Erkundigen Sie sich bei den Unternehmen, bei denen häufig Fehler bei der Geräteautorisierung auftreten, bei Ihrem Kunden, ob er MFA-Einstellungen wie „Multi-Faktor-Authentifizierung auf vertrauenswürdigen Geräten merken“ oder eine bedingte Richtlinie in seinem Azure AD/M365 aktiviert hat. Wir haben gesehen, dass Kunden, die diese Einstellungen verwenden, mit diesem Problem konfrontiert wurden. Die konfigurierte Richtlinie / MFA-Einstellung führt dazu, dass das Gerätetoken abläuft, so dass ein Anmeldungsfehler auftritt.
Die Einstellungen können unter „Azure Portal -> Benutzer -> MFA pro Benutzer -> Tab „Diensteinstellungen““ überprüft werden.
Außerdem können Sie überprüfen, ob die „Richtlinie zum Ablauf des Passworts“ auf dem Mandanten aktiviert ist.
- Besuchen Sie die URL https://admin.microsoft.com/AdminPortal/Home?#/Settings/SecurityPrivacy
- Überprüfen Sie, ob der Ablauf des Passworts nach x Tagen aktiviert ist.
Falls mindestens ein globaler Administrator mit einer Azure AD Premium-Lizenz vorhanden ist, kann ein bedingter Zugriff erstellt werden, um den Ablauf des Tokens zu konfigurieren; andernfalls folgt es der Standardkonfiguration (90 Tage), wie von Microsoft erklärt (Konfigurierbare Token-Lebensdauer - Microsoft Entra ).
Beispiel:
„AADSTS50173: Die angegebene Berechtigung ist abgelaufen, da sie widerrufen wurde; es wird ein neues Authentifizierungstoken benötigt. Der Benutzer hat möglicherweise sein Passwort geändert oder zurückgesetzt.“
Dieser Fehler ist auf eine Backup-Admin- oder Backup-Admin- Passwortänderung zurückzuführen. Wenn eine AD-Richtlinie das Ablaufen oder die Erneuerung des Backup-Admin-/Backup-Admin- Passworts innerhalb eines bestimmten Zeitraums erzwingt, bitten Sie Ihren Kunden, den Dropsuite Backup Admin von der Richtlinie auszuschließen.
Fehlercode | Grund | Lösung |
AADSTS700082 | Das Aktualisierungstoken ist aufgrund von Inaktivität abgelaufen. Der Standardzeitraum beträgt 14 Tage und wir verfügen über einen Cron, der das Aktualisierungstoken alle 7 Tage erneuert. Einige Mandanten haben jedoch einen individuellen inaktiven Zeitraum von weniger als 7 Tagen. Ein weiterer Grund könnte ein Problem auf unserer Seite sein, bei dem das Aktualisierungstoken aufgrund eines Fehlers im Cron nicht erneuert wird. | Das liegt vor allem auf unserer Seite. Wir müssen unsere Crons überprüfen; Wir haben keine Protokolle oder Berichte wie die Erneuerung der letzten Aktualisierungstoken. Außerdem sollten wir eine häufigere Erneuerung der Token und konfigurierbare Erneuerungszeiten für Mandanten mit einem aktiven Zeitraum von weniger als 7 Tagen unterstützen. |
AADSTS50078 | Das Aktualisierungstoken ist aufgrund einer im Azure-Mandanten konfigurierten Richtlinie ungültig. Unser Anwendungs- oder Backup-Administrator sollte in eine Richtlinie einbezogen werden, die zum Ablauf des Tokens führt. | Kunden müssen unseren Anwendungs- und Backup-Administrator von den bedingten Richtlinien in ihrem Mandanten ausschließen. Wenn dies bei Gerätetokens der Fall ist, kann es daran liegen, dass „Multi-Faktor-Authentifizierung auf vertrauenswürdigen Geräten merken“ aktiviert ist Kunden müssen dies möglicherweise deaktivieren, eine Richtlinie für bedingten Zugriff erstellen und unseren Backup-Administrator ausschließen. |
AADSTS50173 |
Der Benutzer hat sein Passwort zurückgesetzt oder geändert, oder es gibt eine Richtlinie zum Ablauf des Passworts. |
Der Kunde muss sich neu authentifizieren, wenn er sein Passwort zurückgesetzt oder geändert hat. Wenn er eine Richtlinie zum Ablauf des Passworts hat, kann er sie von unserem Backup-Admin aus deaktivieren. |
AADSTS500341 | Entweder ihr Organisationsadministrator, der die Hauptanwendung authentifiziert hat, oder unser Backup-Administrator wird aus dem Mandanten gelöscht. |
Wenn ihr globaler Administrator gelöscht wird, müssen sie sich mit einem anderen Organisationsadministrator erneut authentifizieren. Wenn der Backup-Administrator gelöscht wird, erstellt unser System automatisch einen neuen und sie müssen MFA einrichten und sich mit dem neuen Backup-Administrator erneut authentifizieren. |
AADSTS50076 | Die Azure-Sicherheitsvorgaben sind möglicherweise im Mandanten aktiviert und der Administrator richtet nach der Authentifizierung MFA ein, was zu ungültigen Token führt. Wenn sie das MFA-Gerät zurücksetzen und die MFA auf einem Org-Admin oder Backup-Admin zurücksetzen, sind die Token ungültig. | Am besten wäre es, die Sicherheitsvorgaben zu deaktivieren und bedingte Zugriffsrichtlinien zu verwenden, wenn sie eine Azure-Premium-Lizenz haben und unsere App und den Backup-Admin von der Richtlinie ausschließen. Wenn nicht, müssen sie sich bei jeder Aktualisierung der MFA-Einstellungen neu authentifizieren. |
AADSTS70043 | Das Aktualisierungstoken ist abgelaufen oder ungültig, da die Häufigkeit der Anmeldung durch bedingten Zugriff geprüft wird oder die Token-Lebensdauer konfiguriert ist. | Kunden müssen unsere App und den Backup-Administrator von den Richtlinien ausschließen, sofern konfiguriert. |