Como Funciona o Autodiscover no Outlook: O365 vs Hosted Exchange — Guia para Sysadmins
Autodiscover · Outlook · Microsoft 365 · Hosted Exchange · Exchange Online · DNS · SCP · Diagnóstico
O Autodiscover é o mecanismo que o Outlook usa para se configurar automaticamente — URLs dos servidores, protocolo MAPI, EWS, OAB, disponibilidade, e muito mais. No Outlook 2016 e versões posteriores (incluindo Microsoft 365 Apps) é considerado o único ponto de verdade para a configuração: se o Autodiscover falhar ou estiver mal configurado, o Outlook não funciona correctamente, mesmo que as credenciais estejam certas.
Este artigo explica como funciona o processo completo de Autodiscover no Outlook, o que deve estar configurado quando o serviço de email é Microsoft 365 / Exchange Online, e o que muda quando o serviço é Hosted Exchange (MEO Empresas, NOS, Claranet, e outros providers nacionais).
Neste artigo
- O que é o Autodiscover e porque é crítico
- Quando é que o Outlook executa o Autodiscover
- Os 11 passos do processo de Autodiscover
- O que deve estar configurado em Microsoft 365 / Exchange Online
- O que deve estar configurado em Hosted Exchange
- Comparativo O365 vs Hosted Exchange — o que difere
- Problemas comuns e como diagnosticar
- Referência rápida de registos DNS por cenário
- Controlo por registo e políticas de grupo (GPO)
1. O que é o Autodiscover e porque é Crítico
Quando o Outlook abre pela primeira vez (ou quando é adicionada uma conta), não sabe onde está o servidor de email. O Autodiscover é o processo que resolve isso — o Outlook usa o endereço de email do utilizador para descobrir automaticamente todos os parâmetros de configuração necessários: URLs do servidor MAPI/HTTP, endpoint EWS (Exchange Web Services) para calendários e caixas partilhadas, URL do OAB (Offline Address Book), endpoint do Serviço de Disponibilidade (Free/Busy), e configurações de MFA e autenticação moderna.
⚠ Autodiscover com falha = Outlook com falha
A partir do Outlook 2016 (e Microsoft 365 Apps), o Autodiscover é o único ponto de verdade para a configuração. Um Autodiscover mal configurado ou inacessível causa: pop-ups recorrentes de password, falhas a abrir caixas partilhadas e calendários, erros de OAB, disponibilidade a não carregar (“A informação de disponibilidade não está disponível”), e o Outlook a trabalhar offline sem razão aparente.
2. Quando é que o Outlook Executa o Autodiscover
O Autodiscover não corre apenas na criação da conta. O Outlook executa-o regularmente e em resposta a determinados eventos:
| Quando corre | Detalhe |
|---|---|
| Criação da conta | Quando o Outlook é configurado pela primeira vez ou quando é adicionada uma nova conta ao perfil |
| Intervalos regulares | Periodicamente para recolher actualizações dos URLs de serviço (EWS, OAB, etc.). Se bem-sucedido, repete em 1 hora; se falhar, tenta novamente em 5 minutos |
| Falhas de conectividade | Quando uma tentativa de ligação ao servidor falha, o Outlook dispara o Autodiscover para tentar obter novos parâmetros |
| Invocação por MAPI | Quando outra aplicação invoca o Outlook via MAPI (ex: aplicações de linha de negócio que enviam email) |
3. Os 11 Passos do Processo de Autodiscover
O Outlook percorre uma sequência ordenada de 11 passos para obter o payload XML de Autodiscover. Assim que um passo tem sucesso, os restantes não são tentados. Compreender esta sequência é fundamental para perceber porque é que o Outlook se configura de uma forma e não de outra.
| # | O que o Outlook tenta | Relevante para | Chave de política |
|---|---|---|---|
| 1 | Cache de reinício — lê um payload guardado localmente para cenários de arranque especiais (ex: adicionar segunda conta com Outlook aberto) | Ambos | — |
| 2 | XML local preferencial — verifica se o administrador implementou um ficheiro autodiscover.xml local via GPO (PreferLocalXML=1) |
Ambos | PreferLocalXML |
| 3 | Último Bom Conhecido (LKG) — usa o payload em cache da última tentativa bem-sucedida. Ignorado em criação de conta nova e em resposta a falhas de conectividade | Ambos | ExcludeLastKnownGoodURL |
| 4 | 🔵 O365 como prioridade — se o Outlook detectar (por heurísticas) que a conta é O365, tenta directamente https://autodiscover-s.outlook.com/autodiscover/autodiscover.xml |
O365 (prioritário) | ExcludeExplicitO365Endpoint |
| 5 | SCP (Service Connection Point) — consulta o Active Directory (LDAP) para obter o URL do Autodiscover publicado pelo Exchange on-premises. Só funciona em PCs ligados ao domínio | Exchange on-prem / Hosted | ExcludeScpLookup |
| 6 | Domínio raiz HTTPS — tenta https://empresa.pt/autodiscover/autodiscover.xml. Ignora erros de certificado propositadamente |
Ambos (raramente usado) | ExcludeHttpsRootDomain |
| 7 | Subdomínio Autodiscover HTTPS — tenta https://autodiscover.empresa.pt/autodiscover/autodiscover.xml. Não ignora erros de certificado — o certificado tem de ser válido |
Hosted Exchange (principal) | ExcludeHttpsAutoDiscoverDomain |
| 8 | XML local (fallback) — tenta o ficheiro XML local mesmo sem a política PreferLocalXML activa, se os passos anteriores falharam | Ambos (fallback) | — |
| 9 | Redirecionamento HTTP — envia pedido HTTP (não HTTPS) para http://autodiscover.empresa.pt/autodiscover/autodiscover.xml e segue redirecionamentos para HTTPS. Ignora payload XML recebido directamente por HTTP |
Hosted Exchange (redirect) | ExcludeHttpRedirect |
| 10 | Registo SRV DNS — consulta DNS por _autodiscover._tcp.empresa.pt e tenta o URL obtido |
Hosted Exchange (alternativa) | ExcludeSrvRecord |
| 11 | 🔵 O365 como último recurso — se todos os passos anteriores falharam, tenta novamente os endpoints O365 com heurísticas menos restritivas. Mesmo URL do passo 4 | O365 (failsafe) | ExcludeExplicitO365Endpoint |
ℹ O Outlook para no primeiro passo bem-sucedido
Assim que um passo devolve um payload XML válido, o Outlook usa-o e não tenta os passos seguintes. Isto significa que o passo 4 (O365 como prioridade) pode “roubar” a configuração de uma conta Hosted Exchange se o Outlook determinar erroneamente que é uma conta O365 — e vice-versa. A ordem dos passos é a chave para perceber o comportamento.
4. O que Deve Estar Configurado em Microsoft 365 / Exchange Online
No Microsoft 365, o Autodiscover é gerido pela Microsoft — o endpoint autodiscover-s.outlook.com é mantido pela Microsoft e responde automaticamente para qualquer domínio verificado no tenant. A responsabilidade do administrador de IT é garantir que o DNS do domínio aponta correctamente para este endpoint.
DNS obrigatório para O365
| Registo DNS | Tipo | Valor | Porquê |
|---|---|---|---|
| autodiscover.empresa.pt | CNAME | autodiscover.outlook.com | Passo 7 — O Outlook resolve o CNAME e chega ao endpoint Microsoft |
| empresa.pt MX | MX | empresa-pt.mail.protection.outlook.com | Entrega de email para o Exchange Online |
| empresa.pt SPF | TXT | v=spf1 include:spf.protection.outlook.com -all | Autenticação de email enviado pelo Exchange Online |
Como o Outlook detecta que é O365 (Passo 4)
O Outlook usa um conjunto de heurísticas para determinar se a conta é O365 antes de tentar o passo 4. Os principais indicadores são:
| Indicador | Detalhe |
|---|---|
Registo MX aponta para outlook.com |
O sinal mais forte — se o MX do domínio for *.mail.protection.outlook.com, o Outlook assume com confiança elevada que é O365 |
CNAME autodiscover aponta para autodiscover.outlook.com |
Confirmação adicional de que o Autodiscover é gerido pela Microsoft |
| Domínio verificado no tenant O365 | O Outlook pode consultar o Microsoft Online Services para confirmar se o domínio pertence a um tenant O365 |
⚠ O passo 4 pode interferir com Hosted Exchange
Se uma organização tem o domínio registado no Microsoft 365 (mesmo sem email — apenas para Teams, SharePoint, ou licenças M365) mas o email está num servidor Hosted Exchange, o Outlook pode tentar o endpoint O365 no passo 4 e obter uma resposta errada ou nenhuma resposta. Para evitar este problema, usar a chave de registo ExcludeExplicitO365Endpoint=1 nos PCs, forçando o Outlook a saltar o passo 4 e ir directo para o passo 5 (SCP) ou 7 (CNAME Autodiscover).
Verificação do Autodiscover O365 — teste rápido
$email = “[email protected]”
$url = “https://autodiscover-s.outlook.com/autodiscover/autodiscover.xml”
$body = @”
<?xml version=”1.0″?>
<Autodiscover xmlns=”http://schemas.microsoft.com/exchange/autodiscover/outlook/requestschema/2006″>
<Request><EMailAddress>$email</EMailAddress>
<AcceptableResponseSchema>http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a</AcceptableResponseSchema>
</Request>
</Autodiscover>
“@
Invoke-RestMethod -Uri $url -Method POST -Body $body -ContentType “text/xml” -Credential (Get-Credential)
# A resposta deve conter <Type>EXCH</Type> ou <Type>EXPR</Type> com os URLs do servidor
# Verificar o CNAME Autodiscover do domínio
Resolve-DnsName -Name “autodiscover.empresa.pt” -Type CNAME
# Deve resolver para autodiscover.outlook.com
5. O que Deve Estar Configurado em Hosted Exchange
No Hosted Exchange (MEO Empresas, NOS Empresas, Claranet, e outros providers), o servidor Exchange é gerido pelo provider mas o domínio de email pertence ao cliente. O Autodiscover precisa de ser configurado correctamente no DNS do domínio do cliente para que o Outlook consiga chegar ao servidor do provider.
Método principal — CNAME Autodiscover
O método mais simples e mais comum: criar um registo CNAME no DNS público do domínio do cliente que aponta para o endpoint de Autodiscover do provider. O Outlook tenta este URL no passo 7.
| Registo DNS | Tipo | Valor — exemplos por provider |
|---|---|---|
| autodiscover.empresa.pt | CNAME | autodiscover-redirect.mail.ptempresas.pt (MEO Empresas) |
| autodiscover.empresa.pt | CNAME | autodiscover.claranet.pt (Claranet) |
| autodiscover.empresa.pt | CNAME | [endpoint fornecido pelo provider] |
⚠ O certificado do endpoint do provider tem de ser válido
No passo 7, o Outlook não ignora erros de certificado (ao contrário do passo 6). O endpoint de Autodiscover do provider tem de ter um certificado SSL válido que inclua o nome autodiscover.empresa.pt (como SAN — Subject Alternative Name). Se o certificado não incluir o nome do domínio do cliente, o Outlook apresenta um aviso de certificado ou falha silenciosamente e avança para o próximo passo.
Método alternativo — Registo SRV DNS
Quando não é possível criar um CNAME (por ex. o domínio raiz está a ser usado por outro serviço e o provider não controla o certificado), o registo SRV permite especificar o host e a porta do endpoint de Autodiscover. O Outlook consulta este registo no passo 10.
| Registo DNS | Tipo | Valor |
|---|---|---|
| _autodiscover._tcp.empresa.pt | SRV | 0 0 443 mail.provider.pt |
O formato do registo SRV é: [prioridade] [peso] [porta] [host alvo]. O Outlook usa apenas entradas com protocolo HTTPS (porta 443).
Verificação do Autodiscover Hosted Exchange — teste rápido
Resolve-DnsName -Name “autodiscover.empresa.pt” -Type CNAME
# Resultado esperado: NameHost = autodiscover.mail.meo.pt (ou endpoint do provider)
# Testar o URL de Autodiscover directamente
Invoke-WebRequest -Uri “https://autodiscover.empresa.pt/autodiscover/autodiscover.xml” -Method GET
# Deve devolver HTTP 401 (requer autenticação) — não HTTP 404 ou erro de certificado
# Verificar registo SRV (método alternativo)
Resolve-DnsName -Name “_autodiscover._tcp.empresa.pt” -Type SRV
# Testar o Autodiscover no Outlook com a ferramenta integrada
# No Outlook: Ctrl + clique direito no ícone da barra de tarefas → “Testar configuração automática de email…”
# Introduzir email e password → clicar Test. Ver os resultados nos separadores Results e Log
6. Comparativo O365 vs Hosted Exchange — o que Difere
| Aspecto | Microsoft 365 / Exchange Online | Hosted Exchange (MEO/NOS/Claranet) |
|---|---|---|
| Passo principal | Passo 4 — O365 como prioridade | Passo 7 — CNAME autodiscover (ou passo 10 via SRV) |
| Endpoint Autodiscover | autodiscover-s.outlook.com | autodiscover.empresa.pt → CNAME para provider |
| Registo DNS obrigatório | CNAME autodiscover → autodiscover.outlook.com | CNAME autodiscover → [endpoint provider] ou SRV |
| Certificado SSL | Gerido pela Microsoft — sempre válido | Gerido pelo provider — deve incluir o domínio do cliente como SAN |
| SCP no Active Directory | Não existe (Exchange na cloud, sem AD local) | Pode existir se houver AD on-premises (passo 5); em PCs não no domínio é ignorado |
| Autenticação moderna (OAuth) | Nativa — MFA e Conditional Access via Entra ID | Dependente do provider — muitos usam NTLM/Basic Auth no MAPI; alguns suportam OAuth |
| Protocolo de ligação | MAPI/HTTP (exclusivo) — RPC/HTTP eliminado | MAPI/HTTP (Exchange 2013+) ou RPC/HTTP (versões mais antigas) |
| Tipo de resposta do Autodiscover | <Type>EXCH</Type> com URLs outlook.com | <Type>EXCH</Type> ou <Type>EXPR</Type> com URLs do servidor do provider |
| Pop-up de password | Autenticação moderna — aparece no browser; após MFA não volta a pedir | Dialog box do Outlook; pode pedir repetidamente se NTLM falhar ou token expirar |
7. Problemas Comuns e Como Diagnosticar
| Sintoma | Causa mais provável | Diagnóstico e solução |
|---|---|---|
| Pop-up de password recorrente | Autodiscover a falhar ou a apontar para servidor errado; credenciais em cache desactualizadas | Testar com Ctrl + clique direito no ícone Outlook → Testar configuração automática de email. Limpar credenciais no Gestor de Credenciais do Windows. |
| Aviso de certificado ao configurar conta | O certificado do endpoint Autodiscover não inclui o domínio do cliente (Hosted Exchange); ou CNAME aponta para URL errado | Verificar que autodiscover.empresa.pt resolve para o endpoint correcto. Contactar o provider para confirmar que o SAN do certificado inclui o domínio. |
| Caixas partilhadas / calendários não abrem | Autodiscover com resposta parcial — URL de EWS incorrecto ou em falta no payload XML | No teste de Autodiscover, verificar o separador XML e confirmar a presença e correcção do campo EwsUrl. |
| Outlook usa configuração errada (ex: liga ao O365 em vez do Hosted) | Passo 4 (O365 como prioridade) a interferir; domínio registado em tenant O365 mas email no Hosted Exchange | Aplicar chave de registo ExcludeExplicitO365Endpoint=1 nos PCs afectados ou via GPO. |
| Autodiscover muito lento (timeout) | O Outlook está a tentar passos que nunca vão ter sucesso (ex: passo 6 para domínio raiz sem Autodiscover) e aguarda timeout de 25s por passo | Excluir os passos desnecessários via GPO (ex: ExcludeHttpsRootDomain=1). Reduzir o timeout de 25s para 10s via registo. |
| O Outlook diz “A ligação ao servidor falhou” mas o servidor está OK | Cache LKG (Último Bom Conhecido) com dados desactualizados após migração ou alteração de servidor | Forçar novo Autodiscover: apagar o perfil Outlook e recriar; ou aplicar ExcludeLastKnownGoodURL=1 temporariamente. |
Ferramenta de teste integrada no Outlook
A forma mais directa de diagnosticar problemas de Autodiscover é usar a ferramenta integrada no próprio Outlook:
|
1
|
Com o Outlook aberto: manter Ctrl pressionado e clicar com o botão direito no ícone do Outlook na barra de tarefas |
|
2
|
Seleccionar “Testar configuração automática de email…” |
|
3
|
Confirmar o endereço de email, introduzir a password, e clicar Test |
|
4
|
Separador Results: confirmar que o URL de login, EwsUrl e OabUrl estão correcto para o serviço em uso |
|
5
|
Separador Log: ver a sequência de passos tentados — identifica qual o passo que teve sucesso e quais falharam |
8. Referência Rápida de Registos DNS por Cenário
Cenário 1 — Email em Microsoft 365 (Exchange Online)
| Nome | Tipo | Valor | Obrigatório |
|---|---|---|---|
| autodiscover.empresa.pt | CNAME | autodiscover.outlook.com | ✅ Sim |
| empresa.pt | MX | empresa-pt.mail.protection.outlook.com | ✅ Sim |
| empresa.pt (TXT) | TXT | v=spf1 include:spf.protection.outlook.com -all | ✅ Sim |
| selector1._domainkey.empresa.pt | CNAME | selector1-empresa-pt._domainkey.empresa.onmicrosoft.com | ✅ Recomendado |
Cenário 2 — Email em Hosted Exchange (MEO/NOS/Claranet)
| Nome | Tipo | Valor | Obrigatório |
|---|---|---|---|
| autodiscover.empresa.pt | CNAME | [endpoint Autodiscover do provider] | ✅ Sim |
| empresa.pt | MX | [servidor de email do provider] | ✅ Sim |
| empresa.pt (TXT) | TXT | v=spf1 include:[spf do provider] -all | ✅ Sim |
| _autodiscover._tcp.empresa.pt | SRV | 0 0 443 [host Autodiscover do provider] | ⚠️ Alternativa ao CNAME |
Cenário 3 — M365 para Teams/SharePoint mas email em Hosted Exchange
⚠ Cenário mais complexo — requer configuração cuidadosa
Quando o domínio está registado num tenant M365 (para Teams, SharePoint, Copilot) mas o email está no Hosted Exchange, o Outlook pode ficar confuso no passo 4 e tentar o endpoint O365, recebendo erro ou resposta vazia.
Configuração necessária: CNAME autodiscover a apontar para o provider de email (não para outlook.com) + aplicar via GPO ExcludeExplicitO365Endpoint=1 nos PCs que usam o Hosted Exchange. Isto força o Outlook a ignorar o passo 4 e a usar o CNAME no passo 7.
9. Controlo por Registo e Políticas de Grupo (GPO)
Cada passo do Autodiscover pode ser controlado por chaves de registo ou GPO. As chaves são do tipo DWORD e o valor 1 desactiva o passo correspondente (excepto PreferLocalXML que activa).
| Chave de registo (DWORD) | Passo | Valor=1 significa | Quando usar |
|---|---|---|---|
| ExcludeExplicitO365Endpoint | 4 e 11 | Salta os passos O365 — nunca tenta autodiscover-s.outlook.com | Hosted Exchange com domínio registado em M365 |
| ExcludeScpLookup | 5 | Ignora a consulta SCP ao Active Directory | PCs no domínio com Exchange Hosted (sem SCP no AD) |
| ExcludeHttpsRootDomain | 6 | Não tenta https://empresa.pt/autodiscover/… | Melhorar velocidade de configuração quando este passo nunca tem sucesso |
| ExcludeHttpsAutoDiscoverDomain | 7 | Não tenta https://autodiscover.empresa.pt/… | Raramente — só se o CNAME estiver a interferir |
| ExcludeHttpRedirect | 9 | Não segue redirecionamentos HTTP | Ambientes onde o redirect HTTP cria problemas de segurança |
| ExcludeSrvRecord | 10 | Ignora a consulta DNS SRV | Quando o SRV não existe e a tentativa atrasa o processo |
| ExcludeLastKnownGoodURL | 3 | Ignora o cache LKG — força pesquisa nova | Após migração de servidor para forçar nova descoberta |
| PreferLocalXML | 2 | Usa o ficheiro autodiscover.xml local antes de qualquer outro método | Ambientes sem DNS externo ou cenários controlados |
Localização das chaves de registo:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\AutoDiscover
# Chave de política (GPO — mais prioritária, sobrepõe a chave acima)
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Outlook\AutoDiscover
# Exemplo — aplicar ExcludeExplicitO365Endpoint via PowerShell
$regPath = “HKCU:\Software\Microsoft\Office\16.0\Outlook\AutoDiscover”
if (-not (Test-Path $regPath)) { New-Item -Path $regPath -Force | Out-Null }
Set-ItemProperty -Path $regPath -Name “ExcludeExplicitO365Endpoint” -Value 1 -Type DWord
# Definições de timeout (padrão: 25s; mínimo: 10s; máximo: 120s)
Set-ItemProperty -Path $regPath -Name “Timeout” -Value 10 -Type DWord
# Reduzir o timeout para 10s melhora a velocidade em ambientes onde muitos passos falham
Artigos relacionados no kbase.pt
- Como Usar o Event Viewer para Diagnosticar Ligações do Outlook — Guia Passo a Passo
- Como Configurar SPF, DKIM e DMARC para um Domínio .pt
- Erros de Recepção e Envio de Email POP3, IMAP e SMTP: Como Resolver
- Como Diagnosticar Problemas no Exchange Online — Guia para Helpdesk
- Como Resolver o Pop-up de Password no Outlook com Hosted Exchange (MAPI)
