Błąd AADSTS50053 (IdsLocked) oznacza, że Twoje konto Microsoft 365 (dawniej Office 365) zostało tymczasowo zablokowane przez mechanizm Smart Lockout w usłudze Microsoft Entra ID (dawniej Azure AD). Blokada wynika z przekroczenia limitu nieudanych prób logowania — system Microsoft automatycznie odblokuje konto po upływie czasu blokady, ale w praktyce najszybszym rozwiązaniem jest samodzielny reset hasła (SSPR) lub interwencja administratora.
W skrócie
- AADSTS50053 = konto zablokowane po zbyt wielu błędnych próbach logowania (domyślnie 10 nieudanych prób dla zwykłych tenantów)
- Pierwsza blokada trwa 60 sekund; przy kolejnych próbach czas rośnie progresywnie
- Najszybsze rozwiązanie: reset hasła przez
https://aka.ms/ssprlubhttps://passwordreset.microsoftonline.com(licznik blokady zeruje się do 0)- Administrator może ręcznie odblokować konto przez centrum administracyjne Microsoft Entra lub PowerShell
- Błąd może też wystąpić przy logowaniu z adresu IP uznanego za złośliwy — wtedy potrzebna jest analiza logów logowania
- Jeśli korzystasz z Active Directory on-premises z synchronizacją haseł, sprawdź również politykę blokady w AD DS
Czym dokładnie jest błąd AADSTS50053?
Kod AADSTS50053 to odpowiedź serwera autoryzacyjnego Microsoft Entra ID (security token service), który informuje, że uwierzytelnienie zostało odrzucone. W dokumentacji Microsoft występuje on pod dwiema przyczynami:
| Przyczyna błędu | Opis |
|---|---|
| IdsLocked | Konto zablokowane — użytkownik przekroczył dozwoloną liczbę nieudanych prób logowania (błędne hasło lub błędny identyfikator użytkownika). |
| Złośliwy adres IP | Logowanie zostało zablokowane, ponieważ pochodziło z adresu IP oznaczonego przez Microsoft jako źródło złośliwej aktywności. |
W obu przypadkach efekt jest ten sam: użytkownik widzi komunikat o zablokowanym koncie i nie może się zalogować do żadnej usługi Microsoft 365 (Outlook, Teams, SharePoint, OneDrive, portal administracyjny). Kluczowa różnica polega na tym, że przy IdsLocked blokada jest tymczasowa i liczona od ostatniej nieudanej próby, natomiast przy złośliwym IP może być trwała do czasu weryfikacji źródła.
Jak działa Smart Lockout — mechanizm blokady kont Microsoft 365
Smart Lockout to domyślnie włączony mechanizm chroniący wszystkie konta Microsoft Entra ID przed atakami typu brute force i password spray. Jego logika różni się od klasycznej blokady konta w Active Directory:
- Domyślny próg blokady: 10 nieudanych prób (dla tenantów Azure Public / Microsoft 365 komercyjnego). W chmurze Azure US Government próg wynosi 3 próby.
- Czas pierwszej blokady: 60 sekund. Po każdej kolejnej nieudanej próbie z tego samego źródła czas blokady rośnie — Microsoft nie publikuje dokładnego wzrostu, aby utrudnić atakującym omijanie zabezpieczeń.
- Śledzenie trzech ostatnich haseł: jeśli napastnik wpisuje to samo błędne hasło wielokrotnie, licznik nie zwiększa się — Smart Lockout traktuje to jako jedno zdarzenie. To zapobiega blokowaniu kont przez uporczywe powtarzanie jednego hasła.
- Oddzielne liczniki dla lokalizacji znanych i nieznanych: jeśli logujesz się z biura (lokalizacja znana), a równolegle ktoś atakuje konto z nieznanego IP, system rozdziela te próby — nie blokuje Cię za działania napastnika.
- Synchronizacja między centrami danych: gdy konto zostanie zablokowane, blokada obowiązuje we wszystkich centrach danych Microsoft globalnie.
Jeśli Twoja organizacja korzysta z Microsoft Entra ID P1 / P2 (część planów Microsoft 365 Business Premium, E3, E5), administrator może dostosować próg i czas blokady do własnych potrzeb.
Jak odblokować konto Microsoft 365 — 3 sprawdzone metody
Poniższe metody uszeregowano od najszybszej do wymagającej pomocy administratora. W większości przypadków metoda nr 1 rozwiązuje problem w mniej niż 2 minuty.
Metoda 1: Samodzielny reset hasła (SSPR) — najszybsza ⭐
Jeśli w Twojej organizacji włączono samoobsługowe resetowanie hasła (SSPR), reset hasła natychmiast zeruje licznik blokady:
- Otwórz przeglądarkę i przejdź na stronę
https://aka.ms/sspr(lubhttps://passwordreset.microsoftonline.com). - Wpisz adres e-mail swojego konta Microsoft 365 (np.
jan.kowalski@firma.pl) i przepisz znaki CAPTCHA. - Wybierz metodę weryfikacji — najczęściej kod SMS na numer telefonu, kod e-mail na alternatywny adres lub powiadomienie w aplikacji Microsoft Authenticator.
- Po zweryfikowaniu tożsamości ustaw nowe hasło (minimum 8 znaków; Microsoft zaleca min. 14 znaków z mieszanką wielkich/małych liter, cyfr i symboli).
- Ważne: w procesie SSPR musisz wybrać opcję „Nie pamiętam hasła” (I forgot my password), a nie „Znam swoje hasło” — tylko pełny reset hasła zeruje licznik blokady. Opcja „Znam swoje hasło” jedynie odblokowuje konto, ale nie resetuje czasu blokady.
- Po ustawieniu nowego hasła zaloguj się ponownie na
https://portal.office.com— konto powinno być natychmiast dostępne.
⚠️ Jeśli nie widzisz opcji resetu hasła, SSPR może być wyłączone dla Twojego konta. W takim przypadku przejdź do metody 2 lub 3.
Metoda 2: Odczekanie czasu blokady
Jeśli nie masz dostępu do SSPR, możesz po prostu odczekać. Czas blokady to minimum 60 sekund od ostatniej nieudanej próby, ale przy wielokrotnych błędach może wzrosnąć do kilkunastu minut lub dłużej. W praktyce:
- Odczekaj 15–30 minut bez prób logowania z tego samego urządzenia/sieci
- Wyczyść pamięć podręczną przeglądarki (lub użyj trybu incognito)
- Spróbuj zalogować się ponownie — tym razem z poprawnym hasłem
Jeśli nie pamiętasz hasła, nie zgaduj — każda błędna próba resetuje zegar blokady i może wydłużyć czas oczekiwania.
Metoda 3: Interwencja administratora (centrum administracyjne Entra ID)
Administrator z rolą co najmniej Cloud Application Administrator lub Authentication Policy Administrator może ręcznie odblokować konto:
- Zaloguj się do centrum administracyjnego Microsoft Entra:
https://entra.microsoft.com - Przejdź do Tożsamość > Monitorowanie i kondycja > Dzienniki logowania (Identity > Monitoring & health > Sign-in logs)
- Znajdź nieudane logowanie użytkownika z kodem błędu 50053 i sprawdź przyczynę w kolumnie Failure reason — czy to
IdsLocked, czy złośliwy adres IP - Aby odblokować konto: przejdź do Tożsamość > Użytkownicy > Wszyscy użytkownicy, wyszukaj użytkownika, wybierz go i kliknij Resetuj hasło (Reset password)
- Nadaj hasło tymczasowe i przekaż je użytkownikowi — przy pierwszym logowaniu system wymusi zmianę
Alternatywnie można użyć PowerShell (moduł Microsoft.Graph.Users):
Update-MgUser -UserId "jan.kowalski@firma.pl" -PasswordProfile @{
ForceChangePasswordNextSignIn = $true
Password = (ConvertTo-SecureString "TymczasoweHaslo2026!" -AsPlainText -Force)
}
Zresetowanie hasła przez administratora, podobnie jak SSPR, zeruje licznik blokady Smart Lockout.
Błąd AADSTS50053 spowodowany złośliwym adresem IP
Jeśli przyczyna w dziennikach logowania wskazuje na IP with malicious activity, sytuacja jest inna — nie chodzi o błędne hasła, tylko o to, że Twój publiczny adres IP znalazł się na liście Microsoft jako źródło złośliwej aktywności. To może się zdarzyć, gdy:
- Korzystasz z VPN lub proxy współdzielonego, przez które inni użytkownicy przeprowadzali ataki
- Twój router domowy ma publiczny adres IP wcześniej użyty przez zainfekowane urządzenie (botnet)
- Łączysz się z sieci publicznej (hotel, lotnisko, kawiarnia), której IP zostało oznaczone
W tym przypadku:
- Zmień źródło połączenia — wyłącz VPN, przełącz się na sieć komórkową (hotspot z telefonu) lub użyj innego połączenia internetowego
- Jeśli to stały problem z domowym/ firmowym IP, administrator musi zgłosić sprawę do pomocy technicznej Microsoft
- Administrator może też dodać zaufany zakres IP w ustawieniach Named Locations w Entra ID Conditional Access, aby wykluczyć go z blokad
Smart Lockout a Active Directory on-premises — uwaga na podwójną blokadę
Jeśli Twoja organizacja korzysta z hybrydowego środowiska — Microsoft Entra Connect synchronizuje hasła z lokalnym Active Directory — musisz wiedzieć o ważnej zależności:
Gdy próg blokady w Microsoft Entra ID jest wyższy lub równy progowi w AD DS, atak brute force może zablokować konto w Active Directory, zanim zadziała Smart Lockout w chmurze. Zasada konfiguracji:
- Próg blokady Entra ID (domyślnie 10) powinien być co najmniej 2–3 razy niższy niż próg w AD DS (np. AD DS = 20, Entra ID = 10)
- Czas blokady Entra ID (domyślnie 60 s) powinien być dłuższy niż czas blokady w AD DS
Dzięki temu Smart Lockout w chmurze przechwytuje atak, zanim dotrze on do serwerów on-premises.
Najczęstsze przyczyny błędu AADSTS50053 — tabela diagnostyczna
| Objaw | Prawdopodobna przyczyna | Rozwiązanie |
|---|---|---|
| Błąd po 2-3 próbach | Nietypowo niski próg blokady skonfigurowany przez admina | Skontaktuj się z administratorem IT |
| Błąd po wpisaniu poprawnego hasła | Złośliwy adres IP, nie licznik haseł | Zmień sieć / wyłącz VPN |
| Błąd tylko na jednym urządzeniu | Zbuforowane stare hasło w menedżerze poświadczeń Windows | Wyczyść Credential Manager (control /name Microsoft.CredentialManager) |
| Błąd na wszystkich urządzeniach | Konto faktycznie zablokowane przez Smart Lockout | SSPR (metoda 1) lub poczekaj (metoda 2) |
| Błąd pojawia się codziennie o podobnej porze | Atak password spray na organizację | Zgłoś administratorowi — konieczne wzmocnienie polityki haseł |
| Użytkownik ma MFA, a mimo to AADSTS50053 | Błędne hasło w pierwszym składniku (password), MFA nie jest nawet wywoływane | Reset hasła — MFA nie chroni przed blokadą za błędne hasło |
Częste pytania
Czy mogę zostać trwale zablokowany przez błąd AADSTS50053?
Nie. Błąd AADSTS50053 (IdsLocked) zawsze oznacza tymczasową blokadę — konto zostanie automatycznie odblokowane po upływie czasu blokady (minimum 60 sekund, maksymalnie kilkanaście-kilkadziesiąt minut przy powtarzających się błędach). Nie ma czegoś takiego jak „permanentny” Smart Lockout. Jeśli nie możesz się zalogować przez wiele godzin, przyczyną jest najprawdopodobniej złośliwy adres IP (zmień sieć) lub zupełnie inny błąd (np. konto wyłączone — AADSTS50057).
Ile prób logowania powoduje blokadę?
Domyślnie 10 nieudanych prób dla standardowych tenantów Microsoft 365 (Azure Public). Organizacje z licencją Microsoft Entra ID P1/P2 mogą dostosować tę wartość — niektóre firmy ustawiają 3 lub 5 prób. W chmurze Azure US Government domyślny próg to 3 próby.
Czy błąd AADSTS50053 oznacza, że ktoś próbuje włamać się na moje konto?
Niekoniecznie. Najczęstszą przyczyną jest po prostu kilkukrotne wpisanie błędnego hasła przez samego użytkownika. Jeśli jednak nie próbowałeś się logować, a otrzymujesz powiadomienia o blokadzie, skontaktuj się z administratorem — może to oznaczać próbę ataku na Twoje konto. Warto też sprawdzić historię logowań na stronie https://mysignins.microsoft.com.
Czy włączenie MFA (uwierzytelniania wieloskładnikowego) chroni przed AADSTS50053?
Nie — MFA (Microsoft Authenticator, SMS, klucz sprzętowy FIDO2) jest drugim składnikiem uwierzytelniania i wchodzi w grę dopiero po poprawnym wpisaniu hasła. Smart Lockout blokuje konto na etapie pierwszego składnika (hasła), więc nawet jeśli masz włączone MFA, wielokrotne błędne hasło nadal wywoła AADSTS50053.
Co zrobić, gdy SSPR nie działa — nie mam dostępu do telefonu ani alternatywnego e-maila?
To sytuacja wymagająca pomocy administratora IT. Administrator z odpowiednimi uprawnieniami (co najmniej Authentication Policy Administrator) może ręcznie zresetować Twoje hasło w centrum administracyjnym Microsoft Entra — nie potrzebuje do tego Twojego telefonu. Po otrzymaniu tymczasowego hasła zalogujesz się i zostaniesz poproszony o ustawienie nowego. Jeśli jesteś jedynym administratorem (tzw. break-glass account), skorzystaj z procedury awaryjnej Microsoft — wymagane jest potwierdzenie tożsamości przez helpdesk Microsoft (proces może potrwać 24–72 godziny).
Czy AADSTS50053 dotyczy tylko Microsoft 365, czy też innych usług Microsoft?
Błąd dotyczy wszystkich usług korzystających z Microsoft Entra ID jako dostawcy tożsamości. Obejmuje to: Microsoft 365 (Outlook, Teams, SharePoint, OneDrive, Exchange Online), Azure Portal, Microsoft Intune, Dynamics 365, Power Platform i tysiące aplikacji firm trzecich zintegrowanych przez Entra ID. Jeśli widzisz AADSTS50053 przy logowaniu do dowolnej z tych usług, procedura odblokowania jest taka sama.
Czy mogę zapobiec blokadzie w przyszłości?
Tak — oto trzy najskuteczniejsze działania: (1) korzystaj z menedżera haseł (np. wbudowanego w przeglądarkę lub Microsoft Authenticator z funkcją autouzupełniania), aby nie wpisywać ręcznie haseł; (2) jeśli organizacja na to pozwala, skonfiguruj logowanie bezhasłowe (passwordless) przez Microsoft Authenticator, Windows Hello for Business lub klucz FIDO2; (3) poproś administratora o skonfigurowanie reguł Conditional Access wykluczających zaufane lokalizacje z licznika Smart Lockout (wymaga Entra ID P1).
Masz już działające konto Microsoft 365, ale potrzebujesz nowej licencji — np. na dodatkowe stanowisko, po wygaśnięciu subskrypcji lub do nowego komputera? Sprawdź ofertę legalnych, pełnowartościowych kluczy Microsoft 365 w KluczeSoft:
→ Microsoft 365 — klucze licencyjne od 79 zł
KluczeSoft.pl jest niezależnym sprzedawcą — nie jesteśmy częścią Microsoft Corporation. Sprzedajemy legalne klucze licencyjne w ramach unijnej zasady wyczerpania prawa (orzeczenie UsedSoft).