Microsoft Entra ID 中的 AADSTS50105 錯誤是 未能授權 當B2B協作中的訪客嘗試存取需要明確授權但缺少授權的企業應用程式時,就會發生這種情況… 必要角色 或成為該團體的成員。
大多數情況下,此錯誤會在成功完成單一登入 (SSO) 驗證後立即出現。這表示使用者的憑證有效,但缺少必要的資訊。 所需權限問題出在準備工作。 “需預約” (需要分配),它強制執行最小權限原則,禁止任何沒有明確存取權限的人存取。
錯誤代碼 50105 主要與 缺少作業其他因素也會導致其出現。常見的例子包括:
- 供應缺口 – 自動化不完整或設定步驟被忽略。
- 政策衝突 條件存取規則或企業應用程式配置不當。
- 代幣發行 – 損壞或過期的令牌會妨礙正確的授權。
- 帳戶限制 嘗試後暫時關閉 登入 頻繁。
- 網路相關禁令 - 拒絕已被標記為可疑活動的 IP 位址的存取。
解決此錯誤最直接的方法是授予來賓使用者在其 Microsoft Entra ID 中對企業應用程式的明確存取權。這樣可以確保他們獲得所需的權限。 所需權限 أ或者 角色因為準備工作 “需預約” (需分配任務)實施嚴格的存取控制; 禁止 未明確分配的用戶將自動登入。透過新增分配,即可滿足授權要求,讓訪客使用者在不受額外限制的情況下登入。
- 打開您的網絡瀏覽器。
- 去 微軟 Entra 管理中心.
- 登入身份 雲端應用程式管理員 أ或者 全域管理員.
- 去 身份>應用領域>企業應用.
- 找到並選擇目標應用程式。
- 在申請部分,在 管理, 點擊 用戶和組.
- 點擊按鈕 “+ 新增使用者/群組”.
- 在「新增作業」部分,選擇 沒什麼特別的。 用戶和群組內部。
- 尋找並選擇需要存取權限的訪客使用者(例如,user@abc.com)。
- 定義角色時,請選擇對應的應用程式角色(例如,標準使用者)。如果應用程式沒有任何角色,則可以跳過此步驟。
- 點擊 指定 授予存取權限。
為降低此類錯誤再次發生的風險,組織應實施以下幾項預防措施:
- 設定訪客用戶 收到邀請後立即將其加入正確的群組。
- 使用安全工具包和基於群組的許可 簡化動態存取控制。
- 打開 訪問評論 在 Microsoft Entra ID 中,定期刪除過時或不必要的權限。
- 責任 多因子驗證 對於所有訪客帳戶,如有必要,請在租戶之間建立 MFA 信任。
- 清除快取或登入時使用隱身模式,可以減少瀏覽器相關問題。
評論被關閉。