Errore di autenticazione SharePoint–Office: “protocollo non supportato” in Excel/Word – cause, fix e checklist

Aprendo file di SharePoint con Excel o Word dal browser compare, al primo tentativo, l’errore «The server you are trying to access is using an authentication protocol not supported by this version of Office». In questa guida trovi cause probabili, soluzione rapida e verifiche lato client e tenant.

Descrizione del problema

Alcuni utenti, facendo clic su Apri in app desktop per file ospitati su SharePoint Online o OneDrive for Business, visualizzano al primo tentativo l’errore:

“The server you are trying to access is using an authentication protocol not supported by this version of Office.”

Un secondo tentativo di apertura, senza cambiare nulla, riesce. All’avvio di una nuova sessione (riavvio del PC, nuova autenticazione, nuovo profilo utente o timeout dei token) l’errore si ripresenta.

Interventi già provati senza successo in molti casi:

• Riparazione completa di Microsoft 365 Apps (Office) via Pannello di controllo.
• Svuotamento della cartella OfficeFileCache.
• Aggiornamento di Office all’ultima build disponibile.
• Disconnessione/riconnessione dell’account Microsoft in Office, OneDrive e rimozione delle credenziali da Archivio credenziali di Windows.

Perché accade

Quando si apre un documento di SharePoint con l’app desktop, Office deve ottenere e presentare un token OAuth valido alla farm SharePoint Online. Se nella cache locale esistono token di autenticazione obsoleti o corrotti, il primo handshake può fallire con un messaggio fuorviante sul “protocollo non supportato”. Il secondo tentativo, forzando un nuovo percorso di autenticazione, riesce a rinnovare i token e completa l’apertura.

Le cause più comuni alla base del comportamento sono:

• Token scaduti nel profilo di licenza Office (cache ADAL/WAM): la prima chiamata usa un token non più valido, la seconda ne richiede uno nuovo.
• Impostazioni client che disattivano l’Autenticazione moderna (ADAL/OAuth) tramite criteri o chiavi di registro (EnableADAL, DisableAADWAM).
• Proxy o firewall con ispezione SSL che interferiscono con la negoziazione OAuth verso endpoint Microsoft 365.
• Configurazione del tenant o del sito SharePoint che impone flussi di autenticazione o criteri di accesso condizionale non compatibili con il client Office in uso.

Panoramica rapida: sintomi, cause, azioni

Sintomo	Causa probabile	Azione rapida
Errore al primo tentativo, riuscita al secondo	Token OAuth scaduti nella cache di Office	Reimpostare lo stato di attivazione di Office
Richieste ripetute di credenziali	Modern Authentication disattivata da policy/registro	Verificare EnableADAL e WAM; rimuovere override
Errore solo in rete aziendale	Ispezione SSL o filtri proxy	Escludere domini Microsoft 365 dall’ispezione
Errore su più utenti/siti	Configurazione tenant SharePoint o CA	Aprire ticket a supporto/amministratore tenant

Soluzione consigliata: reimpostare lo stato di attivazione di Office

La misura più efficace e veloce, confermata in numerosi casi, è il reset completo dello stato di attivazione di Microsoft 365 Apps. Questa operazione rigenera il profilo di licenza e le cache di token utilizzate da Office, eliminando i riferimenti obsoleti che generano l’errore al primo tentativo.

Prerequisiti

• Permessi da amministratore locale sul dispositivo.
• Connessione Internet senza filtri restrittivi verso i servizi Microsoft 365.
• Tutte le app Office chiuse (Excel, Word, Outlook, Teams).

Procedura con lo script ufficiale

1. Scaricare lo script “Reset activation state for Microsoft 365 Apps for enterprise” dalle risorse ufficiali Microsoft Learn (salvare il file .ps1 sul PC).
2. Aprire PowerShell come Amministratore.
3. Eseguire nell’ordine: Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass cd "C:\Percorso\Dove\Hai\Salvato\Lo\Script" .\Reset-ActivationState.ps1
4. Attendere il completamento e riavviare il computer.
5. Aprire Excel o Word, accedere con l’account aziendale e riprovare l’apertura dei file da SharePoint.

Risultato atteso

Dopo il reset, l’apertura dei documenti in app desktop non deve più mostrare l’errore al primo tentativo. Il problema è da considerarsi risolto se, a ogni nuova sessione, l’apertura avviene al primo colpo senza prompt di credenziali inattesi.

Alternativa guidata con SaRA

In alternativa allo script, è possibile utilizzare Microsoft Support and Recovery Assistant (SaRA) per rimuovere e ricreare in modo guidato la licenza e le credenziali di Office. Selezionare lo scenario relativo a licenze/attivazione di Microsoft 365 Apps, seguire le istruzioni a schermo, quindi riavviare e ripetere l’accesso in Office.

Verifiche post-reset

• In Word/Excel, andare su File > Account e verificare che l’utente sia connesso con l’account di lavoro corretto e che l’abbonamento sia attivo.
• Da SharePoint Web, aprire un documento con Apri in app desktop e verificare l’apertura al primo tentativo.
• Controllare il Centro account di Office: nessun triangolo giallo o richiesta di intervento.

Se il problema persiste: controlli lato tenant e infrastruttura

Quando il reset non risolve, è opportuno coinvolgere l’amministratore Microsoft 365: la causa è spesso a livello di tenant o di rete.

Autenticazione moderna abilitata e non forzata al fallback

Assicurarsi che l’ambiente utilizzi l’Autenticazione moderna (OAuth 2.0 tramite ADAL/WAM) e che non esistano criteri che la disattivano sui client. In particolare verificare:

• Group Policy o preferenze di registro che impostano chiavi come:
  • HKCU\Software\Microsoft\Office\16.0\Common\Identity\EnableADAL (deve essere 1 o non presente per impostazione predefinita).
  • HKCU\Software\Microsoft\Office\16.0\Common\Identity\DisableAADWAM (se presente, deve essere 0; in generale è preferibile non forzare il valore).
• Assenza di vecchi template amministrativi che forzano Basic/Legacy Authentication o che bloccano WAM su Windows 10/11.

Nota: modifiche al registro vanno eseguite con cautela e solo se si ha chiara evidenza che una policy aziendale stia disattivando la Modern Authentication.

Accesso condizionale e metodi di autenticazione

Criteri di Accesso Condizionale (CA) troppo restrittivi o mal configurati possono generare prompt o blocchi intermittenti all’apertura via app desktop. Verificare:

• Requisiti di dispositivo conforme o ibrido join che non si applicano correttamente ai client Office.
• Esclusioni per applicazioni di Office su desktop, se necessario, durante la diagnosi.
• Eventuali conflitti tra più criteri CA o con provider di identità di terze parti.

Proxy, firewall e ispezione SSL

I client Office devono raggiungere senza interferenze gli endpoint Microsoft 365. L’ispezione SSL e la decrittazione/ri-crittazione del traffico possono interrompere la negoziazione OAuth. Prevedere esclusioni per domini critici.

Dominio/Endpoint	Motivo	Azione consigliata
login.microsoftonline.com, sts.windows.net	Autenticazione Azure AD / token OAuth	Escludere da ispezione SSL e caching
.sharepoint.com, .sharepoint-df.com	Accesso a siti e librerie SharePoint Online	Consentire traffico diretto, no SSL break & inspect
.office.com, .office365.com	Servizi Office e federazione	Consentire, senza riscritture URL
.microsoft.com, .msocdn.com, *.msecnd.net	CDN e servizi di supporto	Escludere dall’ispezione e dal proxy autenticato

Come prova rapida, testare l’apertura collegandosi a una rete pulita (hotspot o linea senza proxy): se l’errore scompare, concentrare l’analisi sull’infrastruttura di rete.

Verifica del tenant e supporto

Se il reset client e la rete non spiegano il problema, è plausibile una configurazione a livello tenant o sito SharePoint che provoca un handshake non standard al primo accesso. In questi casi è opportuno aprire un ticket all’amministratore o al supporto Microsoft con:

• URL del sito SharePoint e percorso dei file coinvolti.
• Orario preciso del tentativo fallito e riuscito.
• Versioni di Office e Windows, canale di aggiornamento, log applicativi pertinenti.

Approfondimenti tecnici utili

Token di autenticazione e cache

Office su Windows usa ADAL/WAM per ottenere token OAuth da Azure AD. Questi token vengono salvati in cache e rinnovati in background. Token duplicati o scaduti possono causare un mismatch tra identità locale e sessione web, da cui il messaggio di “protocollo non supportato”. Il reset di attivazione elimina in modo pulito le identità e ricrea la catena di trust del profilo Office.

Modern Authentication

La Modern Authentication è richiesta per le integrazioni SharePoint–Office. Assicurarsi che:

• Il client Office sia aggiornato (preferibilmente Canale corrente), con supporto WAM su Windows 10/11.
• Non siano presenti chiavi/policy che impongono il modello legacy di autenticazione.
• Il dispositivo rispetti requisiti di sicurezza (ora di sistema corretta, TLS 1.2 abilitato, certificati radice aggiornati).

Diagnostica e strumenti

• Microsoft Support and Recovery Assistant (SaRA): automatizza la rimozione/ricreazione di licenze e credenziali di Office.
• Log di Office: dal Visualizzatore eventi, controllare i registri Microsoft Office/Telemetry o le voci in Applicazione in corrispondenza dei tentativi falliti.
• Test con nuovo profilo Windows: consente di isolare conflitti locali del profilo utente.

Verifiche lato client passo–passo

1. Chiudi tutte le app Office (inclusi Teams/OneDrive).
2. Esegui il reset di attivazione con lo script ufficiale, quindi riavvia.
3. Accedi in Office con l’account aziendale; verifica lo stato dell’abbonamento.
4. Prova l’apertura da SharePoint con “Apri in app desktop”.
5. Se l’errore persiste:
   • Controlla chiavi di registro sotto ...Office\16.0\Common\Identity (niente override che disabilitino ADAL/WAM).
   • Verifica data/ora del sistema e che TLS 1.2 sia abilitato.
   • Ripeti il test su rete esterna senza proxy.

Controlli rapidi da riga di comando

Eseguire in un prompt con privilegi elevati. Le query non modificano impostazioni.

reg query "HKCU\Software\Microsoft\Office\16.0\Common\Identity" /v EnableADAL
reg query "HKCU\Software\Microsoft\Office\16.0\Common\Identity" /v DisableAADWAM

Interpretazione:

• EnableADAL assente o a 0x1 → Modern Auth consentita.
• DisableAADWAM assente o a 0x0 → WAM abilitato (consigliato su Windows 10/11).

Best practice di prevenzione

• Canale aggiornamenti: preferire Canale corrente per rapidi fix di autenticazione.
• Gestione identità: evitare profili Office con più account di lavoro sovrapposti non necessari.
• Rete: mantenere whitelist aggiornata per endpoint Microsoft 365; evitare l’ispezione SSL su domini di autenticazione.
• Conformità dispositivo: curare certificati radice, sincronizzazione ora (NTP), criteri di sicurezza coerenti.

Quando aprire un ticket

Aprire un ticket a supporto Microsoft o all’amministratore del tenant quando:

• Il problema è riproducibile da più dispositivi/utenti dopo il reset.
• Si presenta solo su specifici siti SharePoint o solo con determinate librerie.
• Esistono criteri di Accesso Condizionale o provider di identità custom (ADFS, terze parti) potenzialmente coinvolti.

Fornire sempre: URL del sito, orari dei tentativi, ID utente, versione di Office, ID correlazione se disponibile nei log.

Domande frequenti

Perché l’errore compare solo al primo tentativo?

Perché la cache locale contiene token scaduti o incoerenti. Il primo tentativo usa il token vecchio (fallisce), il secondo crea un token nuovo (riesce). Il reset dell’attivazione ricrea la cache eliminando il problema alla radice.

Serve reinstallare Office?

Quasi mai. La reinstallazione non tocca necessariamente la cache delle identità. Il reset di attivazione è mirato alla causa.

Il problema dipende dalla versione di Office?

Versioni datate o non aggiornate gestiscono peggio la Modern Authentication. È consigliato il canale corrente con build recenti di Microsoft 365 Apps su Windows 10/11.

Posso risolvere rimuovendo credenziali dall’Archivio credenziali?

Talvolta aiuta, ma non sempre rimuove i token che Office conserva per la licenza. Il reset dell’attivazione agisce in modo più completo.

Checklist conclusiva

Passo	Obiettivo	Esito atteso
Eseguire lo script di reset	Ricreare profilo licenza e token	Nessun errore al primo tentativo
Verificare Modern Authentication	Evitare fallback legacy	ADAL/WAM attivi, nessun override
Controllare proxy/firewall	Consentire flusso OAuth verso Microsoft 365	Niente ispezione SSL su endpoint critici
Aprire ticket se necessario	Validare configurazione tenant/sito	Supporto coinvolto con log e dettagli

Conclusioni

L’errore «The server you are trying to access is using an authentication protocol not supported by this version of Office» in scenari SharePoint–Office è quasi sempre l’effetto collaterale di token obsoleti o di incoerenze nella Modern Authentication. Il rimedio più efficace è reimpostare lo stato di attivazione di Office: la procedura ricrea le credenziali e normalizza i flussi OAuth, facendo scomparire l’errore già dal primo tentativo di apertura. Se dopo il reset il problema persiste, conviene concentrare l’analisi su configurazioni del tenant (autenticazione, accesso condizionale), su possibili override client di ADAL/WAM e sulla rete (proxy/firewall). Con i controlli e le best practice indicati, la maggior parte degli ambienti torna a un’esperienza di apertura fluida e priva di prompt inattesi.

---