Der Fehler AADSTS50105 in Microsoft Entra ID kann echte Kopfschmerzen bereiten, insbesondere wenn Sie ständig zwischen Anmeldungen und Berechtigungen hin- und herspringen, ohne zu erkennen, wo das Problem liegt. Normalerweise erscheint er, nachdem Sie die SSO-Anmeldung erfolgreich abgeschlossen haben – Anmeldeprüfung: gut –, aber dann, nein, der Zugriff aufgrund fehlender Berechtigungen oder Rollen verweigert wurde. Die Einstellung „Zuweisung erforderlich“ ist ein echtes Ärgernis, da sie die strikte Regel „Sie sind nicht im Club, sofern Sie nicht ausdrücklich hinzugefügt wurden“ erzwingt. Das ist zwar gut für die Sicherheit, aber frustrierend bei der Fehlerbehebung. Die gute Nachricht? Oftmals reicht es aus, den Benutzer explizit zur App hinzuzufügen, um das Problem zu beheben. Sie sollten jedoch sicherstellen, dass Sie die richtigen Schritte an den richtigen Stellen durchführen.
So beheben Sie AADSTS50105 in der Microsoft Entra ID
Methode 1: Manuelles Zuweisen des Gastbenutzers zur Anwendung
Dies ist die einfache Lösung und oft auch der Übeltäter. Der Fehler tritt auf, wenn dem Benutzer nicht die erforderliche Rolle zugewiesen wurde oder er nicht zur richtigen Gruppe gehört. Dies ist häufig der Fall, wenn Onboarding-Schritte ausgelassen wurden oder Berechtigungen einfach nicht richtig gesetzt sind. Durch die explizite Zuweisung erhält der Benutzer die erforderlichen Berechtigungen für den Zugriff auf die App, wodurch dieser lästige Fehler hoffentlich behoben wird.
- Öffnen Sie Ihren Browser und gehen Sie zum Microsoft Entra Admin Center.
- Melden Sie sich mit einem Cloud-Anwendungsadministrator- oder globalen Administratorkonto an. Ohne diese können Sie Benutzerzuweisungen weder sehen noch bearbeiten.
- Navigieren Sie zu Identität > Anwendungen > Unternehmensanwendungen. Hier befinden sich alle Ihre registrierten SaaS-Apps.
- Suchen und wählen Sie die App aus, die Probleme verursacht – die App, auf die Gäste zugreifen möchten.
- Gehen Sie im Bereich der App im Abschnitt „Verwalten“ zu „Benutzer und Gruppen“.
- Klicken Sie auf + Benutzer/Gruppe hinzufügen. Dies ist der Schritt, bei dem alles schiefgehen kann, wenn Sie nicht aufpassen.
- Wählen Sie im Popup unter „Benutzer und Gruppen“ die Option „Keine Auswahl“ aus und suchen Sie dann nach der E-Mail-Adresse des Gastbenutzers (z. B.user@abc.com ).Bei einigen Konfigurationen, insbesondere bei großen Verzeichnissen, ist es hilfreich, die E-Mail-Adresse einzugeben und dann zu warten, bis die AutoFill-Optionen angezeigt werden.
- Wählen Sie die entsprechende Rolle für den Benutzer aus, z. B.Standardbenutzer. Wenn die App keine spezifischen Rollen hat, ist dieser Schritt möglicherweise optional, es ist jedoch immer besser, dies zu überprüfen.
- Klicken Sie auf Zuweisen, und Sie sind fertig. Diese kleine Aktion sollte dem Benutzer die erforderlichen Berechtigungen für den Zugriff auf die App erteilen, ohne dass der Fehler 50105 erneut auftritt.
Methode 2: Richten Sie eine automatische gruppenbasierte Zuweisung ein und vermeiden Sie zukünftige Kopfschmerzen
Diese Methode dient eher der Prävention. Wenn Ihr Unternehmen häufig neue Gäste einlädt oder mehrere Apps verwaltet, sollten Sie die Berechtigungen optimieren. Verwenden Sie Sicherheitsgruppen und gruppenbasierte Lizenzierung, um Berechtigungen automatisch zuzuweisen, wenn Benutzer bestimmten Gruppen beitreten. Durch regelmäßige Microsoft Entra ID Access Reviews werden veraltete Zugriffsrechte beseitigt. Darüber hinaus kann die Durchsetzung der MFA für Gäste versehentliche oder böswillige Zugriffsprobleme reduzieren.
Weitere Dinge, die Sie beachten sollten
Manchmal liegt der Fehler nicht nur an den Berechtigungen. Token-Probleme, Richtlinienkonflikte oder Netzwerksperren können ähnliche Probleme verursachen. Das Leeren des Caches oder der Versuch in einem Inkognito-Fenster kann helfen, Browserprobleme zu vermeiden. Wenn Sie den Benutzer korrekt zuweisen können, das Problem aber weiterhin besteht, überprüfen Sie, ob die Mandanteneinstellungen und die Richtlinien für bedingten Zugriff miteinander in Konflikt stehen oder den Zugriff für Gastkonten blockieren.
Wenn Ihre Umgebung viele Automatisierungs- oder benutzerdefinierte Onboarding-Skripte enthält, kann das Überspringen eines Schritts zu Lücken führen. Manchmal ist eine gute alte manuelle Überprüfung der einfachste Weg, um sicherzustellen, dass alles in Ordnung ist.