Ao tentar entrar no Copilot no Microsoft 365, você pode ver a mensagem de erro AADSTS50158 External Security Challenge. Esse erro significa que o Azure Active Directory não conseguiu concluir um desafio de autenticação externa exigido pelo seu locatário. Não é um bug do Copilot. É uma política de acesso condicional ou regra de proteção de identidade que está bloqueando a tentativa de login. Este artigo explica por que o erro ocorre e fornece as etapas exatas para resolvê-lo.
Principais conclusões: corrigindo o erro AADSTS50158 no Copilot
- Azure AD > Acesso Condicional > Políticas: Verifique qual política exige um desafio externo como MFA ou aceitação de termos de uso.
- Azure AD > Proteção de Identidade > Política de registro de MFA: Certifique-se de que o usuário esteja registrado para Autenticação Multifator do Azure AD antes de acessar o Copilot.
- Azure AD > Configurações de usuário > MFA por usuário: Se a MFA por usuário estiver ativada, desative-a ou mude para MFA de acesso condicional para o Copilot.
Por que o erro AADSTS50158 aparece no Copilot
O código de erro AADSTS50158 significa que o Azure Active Directory recebeu um desafio de segurança externo de uma política de acesso condicional, mas não conseguiu concluí-lo. Isso geralmente acontece quando uma política de acesso condicional exige um dos seguintes:
- Autenticação multifator (MFA) que o usuário não concluiu ou não está registrado
- Aceitação de termos de uso que o usuário ainda não aceitou
- Uma verificação de conformidade do dispositivo que o dispositivo não passou
- Uma política baseada em risco que exige alteração de senha ou verificação adicional
O Copilot no Microsoft 365 usa o Azure AD para autenticação. Quando uma política de acesso condicional aciona um desafio externo, o Copilot não consegue concluir o fluxo de login e retorna o erro AADSTS50158. O erro não é específico do Copilot. Ele aparecerá para qualquer aplicativo que acione a mesma política.
Cenários comuns que acionam esse erro
O cenário mais comum é uma política de acesso condicional que exige MFA para todos os aplicativos em nuvem, mas exclui apenas alguns. Se o Copilot não estiver excluído, a política se aplica. Outro cenário comum é uma política de termos de uso que exige que o usuário aceite um documento antes de acessar qualquer serviço do Microsoft 365. Se o usuário não aceitou os termos, o desafio externo falha.
Um terceiro cenário envolve políticas de Proteção de Identidade que exigem registro de MFA. Se o usuário nunca se registrou para MFA do Azure AD, a política bloqueia o acesso ao Copilot.
Etapas para resolver o erro AADSTS50158 no Copilot
Siga estas etapas na ordem listada. Cada etapa aborda uma causa raiz diferente. Teste o Copilot após cada etapa para ver se o erro foi resolvido.
Etapa 1: Identificar a política de acesso condicional que está causando o erro
- Abra os logs de login do Azure AD
Vá para o portal do Azure em portal.azure.com. Selecione Azure Active Directory. Em Monitoramento, selecione Logs de login. Encontre a tentativa de login com falha para o usuário que recebeu o erro AADSTS50158. Clique na linha para abrir os detalhes. - Revise a guia de acesso condicional
Nos detalhes do login, selecione a guia Acesso Condicional. Esta guia lista todas as políticas que foram avaliadas para este login. Procure uma política com Status definido como Não aplicado ou Falha. A política que falhou é a que está acionando o desafio externo. - Anote o nome da política e os controles
Escreva o nome da política e os controles de concessão que ela usa. Por exemplo, a política pode exigir Autenticação multifator ou Exigir termos de uso. Isso informa qual desafio o usuário deve concluir.
Etapa 2: Concluir o desafio necessário
- Se a política exigir MFA
Peça ao usuário para se registrar no MFA do Azure AD, se ainda não o fez. Vá para Azure AD > Proteção de Identidade > Política de registro de MFA. Certifique-se de que a política esteja ativada e o usuário incluído. O usuário pode então se registrar em aka.ms/mfasetup. Após o registro, saia de todos os aplicativos do Microsoft 365 e faça login novamente. O Copilot deve funcionar. - Se a política exigir termos de uso
Vá para Azure AD > Segurança > Acesso Condicional > Políticas. Selecione a política que exige termos de uso. Em Conceder, anote o nome dos termos de uso. Em seguida, vá para Azure AD > Segurança > Termos de uso. Encontre o documento de termos e clique em Aceitar. Peça ao usuário para abrir o link dos termos e aceitá-los. Após a aceitação, tente o Copilot novamente. - Se a política exigir conformidade do dispositivo
Certifique-se de que o dispositivo esteja registrado no Microsoft Intune ou em outro MDM. Verifique o status de conformidade do dispositivo no Intune. Se o dispositivo não estiver em conformidade, resolva os problemas de conformidade. O usuário pode precisar atualizar o dispositivo ou instalar aplicativos necessários.
Etapa 3: Excluir o Copilot da política problemática
- Abra a política de acesso condicional
No Azure AD, vá para Segurança > Acesso Condicional > Políticas. Selecione a política que causou o erro. - Edite a atribuição de Aplicativos ou ações na nuvem
Em Atribuições, selecione Aplicativos ou ações na nuvem. Altere Incluir para Todos os aplicativos na nuvem. Em Excluir, selecione Microsoft Copilot Service. O nome exato do aplicativo é Microsoft Copilot Service. Se você não o vir, clique em Selecionar e pesquise por Copilot. - Salve a política
Clique em Salvar. Aguarde 5 minutos para a alteração se propagar. Teste o Copilot novamente.
Etapa 4: Desativar a MFA por usuário se estiver ativada
- Verifique o status da MFA por usuário
No Azure AD, vá para Usuários. Selecione o usuário. Em Gerenciar, selecione MFA por usuário. Se o status for Ativado ou Obrigatório, esta é provavelmente a causa. As políticas de acesso condicional não podem substituir a MFA por usuário para o Copilot. - Desative a MFA por usuário para o usuário
Clique na linha do usuário e depois em Desativar. Confirme a alteração. O usuário agora dependerá das políticas de acesso condicional para MFA. - Teste o Copilot
Saia e faça login novamente no Microsoft 365. Abra o Copilot. O erro deve ter desaparecido.
Se o Copilot ainda mostrar o erro AADSTS50158
Conflito entre várias políticas de acesso condicional
Se os logs de login mostrarem várias políticas com controles de concessão diferentes, o usuário pode precisar satisfazer todas elas. Por exemplo, uma política exige MFA e outra exige termos de uso. O usuário deve concluir ambos os desafios. Verifique novamente a guia Acesso Condicional nos logs de login. Procure políticas com Status definido como Sucesso ou Não aplicado. Se alguma política mostrar Falha, resolva essa política primeiro.
Política de risco de Proteção de Identidade bloqueia o login
Se o usuário tiver um risco de login alto, a Proteção de Identidade pode exigir uma alteração de senha ou autocorreção. Vá para Azure AD > Segurança > Proteção de Identidade > Logins arriscados. Encontre o usuário. Se o nível de risco for Alto, clique em Confirmar comprometido e depois em Descartar risco. Peça ao usuário para alterar sua senha. Após a alteração da senha, o risco é redefinido e o Copilot deve funcionar.
Cache do navegador ou aplicativo causa tokens desatualizados
Se a política foi alterada recentemente, o navegador ou o aplicativo do Microsoft 365 pode ainda conter um token antigo. Limpe o cache e os cookies do navegador. No Microsoft Edge, vá para Configurações > Privacidade, pesquisa e serviços > Limpar dados de navegação. Selecione Cookies e outros dados do site e Imagens e arquivos em cache. Clique em Limpar agora. Para os aplicativos de desktop do Microsoft 365, saia e reinicie o aplicativo.
Erro AADSTS50158 do Copilot vs outros erros de login do Azure AD
| Item | AADSTS50158 Desafio de Segurança Externa | AADSTS50076 Desafio MFA |
|---|---|---|
| Mensagem de erro | O desafio de segurança externa não foi satisfeito | Devido a uma alteração de configuração, você deve realizar a autenticação multifator |
| Causa raiz | Política de acesso condicional exige um desafio externo como termos de uso ou conformidade do dispositivo | Política de acesso condicional ou MFA por usuário exige MFA especificamente |
| Correção típica | Concluir os termos de uso, registrar o dispositivo ou excluir o Copilot da política | Registrar-se no MFA do Azure AD ou concluir o prompt de MFA |
| Experiência do usuário | O login falha sem um prompt claro para concluir o desafio | O usuário vê um prompt de MFA e pode concluí-lo |
O erro AADSTS50158 é mais difícil de diagnosticar porque o usuário não vê um prompt de desafio. O erro aparece como uma falha genérica de login. O erro AADSTS50076 é mais fácil porque o usuário recebe um prompt de MFA. Para ambos os erros, os logs de login no Azure AD são a ferramenta principal para encontrar a política exata.
Agora você pode identificar a política de acesso condicional ou a configuração de MFA por usuário que causa o erro AADSTS50158 no Copilot. Use os logs de login do Azure AD para encontrar a política com falha. Em seguida, conclua o desafio necessário, exclua o Copilot da política ou desative a MFA por usuário. Para problemas persistentes, verifique as políticas de risco da Proteção de Identidade e limpe o cache do navegador. Para evitar esse erro para novos usuários, configure uma política de acesso condicional que inclua o Copilot na lista de exclusão desde o início.