В данной статье мы углубимся в одну из самых распространенных и раздражающих проблем, с которыми сталкиваются пользователи корпоративной среды — ошибки аутентификации. Вы узнаете, как расшифровать загадочные коды AADSTS, что делать, если Office отказывается принимать пароль, и как решить проблемы на уровне реестра Windows и PowerShell. Материал ориентирован на системных администраторов и специалистов технической поддержки.
При работе с облачными продуктами Microsoft 365 процесс входа в систему кажется простым лишь на первый взгляд. За кулисами каждой авторизации происходит сложный обмен токенами между вашим устройством и Microsoft Entra ID (ранее Azure AD). Когда этот процесс прерывается, пользователь видит окно с пугающим кодом ошибки, начинающимся на AADSTS.
Эти ошибки не возникают на пустом месте. Обычно они указывают на конкретный сбой: от истекшего срока действия пароля до проблем с доверенными устройствами или политиками условного доступа. Понимание природы этих ошибок — ключ к быстрому восстановлению работы бизнеса.
Что такое AADSTS и где искать проблему?
Аббревиатура AADSTS расшифровывается как Azure Active Directory Security Token Service. Это служба, ответственная за выдачу токенов безопасности. Когда вы видите такой код, это означает, что сервер аутентификации Microsoft принял ваш запрос, но отклонил его по определенной причине.
Самое важное в окне ошибки — это не только сам код, но и два других параметра:
— Request ID: уникальный идентификатор конкретной попытки входа.
— Correlation ID: идентификатор, связывающий цепочку событий. Именно его администраторы используют для поиска логов в портале Azure.
ТОП-5 самых частых ошибок AADSTS и их значения
Прежде чем бросаться чистить кэш, стоит понять, что именно говорит сервер. Вот краткий справочник по самым «популярным» сбоям:
1. AADSTS50020: User account from identity provider does not exist in tenant.
Суть: Вы пытаетесь войти в организацию (часто как гость в Teams или SharePoint), где ваша учетная запись не была создана или приглашена. Часто возникает при путанице между «Личным аккаунтом Microsoft» и «Рабочим аккаунтом».
2. AADSTS50126: Error validating credentials due to invalid username or password.
Суть: Банально — неверный логин или пароль. Но если пользователь клянется, что пароль верный, это может означать, что локальная AD еще не успела синхронизировать новый хэш пароля с облаком через Azure AD Connect.
3. AADSTS50058: A silent sign-in request was sent but no user is signed in.
Суть: Проблема с SSO (Single Sign-On). Браузер или клиент Office пытается выполнить «тихий» вход без участия пользователя, но токен устарел или куки повреждены.
4. AADSTS90002: Tenant not found.
Суть: Либо опечатка в ID тенанта при входе, либо истек срок действия подписки организации, и она была отключена.
5. AADSTS53003: Access has been blocked by Conditional Access policies.
Суть: Сработала политика Условного доступа. Например, пользователь пытается войти из запрещенной страны или с устройства, которое не соответствует требованиям безопасности корпорации.
Базовое устранение неполадок (Client-Side)
В 80% случаев проблема кроется на стороне клиента — в «залипших» старых учетных данных. Выполните следующие действия по порядку.
1. Очистка диспетчера учетных данных (Credential Manager)
Windows имеет привычку хранить старые токены, которые начинают конфликтовать с новыми.
— Откройте «Панель управления» -> «Диспетчер учетных данных».
— Перейдите во вкладку «Учетные данные Windows».
— Найдите все записи, содержащие MicrosoftOffice16 или Teams.
— Удалите их.
2. Сброс состояния активации Office (OSPP)
Если Office утверждает, что у вас нет лицензии или выдает ошибку входа при активации, используйте командную строку.
Запустите CMD от имени администратора и перейдите в папку Office:
cd "C:\Program Files\Microsoft Office\Office16"
Проверьте статус лицензии:
cscript ospp.vbs /dstatus
Удалите найденные ключи (последние 5 символов):
cscript ospp.vbs /unpkey:XXXXX
3. Проблемы с брокером подключений (WAM)
Современная аутентификация в Windows 10/11 использует компонент Web Account Manager (WAM). Если он поврежден, вы увидите ошибки вроде «Trusted Platform Module has malfunctioned» или бесконечный цикл ввода пароля.
Продвинутое решение: Реестр и PowerShell
Если базовая очистка не помогла, переходим к «тяжелой артиллерии».
Внимание: Перед правкой реестра всегда делайте резервную копию!
Исправление ошибок WAM через реестр
Часто помогает отключение использования WAM для Office, заставляя приложение использовать старый метод ADAL (хотя Microsoft рекомендует WAM, иногда это единственный способ вернуть доступ).
Откройте regedit и перейдите по пути:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity
Создайте или измените следующие параметры DWORD (32-bit):
— EnableADAL = 1
— DisableADALatopWAMOverride = 1
— DisableAADWAM = 1
После этого обязательно перезагрузите компьютер. Это заставит Outlook и Word использовать устаревшие, но более простые окна входа, обходя системные глюки Windows.
Проверка статуса устройства (Hybrid Join)
Многие ошибки AADSTS возникают, когда устройство «выпадает» из доверия Azure AD. Проверьте статус через командную строку:
dsregcmd /status
В выводе обратите внимание на секцию Device State.
— AzureAdJoined : YES (должно быть YES для облачных устройств)
— DomainJoined : YES (для гибридных)
Если вы видите ошибки в секции «SSO State» или «Diagnostic Data», возможно, потребуется перерегистрация устройства. Отвяжите его и привяжите заново:
dsregcmd /leave
dsregcmd /join
Действия со стороны администратора (Server-Side)
Если вы администратор и пользователь жалуется на ошибки AADSTS, проблема может быть в зависшей сессии на стороне облака.
Сброс сессий через Microsoft Graph PowerShell
Иногда токен пользователя валиден, но скомпрометирован или «забагован». Вы можете принудительно «выкинуть» пользователя из всех приложений Office 365, заставив его перелогиниться.
Подключитесь к тенанту:
Connect-MgGraph -Scopes "User.ReadWrite.All"
Выполните команду для отзыва всех токенов обновления (Refresh Tokens):
Revoke-MgUserSignInSession -UserId "user@domain.com"
После выполнения этой команды пользователь увидит ошибку AADSTS в течение 15-60 минут и будет вынужден ввести пароль заново.
Инструмент Microsoft SARA
Если ничего не помогает, Microsoft предлагает официальную утилиту Support and Recovery Assistant (SaRA). Это мастер, который автоматически проверяет сеть, реестр, настройки профиля Outlook и наличие лицензий.
— Скачайте SaRA с официального сайта Microsoft.
— Выберите «У меня проблемы с входом в Office».
— Следуйте инструкциям мастера. Утилита сама соберет логи и, в некоторых случаях, автоматически применит фиксы.
Ошибка AADSTS — это не приговор, а диагностическая информация. В 9 из 10 случаев проблема решается либо очисткой «мусора» в диспетчере учетных данных, либо исправлением работы WAM-брокера в реестре.
Для стабильной работы корпоративной среды мы рекомендуем системным администраторам внедрить политики автоматического обновления Office и Windows, так как Microsoft регулярно выпускает патчи для механизма аутентификации. Если же вы столкнулись с ошибкой блокировки условного доступа, внимательно анализируйте логи Entra ID Sign-in Logs — там всегда указана точная причина отказа.
