O erro AADSTS65001 ocorre quando o Copilot tenta acessar um recurso do Microsoft 365, mas o consentimento necessário não foi concedido por um administrador. Esse erro impede o Copilot de gerar respostas ou acessar dados do locatário. A causa raiz é a falta ou revogação do consentimento de administrador para as permissões do Microsoft Graph das quais o Copilot depende. Este artigo explica por que o erro ocorre e fornece as etapas exatas para conceder o consentimento necessário.
Principais conclusões: Corrigindo o erro de consentimento do Copilot
- Central de administração do Microsoft Entra > Aplicativos empresariais > Copilot > Permissões: Concede o consentimento de administrador ausente para permissões delegadas e de aplicativo.
- Central de administração do Microsoft 365 > Configuração > Copilot > Acesso a dados: Confirma que as políticas de consentimento de todo o locatário permitem que o Copilot leia dados do Microsoft Graph.
- Comando PowerShell
Grant-MgAdminConsent: Automatiza a concessão de consentimento para todas as permissões necessárias do Copilot em uma única etapa.
Por que o erro AADSTS65001 ocorre
O erro AADSTS65001 indica que o usuário ou aplicativo não forneceu consentimento para as permissões necessárias. No contexto do Copilot, isso acontece quando o registro de aplicativo do Microsoft Entra para o Copilot não possui consentimento de administrador para permissões delegadas como User.Read, Files.Read.All ou Sites.Read.All. Sem esse consentimento, o Copilot não pode consultar o Microsoft Graph para recuperar o contexto do usuário ou dados do locatário.
Três cenários comuns desencadeiam esse erro:
- Uma nova implantação do Copilot onde o consentimento de administrador nunca foi concedido durante a configuração inicial.
- Uma atualização recente da API do Microsoft Graph que adicionou novas permissões exigidas pelo Copilot, invalidando o consentimento anterior.
- Um administrador de locatário revogou o consentimento por meio da central de administração do Microsoft Entra ou de uma política de acesso condicional.
A mensagem de erro normalmente aparece no painel do Copilot no Teams, Word ou Outlook como uma faixa vermelha lendo “Consentimento necessário” ou como uma resposta HTTP 403 nas ferramentas de desenvolvedor do navegador.
Etapas para conceder consentimento de administrador para o Copilot
Você deve ser um Administrador Global ou Administrador de Função com Privilégios no Microsoft Entra para concluir estas etapas.
Método 1: Conceder consentimento pela Central de Administração do Microsoft Entra
- Entre na central de administração do Microsoft Entra
Abra um navegador e vá para https://entra.microsoft.com. Faça login com sua conta de Administrador Global. - Navegue até Aplicativos empresariais
No menu de navegação à esquerda, selecione Identidade > Aplicativos > Aplicativos empresariais. Use a caixa de pesquisa para encontrar o aplicativo Copilot. O nome exato pode ser “Copilot” ou “Microsoft Copilot Service”. - Abra a página de Permissões
Selecione a entrada do aplicativo Copilot. No menu à esquerda, em Segurança, clique em Permissões. Você verá uma lista de permissões do Microsoft Graph com o status “Não concedido” para aquelas que não possuem consentimento de administrador. - Conceda consentimento de administrador
Clique no botão Conceder consentimento de administrador para [seu locatário] no topo da página de permissões. Uma caixa de diálogo de consentimento aparece listando todas as permissões necessárias. Revise a lista e clique em Aceitar. O processo pode levar até 60 segundos para ser concluído. - Verifique o consentimento
Após a caixa de diálogo fechar, atualize a página de Permissões. Cada permissão deve agora mostrar um status de “Concedido para [seu locatário]”.
Método 2: Conceder consentimento usando Microsoft Graph PowerShell
- Instale o módulo Microsoft Graph PowerShell
Abra o PowerShell como administrador e executeInstall-Module Microsoft.Graph -Scope CurrentUser. Pressione Y para confirmar a instalação se solicitado. - Conecte-se ao Microsoft Graph
ExecuteConnect-MgGraph -Scopes "Directory.ReadWrite.All", "AppRoleAssignment.ReadWrite.All". Faça login com sua conta de Administrador Global quando a janela de autenticação baseada em navegador aparecer. - Identifique a entidade de serviço do Copilot
ExecuteGet-MgServicePrincipal -Filter "DisplayName eq 'Microsoft Copilot Service'". Copie o valor deIdda saída. Este é o ID do objeto da entidade de serviço do Copilot. - Conceda consentimento de administrador
Execute o seguinte comando, substituindo[ServicePrincipalId]pelo ID da etapa anterior:Grant-MgAdminConsent -ServicePrincipalId "[ServicePrincipalId]". O comando retorna um objeto de status. Aguarde a saída mostrarConsentGranted: True. - Desconecte a sessão
ExecuteDisconnect-MgGraphpara encerrar a sessão com segurança.
Se o Copilot ainda mostrar o erro após conceder o consentimento
Copilot retorna AADSTS65001 após o consentimento ter sido concedido
Se o erro persistir, o consentimento pode não ter se propagado para todas as instâncias do serviço Copilot. Aguarde 15 minutos e limpe o cache do navegador ou reinicie o aplicativo do Microsoft 365. No Teams, saia e faça login novamente. Em alguns casos, a atualização do consentimento requer um novo token de autenticação. Execute dsregcmd /leave em um prompt de comando como administrador e reinicie o dispositivo para forçar um novo registro de dispositivo e atualização de token.
Copilot funciona, mas apenas para alguns usuários
Isso indica que o consentimento em nível de usuário está ausente para contas individuais. Na central de administração do Microsoft Entra, vá para Identidade > Usuários > Configurações de usuário. Em Aplicativos empresariais, certifique-se de que “Usuários podem consentir que aplicativos acessem dados da empresa em seu nome” esteja definido como Não. Isso força todo o consentimento a ser gerenciado pelo administrador. Em seguida, execute novamente a concessão de consentimento de administrador do Método 1 ou 2.
Copilot falha após uma atualização da API do Microsoft Graph
A Microsoft ocasionalmente adiciona novas permissões ao registro de aplicativo do Copilot. Quando isso acontece, o consentimento concedido anteriormente se torna inválido. Repita o processo de concessão de consentimento de administrador do Método 1. Após conceder, verifique a página de Permissões em busca de novas permissões com status “Não concedido”. Conceda consentimento novamente até que todas as permissões mostrem “Concedido para [seu locatário]”.
Consentimento de administrador vs consentimento de usuário para o Copilot
| Item | Consentimento de Administrador | Consentimento de Usuário |
|---|---|---|
| Quem concede | Administrador Global ou Administrador de Função com Privilégios | Usuário individual |
| Escopo | Todos os usuários no locatário | Apenas o usuário que concede |
| Permissões incluídas | Todas as permissões delegadas e de aplicativo para o Copilot | Apenas permissões delegadas que não exigem consentimento de administrador |
| Onde conceder | Central de administração do Microsoft Entra > Aplicativos empresariais > Copilot > Permissões | Caixa de diálogo de consentimento OAuth durante o primeiro login |
| Efeito no AADSTS65001 | Resolve o erro para todo o locatário | Resolve o erro apenas para aquele usuário |
O erro AADSTS65001 é resolvido concedendo consentimento de administrador para o aplicativo Copilot no Microsoft Entra. Use a central de administração ou o PowerShell para conceder o consentimento. Após conceder o consentimento, limpe o cache e reinicie seus aplicativos do Microsoft 365. Para evitar problemas futuros de consentimento, monitore o Centro de Mensagens do Microsoft 365 para anúncios sobre novas permissões do Copilot e conceda consentimento proativamente.