aggiornamento di Teams e/o Outlook, alcuni utenti Android non riescono più a completare l’accesso. La sequenza tipica è la seguente: inserimento della password, conferma MFA con Microsoft Authenticator o SMS, quindi ritorno immediato alla schermata di login senza errore chiaro. Questo ciclo impedisce qualunque utilizzo delle app.
Le prove più comuni (disinstallazione e reinstallazione, svuotamento di cache e dati, verifica credenziali su PC) spesso non risolvono, e persino l’assistenza IT può faticare a individuare la causa perché l’anomalia nasce dal modo in cui Android, le librerie MSAL e i componenti “broker” (Authenticator/Company Portal) gestiscono identità e token a livello di sistema.
Soluzione efficace e collaudata
- Rimuovere gli “account di lavoro” a livello di sistema Android
Apri Impostazioni → Account (o Password e account / Account e backup a seconda del produttore) → elimina tutti gli account di tipo lavoro, Work account o com.microsoft.workaccount presenti. Se esiste un Profilo lavoro Android residuo (creato da Intune o da altri MDM), rimuovilo completamente. Questo include eventuali profili aziendali rimasti da datori di lavoro precedenti. - Pulizia finale delle app
Vai in Impostazioni → App → Outlook e Teams → Memoria → Svuota cache e Svuota dati. Se installati, ripeti anche per Microsoft Authenticator e/o Intune Company Portal (solo se sei in grado di riconfigurare eventuali codici TOTP personali; vedi avvertenza più sotto). - Nuovo accesso
Apri Outlook e Teams e completa la procedura di login. Il ciclo di autenticazione scomparirà e le app torneranno a funzionare normalmente.
Nota importante su Authenticator: se usi Microsoft Authenticator anche per account personali con codici TOTP, non svuotare i dati se non hai un backup o un metodo di ripristino. In molti casi è sufficiente rimuovere l’account di lavoro/scuola da Authenticator (Impostazioni → Account → seleziona quello aziendale → Rimuovi) senza cancellare l’app.
Perché questa procedura funziona
Gli account di lavoro salvati a livello di sistema (creati da Intune/Company Portal, da Microsoft Authenticator come “broker” o da precedenti MDM) possono conservare token scaduti, ID dispositivo e criteri di sicurezza non più validi. Le app Microsoft (Outlook, Teams, OneDrive, ecc.) preferiscono usare questi dati “di sistema” per iniziare il flusso di autenticazione. Se tali riferimenti non sono allineati con lo stato attuale del tenant (per esempio dopo un cambio di azienda, un reset del dispositivo aziendale in Intune, una modifica a criteri MFA o Conditional Access), il risultato è un conflitto che si manifesta come loop di login.
Eliminando i “work account” e ripulendo i dati applicativi, forzi un reset completo dell’identità aziendale sul dispositivo. Al riavvio delle app, MSAL ricrea i profili e chiede token aggiornati, senza “ereditare” elementi corrotti o obsoleti.
Procedura passo‑passo per Android
Rimozione accurata degli account di lavoro
- Apri Impostazioni → Account / Password e account / Account e backup.
- Cerca voci come Work account, Account di lavoro, Microsoft Exchange aziendale, com.microsoft.workaccount, Profilo lavoro.
- Elimina tutte le voci collegate al tenant aziendale interessato. Su dispositivi con Profilo lavoro Android (Android Enterprise), scegli Rimuovi profilo lavoro per cancellare in blocco app e criteri aziendali.
Pulizia delle app interessate
- Vai in Impostazioni → App → Outlook → Memoria → Svuota cache → Svuota dati. Ripeti per Teams.
- Se presente il componente “broker”:
- Microsoft Authenticator: di norma basta rimuovere l’account lavoro/scuola dall’app; se il loop persiste, valuta Svuota dati (solo se non perderai codici TOTP indispensabili).
- Intune Company Portal: dopo aver rimosso gli account di sistema, apri Company Portal e verifica che il dispositivo non sia più registrato; in caso di incongruenze, Disinstalla e reinstalla.
Nuovo login pulito
- Apri Outlook e accedi con l’account aziendale: completa password e MFA. Poi ripeti su Teams.
- Se il dispositivo è gestito, attendi l’eventuale registrazione in Intune o l’applicazione delle App Protection Policies alla prima apertura.
Diagnostica: come riconoscere il loop di autenticazione
- Outlook/Teams chiedono ripetutamente password o approvazione su Authenticator, senza errore chiaro.
- Il login funziona in browser desktop e in altre app non Microsoft.
- La disinstallazione/reinstallazione non cambia il comportamento (perché i token di sistema persistono altrove).
- Talvolta compaiono messaggi del tipo “La tua organizzazione richiede sicurezza aggiuntiva” o “Completa la registrazione del dispositivo”, ma l’operazione non si completa mai.
Approfondimento tecnico
Su Android, le app Microsoft utilizzano la libreria MSAL che delega l’autenticazione a un broker (Microsoft Authenticator o Intune Company Portal). Il broker registra uno o più account lavoro/scuola nel AccountManager di Android e gestisce token (Access/Refresh), chiavi, stato di registrazione del dispositivo, oltre a policy MAM/MDM. Quando l’ID dispositivo (o la sua compliance) non combacia con lo stato lato tenant, oppure restano token del vecchio tenant, il broker può riportare le app in un flusso di onboarding che non si chiude mai. La rimozione degli account e del profilo lavoro azzera tale stato e costringe la creazione di un nuovo contesto coerente.
Verifiche aggiuntive consigliate
- Reti e VPN: prova su rete mobile 4G/5G o Wi‑Fi domestico per escludere filtri o proxy aziendali che interferiscono con i domini di login.
- Ora e fuso orario: imposta Data/ora automatiche e Fuso automatico; differenze di orologio possono invalidare token e MFA.
- Browser/WebView: assicurati che Chrome e/o Android System WebView siano aggiornati; in caso di dubbi, svuota cache/dati di Android System WebView e Servizi Google Play (quest’ultimo solo se necessario).
- Precedenti MDM: elimina app come Device Policy, MobileIron, Workspace ONE o profili rimasti da altri datori di lavoro.
- Authenticator: se l’account lavoro/scuola in Authenticator mostra stato anomalo, rimuovilo e rilinkalo durante il nuovo accesso.
Buone pratiche per prevenire il problema
- Verifica dei profili MDM/Intune: se il telefono è gestito, chiedi all’amministratore di revocare sessioni e ritirare eventuali registrazioni obsolete prima di riconfigurare le app.
- Evitare profili duplicati: dopo un cambio di lavoro o tenant, rimuovi i vecchi work profile o le vecchie device policy prima di configurare i nuovi.
- Controllo connettività: se il problema persiste, prova senza VPN o su rete differente per escludere blocchi DNS/SSL inspection.
- Documenta il ciclo di vita del dispositivo: annota quando il device è stato registrato/deregistrato in Intune; evitare “ri-attivazioni” parziali riduce le incongruenze.
Tabella riassuntiva delle azioni
| Situazione | Che cosa fare | Impatto atteso |
|---|---|---|
| Loop dopo aggiorna app | Rimuovere work account di sistema, svuotare cache/dati delle app, rifare login | Reset identità, fine del loop |
| Telefono gestito da Intune | Rimuovere profilo lavoro e chiedere “retire” del device in Intune | Allineamento compliance e token |
| Vecchio tenant ancora presente | Eliminare account/profilo del vecchio tenant, reinstallare Company Portal | Niente conflitti tra tenant |
| Persistenza del loop | Verificare WebView/Chrome, reti, orologio, rimuovere e rilinkare Authenticator | Ripristino del flusso SSO |
Checklist operativa
- Hai rimosso tutti gli account di lavoro da Impostazioni → Account?
- Hai eliminato l’eventuale Profilo lavoro Android (se presente)?
- Hai svuotato cache e dati di Outlook, Teams e (se necessario) Authenticator/Company Portal?
- Hai verificato data/ora automatiche e una rete alternativa senza VPN?
- Hai aggiornato Chrome e Android System WebView?
- Hai riaperto Outlook/Teams e completato il login senza riapparizione del ciclo?
Domande frequenti
La disinstallazione delle app non basta?
Spesso no. Le app rimosse cancellano i propri dati, ma non gli account “broker” e i token salvati a livello di sistema o nel profilo lavoro. Per questo la rimozione dei Work account è il passaggio chiave.
Devo per forza cancellare il profilo lavoro?
Se il dispositivo è gestito via Android Enterprise, è la via più pulita perché azzera criteri e chiavi dell’azienda. In BYOD senza profilo lavoro dedicato, basta rimuovere i singoli account di lavoro e pulire le app.
Perdo i codici dell’Authenticator?
Rimuovere l’account lavoro/scuola non elimina altri codici personali. Attenzione: svuotare i dati dell’app Authenticator cancella tutti i TOTP locali; fallo solo se hai backup o puoi riprovisionarli.
È un problema del mio account o del telefono?
Se il login funziona su PC/browser e fallisce solo su Android con loop, la causa è quasi sempre sul dispositivo (token e profili obsoleti). La pulizia risolve nella maggioranza dei casi.
Serve l’intervento dell’amministratore?
Può essere utile per eliminare registrazioni dispositivo non più valide, revocare sessioni, rimuovere compliance vecchie o duplicati in Intune/Microsoft Entra ID.
Procedure specifiche per scenari comuni
Passaggio a nuovo datore di lavoro o nuovo tenant
- Rimuovi tutti i riferimenti al vecchio tenant: account di lavoro, profilo lavoro, Company Portal associato.
- Ripulisci le app Microsoft (Outlook, Teams).
- Installa e configura il nuovo stack: Company Portal/Authenticator richiesti dal nuovo tenant, quindi Outlook e Teams.
Dispositivo precedentemente registrato in più MDM
La coesistenza di vecchi agenti MDM può conservare criteri confliggenti. Disinstalla completamente vecchi agenti (Device Policy, Workspace ONE, ecc.), rimuovi profili e riparti da zero con il solo MDM supportato.
Conditional Access o MFA appena cambiate
Dopo modifiche a criteri di sicurezza, i token “vecchi” possono diventare non validi. Il reset degli account di sistema forza la richiesta di token aggiornati e riduce i conflitti.
Sequenza dettagliata consigliata per ambiente aziendale
- Richiesta di “retire” in Intune: chiedi all’amministratore di ritirare la vecchia registrazione del tuo dispositivo e revocare le sessioni in Microsoft Entra ID.
- Rimozione profilo lavoro sul dispositivo: su Android → Impostazioni → Gestione dispositivo / Profili → Rimuovi profilo lavoro.
- Pulizia app: svuota cache/dati di Outlook, Teams, Authenticator/Company Portal.
- Re‑onboarding: reinstalla Company Portal se richiesto, registra il dispositivo, quindi configura Outlook e Teams.
Segnali di risoluzione e controlli post‑fix
- Outlook sincronizza posta e calendario senza ulteriori prompt di autenticazione.
- Teams apre il tenant corretto e mantiene la sessione dopo chiusura e riavvio dell’app.
- In Company Portal (se usato) il dispositivo risulta Conforme.
- Authenticator mostra l’account lavoro/scuola attivo senza errori.
Template di richiesta verso l’assistenza IT
Se hai bisogno di supporto del reparto IT, puoi usare questo testo come base:
Oggetto: Richiesta “retire” e revoca sessioni per dispositivo Android
Buongiorno,
riscontro un loop di autenticazione su Outlook/Teams per Android. Ho già rimosso i work account e pulito le app.
Potete per favore:
– Eseguire il retire del mio dispositivo in Intune (o rimuovere vecchie registrazioni).
– Revocare le mie sessioni in Microsoft Entra ID.
– Verificare eventuali duplicati del dispositivo associati al mio utente.Grazie
Quando prendere in considerazione opzioni più drastiche
Se il loop persiste dopo tutti i passaggi e la rete non è in causa, considera:
- Reinstallazione del broker: disinstalla e reinstalla Microsoft Authenticator e/o Company Portal (attenzione ai codici TOTP).
- Ripristino impostazioni di rete: reset di Wi‑Fi, dati mobili e Bluetooth può eliminare interferenze di proxy cert‑pinned o profili per‑app VPN.
- Ripristino del dispositivo: estrema ratio, solo dopo backup e con supporto IT, se esistono conflitti radicati nel profilo utente Android.
Conclusioni
Il loop infinito di autenticazione su Teams e Outlook per Android deriva quasi sempre da identità di lavoro memorizzate a livello di sistema che conservano token o criteri non allineati. La triade rimozione work account → pulizia app → nuovo login risolve nella maggior parte dei casi, soprattutto dopo cambi di tenant o modifiche a policy di sicurezza. Applicando anche le buone pratiche su Intune/MDM, reti e WebView, riduci drasticamente la probabilità che il problema si ripresenti.
Appendice: guida rapida per produttore/Android
Le voci di menu possono variare. Di seguito alcune denominazioni comuni:
| Produttore/Versione | Percorso tipico | Elemento da rimuovere |
|---|---|---|
| Android “stock” 12/13/14 | Impostazioni → Password e account | Work account, com.microsoft.workaccount |
| Samsung One UI | Impostazioni → Account e backup → Gestisci account | Account di lavoro, Profilo lavoro (Android Enterprise) |
| Xiaomi/MIUI | Impostazioni → Account → Account lavoro | Account lavoro/enterprise, profilo lavoro |
| Dispositivo gestito Intune | Impostazioni → Gestione dispositivo / Profili | Profilo lavoro aziendale (rimuovere/ritirare) |
Esempio di flusso corretto dopo il fix
- Apri Outlook → Aggiungi account → inserisci e‑mail aziendale.
- Reindirizzamento al broker (Authenticator/Company Portal) → password → MFA.
- Se richiesto: Registrazione del dispositivo o applicazione policy MAM.
- Outlook sincronizza e rimane connesso; Teams si apre senza ulteriori prompt.
Riepilogo in una frase
Elimina gli account di lavoro e i profili aziendali residui a livello di sistema Android, ripulisci le app Microsoft e ripeti l’accesso: è la soluzione più rapida e stabile per spezzare il loop di autenticazione su Teams e Outlook.
In breve: se stai affrontando un loop di login su Android dopo password e MFA, concentrati non solo sulle app ma soprattutto su ciò che sta fuori dalle app: il broker e gli account di lavoro salvati nel sistema. La loro rimozione è il vero “reset” dell’identità aziendale sul dispositivo.