O erro AADSTS50076 aparece ao tentar entrar no Copilot quando seu locatário do Microsoft 365 exige autenticação multifator (MFA), mas a solicitação não possui a declaração adequada. Você vê uma mensagem como “AADSTS50076: Devido a uma alteração de configuração feita pelo seu administrador, ou porque você mudou para um novo local, você deve usar a autenticação multifator para acessar”. Isso ocorre porque uma política de Acesso Condicional do Azure AD exige MFA para aplicativos na nuvem, incluindo o Copilot, mas o token de autenticação não inclui a declaração de MFA. Este artigo explica a causa raiz e fornece correções passo a passo para resolver o erro.
Principais Conclusões: Corrigindo o AADSTS50076 no Copilot
- Centro de administração do Azure AD > Acesso Condicional > Políticas: Verifique se uma política exige MFA para o Copilot e confirme se o bloco “Conceder” inclui “Exigir autenticação multifator”.
- Centro de administração do Azure AD > Configurações de usuário > Configurações de serviço de MFA: Confirme se o MFA por usuário está habilitado para a conta afetada, caso o Acesso Condicional não seja usado.
- Centro de administração do Azure AD > Aplicativos empresariais > Copilot > Propriedades: Garanta que o aplicativo não esteja atribuído a um grupo de usuários que acione uma política de Acesso Condicional conflitante.
Por que o Erro AADSTS50076 Ocorre no Copilot
O código de erro AADSTS50076 é uma falha na emissão de token do Azure Active Directory. Ocorre quando a solicitação de autenticação não atende ao requisito de MFA definido por uma política de Acesso Condicional ou configuração de MFA por usuário. O Copilot, como serviço do Microsoft 365, exige um token válido com a declaração amr indicando que o MFA foi realizado. Se o token não tiver essa declaração, o Azure AD rejeita a solicitação e retorna o erro 50076.
Existem três gatilhos comuns:
Política de Acesso Condicional Exige MFA para Todos os Aplicativos na Nuvem
Um administrador pode ter criado uma política de Acesso Condicional que exige MFA para todos os aplicativos na nuvem, incluindo o Copilot. Se a política estiver habilitada e a sessão do usuário não tiver uma declaração de MFA, o login falha.
MFA por Usuário Está Habilitado
A conta do usuário pode ter o MFA por usuário ativado no centro de administração do Microsoft 365 ou no Azure AD. Essa configuração força o MFA a cada login e, se o fluxo de autenticação não solicitar MFA, o Azure AD retorna o erro 50076.
Conflito de Local Confiável ou Conformidade do Dispositivo
Uma política de Acesso Condicional pode incluir condições de local ou conformidade do dispositivo. Se o usuário estiver entrando de um IP não confiável ou de um dispositivo não compatível, a política exige MFA. O erro aparece quando a solicitação de token não atende a essas condições.
Passos para Resolver o Erro AADSTS50076 no Copilot
Siga estes passos em ordem. Cada passo visa uma causa possível. Teste o login no Copilot após cada passo.
- Limpe o cache do navegador e saia de todas as sessões
Abra as configurações do navegador e limpe os dados em cache, incluindo cookies e dados do site. Saia de todas as contas da Microsoft. Reinicie o navegador. Isso remove tokens obsoletos que podem estar sem a declaração de MFA. - Entre no Copilot em uma janela privada ou anônima
Abra uma sessão de navegação privada. Acesse copilot.microsoft.com. Faça login com sua conta corporativa ou de estudante. Se o MFA for solicitado, conclua-o. Se o erro não aparecer, o problema era um token em cache. Continue usando o navegador normal após limpar o cache novamente. - Verifique as políticas de Acesso Condicional no Azure AD
Vá para o centro de administração do Azure AD em entra.microsoft.com. Selecione Proteção > Acesso Condicional > Políticas. Procure por qualquer política que se aplique a “Todos os aplicativos na nuvem” ou especificamente a “Microsoft Copilot” ou “Microsoft 365”. Clique na política e revise a seção Conceder. Se disser “Exigir autenticação multifator”, a política é a causa. Para testar, defina a política como Somente relatório temporariamente. Se o erro parar, você identificou a política. Trabalhe com seu administrador para ajustar a política, excluindo o Copilot ou incluindo um controle de sessão que permita o reuso da declaração de MFA. - Verifique o status de MFA por usuário para a conta afetada
No centro de administração do Azure AD, vá para Usuários > Todos os usuários. Selecione o usuário que está com o erro. Clique em Métodos de autenticação e verifique o Status de MFA. Se mostrar “Habilitado” ou “Imposto”, o MFA por usuário está ativo. Para resolver, conclua o MFA no login ou peça a um administrador para desabilitar o MFA por usuário se as políticas de Acesso Condicional já exigirem MFA. Desabilite o MFA por usuário indo em Proteção > Autenticação multifator > MFA por usuário. Selecione o usuário e escolha Desabilitar. - Verifique as propriedades do aplicativo empresarial do Copilot
No Azure AD, vá para Aplicativos empresariais. Pesquise por “Copilot” ou “Microsoft Copilot”. Abra o aplicativo e selecione Propriedades. Certifique-se de que a configuração Atribuição necessária? está definida como Não se você quiser que todos os usuários acessem o Copilot sem atribuição explícita. Se estiver definida como Sim, verifique se o usuário está atribuído ao aplicativo. Vá para Usuários e grupos e confirme se o usuário está listado. Reatribua se necessário. - Revise os logs de login para obter informações detalhadas sobre o erro
No Azure AD, vá para Monitoramento > Logs de login. Filtre pelo usuário afetado e procure logins com falha com o código de erro 50076. Clique no evento e examine a guia Acesso Condicional. Isso mostra qual política foi aplicada e quais controles de concessão estavam ausentes. Use essas informações para ajustar a política ou as configurações do usuário.
Se o Copilot Ainda Mostrar AADSTS50076 Após a Correção Principal
O login do Copilot falha no dispositivo móvel, mas funciona no desktop
Dispositivos móveis podem usar um agente de autenticação ou aplicativo diferente. Certifique-se de que o aplicativo Microsoft Authenticator esteja instalado e configurado. No Acesso Condicional, verifique se a política tem como alvo “Todos os dispositivos” ou apenas “Navegador”. Se a política excluir o gerenciamento de dispositivos móveis, ajuste a política para incluir “Exigir aplicativo cliente aprovado” para fluxos móveis.
O login do Copilot falha após uma migração recente do locatário
Se seu locatário foi movido recentemente de uma região do Azure AD para outra, os endpoints de autenticação podem ter mudado. Limpe todos os tokens em cache e registre novamente o dispositivo no Azure AD. Vá para Configurações > Contas > Acessar trabalho ou escola e desconecte e reconecte a conta.
O login do Copilot falha para usuários convidados
Usuários convidados de outro locatário podem não ter MFA registrado em seu locatário. No Azure AD, vá para Identidades Externas > Configurações de acesso entre locatários. Certifique-se de que a confiança de MFA do locatário de origem esteja habilitada. Como alternativa, exija que o convidado registre MFA em seu locatário enviando um prompt de registro de MFA.
Política de Acesso Condicional vs MFA por Usuário para Acesso ao Copilot
| Item | Política de Acesso Condicional | MFA por Usuário |
|---|---|---|
| Descrição | Política central que exige MFA com base em condições como local, dispositivo ou aplicativo | Configuração individual do usuário que força MFA em todo login, independentemente do aplicativo ou local |
| Local de configuração | Azure AD > Proteção > Acesso Condicional > Políticas | Azure AD > Proteção > Autenticação multifator > MFA por usuário |
| Escopo | Pode segmentar aplicativos específicos como Copilot ou todos os aplicativos na nuvem | Aplica-se a todos os aplicativos em que o usuário faz login |
| Manipulação de declaração de token | Pode incluir controle de sessão para reutilizar a declaração de MFA por 1-7 dias | Sem controle de sessão; MFA exigido em toda autenticação |
| Melhor prática | Use Acesso Condicional para controle granular e reutilização de token | Use apenas quando o Acesso Condicional não estiver disponível; evite em locatários modernos |
O erro AADSTS50076 no Copilot é quase sempre causado por um requisito de MFA que o token de autenticação não satisfaz. Seguindo os passos acima, você pode identificar se o problema é uma política de Acesso Condicional, MFA por usuário ou um problema de cache de token. Após resolver a causa raiz, teste o login no Copilot novamente. Para gerenciamento contínuo, use políticas de Acesso Condicional com controles de sessão para reduzir as solicitações de MFA enquanto mantém a segurança.