Aprendo file di SharePoint con Excel o Word dal browser compare, al primo tentativo, l’errore «The server you are trying to access is using an authentication protocol not supported by this version of Office». In questa guida trovi cause probabili, soluzione rapida e verifiche lato client e tenant.
Descrizione del problema
Alcuni utenti, facendo clic su Apri in app desktop per file ospitati su SharePoint Online o OneDrive for Business, visualizzano al primo tentativo l’errore:
“The server you are trying to access is using an authentication protocol not supported by this version of Office.”
Un secondo tentativo di apertura, senza cambiare nulla, riesce. All’avvio di una nuova sessione (riavvio del PC, nuova autenticazione, nuovo profilo utente o timeout dei token) l’errore si ripresenta.
Interventi già provati senza successo in molti casi:
- Riparazione completa di Microsoft 365 Apps (Office) via Pannello di controllo.
- Svuotamento della cartella
OfficeFileCache. - Aggiornamento di Office all’ultima build disponibile.
- Disconnessione/riconnessione dell’account Microsoft in Office, OneDrive e rimozione delle credenziali da Archivio credenziali di Windows.
Perché accade
Quando si apre un documento di SharePoint con l’app desktop, Office deve ottenere e presentare un token OAuth valido alla farm SharePoint Online. Se nella cache locale esistono token di autenticazione obsoleti o corrotti, il primo handshake può fallire con un messaggio fuorviante sul “protocollo non supportato”. Il secondo tentativo, forzando un nuovo percorso di autenticazione, riesce a rinnovare i token e completa l’apertura.
Le cause più comuni alla base del comportamento sono:
- Token scaduti nel profilo di licenza Office (cache ADAL/WAM): la prima chiamata usa un token non più valido, la seconda ne richiede uno nuovo.
- Impostazioni client che disattivano l’Autenticazione moderna (ADAL/OAuth) tramite criteri o chiavi di registro (
EnableADAL,DisableAADWAM). - Proxy o firewall con ispezione SSL che interferiscono con la negoziazione OAuth verso endpoint Microsoft 365.
- Configurazione del tenant o del sito SharePoint che impone flussi di autenticazione o criteri di accesso condizionale non compatibili con il client Office in uso.
Panoramica rapida: sintomi, cause, azioni
| Sintomo | Causa probabile | Azione rapida |
|---|---|---|
| Errore al primo tentativo, riuscita al secondo | Token OAuth scaduti nella cache di Office | Reimpostare lo stato di attivazione di Office |
| Richieste ripetute di credenziali | Modern Authentication disattivata da policy/registro | Verificare EnableADAL e WAM; rimuovere override |
| Errore solo in rete aziendale | Ispezione SSL o filtri proxy | Escludere domini Microsoft 365 dall’ispezione |
| Errore su più utenti/siti | Configurazione tenant SharePoint o CA | Aprire ticket a supporto/amministratore tenant |
Soluzione consigliata: reimpostare lo stato di attivazione di Office
La misura più efficace e veloce, confermata in numerosi casi, è il reset completo dello stato di attivazione di Microsoft 365 Apps. Questa operazione rigenera il profilo di licenza e le cache di token utilizzate da Office, eliminando i riferimenti obsoleti che generano l’errore al primo tentativo.
Prerequisiti
- Permessi da amministratore locale sul dispositivo.
- Connessione Internet senza filtri restrittivi verso i servizi Microsoft 365.
- Tutte le app Office chiuse (Excel, Word, Outlook, Teams).
Procedura con lo script ufficiale
- Scaricare lo script “Reset activation state for Microsoft 365 Apps for enterprise” dalle risorse ufficiali Microsoft Learn (salvare il file
.ps1sul PC). - Aprire PowerShell come Amministratore.
- Eseguire nell’ordine:
Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass cd "C:\Percorso\Dove\Hai\Salvato\Lo\Script" .\Reset-ActivationState.ps1 - Attendere il completamento e riavviare il computer.
- Aprire Excel o Word, accedere con l’account aziendale e riprovare l’apertura dei file da SharePoint.
Risultato atteso
Dopo il reset, l’apertura dei documenti in app desktop non deve più mostrare l’errore al primo tentativo. Il problema è da considerarsi risolto se, a ogni nuova sessione, l’apertura avviene al primo colpo senza prompt di credenziali inattesi.
Alternativa guidata con SaRA
In alternativa allo script, è possibile utilizzare Microsoft Support and Recovery Assistant (SaRA) per rimuovere e ricreare in modo guidato la licenza e le credenziali di Office. Selezionare lo scenario relativo a licenze/attivazione di Microsoft 365 Apps, seguire le istruzioni a schermo, quindi riavviare e ripetere l’accesso in Office.
Verifiche post-reset
- In Word/Excel, andare su File > Account e verificare che l’utente sia connesso con l’account di lavoro corretto e che l’abbonamento sia attivo.
- Da SharePoint Web, aprire un documento con Apri in app desktop e verificare l’apertura al primo tentativo.
- Controllare il Centro account di Office: nessun triangolo giallo o richiesta di intervento.
Se il problema persiste: controlli lato tenant e infrastruttura
Quando il reset non risolve, è opportuno coinvolgere l’amministratore Microsoft 365: la causa è spesso a livello di tenant o di rete.
Autenticazione moderna abilitata e non forzata al fallback
Assicurarsi che l’ambiente utilizzi l’Autenticazione moderna (OAuth 2.0 tramite ADAL/WAM) e che non esistano criteri che la disattivano sui client. In particolare verificare:
- Group Policy o preferenze di registro che impostano chiavi come:
HKCU\Software\Microsoft\Office\16.0\Common\Identity\EnableADAL(deve essere1o non presente per impostazione predefinita).HKCU\Software\Microsoft\Office\16.0\Common\Identity\DisableAADWAM(se presente, deve essere0; in generale è preferibile non forzare il valore).
- Assenza di vecchi template amministrativi che forzano Basic/Legacy Authentication o che bloccano WAM su Windows 10/11.
Nota: modifiche al registro vanno eseguite con cautela e solo se si ha chiara evidenza che una policy aziendale stia disattivando la Modern Authentication.
Accesso condizionale e metodi di autenticazione
Criteri di Accesso Condizionale (CA) troppo restrittivi o mal configurati possono generare prompt o blocchi intermittenti all’apertura via app desktop. Verificare:
- Requisiti di dispositivo conforme o ibrido join che non si applicano correttamente ai client Office.
- Esclusioni per applicazioni di Office su desktop, se necessario, durante la diagnosi.
- Eventuali conflitti tra più criteri CA o con provider di identità di terze parti.
Proxy, firewall e ispezione SSL
I client Office devono raggiungere senza interferenze gli endpoint Microsoft 365. L’ispezione SSL e la decrittazione/ri-crittazione del traffico possono interrompere la negoziazione OAuth. Prevedere esclusioni per domini critici.
| Dominio/Endpoint | Motivo | Azione consigliata |
|---|---|---|
login.microsoftonline.com, sts.windows.net | Autenticazione Azure AD / token OAuth | Escludere da ispezione SSL e caching |
.sharepoint.com, .sharepoint-df.com | Accesso a siti e librerie SharePoint Online | Consentire traffico diretto, no SSL break & inspect |
.office.com, .office365.com | Servizi Office e federazione | Consentire, senza riscritture URL |
.microsoft.com, .msocdn.com, *.msecnd.net | CDN e servizi di supporto | Escludere dall’ispezione e dal proxy autenticato |
Come prova rapida, testare l’apertura collegandosi a una rete pulita (hotspot o linea senza proxy): se l’errore scompare, concentrare l’analisi sull’infrastruttura di rete.
Verifica del tenant e supporto
Se il reset client e la rete non spiegano il problema, è plausibile una configurazione a livello tenant o sito SharePoint che provoca un handshake non standard al primo accesso. In questi casi è opportuno aprire un ticket all’amministratore o al supporto Microsoft con:
- URL del sito SharePoint e percorso dei file coinvolti.
- Orario preciso del tentativo fallito e riuscito.
- Versioni di Office e Windows, canale di aggiornamento, log applicativi pertinenti.
Approfondimenti tecnici utili
Token di autenticazione e cache
Office su Windows usa ADAL/WAM per ottenere token OAuth da Azure AD. Questi token vengono salvati in cache e rinnovati in background. Token duplicati o scaduti possono causare un mismatch tra identità locale e sessione web, da cui il messaggio di “protocollo non supportato”. Il reset di attivazione elimina in modo pulito le identità e ricrea la catena di trust del profilo Office.
Modern Authentication
La Modern Authentication è richiesta per le integrazioni SharePoint–Office. Assicurarsi che:
- Il client Office sia aggiornato (preferibilmente Canale corrente), con supporto WAM su Windows 10/11.
- Non siano presenti chiavi/policy che impongono il modello legacy di autenticazione.
- Il dispositivo rispetti requisiti di sicurezza (ora di sistema corretta, TLS 1.2 abilitato, certificati radice aggiornati).
Diagnostica e strumenti
- Microsoft Support and Recovery Assistant (SaRA): automatizza la rimozione/ricreazione di licenze e credenziali di Office.
- Log di Office: dal Visualizzatore eventi, controllare i registri Microsoft Office/Telemetry o le voci in Applicazione in corrispondenza dei tentativi falliti.
- Test con nuovo profilo Windows: consente di isolare conflitti locali del profilo utente.
Verifiche lato client passo–passo
- Chiudi tutte le app Office (inclusi Teams/OneDrive).
- Esegui il reset di attivazione con lo script ufficiale, quindi riavvia.
- Accedi in Office con l’account aziendale; verifica lo stato dell’abbonamento.
- Prova l’apertura da SharePoint con “Apri in app desktop”.
- Se l’errore persiste:
- Controlla chiavi di registro sotto
...Office\16.0\Common\Identity(niente override che disabilitino ADAL/WAM). - Verifica data/ora del sistema e che TLS 1.2 sia abilitato.
- Ripeti il test su rete esterna senza proxy.
- Controlla chiavi di registro sotto
Controlli rapidi da riga di comando
Eseguire in un prompt con privilegi elevati. Le query non modificano impostazioni.
reg query "HKCU\Software\Microsoft\Office\16.0\Common\Identity" /v EnableADAL
reg query "HKCU\Software\Microsoft\Office\16.0\Common\Identity" /v DisableAADWAM
Interpretazione:
EnableADALassente o a0x1→ Modern Auth consentita.DisableAADWAMassente o a0x0→ WAM abilitato (consigliato su Windows 10/11).
Best practice di prevenzione
- Canale aggiornamenti: preferire Canale corrente per rapidi fix di autenticazione.
- Gestione identità: evitare profili Office con più account di lavoro sovrapposti non necessari.
- Rete: mantenere whitelist aggiornata per endpoint Microsoft 365; evitare l’ispezione SSL su domini di autenticazione.
- Conformità dispositivo: curare certificati radice, sincronizzazione ora (NTP), criteri di sicurezza coerenti.
Quando aprire un ticket
Aprire un ticket a supporto Microsoft o all’amministratore del tenant quando:
- Il problema è riproducibile da più dispositivi/utenti dopo il reset.
- Si presenta solo su specifici siti SharePoint o solo con determinate librerie.
- Esistono criteri di Accesso Condizionale o provider di identità custom (ADFS, terze parti) potenzialmente coinvolti.
Fornire sempre: URL del sito, orari dei tentativi, ID utente, versione di Office, ID correlazione se disponibile nei log.
Domande frequenti
Perché l’errore compare solo al primo tentativo?
Perché la cache locale contiene token scaduti o incoerenti. Il primo tentativo usa il token vecchio (fallisce), il secondo crea un token nuovo (riesce). Il reset dell’attivazione ricrea la cache eliminando il problema alla radice.
Serve reinstallare Office?
Quasi mai. La reinstallazione non tocca necessariamente la cache delle identità. Il reset di attivazione è mirato alla causa.
Il problema dipende dalla versione di Office?
Versioni datate o non aggiornate gestiscono peggio la Modern Authentication. È consigliato il canale corrente con build recenti di Microsoft 365 Apps su Windows 10/11.
Posso risolvere rimuovendo credenziali dall’Archivio credenziali?
Talvolta aiuta, ma non sempre rimuove i token che Office conserva per la licenza. Il reset dell’attivazione agisce in modo più completo.
Checklist conclusiva
| Passo | Obiettivo | Esito atteso |
|---|---|---|
| Eseguire lo script di reset | Ricreare profilo licenza e token | Nessun errore al primo tentativo |
| Verificare Modern Authentication | Evitare fallback legacy | ADAL/WAM attivi, nessun override |
| Controllare proxy/firewall | Consentire flusso OAuth verso Microsoft 365 | Niente ispezione SSL su endpoint critici |
| Aprire ticket se necessario | Validare configurazione tenant/sito | Supporto coinvolto con log e dettagli |
Conclusioni
L’errore «The server you are trying to access is using an authentication protocol not supported by this version of Office» in scenari SharePoint–Office è quasi sempre l’effetto collaterale di token obsoleti o di incoerenze nella Modern Authentication. Il rimedio più efficace è reimpostare lo stato di attivazione di Office: la procedura ricrea le credenziali e normalizza i flussi OAuth, facendo scomparire l’errore già dal primo tentativo di apertura. Se dopo il reset il problema persiste, conviene concentrare l’analisi su configurazioni del tenant (autenticazione, accesso condizionale), su possibili override client di ADAL/WAM e sulla rete (proxy/firewall). Con i controlli e le best practice indicati, la maggior parte degli ambienti torna a un’esperienza di apertura fluida e priva di prompt inattesi.