Se Outlook continua a chiedere le credenziali e mostra “Something went wrong [657rx]” (codici 0x8004DEC5/1200), qui trovi una guida pratica e approfondita per capire la causa, ripristinare l’autenticazione moderna di Microsoft 365 ed evitare che il problema si ripresenti, anche in ambienti GoDaddy.

Problema ricorrente

In molte installazioni di Microsoft 365 per Windows, soprattutto su dispositivi che hanno cambiato password, tenant o criterio di sicurezza, Outlook (e talvolta anche OneDrive, Teams, Word/Excel) non riesce a completare il flusso di login. Il sintomo più comune è il loop infinito della schermata “Accedi” o la comparsa dell’errore “Something went wrong [657rx]” con codici associati 0x8004DEC5 / 1200. Tipicamente:

• L’utente riesce a usare il portale web di Microsoft 365, ma non può aggiungere o mantenere l’account su Outlook.
• Il prompt di autenticazione ricompare più volte, oppure scompare senza concludere l’accesso.
• Il problema può coinvolgere account Microsoft 365 “puri” o quelli gestiti tramite GoDaddy.

La radice del problema è quasi sempre un “legame” non più valido tra Windows ed Entra ID (ex Azure AD): quando il dispositivo conserva token corrotti o incompatibili con le regole attuali del tenant, l’intero pacchetto Office non riesce più a ottenere un token valido per MAPI/Graph/Exchange Online.

Cause tecniche più frequenti

#	Radice del problema	Spiegazione sintetica
1	Registrazione dispositivo in “Accesso lavoro o scuola” corrotta	Windows mantiene un trust con Entra ID. Se il PRT/refresh token è scaduto o danneggiato, le app Office non ottengono più token validi e falliscono l’autenticazione.
2	Conflitto fra più account/domini	La macchina è stata legata a più tenant (personale + aziendale) o a un vecchio dominio GoDaddy; il broker di autenticazione carica cache/token sovrapposti e genera conflitti.
3	Modern Authentication non abilitata o disallineata	Se il tenant richiede l’autenticazione moderna ma Outlook tenta flussi legacy (residui di configurazioni o chiavi di registro), il login fallisce.
4	Cache credenziali o profilo Outlook danneggiato	Voci obsolete in “Gestione credenziali”, profili MAPI corrotti o problemi del plugin Microsoft.AAD.BrokerPlugin impediscono il completamento del flusso.

Altre cause comuni osservate sul campo

• Runtime WebView2 danneggiato: la finestra di login di Office usa WebView; se rotto o non aggiornato, la pagina di autenticazione non si rende correttamente.
• Versione di Office troppo datata: build molto vecchie non gestiscono pienamente Modern Auth o WAM (Web Account Manager).
• Proxy/SSL inspection/antivirus aggressivo: l’intercettazione TLS o il blocco dei domini di Entra ID (login, device, aadcdn, msauth, graph) interrompe il flusso.
• Cambi MFA e politica di Conditional Access: quando il tenant impone dispositivi conformi o MFA rinnovata, i vecchi token diventano invalidi.
• Join ibrido/Domain join incoerente: l’oggetto dispositivo in Azure AD non corrisponde più allo stato locale della macchina.

Soluzione consigliata

Segui l’ordine: prima si “stacca” il dispositivo dal tenant corrotto, poi si ripulisce la cache, quindi si verifica la Modern Auth e infine si ricollega il dispositivo. Nella maggior parte dei casi questo ripristina il flusso in modo definitivo.

Scollegare il dispositivo dal tenant corrotto

1. Apri Impostazioni di Windows → Account → Accesso lavoro o scuola.
2. Per ciascun account mostrato, seleziona e premi Disconnetti. Conferma i messaggi.
3. Riavvia il PC: passaggio fondamentale per scaricare i token residenti in memoria.

Nota: su macchine join ibrido o Azure AD Join gestite dall’IT, verifica le policy prima di procedere. In ambienti controllati, può essere richiesto l’intervento dell’amministratore per un re‑enrollment.

Ripulire cache e profili

Questi passaggi sono opzionali ma fortemente raccomandati: eliminano residui che spesso impediscono la negoziazione dei token.

• Profilo Outlook: Pannello di controllo → Posta (Outlook) → Mostra profili → Rimuovi o Aggiungi un profilo pulito.
• Gestione credenziali: apri Gestione credenziali → Credenziali di Windows → rimuovi voci che iniziano con MicrosoftOffice, AzureAD, adfs, MSOffice.
• Broker di autenticazione: elimina la cartella %LOCALAPPDATA%\Packages\Microsoft.AAD.BrokerPlugin\ (chiudi app Office prima). Alla riapertura verrà rigenerata.
• Cache di identità Office (avanzato): cancella, se presenti, %LOCALAPPDATA%\Microsoft\OneAuth\ e %LOCALAPPDATA%\Microsoft\IdentityCache\. Non è pericoloso: i token verranno ricreati al prossimo login.

Attenzione: se usi Crittografia file o certificati locali, non cancellare archivi di certificati a caso. Limitati alle cartelle indicate o chiedi all’IT.

Verificare o abilitare l’autenticazione moderna

• Se sei amministratore del tenant, assicurati che Modern Authentication sia abilitata nelle impostazioni dell’organizzazione.
• In alternativa o in aggiunta, esegui lo strumento Microsoft Support and Recovery Assistant (SaRA) e scegli “Resolves Office sign‑in problems”. SaRA rileva e ripara automaticamente molti scenari di token/device incongruenti.
• Verifica che Office sia aggiornato a una build recente (Canale Mensile o Enterprise). Aggiornare spesso elimina problemi di WAM/ADAL ormai risolti.

Ricollegare il dispositivo

1. Apri un’app Office (Word/Excel/Outlook) e fai Accedi con l’account aziendale corretto.
2. Se usi un tenant GoDaddy: prima effettua l’accesso al portale Microsoft 365 da browser per forzare il provisioning della licenza; quindi ripeti il login su Outlook.
3. Aggiungi l’account in Outlook: l’Autodiscover dovrebbe configurare mailbox e servizi senza ulteriori prompt.

Test finale

• Conferma che non siano presenti proxy o antivirus che intercettano il traffico verso i domini di Entra ID e Microsoft 365 (login, device, aadcdn, msauth, graph, outlook, office, sharepoint).
• Apri Outlook e verifica l’accesso a posta, calendario e indirizzario. Se persistono errori, passa alle verifiche avanzate.

Varianti risolutive segnalate dagli utenti

Metodo alternativo	Quando usarlo
Eseguire Get Help o “Contatta supporto” da un’app Office	Automatizza il reset dei token di dispositivo e delle cache senza agire manualmente.
Usare Outlook Connectivity Troubleshooter (dentro SaRA)	Se il problema riguarda solo Outlook mentre OneDrive/Teams funzionano correttamente.
Cancellare solo la cartella del plugin AAD (Microsoft.AAD.BrokerPlugin)	Molto efficace quando l’errore è comparso subito dopo cambio password o un ciclo MFA.
Reimpostare la password o sbloccare l’account	Scenario raro: l’account può risultare bloccato a livello tenant dopo tentativi falliti o policy.
Riparare o reinstallare Microsoft Edge WebView2 Runtime	Quando la finestra di login di Office non si apre o resta bianca: la UI di autenticazione dipende da WebView2.
Riparazione di Office tramite Programmi e funzionalità	Se l’installazione Click‑to‑Run è danneggiata: la riparazione ricrea componenti WAM/OneAuth.

Verifiche avanzate per chi amministra

Controllare lo stato di join/registrazione

Apri Prompt dei comandi come amministratore ed esegui:

dsregcmd /status

Interpretazione rapida:

• AzureAdJoined = YES o WorkplaceJoined = YES: il dispositivo risulta registrato. Se i problemi persistono, valuta dsregcmd /leave (su macchine non governate dall’IT) e poi effettua una nuova registrazione da Accesso lavoro o scuola.
• NgcSet = NO o WamDefaultSet = NO: possibili incongruenze con Windows Hello o WAM. Reimpostare cache e rifare l’accesso spesso risolve.
• SSO State senza Primary Refresh Token valido: Outlook non potrà ottenere token MSAL; torna ai passaggi di disconnessione/riconnessione.

Verificare le policy di sicurezza

• Conditional Access: regole che richiedono “device compliant” o “hybrid joined” escludono dispositivi solo registrati. In tal caso è necessario l’enrollment corretto o l’esenzione temporanea.
• Security Defaults e MFA: se è variata la configurazione MFA, i vecchi token diventano invalidi fino a nuova registrazione.

Controlli su rete e proxy

• Evita che proxy/antivirus facciano SSL inspection sui domini di autenticazione Microsoft. Anche un ritardo nel challenge MFA può far fallire il flusso.
• Assicurati che il sistema utilizzi TLS 1.2 e che l’orologio del dispositivo sia corretto (sincronizzazione NTP): scarti temporali e protocolli obsoleti rompono l’handshake.

Eventi e log utili

• Visualizzatore eventi → Applicazioni e servizi → Microsoft → Windows → AAD / User Device Registration: cerca errori di join/refresh.
• Office → log di ADAL/MSAL se abilitati: mostrano dettagli sui codici 0x8004DEC5/1200.

Chiavi e componenti spesso coinvolti

• WAM (Web Account Manager): layer di Windows che gestisce gli account e i token. Se incoerente, ripulire cache e riavviare è decisivo.
• OneAuth: libreria di Office per i token; la sua cache nel profilo utente, se corrotta, forza loop di autenticazione.
• Microsoft.AAD.BrokerPlugin: pacchetto che media il flusso tra app e Entra ID; la sua ricreazione risolve molti 657rx.

Domande frequenti

Perché sul web funziona e su Outlook no?
Browser e app usano percorsi di autenticazione diversi: il browser gestisce cookie e sessioni web, mentre Outlook usa WAM/OneAuth e token applicativi. Se i token locali sono corrotti, il portale funziona ma le app no.

Posso lasciare il tenant con dsregcmd /leave?
Sì, sui dispositivi personali o non gestiti. Su macchine aziendali governate da criteri MDM/Group Policy conviene farlo solo con l’IT per evitare non conformità.

Il problema riguarda solo Outlook: perché?
Outlook ha flussi aggiuntivi (Autodiscover, MAPI/EWS/Graph) e plug‑in che possono far emergere problemi che Teams/OneDrive mascherano. SaRA per Outlook è utile proprio per questo.

Devo disinstallare e reinstallare Office?
Spesso non serve. La maggior parte dei 657rx si risolve con disconnessione dal tenant, pulizia cache e nuovo login. La reinstallazione è l’ultima spiaggia.

Uso un account GoDaddy: cambia qualcosa?
I tenant erogati da GoDaddy possono mantenere riferimenti legacy. Autenticati prima al portale Microsoft 365 per allineare licenza e profilo, poi aggiungi l’account in Outlook. Se l’account è stato migrato a un nuovo dominio, ripulisci i token precedenti.

Consigli preventivi

• Gestisci un solo account aziendale per dispositivo o usa profili Windows separati per ogni tenant.
• Programma una riconnessione preventiva prima della scadenza dei token dispositivo: molte aziende applicano scadenze a 90 giorni per la registrazione.
• Tieni sempre Modern Authentication abilitata: l’autenticazione di base è deprecata e causa conflitti con policy e MFA moderne.
• Mantieni aggiornati Windows, Office e WebView2: riduce i casi di UI di login errata o bloccata.
• Evita configurazioni di proxy e antivirus che ispezionano i domini di autenticazione Microsoft; se necessario, crea esclusioni.

Procedura operativa completa

1. Disconnetti tutte le voci in Impostazioni → Account → Accesso lavoro o scuola.
2. Riavvia il PC.
3. Pulisci profili e cache:
   • Pannello di controllo → Posta (Outlook) → crea un profilo nuovo.
   • Gestione credenziali → rimuovi credenziali MicrosoftOffice/AzureAD.
   • Elimina %LOCALAPPDATA%\Packages\Microsoft.AAD.BrokerPlugin\ e, se necessario, %LOCALAPPDATA%\Microsoft\OneAuth\ e %LOCALAPPDATA%\Microsoft\IdentityCache\.
4. Verifica Modern Auth nel tenant o usa SaRA per riparare automaticamente il flusso di accesso.
5. Ricollega il dispositivo: apri Word/Excel/Outlook e accedi con l’account corretto.
6. Testa Outlook e controlla che posta e calendario si sincronizzino senza prompt ripetuti.

Checklist rapida

• Hai rimosso tutte le voci da Accesso lavoro o scuola e riavviato?
• Hai cancellato le credenziali in Gestione credenziali e ricreato il profilo Outlook?
• Hai eliminato la cartella Microsoft.AAD.BrokerPlugin?
• Hai verificato la Modern Auth nel tenant o eseguito SaRA?
• Hai escluso proxy/antivirus dai domini di autenticazione Microsoft?
• Hai aggiornato Office, Windows e WebView2?
• Hai controllato dsregcmd /status per confermare lo stato di join?

In sintesi

Nel 95% dei casi l’errore 657rx nasce da un trust corrotto tra Windows ed Entra ID. La sequenza Disconnetti dal tenant → Riavvia → Pulisci cache/profili → Verifica Modern Auth → Ricollega e accedi da un’app Office ripristina l’accesso. Se il problema persiste, verifica proxy/antivirus, WebView2 e le policy di Conditional Access.

---

Questa guida è pensata per tecnici help desk e utenti avanzati. Se il dispositivo è gestito centralmente, esegui i passaggi in coordinamento con l’amministratore per evitare non conformità.