Contents

修正:Microsoft Entra ID(認証失敗)のAADSTS50105エラー

Contents

/images/Azure-error.png

Microsoft Entra IDのAADSTS50105エラーは、B2Bコラボレーションのゲストが明示的な割り当てを必要とするが、必要な役割またはグループメンバーシップを欠いているエンタープライズアプリケーションにアクセスしようとする場合に発生する承認障害です。

/images/Azure-error.png

ほとんどの場合、SSO認証が成功した直後にエラーが表示されます。これは、ユーザーの資格情報が有効であることを示していますが、必要な権限はありません。この問題は、「割り当てが必要」設定に関連付けられており、最小特権の原則を実施し、明示的なアクセスなしで誰でもブロックします。

エラーコード50105は主に不足している割り当てにリンクされていますが、他の要因もトリガーできます。一般的な例は次のとおりです。

*ギャップのプロビジョニング - 不完全な自動化または見落とされたオンボーディング手順。

*ポリシーの競合 - 条件付きアクセスルールまたは誤解されたエンタープライズアプリ。

*トークンの問題 - 不正なトークンまたは有効期限が切れたトークンは、有効な承認を防ぎます。

*アカウントの制限 - 繰り返しサインインの試行後の一時的なロックアウト。

*ネットワーク関連のブロック - 疑わしいアクティビティのためにフラグが付けられたIPアドレスから拒否されたアクセス。

このエラーを解決する最も直接的な方法は、Microsoft Entra IDのエンタープライズアプリケーションへの明示的なアクセスをゲストユーザーに付与することです。そうすることで、必要な許可または役割が提供されます。 「割り当てが必要」設定は厳密なアクセス制御を実施するため、明示的な割り当てのないユーザーが自動的にブロックされます。割り当てを追加することにより、承認要件が満たされ、ゲストユーザーがさらなる制限なしにサインインすることができます。

  1. Webブラウザを開きます。

2。Microsoft Entra管理センターに移動します。 /images/Entra.png

3.クラウドアプリケーション管理者またはグローバル管理者としてサインインします。

4。ID> Applications> Enterprise Applicationsに移動します。 /images/identity.png

5.ターゲットアプリケーションを検索して選択します。

6.アプリケーションペインで、管理セクションの下で、ユーザーとグループをクリックします。 /images/users-and-group.png

7.「+ユーザー/グループの追加」ボタンをクリックします。 /images/unnamed-file-e1756524325724.png

8。割り当てペインの追加で、ユーザーとグループの下で選択されていないものを選択します。

9.アクセスが必要なゲストユーザーを検索して選択します(たとえば、[email protected])。

10。役割を選択する下で、適切なアプリの役割(標準ユーザーなど)を選択します。アプリに役割がない場合、このステップをスキップできます。

  1. 割り当てをクリックして付与アクセスを行います。

このエラーの繰り返しのリスクを最小限に抑えるために、組織はいくつかの予防措置を適用する必要があります。

*ゲストユーザーが招待されたらすぐに適切なグループに割り当てます。

*セキュリティグループとグループベースのライセンスを使用して、動的アクセス制御を簡素化します。

  • Microsoft Entra IDアクセスレビューを定期的に実行して、時代遅れまたは不必要な権限を削除します。

*すべてのゲストアカウントにMFAを施行し、必要に応じてクロステナントMFAトラストを構成します。

*キャッシュをクリアするか、サインインするときにシークレットセッションを使用して、ブラウザ関連の問題を削減します。

*÷ソースリンク:

Microsoft Entra Admin Center