修正:Microsoft Entra ID(認証失敗)のAADSTS50105エラー

Microsoft Entra IDのAADSTS50105エラーは、B2Bコラボレーションのゲストが明示的な割り当てを必要とするが、必要な役割またはグループメンバーシップを欠いているエンタープライズアプリケーションにアクセスしようとする場合に発生する承認障害です。

ほとんどの場合、SSO認証が成功した直後にエラーが表示されます。これは、ユーザーの資格情報が有効であることを示していますが、必要な権限はありません。この問題は、「割り当てが必要」設定に関連付けられており、最小特権の原則を実施し、明示的なアクセスなしで誰でもブロックします。
エラーコード50105は主に不足している割り当てにリンクされていますが、他の要因もトリガーできます。一般的な例は次のとおりです。
*ギャップのプロビジョニング - 不完全な自動化または見落とされたオンボーディング手順。
*ポリシーの競合 - 条件付きアクセスルールまたは誤解されたエンタープライズアプリ。
*トークンの問題 - 不正なトークンまたは有効期限が切れたトークンは、有効な承認を防ぎます。
*アカウントの制限 - 繰り返しサインインの試行後の一時的なロックアウト。
*ネットワーク関連のブロック - 疑わしいアクティビティのためにフラグが付けられたIPアドレスから拒否されたアクセス。
このエラーを解決する最も直接的な方法は、Microsoft Entra IDのエンタープライズアプリケーションへの明示的なアクセスをゲストユーザーに付与することです。そうすることで、必要な許可または役割が提供されます。 「割り当てが必要」設定は厳密なアクセス制御を実施するため、明示的な割り当てのないユーザーが自動的にブロックされます。割り当てを追加することにより、承認要件が満たされ、ゲストユーザーがさらなる制限なしにサインインすることができます。
- Webブラウザを開きます。
2。Microsoft Entra管理センターに移動します。 
3.クラウドアプリケーション管理者またはグローバル管理者としてサインインします。
4。ID> Applications> Enterprise Applicationsに移動します。 
5.ターゲットアプリケーションを検索して選択します。
6.アプリケーションペインで、管理セクションの下で、ユーザーとグループをクリックします。 
7.「+ユーザー/グループの追加」ボタンをクリックします。 
8。割り当てペインの追加で、ユーザーとグループの下で選択されていないものを選択します。
9.アクセスが必要なゲストユーザーを検索して選択します(たとえば、[email protected])。
10。役割を選択する下で、適切なアプリの役割(標準ユーザーなど)を選択します。アプリに役割がない場合、このステップをスキップできます。
- 割り当てをクリックして付与アクセスを行います。
このエラーの繰り返しのリスクを最小限に抑えるために、組織はいくつかの予防措置を適用する必要があります。
*ゲストユーザーが招待されたらすぐに適切なグループに割り当てます。
*セキュリティグループとグループベースのライセンスを使用して、動的アクセス制御を簡素化します。
- Microsoft Entra IDアクセスレビューを定期的に実行して、時代遅れまたは不必要な権限を削除します。
*すべてのゲストアカウントにMFAを施行し、必要に応じてクロステナントMFAトラストを構成します。
*キャッシュをクリアするか、サインインするときにシークレットセッションを使用して、ブラウザ関連の問題を削減します。
*÷ソースリンク: