What causes AADSTS50187?

Conditional Access policy vereist een compliant of hybrid Azure AD-joined device, maar het apparaat is niet geregistreerd in Entra ID. Power BI Gateway, ADF self-hosted IR of Databricks-runner draait op een server zonder Entra device-registratie waardoor geen device-claim in het token zit. Browser blokkeert third-party cookies of de WAM/SSO-broker (Web Account Manager) is niet beschikbaar, waardoor device-info niet wordt meegestuurd. Service principal of managed identity wordt geraakt door een CA-policy die op users gericht zou moeten zijn. Intune-compliance is verlopen of het device staat als non-compliant gemarkeerd in Entra ID

How do I fix AADSTS50187?

Controleer in Entra ID > Sign-in logs welke Conditional Access policy AADSTS50187 triggert: open de failed sign-in, tab 'Conditional Access', en identificeer de policy die 'Require compliant device' of 'Require hybrid Azure AD joined device' afdwingt. Verifieer device-registratie: draai `dsregcmd /status` op de machine (Power BI Gateway / SHIR-host) en controleer dat AzureAdJoined of DomainJoined op YES staat én DeviceId aanwezig is. Voor service-accounts (gateway, ADF, Databricks SPN): sluit service principals expliciet uit van de CA-policy of verplaats ze naar een policy met 'Workload Identities' scope zonder device-eis. Bij Intune-compliance issues: forceer een sync via Company Portal of `Get-IntuneManagedDevice` en zorg dat compliance-status binnen evaluatie-window valt. In de browser: schakel 'Windows Hello / WAM SSO' in (Edge/Chrome via Microsoft Single Sign On extension) of test in een ander profiel zonder cookie-blockers om device-claim flow te valideren

Low severityauthentication

Power BI Error:
AADSTS50187

What does this error mean?

Entra ID (Azure AD) kon device-authenticatie niet uitvoeren omdat device-informatie ontbreekt of het apparaat niet geregistreerd is.

Common causes

1Conditional Access policy vereist een compliant of hybrid Azure AD-joined device, maar het apparaat is niet geregistreerd in Entra ID
2Power BI Gateway, ADF self-hosted IR of Databricks-runner draait op een server zonder Entra device-registratie waardoor geen device-claim in het token zit
3Browser blokkeert third-party cookies of de WAM/SSO-broker (Web Account Manager) is niet beschikbaar, waardoor device-info niet wordt meegestuurd
4Service principal of managed identity wordt geraakt door een CA-policy die op users gericht zou moeten zijn
5Intune-compliance is verlopen of het device staat als non-compliant gemarkeerd in Entra ID

How to fix it

1Controleer in Entra ID > Sign-in logs welke Conditional Access policy AADSTS50187 triggert: open de failed sign-in, tab 'Conditional Access', en identificeer de policy die 'Require compliant device' of 'Require hybrid Azure AD joined device' afdwingt
2Verifieer device-registratie: draai `dsregcmd /status` op de machine (Power BI Gateway / SHIR-host) en controleer dat AzureAdJoined of DomainJoined op YES staat én DeviceId aanwezig is
3Voor service-accounts (gateway, ADF, Databricks SPN): sluit service principals expliciet uit van de CA-policy of verplaats ze naar een policy met 'Workload Identities' scope zonder device-eis
4Bij Intune-compliance issues: forceer een sync via Company Portal of `Get-IntuneManagedDevice` en zorg dat compliance-status binnen evaluatie-window valt
5In de browser: schakel 'Windows Hello / WAM SSO' in (Edge/Chrome via Microsoft Single Sign On extension) of test in een ander profiel zonder cookie-blockers om device-claim flow te valideren

Frequently asked questions

What does AADSTS50187 mean?

The service failed to perform device authentication.

How do I fix this error?

Check your application registration, token configuration, and user permissions in the Azure portal. Review Conditional Access policies if the error is policy-related.

Source · learn.microsoft.com/en-us/entra/identity-platform/reference-error-codes#aadsts-error-codes