Ao tentar entrar no Microsoft Copilot, você pode ver uma mensagem de erro sobre uma falha de login WS-Federation. Esse erro impede que o Copilot se conecte ao seu locatário do Microsoft 365 e bloqueia todos os recursos do Copilot. A falha geralmente ocorre devido a um provedor de identidade mal configurado, um certificado de federação expirado ou uma configuração de federação de domínio incorreta no Microsoft Entra ID. Este artigo explica a causa raiz da falha de login WS-Federation e fornece instruções passo a passo para resolvê-la.
Principais Conclusões: Falha de Login WS-Federation no Copilot
- Centro de administração do Microsoft Entra > Identidade > Identidades Externas > Todos os provedores de identidade: Revise e atualize a URL de metadados WS-Federation para seu domínio federado.
- Comando PowerShell Set-MsolDomainFederationSettings -SupportMultipleDomain: Garante que as configurações de federação incluam o certificado de assinatura correto para WS-Federation.
- Centro de administração do Microsoft Entra > Conectar > Nomes de domínio: Verifique se o status do domínio federado é “Ativo” e não “Inativo” ou “Pendente”.
Por que a Falha de Login WS-Federation no Copilot Ocorre
WS-Federation é um protocolo que permite ao Copilot autenticar usuários utilizando um provedor de identidade externo, como o Active Directory Federation Services. Quando o provedor de identidade envia uma resposta WS-Federation, o Copilot valida o token usando o certificado de assinatura que o Microsoft Entra ID armazenou para aquele domínio federado. Se o certificado no provedor de identidade não corresponder ao certificado no Microsoft Entra ID, ou se o endpoint de metadados WS-Federation estiver inacessível, a tentativa de autenticação falha.
Gatilhos comuns para essa falha incluem:
- Um certificado de federação expirado ou renovado que não foi atualizado no Microsoft Entra ID.
- Uma alteração na URL do endpoint WS-Federation no provedor de identidade sem atualizar a URL de metadados no Microsoft Entra ID.
- Uma configuração incorreta da relação de confiança do relying party no provedor de identidade que não inclui a entidade de serviço do Microsoft 365.
Etapas para Diagnosticar e Corrigir a Falha de Login WS-Federation
Siga estas etapas em ordem. Após cada etapa, teste o login do Copilot para verificar se o erro foi resolvido.
Etapa 1: Verificar o Status do Domínio Federado no Microsoft Entra ID
- Entre no centro de administração do Microsoft Entra
Acesse https://entra.microsoft.com e faça login com uma conta de Administrador Global. - Navegue até Nomes de domínio
Selecione Identidade > Configurações > Nomes de domínio. - Verifique o domínio federado
Encontre o domínio que está configurado como Federado. O status deve mostrar Ativo. Se mostrar Inativo ou Pendente, o domínio não pode ser usado para autenticação. Selecione o domínio e escolha Ativar se disponível.
Etapa 2: Atualizar a URL de Metadados WS-Federation
- Abra as configurações do domínio federado
Na lista de Nomes de domínio, selecione o domínio federado. Em seguida, selecione Configurações de federação. - Revise a URL de metadados WS-Federation
O Endpoint de login passivo e o URI do emissor devem corresponder aos valores configurados no seu provedor de identidade. Por exemplo, para AD FS, o endpoint de login passivo geralmente éhttps://sts.contoso.com/adfs/ls/. - Atualize a URL de metadados se estiver incorreta
Selecione Editar, corrija a URL e selecione Salvar.
Etapa 3: Atualizar o Certificado de Federação Usando PowerShell
- Instale o módulo Microsoft Graph PowerShell
Abra o Windows PowerShell como administrador e executeInstall-Module Microsoft.Graph -Scope CurrentUser. - Conecte-se ao Microsoft Graph
ExecuteConnect-MgGraph -Scopes "Domain.ReadWrite.All", "Organization.Read.All"e faça login com uma conta de Administrador Global. - Obtenha as configurações de federação atuais
ExecuteGet-MgDomainFederationConfiguration -DomainId "contoso.com"(substitua contoso.com pelo seu domínio federado). - Atualize o certificado de assinatura
ExecuteUpdate-MgDomainFederationConfiguration -DomainId "contoso.com" -FederationConfigurationId "seu-id-de-configuração" -SigningCertificate ". Obtenha a nova impressão digital do certificado do seu provedor de identidade."
Etapa 4: Verificar a Relação de Confiança do Relying Party no Provedor de Identidade
- Abra o console de gerenciamento do AD FS
No seu servidor AD FS, abra Gerenciamento do AD FS. - Localize a relação de confiança do relying party do Microsoft 365
Expanda Relações de Confiança do Relying Party. Procure uma entrada chamada Plataforma de Identidade do Microsoft Office 365 ou similar. - Verifique o endpoint WS-Federation
Clique com o botão direito na confiança e selecione Propriedades. Na guia Endpoints, verifique se a URL do endpoint WS-Federation corresponde ao endpoint de login passivo no Microsoft Entra ID. - Atualize o certificado de assinatura de token
Na guia Assinatura, certifique-se de que o certificado é válido e não está expirado. Se expirado, renove o certificado no servidor AD FS e repita a Etapa 3 para atualizar o Microsoft Entra ID.
Se o Copilot Ainda Falhar Após a Correção Principal
Copilot Retorna Erro 500 Após Sucesso do WS-Federation
Se o WS-Federation for concluído, mas o Copilot mostrar um erro 500, o problema pode ser uma sessão desatualizada ou uma política de acesso condicional mal configurada. Limpe os cookies do navegador e faça login novamente. Se o erro persistir, verifique as políticas de acesso condicional no Microsoft Entra ID para qualquer requisito que bloqueie o Copilot, como conformidade do dispositivo. Exclua o aplicativo Copilot da política temporariamente para testar.
Falha de WS-Federation Apenas em Dispositivos Móveis
Se a falha ocorrer apenas no iOS ou Android, o provedor de identidade pode não suportar login passivo WS-Federation de agentes de usuário móveis. Verifique os logs do provedor de identidade em busca de solicitações rejeitadas. Como solução alternativa, configure o aplicativo Microsoft Authenticator para lidar com a autenticação em vez do WS-Federation.
Loop de Login do Copilot Sem Erro
Um loop de login indica que a resposta WS-Federation não está sendo aceita pelo Microsoft Entra ID. A causa mais comum é uma incompatibilidade no URI do emissor. Compare o valor do emissor na resposta WS-Federation com o URI do emissor no Microsoft Entra ID. Eles devem corresponder exatamente, incluindo barras no final.
Copilot Pro vs Copilot para Microsoft 365: Principais Diferenças para WS-Federation
| Item | Copilot Pro | Copilot para Microsoft 365 |
|---|---|---|
| Método de autenticação | Conta Microsoft pessoal ou Microsoft Entra ID | Microsoft Entra ID com WS-Federation ou SAML |
| Suporte a WS-Federation | Não necessário para contas pessoais | Necessário para domínios federados |
| Controle de administrador | Sem configurações de federação no nível do locatário | Controle total via centro de administração do Microsoft Entra |
| Processo de atualização de certificado | Não aplicável | PowerShell ou centro de administração do Microsoft Entra |
Se sua organização usa um domínio federado com WS-Federation, você deve configurar o Copilot para Microsoft 365 corretamente. O Copilot Pro não usa WS-Federation e não acionará esse erro.
Agora você pode diagnosticar e corrigir a falha de login WS-Federation verificando o status do domínio, atualizando a URL de metadados, renovando o certificado de assinatura e verificando a relação de confiança do relying party no seu provedor de identidade. Teste o login do Copilot após cada etapa para isolar a causa exata. Para monitoramento contínuo, configure um alerta de expiração de certificado no Microsoft Entra ID para evitar falhas futuras.