Błąd AADSTS70008 („ExpiredOrRevokedGrant”) oznacza, że token odświeżania lub kod autoryzacyjny wygasł z powodu braku aktywności i aplikacja nie może już po cichu odnowić Twojej sesji. Po prostu wyloguj się i zaloguj ponownie — nowe, interaktywne uwierzytelnienie natychmiast przywróci dostęp do Microsoft 365, Teams, Outlooka i wszystkich powiązanych usług.
W skrócie
- Co oznacza AADSTS70008: token odświeżania (refresh token) wygasł po okresie bezczynności lub został unieważniony ręcznie przez administratora.
- Kogo dotyczy: użytkowników Microsoft 365, Azure, Teams, SharePoint, Outlook — wszystkich aplikacji korzystających z Microsoft Entra ID (dawniej Azure AD).
- Czy to zagrożenie? Nie — to standardowe zachowanie platformy Microsoft, które chroni konta przed długotrwałym nieautoryzowanym dostępem.
- Rozwiązanie: wylogowanie i ponowne zalogowanie (F5 nie pomoże — konieczne jest pełne uwierzytelnienie interaktywne).
- Zapobieganie: regularne korzystanie z aplikacji lub dostosowanie polityki częstotliwości logowania (Conditional Access).
Czym jest błąd AADSTS70008 od strony technicznej
Gdy logujesz się do usługi Microsoft 365, platforma Microsoft Entra ID wydaje kilka rodzajów tokenów:
| Typ tokenu | Żywotność (domyślna) | Do czego służy |
|---|---|---|
| Access token | 60–90 minut (zmienna) | Autoryzacja każdego żądania API |
| Refresh token | Maks. 90 dni bezczynności | Ciche odnowienie access tokenu bez pytania o hasło |
| Session token (ciasteczko sesji) | 24 h (nietrwałe) / 90 dni (trwałe) | Utrzymanie zalogowania w przeglądarce |
| ID token | 1 godzina | Przekazanie danych profilowych użytkownika do aplikacji |
AADSTS70008 pojawia się dokładnie wtedy, gdy refresh token osiągnął maksymalny czas bezczynności (90 dni) — czyli przez 90 kolejnych dni żadna aplikacja nie użyła go do odświeżenia sesji — lub gdy refresh token został ręcznie unieważniony (np. przez administratora przez Revoke-MgUserSignInSession lub po zresetowaniu hasła).
Microsoft od 30 stycznia 2021 roku wycofał możliwość konfigurowania czasu życia refresh tokenów i session tokenów przez polityki token lifetime. Od tamtej pory obowiązują sztywne domyślne wartości, a jedynym sposobem kontrolowania częstotliwości wymuszania ponownego logowania są zasady częstotliwości logowania w Conditional Access.
Kiedy najczęściej widzisz AADSTS70008
1. Aplikacje desktopowe i mobilne po długiej przerwie
Najczęstszy scenariusz: otwierasz Outlooka, Teams lub OneDrive po urlopie, zwolnieniu lekarskim czy dłuższym weekendzie (powyżej 90 dni od ostatniego użycia) i zamiast wiadomości widzisz komunikat o błędzie sesji. Aplikacja próbowała użyć refresh tokenu — token okazał się przeterminowany — Microsoft Entra ID zwraca AADSTS70008.
Rozwiązanie: wyloguj się z aplikacji (Outlook: Plik → Konto pakietu Office → Wyloguj się; Teams: kliknij awatar → Wyloguj się) i zaloguj ponownie, podając hasło oraz wykonując weryfikację MFA.
2. Aplikacje webowe / SPA (Single Page Apps)
W aplikacjach typu SPA refresh token ma sztywny, ograniczony czas życia — maksymalnie 24 godziny, niezależnie od aktywności (zgodnie z dokumentacją Microsoft: AADSTS700084). Jeśli korzystasz z niestandardowej firmowej aplikacji webowej opartej na MSAL.js i po jednym dniu bezczynności widzisz błąd 70008, przyczyna leży w architekturze SPA, nie w Twoim koncie.
Rozwiązanie: odświeżenie strony z pełnym przekierowaniem do strony logowania Microsoft — aplikacja musi przeprowadzić nową, interaktywną autoryzację.
3. Sesje współdzielone / kioski / komputery tymczasowe
W środowiskach takich jak recepcja, magazyn czy sala konferencyjna użytkownicy często pozostawiają zalogowane sesje. Po 90 dniach braku aktywności na danym urządzeniu refresh token wygasa, a aplikacje przestają działać.
Rozwiązanie: polityka IT — wymuszanie wylogowania po każdej zmianie użytkownika lub skrócenie częstotliwości logowania przez Conditional Access (np. wymuś ponowne uwierzytelnienie co 7 dni).
4. Ręczne unieważnienie przez administratora
Administrator Entra ID może w dowolnym momencie unieważnić wszystkie refresh tokeny użytkownika:
- Polecenie PowerShell:
Revoke-MgUserSignInSession -UserId $User.Id - Automatycznie po zresetowaniu hasła przez administratora
- Automatycznie po oznaczeniu konta jako „skompromitowane” (Identity Protection — risky user)
W takich przypadkach użytkownik widzi błąd AADSTS70008 natychmiast, nawet jeśli był aktywny 5 minut wcześniej.
Jak krok po kroku rozwiązać błąd AADSTS70008
Krok 1: Wyloguj się całkowicie (nie tylko zamknij okno)
W przeglądarce:
- Przejdź do mysignins.microsoft.com/sessions
- Zaloguj się, jeśli możesz — jeśli nie, przejdź od razu do kroku 2
- Wybierz Sign out everywhere — jednoczesne wylogowanie ze wszystkich urządzeń i aplikacji
W aplikacjach desktopowych (Outlook, Teams, OneDrive): ręcznie wyloguj się z konta w ustawieniach aplikacji. Samo zamknięcie okna nie usuwa buforowanego tokenu.
Krok 2: Wyczyść pamięć podręczną przeglądarki (dla aplikacji webowych)
- Otwórz
office.com,outlook.office.comlubportal.azure.com - Naciśnij Ctrl+Shift+Delete (Windows) / Cmd+Shift+Delete (Mac)
- Wybierz „Ciasteczka i dane witryn” oraz „Obrazy i pliki w pamięci podręcznej”
- Wyczyść dane z zakresu „Od początku”
- Alternatywnie: otwórz okno InPrivate/Incognito — to najszybsza metoda, która pomija lokalne cache całkowicie
Krok 3: Zaloguj się ponownie interaktywnie
Przejdź do office.com i zaloguj się ręcznie:
- Wprowadź pełny adres e-mail (służbowy)
- Podaj hasło
- Wykonaj dwuetapową weryfikację (MFA) — kod SMS, powiadomienie Authenticator lub klucz FIDO2
- Po zalogowaniu otwórz ponownie swoje aplikacje — refresh token zostanie wygenerowany od nowa z pełnym 90-dniowym limitem bezczynności
Krok 4: Jeśli problem powraca — zgłoś do administratora
Jeśli błąd AADSTS70008 pojawia się codziennie mimo normalnego korzystania z aplikacji, możliwe przyczyny po stronie dzierżawy:
- Polityka częstotliwości logowania Conditional Access ustawiona zbyt agresywnie (np. wymuszenie ponownego uwierzytelnienia co 1 godzinę)
- Continuous Access Evaluation (CAE) unieważnia tokeny w odpowiedzi na zmianę lokalizacji/ryzyka — poproś admina o sprawdzenie logów sign-in w centrum administracyjnym Entra ID
- Konflikt polityk token lifetime (jeśli organizacja nadal ma stare polityki wdrożone przed styczniem 2021)
Jak zapobiegać — ustawienia po stronie administratora
Administratorzy Entra ID mają kilka narzędzi do kontrolowania częstotliwości wygasania sesji:
| Mechanizm | Co kontroluje | Gdzie skonfigurować |
|---|---|---|
| Sign-in frequency (Conditional Access) | Maksymalny czas między interaktywnymi logowaniami (np. co 7 dni) | Microsoft Entra admin center → Protection → Conditional Access → Session controls |
| Persistent browser session | Czy ciasteczko sesji przetrwa zamknięcie przeglądarki | Conditional Access → Session controls |
| Continuous Access Evaluation (CAE) | Natychmiastowe unieważnienie tokenu przy krytycznych zdarzeniach (blokada konta, zmiana hasła) | Włączone domyślnie dla obsługiwanych aplikacji (Teams, Exchange, SharePoint) |
| Revoke-MgUserSignInSession | Ręczne natychmiastowe unieważnienie wszystkich refresh tokenów | PowerShell / Microsoft Graph |
Ważne: od stycznia 2021 roku właściwości
MaxInactiveTime,MaxAgeSingleFactoriMaxAgeMultiFactorw politykach token lifetime są ignorowane. Jedyną poprawną metodą kontroli częstotliwości logowania jest Conditional Access.
Częste pytania
Czy błąd AADSTS70008 oznacza, że moje konto zostało zhakowane?
Nie. AADSTS70008 to standardowe, oczekiwane zachowanie platformy Microsoft — refresh token po prostu wygasł z powodu zbyt długiej bezczynności (powyżej 90 dni) lub został celowo unieważniony. Nie ma związku z naruszeniem bezpieczeństwa. Jeśli jednak widzisz ten błąd, a nie byłeś nieaktywny przez 90 dni, skontaktuj się z administratorem — mógł ręcznie unieważnić Twoją sesję w reakcji na alert bezpieczeństwa.
Czy odświeżenie strony (F5) naprawi błąd AADSTS70008?
Nie. Naciśnięcie F5 lub odświeżenie karty przeglądarki nie rozwiązuje problemu, ponieważ przeglądarka wciąż przechowuje stary, nieważny token. Konieczne jest pełne wylogowanie i ponowne interaktywne zalogowanie z hasłem oraz MFA. Najszybsza metoda: otwórz okno prywatne (Incognito) i zaloguj się od nowa.
Po jakim czasie bezczynności refresh token wygasa?
Domyślnie refresh token wygasa po 90 dniach bezczynności (braku użycia przez jakąkolwiek aplikację). Dla aplikacji typu SPA (Single Page Application) limit jest znacznie krótszy — maksymalnie 24 godziny. Administrator może dodatkowo skrócić ten czas pośrednio przez politykę częstotliwości logowania Conditional Access (np. wymuszenie ponownego uwierzytelnienia co 7 dni).
Czy błąd AADSTS70008 dotyczy tylko przeglądarki?
Nie. Błąd może wystąpić w każdej aplikacji korzystającej z Microsoft Entra ID: Outlook desktop, Teams, OneDrive, SharePoint, PowerShell (moduły Microsoft Graph), Azure CLI, a także w zewnętrznych aplikacjach integrujących się przez OAuth 2.0. W każdej z nich rozwiązanie jest takie samo: wyloguj się i zalog