AADSTS-fouten bij geplande refresh in Power BI: oorzaken en oplossingen

Wanneer een geplande Power BI refresh mislukt met een foutcode die begint met AADSTS, ligt de oorzaak niet bij Power BI zelf. AADSTS is de naamruimte voor aanmeldingsfouten van Azure Active Directory (nu Microsoft Entra ID). Deze code wordt geretourneerd door het identiteitsplatform van Microsoft wanneer een authenticatieverzoek wordt afgewezen, nog voordat Power BI je gegevensbron kan opvragen.

Dit is belangrijk voor de diagnose. Het probleem zit niet in je dataset, je Power Query-logica of de verbinding met je gegevensbron. Het probleem zit in de authenticatieketen tussen Power BI Service, de inloggegevens die deze bewaart voor je datasource en Azure AD. Elke AADSTS-fout heeft een specifieke numerieke code die precies aangeeft wat er in die keten mis is gegaan.

De acht onderstaande codes zijn verantwoordelijk voor de overgrote meerderheid van de authenticatiefouten bij geplande refreshen. Elke code heeft een eigen oorzaak en een eigen oplossing.

AADSTS50126 (Ongeldige gebruikersnaam of wachtwoord) is de meest voor de hand liggende oorzaak: de in Power BI Service opgeslagen referenties voor deze gegevensbron zijn onjuist. Ofwel is het wachtwoord gewijzigd sinds de referenties voor het laatst zijn opgeslagen, ofwel is de gebruikersnaam onjuist ingevoerd toen de dataset voor het eerst werd geconfigureerd.

In een geplande refresh context betekent dit bijna altijd dat het wachtwoord van een serviceaccount is gewijzigd zonder dat de opgeslagen referenties in Power BI zijn bijgewerkt. De refresh die vorige week succesvol is uitgevoerd, gebruikte het oude wachtwoord; de refresh die vanochtend is uitgevoerd, gebruikte dezelfde opgeslagen referenties nadat het wachtwoord was gewijzigd.

Oplossing: ga naar de dataset instellingen in Power BI Service, zoek het gedeelte met referenties voor de gegevensbron en voer de referenties opnieuw in met het huidige wachtwoord. Als dit probleem zich blijft voordoen, kunt je overwegen over te stappen op een serviceaccount met een wachtwoordbeleid dat niet verloopt, of op een OAuth-gebaseerde verbinding die niet afhankelijk is van opgeslagen wachtwoorden.

AADSTS50076 (UserStrongAuthClientAuthNRequired) en AADSTS50079 (UserStrongAuthEnrollmentRequired) geven beide aan dat de identiteit die wordt gebruikt voor authenticatie multifactorauthenticatie (MFA) vereist. Een geplande refresh kan MFA niet voltooien omdat er geen interactieve sessie is die een uitdaging presenteert.

ADADSTS50076 wordt geactiveerd wanneer de beheerder een beleid voor voorwaardelijke toegang heeft toegepast dat MFA vereist nadat de Power BI verbinding is geconfigureerd. AADSTS50079 wordt geactiveerd wanneer MFA-registratie vereist is, maar het account deze nooit heeft voltooid. In beide gevallen kan de refresh niet interactief worden uitgevoerd.

Oplossing: geplande refreshen moeten niet-interactief authenticeren. De opties zijn: (1) gebruik een service principal met OAuth-referenties in plaats van een gebruikersaccount. Serviceprincipals zijn niet onderworpen aan MFA-beleid dat op gebruikers van toepassing is; (2) configureer een uitzondering voor voorwaardelijke toegang voor het serviceaccount dat door Power BI wordt gebruikt als je organisatie MFA vereist voor alle gebruikersaccounts; (3) overschakelen naar OAuth-gebaseerde referenties met behulp van een service principal die is geregistreerd in Azure AD en waarbij de Power BI Service-toepassing de juiste API-machtigingen heeft gekregen. Serviceprincipals zijn de juiste oplossing op de lange termijn voor elk geautomatiseerd proces.

AADSTS53003 (BlockedByConditionalAccess) is de meest abrupte authenticatiefout: een Azure AD-beleid voor voorwaardelijke toegang blokkeert expliciet de tokenaanvraag. In tegenstelling tot MFA-fouten is er geen terugvaloptie: het beleid staat de uitgifte van tokens helemaal niet toe.

Veelvoorkomende oorzaken in Power BI verversingsscenario's: een beleid voor voorwaardelijke toegang dat compatibele apparaten vereist (Power BI Service is geen apparaat); een beleid dat aanmeldingen beperkt tot specifieke IP-bereiken (de IP-adressen van Power BI Service vallen niet binnen het toegestane bereik); een beleid dat door de app afgedwongen beperkingen vereist die Power BI niet ondersteunt.

Oplossing: ga naar het Azure AD-beleid voor voorwaardelijke toegang en identificeer welk beleid de aanvraag blokkeert. Het aanmeldingslogboek in Azure AD (Monitoring → Aanmeldingslogboeken) toont de exacte beleidsnaam die de authenticatie heeft geblokkeerd. Opties: maak een beleidsuitsluiting voor het serviceaccount dat door Power BI wordt gebruikt; maak een benoemde locatie die de IP-adressen van Power BI Service bevat; Of overschakelen naar een service principal — service principals kunnen expliciet worden uitgesloten van op gebruikers gerichte beleidsregels voor voorwaardelijke toegang.

AADSTS65001 (DelegationDoesNotExist) betekent dat de Azure AD-toepassing die Power BI gebruikt voor authenticatie geen beheerdersrechten heeft gekregen om toegang te krijgen tot de gevraagde resource. De toepassing bestaat, de referenties zijn geldig, maar de gedelegeerde machtiging – de expliciete toestemming om namens een gebruiker toegang te krijgen tot een specifieke resource – is niet goedgekeurd door een tenantbeheerder.

Deze fout treedt vaak op nadat een organisatie het Azure AD-apptoestemmingsbeleid heeft gewijzigd, of wanneer de OAuth-verbinding van Power BI voor het eerst wordt geconfigureerd met een nieuwe gegevensbron waarvoor beheerdersrechten vereist zijn (zoals SharePoint Online of Dynamics 365).

Oplossing: een tenantbeheerder moet beheerdersrechten verlenen voor de vereiste machtigingen. Ga in Azure AD naar de betreffende app-registratie → API-machtigingen en klik op 'Beheerdersrechten verlenen voor [tenant]'. De vereiste machtigingen zijn afhankelijk van de gegevensbron: Power BI Service heeft gedelegeerde toegang nodig tot de API van de doelservice. Als je een service principal gebruikt, schakelt het machtigingsmodel over naar toepassingsmachtigingen, waarvoor eigen beheerdersrechten vereist zijn.

AADSTS50055 (Ongeldig wachtwoord, verlopen wachtwoord) is anders dan AADSTS50126. Het wachtwoord is niet onjuist, maar verlopen. Azure AD weigert de authenticatie omdat het wachtwoord van het account de vervaldatum heeft bereikt en opnieuw moet worden ingesteld voordat er nieuwe sessies kunnen worden aangemaakt.

Deze fout komt vaak voor wanneer organisaties reguliere gebruikersaccounts (in plaats van service principals) gebruiken om Power BI gegevensbronnen te authenticeren. Standaardgebruikersaccounts zijn onderworpen aan beleid voor wachtwoordverloop. Wanneer het wachtwoord verloopt, mislukt elke geplande refresh met dat account tegelijkertijd, voor alle datasets die met die referenties zijn geconfigureerd.

Oplossing: stel het wachtwoord voor het serviceaccount opnieuw in en werk de opgeslagen referenties bij in elke Power BI dataset die het gebruikt. Dit is een herstelbaar incident, maar als het account veel datasets authenticeert, kost het opnieuw instellen van de referenties tijd. De fundamentele oplossing is over te schakelen naar een service principal – service principals hebben geen wachtwoordverloopdatum – of het serviceaccount te configureren met een wachtwoordbeleid zonder vervaldatum, indien het beveiligingsbeleid van je organisatie dit toestaat.

AADSTS50034 (UserAccountNotFound) betekent dat het gebruikersaccount waarnaar in de referenties wordt verwezen, niet bestaat in de Azure AD-tenant waarmee Power BI zich verifieert. Dit is iets anders dan een onjuist wachtwoord: het account zelf kan niet worden gevonden.

Typische oorzaken bij geplande refreshen: het serviceaccount is verwijderd uit Azure AD (of uitgeschakeld); de gebruikersnaam in de opgeslagen referenties bevat een typefout of verwijst naar een oud domein dat niet meer bestaat; het account bevond zich in een externe of gasttenant waarvan de toegang inmiddels is ingetrokken.

Oplossing: controleer of het serviceaccount nog steeds bestaat en actief is in Azure AD. Als het is verwijderd, herstel het dan vanuit de prullenbak van Azure AD (accounts kunnen 30 dagen na verwijdering worden hersteld) of maak een vervangend account aan en voer de referenties opnieuw in voor alle betreffende datasets. Als het account zich in een gasttenant bevond, controleer dan de configuratie voor toegang tussen tenants opnieuw.

AADSTS70011 (InvalidScope) wordt geactiveerd wanneer het OAuth-bereik dat tijdens de authenticatiestroom wordt aangevraagd, onjuist is of niet wordt herkend door Azure AD voor de doelresource. Het toegangstoken kan niet worden uitgegeven omdat de resourcedefinitie in de aanvraag ongeldig is.

In Power BI contexten treedt dit op wanneer een aangepaste gegevensconnector of een handmatig geconfigureerde OAuth-verbinding een bereik aanvraagt dat niet overeenkomt met de geconfigureerde API-machtigingen van de Azure AD-appregistratie, of wanneer de resource-URI onjuist is (verwijst naar de verkeerde omgeving, bijvoorbeeld een URI van een overheidscloudresource die wordt gebruikt in een commerciële tenant).

Oplossing: controleer de Azure AD-appregistratie voor de gebruikte toepassing. Controleer onder API-machtigingen of de geconfigureerde bereiken exact overeenkomen met wat de Power BI verbinding aanvraagt. Voor ingebouwde Power BI connectors kan deze fout ook optreden na een tenantwijziging of een update van de appregistratie. Het opnieuw registreren van de OAuth-verbinding in Power BI Desktop en het opnieuw publiceren lost het probleem vaak op.

Power BI Service toont verversingsfouten met een algemene foutmelding, waarbij de AADSTS-code vaak pas na drie klikken in de verversingsgeschiedenis zichtbaar is. Tegen de tijd dat je de specifieke uitvoering hebt gevonden, de foutdetails hebt geopend en de foutcode hebt ontcijferd, zijn er al vijf minuten verstreken en bent je nog niet aan de oplossing begonnen.

MetricSign legt de volledige foutdetails vast – inclusief de AADSTS-code – op het moment van de fout en toont deze direct in het incident. In plaats van "Geplande verversing mislukt voor Verkoopoverzicht" staat er in het incident "Verversing Verkoopoverzicht mislukt: AADSTS53003 – Geblokkeerd door voorwaardelijke toegang". De dienstdoende technicus weet dan waar hij moet kijken voordat hij een tweede browsertabblad opent.