Como Resolver o Connect-MgGraph: InteractiveBrowserCredential authentication failed: A window handle must be configured Error

Publicado em por chesleysilva

Após uma atualização recente da Microsoft, muitos administradores começaram a ver falhas no login do Microsoft Graph PowerShell com o erro “Um handle de janela deve ser configurado.” Este blog explica a causa raiz do problema e apresenta quatro soluções comprovadas que ajudam a restaurar a conectividade do Microsoft Graph.

“Autenticação InteractiveBrowserCredential falhou: Um handle de janela deve ser configurado.”

O que tornava isso particularmente interessante era que o mesmo script rodava perfeitamente bem em nossas máquinas. Sem erros. Sem avisos. Nada mesmo. 🤔 Naturalmente, isso nos fez investigar mais fundo. Após algumas tentativas e erros, e bastante confusão, descobrimos que esse erro começou a aparecer após o Microsoft Graph PowerShell SDK v2.34.0, lançado em dezembro de 2025.

  1. Como isso Aconteceu?
  2. Como Resolver o Erro???
    1. Mudança para o console PowerShell padrão
    2. Configurar autenticação baseada em certificado no Microsoft 365
    3. Uso de Autenticação por Código de Dispositivo no MS Graph PowerShell
    4. Desabilitar o Gerenciador de Contas Web do Windows (WAM) no PowerShell

Como isso Aconteceu?

Com essa última versão, a Microsoft discretamente tornou o Web Account Manager (WAM) o intermediário padrão de autenticação para logins interativos no PowerShell, como parte de sua tentativa de uma proteção mais forte contra tokens. Embora a mudança faça sentido do ponto de vista da segurança, ela quebrou inesperadamente a autenticação interativa em certos ambientes.

Neste blog, vamos explorar como corrigir o erro “Um handle de janela deve ser configurado“, para que você possa voltar a rodar seus scripts sem dores de cabeça.

Como Resolver o Erro???

“Connect-MgGraph : InteractiveBrowserAutenticação de credenciais falhada: Um handle de janela deve ser configurado”

Quando encontramos esse erro, fizemos o que a maioria de nós faz primeiro: procuramos na documentação oficial, em questões do GitHub e em fóruns da comunidade. Surpreendentemente, não havia uma explicação clara para o problema ou uma solução definida disponível.

Então, arregaçamos as mangas, testamos várias abordagens e reduzimos para quatro métodos que funcionaram consistentemente para nós.

Mudança para o console PowerShell padrão

Esse controle de janela geralmente ocorre ao executar scripts do PowerShell ISE. Quando você se conecta ao Microsoft Graph usando um console PowerShell padrão, o erro não ocorre.

Então, a solução mais fácil é abrir uma janela comum do PowerShell (powershell.exe) e rodar seu script ou cmdlets. Você também pode migrar para o PowerShell 7, que funciona melhor com fluxos modernos de autenticação e geralmente é mais confiável para o Microsoft Graph PowerShell.

Nota: Às vezes, ao fazer login, a autenticação pode parecer travada sem erro ou aviso visível. A Microsoft explica isso da seguinte forma:

“O login pelo Web Account Manager (WAM) está ativado por padrão no Windows. Se estiver usando um terminal embutido, a janela interativa do navegador pode estar escondida atrás de outras janelas.”

Isso significa que a janela de login pode abrir atrás de outra janela. Nesses casos, minimize suas janelas abertas e verifique se o prompt de login está aberto em segundo plano.

Configurar autenticação baseada em certificado no Microsoft 365

Se você quiser evitar logins interativos repetidos, a autenticação baseada em certificado é a melhor opção. Esse método é mais seguro do que a autenticação interativa tradicional e requer apenas uma configuração única.

Você pode criar um certificado autoassinado ou obter um de uma autoridade certificadora confiável. Depois, siga os passos abaixo para enviar um certificado em uma aplicação do Entra.

  1. Faça login no centro de administração do Microsoft Entra.
  2. Navegue até o Entra ID > Registros de aplicativos.
  3. Clique em “+ Nova inscrição”, insira todos os dados necessários e clique em Cadastrar 
  4. Na página de detalhes da inscrição, clique em Certificados & segredos em Gerenciar.
  5. Vá até a aba Certificados e selecione Carregar certificado.
  6. Depois, navegue e escolha o certificado que você criou e clique em Adicionar.

Uma vez configurado, substitua todos os marcadores de posição por valores apropriados e execute o seguinte cmdlet para conectar ao MS Graph usando um certificado.

Connect-MgGraph -TenantId <TenantId> -ClientId <ClientId> -CertificateThumbprint <CertificateThumbprint>

Essa abordagem é ideal para automação, tarefas agendadas e scripts de produção.

Uso de Autenticação por Código de Dispositivo no MS Graph PowerShell

Outra correção rápida para o erro do handle de janela é a autenticação por código de dispositivo, que remove a dependência do login baseado no navegador. Isso faz dele uma boa opção quando você trabalha em um terminal embarcado, sessão remota ou qualquer ambiente onde pop-ups interativos não funcionam de forma confiável.

No entanto, sua disponibilidade depende da configuração do seu locatário. Muitos tenants do Microsoft 365 bloqueiam o login do código do dispositivo por meio de políticas de Acesso Condicional para manter uma base de segurança forte. Se a autenticação por código de dispositivo for permitida no seu tenant, você pode se conectar ao Microsoft Graph usando o seguinte cmdlet.

Connect-MgGraph -UseDeviceAuthentication

 

  1. Clique em Próximo e selecione a conta com a qual deseja entrar.

Esse método exige que você autentique toda vez que se conectar, tornando-o adequado para cenários ocasionais em vez de automação diária.

Desabilitar o Gerenciador de Contas Web do Windows (WAM) no PowerShell

Como o Gerenciador de Contas Web do Windows (WAM) é a causa raiz desse problema, desativá-lo pode frequentemente resolver o problema. Nas versões anteriores do Microsoft Graph PowerShell, isso era simples. Você poderia simplesmente desativar o WAM apenas para o Microsoft Graph rodando o cmdlet abaixo.

Set-MgGraphOption -EnableLoginByWAM $false

No entanto, a partir do Microsoft Graph PowerShell SDK v2.34.0, esse comportamento mudou. A Microsoft afirmou que:

“O login pelo Gerenciador de Conta Web (WAM) está ativado por padrão em sistemas Windows e não pode ser desativado. Qualquer configuração que diga o contrário será ignorada.”

Como resultado, as configurações e cmdlets que antes eram usados para desabilitar o WAM especificamente para o Microsoft Graph foram obsoletos.

Embora desativar apenas o WAM para o Microsoft Graph não seja mais possível, existe uma alternativa. Você pode forçar a Microsoft Authentication Library (MSAL) a parar de usar WAM completamente. Fazer isso faz com que o PowerShell volte ao clássico login baseado em navegador, que evita completamente o problema do controle de janela.

Para desabilitar o WAM no nível MSAL, execute o seguinte comando:

setx MSAL_FORCE_WAM 0

Isso obriga a MSAL a não usar WAM para autenticação e, em vez disso, a usar o fluxo tradicional de login baseado em navegador. Essa configuração é global, não limitada ao Microsoft Graph, o que significa que todas as ferramentas e módulos que dependem do MSAL nesse sistema deixarão de usar WAM.

Como resultado, o método é o menos recomendado e deve ser usado apenas quando nenhuma outra solução parecer viável.

Nota: Após mudar essa configuração, abra uma nova janela do PowerShell. Continuar na mesma sessão pode não funcionar como esperado.

Esperamos que este blog tenha ajudado você a resolver o erro de falha de autenticação interativa do navegador. Se você tiver dúvidas ou dúvidas, por favor, compartilhe nos comentários abaixo. Estamos felizes em ajudar!

Deixe um comentário