Su PC condivisi la nuova app desktop di Microsoft Teams conserva i token d’accesso: dopo la disconnessione l’account resta elencato e può rientrare senza password. Qui trovi cause, rischi e una guida completa per evitare il salvataggio o cancellare tutti i dati locali in modo affidabile.

Perché accade: cosa salva davvero la “nuova” app di Teams

La nuova app di Teams (Work/School) usa Modern Authentication basata su OAuth 2 con Microsoft Entra ID. Alla prima autenticazione l’app ottiene token di aggiornamento a lunga durata e li archivia nei componenti di sistema che gestiscono l’SSO in Windows (OneAuth, TokenBroker, Microsoft AAD Broker Plugin). Anche dopo la disconnessione dall’app, i token possono restare validi a livello di sistema, così l’account rimane elencato e viene ricaricato senza richiedere la password al successivo avvio.

Se il dispositivo è Azure AD joined o Entra ID hybrid-joined (o se l’utente ha aperto Office con lo stesso account), il Single Sign‑On di Windows fornisce automaticamente i token a Teams. Per questo, in laboratori, aule e biblioteche, la semplice “Disconnetti” dall’app non basta a chiudere davvero la sessione.

Rischi tipici in ambienti condivisi (scuole, biblioteche, aule)

• Rientro non autorizzato nell’account dello studente successivo, che trova la foto/nome nella schermata d’ingresso e apre Teams con un clic.
• Esposizione di file e chat (OneDrive, compiti, messaggi, gruppi) perché il token è ancora valido.
• Tracciamento accidentale tra profili: il client può associare impostazioni o preferenze al dispositivo.
• Supporto IT sovraccarico: richieste di assistenza per “utente già connesso” o “non riesco a cambiare account”.

Soluzioni rapide e work‑around (riepilogo)

Obiettivo	Azione consigliata	Note pratiche	Pro / Contro
Impedire il salvataggio su computer condiviso	Disinstallare la nuova app desktop di Teams e usare la PWA o il browser.	La versione web non persiste i token al termine della sessione (profilo browser chiuso o InPrivate/Guest).	Pro: nessun token app; gestione semplificata. Contro: alcune funzioni offline non disponibili.
Rimuovere account già elencati nell’app	Disinstallare l’app e cancellare le cache locali poi riavviare:	%LocalAppData%\Packages\MSTeams8wekyb3d8bbwe %LocalAppData%\Packages\Microsoft.AAD.BrokerPlugincw5n1h2txyewy %LocalAppData%\Microsoft\OneAuth %LocalAppData%\Microsoft\TokenBroker %LocalAppData%\Microsoft\IdentityCache	Pro: reset completo della lista account. Contro: serve script o procedura ripetibile per tutti i profili.
Far sì che Teams chieda sempre le credenziali	Non esiste un interruttore nativo nell’app. Usa, per il web, una regola di Conditional Access “Sign‑in frequency”.	Funziona per browser/PWA; per il client desktop non forza il prompt in modo affidabile.	Pro: maggiore controllo delle sessioni web. Contro: impatto su tutte le app coperte dalla policy.
Gestione a livello IT scolastico	Dispositivi in Shared PC Mode o Kiosk Mode + criteri Intune e script di pulizia al logout.	Riduce al minimo i dati residui fra le sessioni; ottimo per laboratori e classi.	Pro: standardizzazione e sicurezza. Contro: richiede configurazione MDM/GPO.
Richiedere una funzione ufficiale	Inoltrare la richiesta tramite i canali Education e il portale feedback Microsoft.	Più consenso → più probabilità di un interruttore “non salvare credenziali”.	Pro: soluzione strutturale. Contro: tempi dipendenti dal vendor.

Guida passo‑passo

Opzione A — Passare a Teams nel browser o PWA (consigliato per PC condivisi)

1. Decidi il profilo del browser: per ambienti condivisi usa sempre Guest Mode o InPrivate (Edge/Chrome). Così cookie e token scadono alla chiusura della finestra.
2. Installa la PWA (facoltativo ma comodo): apri Teams nel browser, quindi dal menu “App” seleziona “Installa questo sito come app”. La PWA è isolata dal desktop tradizionale e segue le regole del browser.
3. Blocca sul taskbar l’app PWA o un collegamento al sito per renderla “simile” alla desktop, ma senza residui di credenziali.
4. Consigli operativi:
   • Abilita un kiosk multi‑app con Edge (Intune/Assigned Access) per forzare l’apertura in Guest/InPrivate.
   • Evita l’accesso al profilo personale del browser sugli account studenti dei PC condivisi.

Opzione B — Disinstallare la nuova app di Teams e rimuovere i token

Se la PWA non è un’opzione, oppure desideri ripulire completamente i dispositivi prima di passare al browser, procedi così.

Disinstallazione dell’app

Su un singolo PC:

1. Impostazioni > App > App installate > cerca “Teams” > disinstalla la voce relativa alla nuova app (Work/School).
2. Verifica che non restino componenti residui di versioni legacy.

Distribuzione massiva (amministratori):
Script PowerShell di esempio (rimozione appx + deprovisioning)

# Eseguire in una console PowerShell con privilegi elevati
Rimuove la nuova app Teams (MSTeams) per tutti gli utenti esistenti
Get-AppxPackage -AllUsers MSTeams | Remove-AppxPackage -ErrorAction SilentlyContinue

Evita che il pacchetto venga installato per i nuovi profili

Get-AppxProvisionedPackage -Online |
Where-Object { $_.DisplayName -eq "MSTeams" } |
Remove-AppxProvisionedPackage -Online -ErrorAction SilentlyContinue 

Pulizia dei repository di token e cache

Dopo la disinstallazione, elimina i percorsi locali che conservano i token. Fallo per ogni profilo utente che ha usato il PC:

• %LocalAppData%\Packages\MSTeams8wekyb3d8bbwe
• %LocalAppData%\Packages\Microsoft.AAD.BrokerPlugincw5n1h2txyewy
• %LocalAppData%\Microsoft\OneAuth
• %LocalAppData%\Microsoft\TokenBroker
• %LocalAppData%\Microsoft\IdentityCache

Esempio di script di pulizia per tutti i profili locali:
Script PowerShell di esempio (pulizia cache/token per tutti i profili)

# Eseguire come amministratore. Testare prima su un PC pilota!
$profiles = Get-ChildItem "C:\Users" -Directory |
  Where-Object { $_.Name -notin @("Public","Default","Default User","All Users") }

$relativePaths = @(
"AppData\Local\Packages\MSTeams8wekyb3d8bbwe",
"AppData\Local\Packages\Microsoft.AAD.BrokerPlugincw5n1h2txyewy",
"AppData\Local\Microsoft\OneAuth",
"AppData\Local\Microsoft\TokenBroker",
"AppData\Local\Microsoft\IdentityCache"
)

foreach ($p in $profiles) {
foreach ($r in $relativePaths) {
$full = Join-Path $p.FullName $r
if (Test-Path $full) {
try {
Remove-Item $full -Recurse -Force -ErrorAction Stop
Write-Host "Removed $full"
} catch {
Write-Warning "Failed to remove $full: $($_.Exception.Message)"
}
}
}
}

Suggerito: riavviare al termine per assicurare lo scaricamento dei componenti

Importante: assicurati che gli utenti siano disconnessi (o il PC riavviato) prima della pulizia, così i processi non tengono file in uso.

Opzione C — Forzare il prompt credenziali sul web con Conditional Access

Per la sola esperienza browser/PWA, puoi ridurre la durata delle sessioni impostando in Microsoft Entra ID una policy con:

• Sign‑in frequency: intervallo breve per gli studenti (ad es. 1 ora) o “ogni volta” se previsto.
• Persistent browser session: disattivata, così il browser non mantiene sessioni oltre la chiusura.

Note:

• Applica la policy a un gruppo specifico (studenti) e valuta l’impatto sulle altre app M365.
• Questa misura non “svuota” i token dell’app desktop; funziona per browser e PWA.

Opzione D — Standardizzare i dispositivi: Shared PC Mode, Kiosk, Intune

Per ambienti a rotazione (laboratori, carrelli notebook, aule esami) costruisci una postura di dispositivo coerente:

Shared PC Mode (Windows 10/11)

• Abilita Shared PC Mode tramite Intune/GPO per imporre profili effimeri.
• Configura l’eliminazione automatica dei profili inattivi (es. immediata o entro poche ore).
• Disabilita la creazione di account locali permanenti non necessari.

Kiosk / Assigned Access

• Allestisci un kiosk multi‑app con Edge in modalità Guest o InPrivate come app predefinita per Teams (PWA).
• Blocca l’accesso a impostazioni di sistema e a risorse non didattiche.

Criteri di pulizia con Intune

• Script di logout (User): elimina le directory di token elencate sopra per l’utente corrente.
• Remediation (Device): rileva e corregge cache residue anche se l’utente chiude forzatamente l’app.
• Cleanup di browser: usa criteri per cancellare cookie e cache all’uscita (Edge/Chrome).

Procedura operativa completa (modello per le scuole)

1. Inventariazione: identifica i PC condivisi e i gruppi di utenti (classi, laboratori, biblioteca).
2. Decisione architetturale: per i PC condivisi, adotta browser/PWA come standard Teams.
3. Fase di bonifica:
   • Disinstalla l’app desktop di Teams dai PC condivisi.
   • Esegui lo script di pulizia per rimuovere token e cache.
   • Riavvia i dispositivi.
4. Configurazione dispositivo:
   • Attiva Shared PC Mode o Kiosk (Assigned Access).
   • Imposta criteri di cancellazione profili e cache alla disconnessione.
   • Configura Edge/Chrome per chiudere e svuotare i dati al termine della sessione.
5. Controlli d’accesso:
   • Per il web, applica “Sign‑in frequency” e disattiva “Persistent browser session”.
6. Distribuzione PWA:
   • Installa la PWA di Teams e fissala su Start/Taskbar via Intune (Win32 app o policy PWA per Edge).
7. Formazione rapida:
   • Istruisci docenti e studenti a chiudere la finestra al termine e, dove richiesto, usare InPrivate/Guest.
8. Monitoraggio:
   • Controlla ticket “account già connesso”. Se emergono, verifica che tutti gli step di pulizia siano attivi.

Diagnostica: come capire se i token sono ancora attivi

• Schermata iniziale di Teams: se compaiono account elencati, i repository locali non sono stati puliti.
• Eventi AAD/WAM: la presenza di accessi silenziosi subito dopo l’avvio del client indica token validi in OneAuth/TokenBroker.
• Test pratico: disinstalla, elimina cartelle e riavvia. Se alla riapertura non compaiono account e viene chiesto il login, la pulizia è riuscita.

Domande frequenti

La disconnessione dall’app di Teams basta?

No. La disconnessione chiude la sessione in app ma i token SSO di Windows possono restare validi. Serve pulire i repository di sistema o usare il browser in modalità non persistente.

Il browser/PWA è sempre “sicuro” per i PC condivisi?

Sì, se usi Guest o InPrivate e disabiliti le sessioni persistenti. Evita profili permanenti per gli studenti sui PC condivisi.

Posso forzare davvero il prompt password “ogni volta”?

Con il client desktop non esiste oggi un interruttore nativo. Sul web puoi ottenere prompt frequenti con Sign‑in frequency e disattivando la sessione persistente del browser. Considera l’impatto su altre app.

È rischioso cancellare le cartelle di OneAuth/TokenBroker?

La rimozione cancella i token: all’accesso successivo gli utenti dovranno autenticarsi. Testa sempre su un gruppo pilota e informa gli utenti.

Che differenza c’è tra PWA e app desktop?

La PWA gira nel browser ed eredita le regole di sessione del browser (Guest/InPrivate). La desktop integra più profondamente il sistema (WAM/SSO), perciò conserva token finché non li rimuovi.

Checklist rapida per l’IT

• ✔ Disinstallata la nuova app desktop di Teams su tutti i PC condivisi.
• ✔ Script di pulizia che elimina MSTeams, OneAuth, TokenBroker, IdentityCache per ogni profilo.
• ✔ Riavvio forzato dopo la bonifica.
• ✔ Edge/Chrome configurati in Guest/InPrivate e con pulizia dati alla chiusura.
• ✔ PWA distribuita e fissata sulla barra delle applicazioni.
• ✔ Conditional Access: “Sign‑in frequency” breve per studenti + sessioni non persistenti (solo web).
• ✔ Shared PC Mode / Kiosk attivi per i dispositivi di laboratorio.
• ✔ Docenti e studenti informati sulle buone pratiche di uscita.

Script e criteri: esempi pronti all’uso

Script utente (logout) – rimuove i token dell’utente corrente

# Esegui al logout dell'utente (GPO: User > Windows Settings > Scripts > Logoff)
$paths = @(
  "$env:LOCALAPPDATA\Packages\MSTeams8wekyb3d8bbwe",
  "$env:LOCALAPPDATA\Packages\Microsoft.AAD.BrokerPlugincw5n1h2txyewy",
  "$env:LOCALAPPDATA\Microsoft\OneAuth",
  "$env:LOCALAPPDATA\Microsoft\TokenBroker",
  "$env:LOCALAPPDATA\Microsoft\IdentityCache"
)

foreach ($p in $paths) {
if (Test-Path $p) {
try { Remove-Item $p -Recurse -Force -ErrorAction Stop } catch { }
}
} 

Edge/Chrome – pulizia alla chiusura

• Edge: imposta criteri per “Clear browsing data on exit” (cookie, cache, storage).
• Chrome: equivalenti policy per cancellare cookie e dati di sito alla chiusura.

Intune – linee guida di distribuzione

1. Crea uno script Win32 di disinstallazione Teams + pulizia token (gli esempi sopra) e assegna ai gruppi di dispositivi “PC condivisi”.
2. Applica il profilo di configurazione “Shared multi-user device”.
3. Distribuisci la PWA di Teams tramite criteri di Edge (installazione forzata con scorciatoia).
4. Configura il profilo “Device restrictions” per impedire l’uso di profili personali del browser.

Buone pratiche per docenti e studenti

• Chiudere sempre la finestra di Teams (PWA o browser) al termine della sessione.
• Preferire la modalità Guest o InPrivate quando si usa un PC non personale.
• Segnalare immediatamente se alla schermata iniziale di Teams compare un account non proprio.

Strategia a lungo termine

In attesa di un eventuale interruttore ufficiale “non salvare credenziali” nella nuova app desktop, la combinazione di PWA, pulizia token, Shared PC Mode e Conditional Access per il web offre il miglior equilibrio tra sicurezza, usabilità e sforzo operativo. Standardizzare il parco macchine e automatizzare la bonifica post‑sessione riduce errori umani e tempi di supporto.

Riepilogo tecnico

• Modern Auth genera token a lunga durata salvati in OneAuth/TokenBroker.
• SSO di Windows fa ripartire Teams senza prompt se trova token validi.
• Spezzare la catena richiede: rimuovere l’app desktop oppure cancellare i repository di token.

Sintesi operativa finale

1. Ambienti condivisi? Evita l’app desktop → usa Teams nel browser/PWA.
2. Account visibili? Cancella le cache (MSTeams, AAD Broker, OneAuth, TokenBroker, IdentityCache) e riavvia.
3. Vuoi il prompt password ogni volta sul web? Conditional Access – Sign‑in frequency.
4. Deployment scolastico? Shared PC/Kiosk + script Intune di pulizia.
5. Funzione mancante? Richiedi e vota nei canali Education.

---

Nota finale per l’IT: testa sempre su un numero limitato di dispositivi prima di estendere in produzione; documenta le eccezioni (aule d’esame, PC docenti) e prevedi procedure di ripristino in caso di rimozione token non intenzionale.

---