Ao tentar usar o Microsoft Copilot em um locatário onde você é um usuário convidado, pode aparecer o erro AADSTS90072. Esse erro significa que o Azure Active Directory não consegue autenticar sua conta porque o usuário pertence a um locatário externo. A mensagem normalmente diz: “User from external Azure Active Directory tenant is not supported.” Este artigo explica por que o erro ocorre e fornece métodos passo a passo para resolvê-lo, permitindo que você acesse o Copilot em sua organização.
Principais Conclusões: Corrigindo o Erro AADSTS90072 Cross-Tenant para o Copilot
- Centro de administração do Microsoft Entra > Identidades Externas > Configurações de acesso entre locatários: Configure as configurações de confiança de entrada e saída para permitir que usuários convidados usem o Copilot.
- Política de Acesso Condicional > Conceder > Exigir autenticação multifator: Certifique-se de que o usuário convidado atenda a todos os requisitos de acesso condicional antes que o Copilot possa autenticar.
- PowerShell Set-MgPolicyCrossTenantAccessPolicyPartner: Use o Microsoft Graph PowerShell para automatizar a configuração de confiança entre locatários em grandes organizações.
Por que o Erro AADSTS90072 Aparece para o Copilot
O erro AADSTS90072 indica que o Azure Active Directory reconhece o usuário como pertencente a um locatário externo. O Copilot, como outros serviços do Microsoft 365, exige que a identidade do usuário seja nativa do locatário ou explicitamente confiável por meio das configurações de acesso entre locatários. Quando um usuário convidado tenta autenticar, o Azure AD verifica o locatário de origem e o locatário de recurso. Se o locatário de recurso não tiver uma política de confiança entre locatários que aceite o locatário de origem do usuário convidado, a autenticação falha com esse erro. Isso é uma medida de segurança para impedir o acesso externo não autorizado a dados organizacionais por meio do Copilot.
Políticas de acesso entre locatários são a causa raiz
Por padrão, o Microsoft Entra ID bloqueia o acesso de entrada de locatários externos para serviços como o Copilot, a menos que um administrador configure explicitamente as configurações de acesso entre locatários. O erro não é um bug do Copilot. É uma imposição de política de identidade que impede que usuários convidados acessem os serviços de back-end do Copilot.
Atribuição de licença de usuário convidado não corrige o erro
Atribuir uma licença do Copilot a um usuário convidado no locatário de recurso não contorna a verificação de autenticação entre locatários. O erro ocorre antes de o Copilot avaliar o licenciamento. Você deve resolver a confiança de identidade primeiro.
Passos para Configurar o Acesso entre Locatários para o Copilot
Siga estes passos no centro de administração do Microsoft Entra para permitir que usuários convidados de um locatário externo específico autentiquem para o Copilot.
- Abra o centro de administração do Microsoft Entra
Acessehttps://entra.microsoft.come faça login como Administrador Global ou Administrador de Segurança. Na navegação à esquerda, selecione Identidades Externas e depois Configurações de acesso entre locatários. - Adicione o locatário externo como um parceiro organizacional
Em Configurações organizacionais, clique em Adicionar organização. Insira a ID do locatário ou o nome de domínio do locatário externo onde a conta do usuário convidado reside. Clique em Adicionar. - Configure a confiança de acesso de entrada
Selecione a linha do locatário recém-adicionado. Na guia Acesso de entrada, defina Configurações de confiança como Permitir usuários e grupos. Em Acesso a aplicativos, habilite Permitir todos os aplicativos ou selecione especificamente Microsoft Copilot e Microsoft 365 Suite. - Configure a confiança de acesso de saída
Nas mesmas configurações do locatário, mude para a guia Acesso de saída. Defina Configurações de confiança como Permitir usuários e grupos. Isso garante que o usuário convidado possa apresentar as declarações do seu locatário de origem ao locatário de recurso. - Salve e aguarde a replicação
Clique em Salvar. A alteração de política pode levar até 15 minutos para ser replicada em todos os serviços do Microsoft Entra ID. Após a replicação, peça ao usuário convidado para sair e entrar novamente no Microsoft 365.
Verifique as políticas de acesso condicional do usuário convidado
Se o erro persistir após configurar o acesso entre locatários, verifique as políticas de Acesso Condicional do locatário de recurso. O usuário convidado deve atender a todas as condições, como autenticação multifator ou conformidade do dispositivo. Para verificar:
- Abra as políticas de Acesso Condicional
No centro de administração do Microsoft Entra, vá para Proteção > Acesso Condicional > Políticas. - Localize políticas que incluam o usuário convidado
Filtre por Usuários e grupos. Procure políticas que se aplicam a Todos os convidados e usuários externos ou ao usuário convidado específico. - Certifique-se de que o usuário pode atender aos controles de concessão
Se a política exigir autenticação multifator, confirme que o usuário convidado se registrou para MFA em seu locatário de origem. Se a política exigir um dispositivo em conformidade, o usuário convidado deve ingressar ou registrar seu dispositivo no locatário de recurso.
Se o Copilot Ainda Tiver Problemas Após a Correção Principal
O erro persiste mesmo após configurar o acesso entre locatários
Limpe os tokens em cache do usuário. Abra uma janela de navegador privada, faça login em https://login.microsoftonline.com e depois navegue até https://copilot.microsoft.com. Se o erro aparecer novamente, execute o script do Microsoft Graph PowerShell abaixo para verificar se a política entre locatários foi aplicada corretamente.
O usuário convidado não consegue ver o Copilot no iniciador de aplicativos do Microsoft 365
Certifique-se de que o usuário convidado tenha uma licença do Copilot atribuída no locatário de recurso. Vá para Centro de administração do Microsoft 365 > Usuários > Usuários ativos, selecione o usuário convidado e atribua uma licença do Copilot na guia Licenças e aplicativos. A licença não corrige a autenticação, mas é necessária após a autenticação ser bem-sucedida.
Script de verificação do PowerShell
Execute o seguinte no Microsoft Graph PowerShell para confirmar se a política entre locatários está ativa. Substitua ExternalTenantId pela ID real do locatário.
Connect-MgGraph -Scopes "Policy.Read.All"
Get-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerId "ExternalTenantId" | Format-ListSe a saída mostrar InboundTrust e OutboundTrust como True, a política está ativa. Caso contrário, execute Set-MgPolicyCrossTenantAccessPolicyPartner para aplicar as configurações de confiança.
| Item | Usuário convidado com confiança entre locatários | Usuário convidado sem confiança entre locatários |
|---|---|---|
| Autenticação no Copilot | Bem-sucedida após replicação da política | Falha com AADSTS90072 |
| Exigência de licença | Licença do Copilot deve ser atribuída | Atribuição de licença irrelevante |
| Imposição de Acesso Condicional | Usuário convidado deve atender às políticas do locatário de recurso | Políticas nunca avaliadas porque a autenticação falha |
| Configuração de administrador necessária | Configurações de acesso entre locatários no Entra ID | Nenhuma |
Agora você pode resolver o erro AADSTS90072 para o Copilot configurando o acesso entre locatários no centro de administração do Microsoft Entra. Comece com as configurações organizacionais para o locatário externo e verifique se as políticas de Acesso Condicional não bloqueiam o usuário convidado. Para implantação mais rápida em ambientes grandes, use o Microsoft Graph PowerShell para aplicar políticas de confiança em vários locatários parceiros. Após a correção, teste o acesso ao Copilot em uma sessão de navegador privada para confirmar que o fluxo de autenticação é concluído.