Usuários no seu locatário veem o erro de login 0x8004de40 repetidamente, mesmo após você ter feito alterações nas políticas de Acesso Condicional. Esse erro indica que o OneDrive não consegue atualizar o token de autenticação do usuário, geralmente porque uma política de Acesso Condicional bloqueia o fluxo de renovação do token. O erro reaparece porque a mudança na política não se aplicou à solicitação de atualização em segundo plano que o OneDrive utiliza. Este artigo fornece um checklist estruturado para administradores diagnosticarem por que o erro persiste e aplicarem a correção adequada.
Principais conclusões: erro 0x8004de40 persiste após alterações no Acesso Condicional
- Azure AD > Acesso Condicional > Políticas: Verifique se a política inclui o aplicativo de nuvem Office 365 Exchange Online, não apenas o OneDrive, porque a atualização do token usa o Exchange Online.
- Azure AD > Acesso Condicional > Conceder > Exigir dispositivo em conformidade: Verifique se a política não bloqueia o fluxo de concessão de código do dispositivo, que o OneDrive usa para atualização silenciosa do token.
- OneDrive > Configurações > Conta > Redefinir: Limpe o token em cache na máquina do cliente após atualizar a política de Acesso Condicional para forçar uma nova autenticação.
Por que o erro 0x8004de40 retorna após alterações no Acesso Condicional
O erro 0x8004de40 é uma falha na atualização do token. O OneDrive for Business usa um processo em segundo plano para atualizar silenciosamente o token de autenticação do usuário a cada hora. Quando uma política de Acesso Condicional é modificada, a nova política pode bloquear essa solicitação de atualização silenciosa. O erro reaparece porque o token em cache do usuário permanece válido até expirar, mas a solicitação de atualização falha toda vez que tenta renovar.
Dois cenários específicos fazem o erro persistir:
A política de Acesso Condicional tem como alvo o aplicativo de nuvem errado
A solicitação de atualização de token do OneDrive é enviada ao recurso Office 365 Exchange Online, não ao recurso OneDrive. Se sua política de Acesso Condicional tiver como alvo apenas o aplicativo de nuvem OneDrive, a solicitação de atualização de token ignora a política completamente. A política nunca avalia a solicitação, e a atualização falha porque a solicitação não possui as declarações necessárias.
O fluxo de concessão de código do dispositivo está bloqueado
O OneDrive usa o fluxo de concessão de código do dispositivo para renovação silenciosa do token. Se uma política de Acesso Condicional exigir um dispositivo em conformidade ou autenticação multifator e o fluxo de concessão não for permitido, a solicitação de atualização de token é negada. O erro 0x8004de40 aparece mesmo que o usuário tenha feito login com sucesso anteriormente.
Checklist do administrador para resolver o erro 0x8004de40
Siga este checklist em ordem. Teste a correção após cada etapa para identificar a causa exata.
- Passo 1: Identifique a política de Acesso Condicional que se aplica ao OneDrive
Faça login no portal do Azure em portal.azure.com. Vá para Azure Active Directory > Segurança > Acesso Condicional > Políticas. Procure por qualquer política com status Ativado ou Somente relatório que inclua o aplicativo de nuvem Office 365 Exchange Online ou a opção Todos os aplicativos de nuvem. Políticas que têm como alvo apenas o OneDrive não afetarão o fluxo de atualização do token. - Passo 2: Verifique se a atribuição do aplicativo de nuvem inclui o Exchange Online
Abra a política. Em Aplicativos ou ações de nuvem, verifique a guia Incluir. Se a política incluir Selecionar aplicativos, confirme se Office 365 Exchange Online está listado. Se estiver faltando, adicione-o. Se a política usar Todos os aplicativos de nuvem, nenhuma alteração é necessária aqui. - Passo 3: Verifique as configurações de Conceder para o fluxo de concessão de código do dispositivo
Na mesma política, vá para Conceder. Se a política usar Exigir autenticação multifator ou Exigir que o dispositivo seja marcado como em conformidade, o fluxo de concessão de código do dispositivo pode estar bloqueado. Para confirmar, vá para Azure Active Directory > Acesso Condicional > Configurações da política > Conceder > Para múltiplos controles. Se Exigir todos os controles selecionados estiver selecionado, o fluxo de concessão de código do dispositivo falhará. Altere para Exigir um dos controles selecionados apenas se seus requisitos de segurança permitirem. Alternativamente, adicione um controle de sessão que permita a concessão de código do dispositivo. - Passo 4: Exclua o cliente desktop do OneDrive da política
Se você não puder alterar as configurações de Conceder, adicione uma exclusão. Vá para a guia Aplicativos ou ações de nuvem > Excluir e adicione OneDrive Sync Engine como um aplicativo cliente. Essa exclusão permite que a solicitação de atualização de token do cliente desktop do OneDrive ignore a política de Acesso Condicional, enquanto ainda protege o acesso baseado em navegador. - Passo 5: Aplique as alterações na política e aguarde 30 minutos
As políticas de Acesso Condicional levam até 30 minutos para se propagar pelo Microsoft 365. Não teste imediatamente. Aguarde 30 minutos após salvar as alterações na política. - Passo 6: Limpe o token em cache na máquina do cliente afetada
Na máquina do usuário, abra o OneDrive. Vá para Configurações do OneDrive > Conta. Clique em Desvincular este PC. Confirme a desvinculação. Reinicie o OneDrive. Faça login novamente com a conta corporativa ou de estudante do usuário. Isso força uma nova autenticação que usa a política de Acesso Condicional atualizada. - Passo 7: Teste a correção
Abra um arquivo do OneDrive no Explorador de Arquivos. Se o erro não aparecer, a correção está completa. Se o erro retornar, prossiga para a próxima seção.
Se o erro ainda aparecer após o checklist
OneDrive mostra erro 0x8004de40 em apenas uma máquina
Se o erro persistir em uma única máquina, mas não em outras, o problema provavelmente é um cache de token desatualizado ou um estado corrompido do OneDrive. Execute o comando de redefinição da sincronização do OneDrive. Feche o OneDrive. Pressione Tecla Windows + R, digite %localappdata%\Microsoft\OneDrive\onedrive.exe /reset e pressione Enter. Aguarde 60 segundos. Abra o OneDrive novamente e faça login.
Erro 0x8004de40 ocorre após alteração de senha
Quando um usuário altera sua senha, o token em cache se torna inválido. As políticas de Acesso Condicional que exigem autenticação multifator ainda podem bloquear a atualização se o fluxo de concessão de código do dispositivo não for permitido. Peça ao usuário para desvincular e vincular novamente o OneDrive conforme descrito no Passo 6. Se o erro retornar dentro de 24 horas, verifique os logs de login do Azure AD para a solicitação de atualização de token.
Logs de login mostram erro de Emissão de Token
Vá para Azure AD > Logins > Logins do usuário. Filtre pelo usuário afetado e pelo status Falha. Procure por um código de erro AADSTS50076 ou AADSTS53003. Esses códigos indicam que o fluxo de concessão de código do dispositivo foi bloqueado. Adicione a exclusão do OneDrive Sync Engine conforme descrito no Passo 4.
Configurações da política de Acesso Condicional que afetam a atualização de token do OneDrive
| Configuração | Efeito no OneDrive | Valor recomendado |
|---|---|---|
| Atribuição de aplicativo de nuvem | Determina a quais aplicativos a política se aplica | Incluir Office 365 Exchange Online ou Todos os aplicativos de nuvem |
| Conceder > Exigir MFA | Bloqueia o fluxo de concessão de código do dispositivo se não for permitido | Usar Exigir um dos controles selecionados ou excluir OneDrive Sync Engine |
| Conceder > Exigir dispositivo em conformidade | Bloqueia a atualização de token de dispositivos não conformes | Excluir o aplicativo cliente OneDrive Sync Engine |
| Aplicativos cliente > Clientes de autenticação moderna | Controla quais fluxos de autenticação são permitidos | Garantir que o fluxo de código do dispositivo não esteja explicitamente bloqueado |
| Controles de sessão > Usar restrições impostas pelo aplicativo | Não afeta a atualização de token | Nenhuma alteração necessária |
A configuração incorreta mais comum é ter como alvo apenas o aplicativo de nuvem OneDrive. Sempre inclua o Office 365 Exchange Online no escopo da política. O segundo problema mais comum é exigir todos os controles selecionados, o que bloqueia o fluxo de concessão de código do dispositivo. Excluir o aplicativo cliente OneDrive Sync Engine resolve isso sem enfraquecer a segurança para acesso via navegador.
O checklist cobre as causas raiz do erro 0x8004de40 retornar após alterações no Acesso Condicional. Agora você pode verificar a atribuição do aplicativo de nuvem, ajustar as configurações de Conceder e limpar o token em cache na máquina do cliente. Em seguida, revise suas políticas de Acesso Condicional para outros aplicativos cliente que usam o fluxo de concessão de código do dispositivo, como o Microsoft Teams. Para uma configuração permanente, crie uma política de Acesso Condicional separada para o aplicativo cliente OneDrive Sync Engine com requisitos de concessão mais flexíveis, mantendo políticas rigorosas para acesso baseado em navegador.