SharePoint in Teams (nuovo client): risolvere “401 Unauthorized” o pagina bianca

Nel nuovo client desktop di Microsoft Teams, l’apertura di siti SharePoint incastonati in schede “Website” o in app personalizzate può fallire con schermo bianco o “401 Unauthorized”. Questa guida spiega cause probabili, soluzioni collaudate e un playbook operativo per amministratori e IT.

Indice

Panoramica del problema

Diverse organizzazioni segnalano caricamenti intermittenti o falliti di pagine SharePoint quando vengono aperte dentro Teams (nuovo client). Gli scenari tipici includono:

  • Schede “Website” nei canali che puntano a una pagina o raccolta SharePoint;
  • App personalizzate (create nel Teams Developer Portal) che ospitano un iFrame verso un sito/pagina SharePoint.

Sintomi ricorrenti osservati dagli utenti:

  • Schermo completamente vuoto (“pagina bianca”).
  • Messaggio 401 Unauthorized.
  • Il problema scompare temporaneamente dopo aver aperto Viva Connections, passando al vecchio client Teams, o usando l’app mobile / un browser.

Perché accade: il triangolo Teams → WebView2 → SharePoint

Il nuovo Teams esegue le esperienze web attraverso Microsoft Edge WebView2. L’accesso a SharePoint avviene in SSO sfruttando i token M365. Se il token è scaduto, non presente, o memorizzato in cache in modo incoerente, la chiamata a SharePoint può restituire 401 e l’area iFrame resta bianca. L’apertura di Viva Connections nel client tende a “scaldare” la pipeline SSO rigenerando i token: non a caso molti report evidenziano che, dopo questo passaggio, la stessa pagina si carica correttamente. In parallelo, configurazioni d’app non allineate, policy di Conditional Access o contesti di autenticazione, componenti locali obsoleti (WebView2) e caching del nuovo client possono amplificare il problema.

Cause principali e indizi da cercare

IpotesiEvidenze emerseImpatto
Bug di autenticazione SSO nel nuovo TeamsDopo l’apertura di Viva Connections il token sembra rigenerarsi e la pagina si caricaColpisce solo il nuovo client
Configurazione errata dell’app TeamsManca l’AAD App ID di SharePoint (00000003-0000-0ff1-ce00-000000000000) o il Resource URL SSO non è impostatoL’app fallisce su alcuni PC
Cache locale corrottaCancellando C:\Users<utente>\AppData\Local\Packages\MSTeams_8wekyb3d8bbwe\* il problema sparisce (o peggiora)Effetto variabile
Edge WebView2 non aggiornatoL’aggiornamento del runtime WebView2 ha risolto casi in laboratori didatticiNecessario su macchine affette
Conditional Access / Authentication ContextSiti con policy CA o Authentication Context bloccavano la richiesta; rimuovendola la pagina si apreRilevante in tenant con CA avanzata
Gruppi dinamici Entra dietro licenza SharePoint PremiumDopo il paywall alcuni utenti perdono l’accesso finché non si assegna licenza o si cambia gruppoColpisce ambienti che usano gruppi dinamici
Deprecazione imminente della scheda “Website”Fase di transizione potenzialmente causa di anomalieOccorre prevedere un’alternativa

Checklist rapida di ripristino (TL;DR)

  1. Verifica WebView2: se obsoleto, aggiorna subito.
  2. Correggi SSO nell’app personalizzata (Developer Portal) oppure passa a Viva Connections.
  3. Pulisci la cache di Teams solo sui PC dove l’errore persiste.
  4. Rivedi CA / Authentication Context sul sito SharePoint interessato.
  5. Monitora Roadmap/Message Center per fix e per la rimozione della scheda “Website”.
  6. Se blocca la produttività: ripristina temporaneamente il client Teams classico o apri i link in browser.

Procedure dettagliate e best practice

Aprire Viva Connections prima della scheda/app

È il workaround più rapido lato utente: apre un’area SharePoint “nativa” in Teams, forzando la rigenerazione dei token. Dopo l’apertura, riprova la scheda “Website” o l’app personalizzata. Se funziona ripetutamente, hai conferma di un problema di SSO/token caching.

Correggere la configurazione SSO nell’app (Teams Developer Portal)

Le app personalizzate che incorniciano SharePoint devono dichiarare il pubblico di risorsa corretto. Nel pannello Single Sign-On imposta:

  • AAD App ID00000003-0000-0ff1-ce00-000000000000 (SharePoint Online)
  • Resource URLhttps://<tenant>.sharepoint.com (radice del tenant)

Ulteriori accorgimenti pratici:

  • Evita varianti con percorsi profondi: usa la radice del tenant come Resource URL.
  • Se l’app ha più schede o domini, verifica che il domain allowlist contenga tutti i target necessari.
  • Distribuisci l’aggiornamento dell’app e chiedi agli utenti di riavviare Teams per rilevare le modifiche.

Svuotare la cache del nuovo client Teams (con cautela)

  1. Chiudi Teams (File → Quit o tasto destro sull’icona di Teams → Esci).
  2. Elimina le sottocartelle in %LOCALAPPDATA%\Packages\MSTeams_8wekyb3d8bbwe\.
  3. Riavvia Teams e riprova.

Nota: sui dispositivi dove la situazione peggiora, ripristina la cache dal backup o ripeti l’accesso per rigenerarla coerentemente.

Aggiornare Microsoft Edge WebView2 Runtime

WebView2 è il motore che rende i contenuti web in Teams. La presenza di una build obsoleta o corrotta può impedire il flusso SSO verso SharePoint. Suggerimenti operativi:

  • Controlla la versione installata nella gestione programmi di Windows.
  • Se la versione è indietro rispetto allo standard aziendale, esegui l’installazione dell’ultima release stabile.
  • In ambienti EDU o laboratori con immagini “frozen”, includi WebView2 aggiornato nel golden image e pianifica aggiornamenti periodici.

Reimpostare i ruoli in Team/Sito (Owner ⇄ Member)

In alcuni casi, un cambio rapido di ruolo forzando un passaggio Owner → Member → Owner ha riallineato gli ACL. Procedura:

  1. Nel Team o nel sito SharePoint, degrada temporaneamente l’utente da Owner a Member.
  2. Attendi la propagazione (pochi minuti) e verifica.
  3. Ripristina il ruolo originale di Owner.

Rimuovere Authentication Context / CA mirata dal sito SharePoint

Se è attivo un Authentication Context o policy di Conditional Access applicata direttamente al sito che blocca il flusso in Teams, verifica e rimuovi il vincolo per testare la pagina:

Get-SPOSite -Identity https://&lt;tenant&gt;.sharepoint.com/sites/&lt;site&gt; | FL auth
Set-SPOSite -Identity https://&lt;tenant&gt;.sharepoint.com/sites/&lt;site&gt; `
            -ConditionalAccessPolicy AuthenticationContext `
            -AuthenticationContextName $null

Esegui i comandi dal SharePoint Online Management Shell con privilegi adeguati. Se la rimozione sblocca il caricamento, rivedi la policy CA per includere lo scenario “Teams embedded”.

Preferire la app nativa Viva Connections al posto di un’app custom

Quando possibile, usa Viva Connections invece di un’app personalizzata che iFrame-a SharePoint: riduce la superficie di bug tra client e framework, resta supportata e riceve fix prioritari.

Ripristinare temporaneamente il client Teams classico

Se il blocco impatta processi critici, abilita eccezionalmente il client classico finché non viene rilasciato un fix del nuovo client. In alternativa, guida gli utenti ad aprire i link in un browser.

Playbook diagnostico passo‑passo

  1. Conferma lo scope: la pagina SharePoint si apre nel browser? Se sì, è un problema specifico del contesto Teams.
  2. Isola il client: nel vecchio Teams funziona? Se sì, il difetto è legato al nuovo client/WebView2.
  3. Token warm‑up: apri Viva Connections e poi la scheda. Se funziona, indizio forte di token caching/SSO.
  4. PC vs utente: accedi con un altro utente sullo stesso PC e riprova; poi prova lo stesso utente su un PC diverso. Se è legato al dispositivo, guarda cache e WebView2.
  5. App vs scheda Website: se fallisce solo l’app custom, verifica SSO e manifest nel Developer Portal.
  6. Policy: su siti con CA/Authentication Context, esegui il test di rimozione temporanea del contesto come da comandi sopra.
  7. Licenze e gruppi dinamici: se alcuni utenti non vedono più contenuti dopo l’introduzione del paywall di SharePoint Premium, rivedi licenze e appartenenze a gruppi dinamici Entra.

Soluzioni e workaround collaudati (riepilogo operativo)

  1. Apri Viva Connections e poi la scheda/app (rigenera la sessione SSO).
  2. Configura correttamente il SSO nel Developer Portal:
    • AAD App ID00000003-0000-0ff1-ce00-000000000000
    • Resource URLhttps://<tenant>.sharepoint.com
  3. Svuota la cache di Teams (%LOCALAPPDATA%\Packages\MSTeams_8wekyb3d8bbwe\).
  4. Aggiorna Microsoft Edge WebView2 Runtime sui PC affetti.
  5. Reimposta i ruoli (Owner ⇄ Member) per forzare il ricalcolo ACL.
  6. Rimuovi Authentication Context / CA mirata dal sito per testare l’apertura: Set-SPOSite -Identity https://<tenant>.sharepoint.com/sites/<site> ` -ConditionalAccessPolicy AuthenticationContext ` -AuthenticationContextName $null
  7. Usa Viva Connections nativa invece di un’app custom.
  8. Ripristina il client Teams classico come misura temporanea.

Matrice “se… allora…” (decision table)

OsservazioneInterpretazione probabileAzione consigliata
Browser e vecchio Teams OK, nuovo Teams KOBug SSO/WebView2 o cache nuovo clientAggiorna WebView2, apri Viva Connections, pulisci cache
Solo app custom KO, scheda Viva Connections OKManifest/SSO app non correttoImposta AAD App ID e Resource URL
Utente A KO, utente B OK sullo stesso PCToken/ACL utenteRole flip Owner⇄Member, verifica licenze/gruppi
Solo siti con Authentication Context KOCA blocca lo scenario embeddedRimuovi/adegua contesto o crea eccezione
Ambienti EDU/lab, molte macchine KOWebView2 obsoleto nell’immagineAggiorna WebView2 nel golden image

Raccomandazioni operative (ordine suggerito)

  1. Verificare Edge WebView2 → aggiornare se obsoleto.
  2. Applicare la configurazione SSO corretta nell’app o passare a Viva Connections.
  3. Pulire la cache di Teams solo sui PC dove l’errore è persistente.
  4. Rivedere policy di Conditional Access / Authentication Context sui siti interessati.
  5. Monitorare la roadmap/Message Center del servizio per fix e per la rimozione definitiva della scheda “Website”.
  6. Se il problema blocca la produttività, distribuire temporaneamente il client Teams classico o aprire i link in browser.

Informazioni supplementari e note dal campo

  • Al momento non risulta un advisory ufficiale; i ticket possono venire smistati tra i team di Teams e SharePoint.
  • La natura intermittente è compatibile con un problema di token caching più che di permessi permanenti SharePoint.
  • In ambienti scolastici (Classroom) lo stesso bug può colpire anche Lists e moduli Forms integrati in schede.

FAQ (Domande frequenti)

Perché vedo 401 e non 403?

401 Unauthorized indica spesso sessione mancante/scaduta (token non valido o non presentato). 403 Forbidden punterebbe più a permessi insufficienti. Qui il comportamento intermittente e il “fix” con Viva Connections fanno pensare al primo scenario.

Perché succede solo su alcuni PC?

Disallineamenti di runtime WebView2, cache locale e differenze nelle estensioni/policy possono rendere il problema visibile solo su un sottoinsieme di dispositivi.

La scheda “Website” sta scomparendo: cosa uso al suo posto?

Prepara un piano di migrazione: preferisci Viva Connections o un’app personalizzata con SSO correttamente configurato. Evita nuovi deploy basati su “Website”.

Posso risolvere assegnando più permessi in SharePoint?

Non è consigliato: se il problema è il token o il contesto SSO, espandere i permessi non risolve la radice e aumenta la superficie di rischio.

Serve davvero pulire la cache?

Usalo come ultimo miglio su macchine affette: in molti casi basta aggiornare WebView2 e correggere SSO.

Controlli di salute e prevenzione

  • Standardizza la versione di WebView2 e includila nelle immagini di riferimento.
  • Automatizza la validazione del manifest delle app (AAD App ID e Resource URL coerenti).
  • Documenta le policy di Conditional Access che impattano iFrame/embedded e definisci eccezioni per gli URL SharePoint interni.
  • Evita nuovi rilasci su “Website” e pianifica la migrazione delle schede esistenti.

Cosa includere quando apri un ticket

  • Versione nuovo client Teams e versione WebView2 del dispositivo (prima/dopo l’update).
  • Tipo di scheda (Website vs app custom) e URL della pagina SharePoint coinvolta.
  • Esito dei test incrociati: browser, vecchio Teams, dopo Viva Connections, dopo pulizia cache.
  • Eventuali Authentication Context/CA applicati al sito.
  • Se in EDU, indicare immagine di base e processo di aggiornamento.

Modello di comunicazione per gli utenti (pronto all’uso)

Oggetto: Problemi di apertura pagine SharePoint in Teams (nuovo client)

Alcuni utenti potrebbero vedere pagina bianca o “401 Unauthorized” aprendo pagine SharePoint dentro Teams. Stiamo applicando un aggiornamento del componente WebView2 e una riconfigurazione dell’accesso SSO. Nel frattempo, aprite la stessa pagina da browser o tramite Viva Connections. Grazie per la collaborazione.

Glossario minimo

  • SSO (Single Sign‑On): autenticazione trasparente tra servizi senza reinserire le credenziali.
  • WebView2: componente basato su Edge che integra contenuti web nelle app desktop.
  • Conditional Access: criteri che vincolano l’accesso in base a utente, dispositivo, rischio, contesto.
  • Authentication Context: etichetta logica applicata a una risorsa per invocare policy CA specifiche.

Appendice — Tabella riassuntiva (azioni & rischi)

AzioneQuando usarlaBeneficioRischio/Nota
Aggiornare WebView2Macchine con nuovo Teams e problemi ricorrentiRipristina il rendering e i flussi SSORichiede change management nei lab
Correggere SSO appApp custom che iFrame-ano SharePointElimina 401 dovuti a audience errataRichiede redeploy dell’app
Pulire cache TeamsDispositivo specifico affettoRimuove stati corrottiPuò temporaneamente peggiorare
Rimuovere Authentication ContextSiti con CA mirata che falliscono in iFrameVerifica rapida del blocco policyUsare solo per test; reintrodurre policy adeguata
Passare a Viva ConnectionsEsperienze SharePoint in TeamsRiduce bug client-FX; supporto pienoRichiede onboarding a VC
Ripristinare Teams classicoBlocco produttivitàContinuità operativaSoluzione temporanea

Case note: ambienti scolastici

In scuole e atenei con aule informatiche, si sono osservate correlazioni forti tra immagini di sistema statiche e runtime WebView2 datati. Aggiornare il runtime nel golden image e distribuire periodicamente gli update riduce drasticamente i casi. Bug simili possono colpire anche schede Lists e moduli Forms integrati: le stesse azioni (aggiornare WebView2, aprire Viva Connections, allineare SSO) risultano efficaci.

Indicatori di successo dopo l’intervento

  • Tasso di errore “401” in Teams < 1% delle aperture.
  • Tempo medio per il primo rendering < 2 secondi dopo warm‑up.
  • Zero differenze funzionali tra browser, app mobile e Teams.
  • Nessun impatto su CA post‑riallineamento (policy applicate ma non bloccanti).

Conclusioni

Il pattern “pagina bianca/401” con SharePoint incorporato nel nuovo Teams nasce quasi sempre da combinazioni di token SSO, cache e componente WebView2, talvolta aggravate da policy di accesso condizionale o da configurazioni app non allineate. Con gli interventi prioritari qui descritti — aggiornamento WebView2, correzione SSO nel manifest, warm‑up via Viva Connections, pulizia cache mirata e revisione di Authentication Context — la maggior parte degli amministratori ha riportato i casi a regime, in attesa di un fix definitivo del client e della dismissione della scheda “Website”.


Indice