Przejdź do treści
KluczeSoft Wiedza
Powrót do Centrum Pomocy
Microsoft 365
Logowanie do usług Microsoft

Błąd AADSTS65001 — zgody wymagane w Microsoft 365 i jak je naprawić (2026)

Błąd AADSTS65001 (DelegationDoesNotExist) oznacza, że użytkownik lub administrator nie udzielił jeszcze zgody na korzystanie z danej aplikacji w organizacji Mic

10 min czytania·Zaktualizowano dzisiaj
Faktura VAT 23% + KSeFDostawa 1-3 min e-mailemGwarancja działania klucza5,0 / 5,0(KluczeSoft)

Błąd AADSTS65001 (DelegationDoesNotExist) oznacza, że użytkownik lub administrator nie udzielił jeszcze zgody na korzystanie z danej aplikacji w organizacji Microsoft 365. Pełny komunikat zwracany przez usługę tokenów Microsoft Entra ID brzmi: "The user or administrator has not consented to use the application with ID X. Send an interactive authorization request for this user and resource." W praktyce oznacza to, że próbujesz zalogować się do aplikacji, która żąda dostępu do zasobów Twojej organizacji, ale nikt z odpowiednimi uprawnieniami nie wyraził jeszcze na to zgody.

W skrócie

  • AADSTS65001 to błąd braku zgody (consent) na użycie aplikacji w ramach dzierżawy Microsoft Entra ID (dawniej Azure AD).
  • Występuje najczęściej przy pierwszym logowaniu do aplikacji firm trzecich zintegrowanych z Microsoft 365, podczas próby uzyskania dostępu do Microsoft Graph API bez zgody administratora lub gdy użytkownik korzysta z aplikacji spoza listy zatwierdzonych.
  • Rozwiązaniem jest wyrażenie zgody przez użytkownika (jeśli polityka organizacji na to pozwala) lub udzielenie zgody administratorskiej na poziomie całej dzierżawy.
  • W 2026 roku Microsoft domyślnie ogranicza możliwość wyrażania zgody przez zwykłych użytkowników — w większości nowych dzierżaw wymagana jest zgoda administratora globalnego.

Czym dokładnie jest błąd AADSTS65001?

Błąd AADSTS65001 należy do rodziny kodów AADSTS6500x związanych z procesem wyrażania zgody (consent) w platformie tożsamości Microsoft. W uproszczeniu: każda aplikacja, która chce uzyskać dostęp do danych w Twojej organizacji Microsoft 365 (np. skrzynki pocztowej, plików w SharePoint, kalendarzy, danych użytkowników w Entra ID), musi najpierw otrzymać na to pozwolenie. To pozwolenie nazywa się właśnie consentem (zgodą).

AADSTS65001 pojawia się, gdy aplikacja próbuje uzyskać token dostępu, ale w dzierżawie nie istnieje żaden rekord zgody — ani od użytkownika, ani od administratora. System Microsoft Entra ID sprawdza wtedy tabelę przyznań (OAuth2PermissionGrant dla uprawnień delegowanych lub appRoleAssignment dla uprawnień aplikacji) i nie znajdując niczego, zwraca ten właśnie błąd.

Delegowane vs. aplikacyjne — dwa rodzaje zgody

Typ uprawnieniaKto wyraża zgodę?Przykład zastosowania
Delegowane (delegated permissions)Użytkownik LUB administratorAplikacja czyta skrzynkę pocztową zalogowanego użytkownika (Mail.Read)
Aplikacyjne (application permissions)TYLKO administratorAplikacja działająca w tle (daemon) odczytuje wszystkie skrzynki w organizacji (Mail.Read.All)

W przypadku uprawnień delegowanych użytkownik może samodzielnie wyrazić zgodę — pod warunkiem, że polityka organizacji na to zezwala. Uprawnienia aplikacyjne zawsze wymagają zgody administratora.

Najczęstsze przyczyny błędu AADSTS65001

1. Pierwsze logowanie do aplikacji firm trzecich

Gdy użytkownik po raz pierwszy loguje się do zewnętrznej aplikacji (np. narzędzia do zarządzania projektami, CRM, aplikacji do podpisu elektronicznego) zintegrowanej z Microsoft 365 przez OAuth 2.0 / OpenID Connect, aplikacja ta wysyła żądanie uprawnień. Jeśli nikt wcześniej nie wyraził zgody, pojawia się AADSTS65001.

2. Wyłączona zgoda użytkownika w dzierżawie

Od 2023 roku Microsoft stopniowo zaostrza domyślne ustawienia zgody użytkowników. W nowych dzierżawach tworzonych po 2024 roku opcja „Users can consent to apps from verified publishers for selected permissions” jest domyślnie wyłączona. Oznacza to, że nawet jeśli aplikacja pochodzi od zweryfikowanego wydawcy i żąda niskiego poziomu uprawnień, użytkownik zobaczy błąd AADSTS65001, a nie okno zgody. Administrator musi skonfigurować ustawienia zgody ręcznie lub udzielić zgody samodzielnie.

3. Aplikacja wielodostępna (multi-tenant) bez zgody administratora

Aplikacje zarejestrowane jako wielodostępne (multi-tenant) mogą być używane przez użytkowników z różnych organizacji. Jednak każda dzierżawa, do której aplikacja próbuje uzyskać dostęp, musi osobno udzielić zgody. Jeśli administrator dzierżawy docelowej nie wyraził zgody, użytkownicy zobaczą AADSTS65001.

4. Uprawnienia wymagające zgody administratora

Niektóre uprawnienia delegowane są klasyfikowane jako high-privilege (wysokiego poziomu) i zawsze wymagają zgody administratora — nawet jeśli polityka organizacji zezwala użytkownikom na wyrażanie zgody. Należą do nich m.in.:

  • Mail.ReadWrite.All — odczyt i zapis wszystkich skrzynek pocztowych
  • Directory.ReadWrite.All — odczyt i zapis danych katalogu Entra ID
  • Sites.FullControl.All — pełna kontrola nad wszystkimi witrynami SharePoint
  • RoleManagement.ReadWrite.Directory — zarządzanie rolami w katalogu

Próba wyrażenia zgody przez zwykłego użytkownika na takie uprawnienia zawsze kończy się błędem AADSTS65001 — dopóki administrator nie wyrazi zgody za pośrednictwem centrum administracyjnego Entra lub endpointu /adminconsent.

Jak naprawić błąd AADSTS65001 — krok po kroku

Dla użytkowników końcowych

  1. Sprawdź, czy widzisz ekran zgody. Jeśli po wpisaniu loginu i hasła zamiast błędu pojawia się okno z listą żądanych uprawnień i przyciskiem „Accept” (Akceptuję) — kliknij go. Jeśli przycisk jest wyszarzony lub w ogóle nie ma ekranu zgody, przejdź do punktu 2.
  2. Skontaktuj się z administratorem IT Twojej organizacji. Przekaż mu pełną treść błędu, nazwę aplikacji, do której próbujesz się zalogować, oraz — jeśli to możliwe — identyfikator dzierżawy (Tenant ID) i identyfikator korelacji (Correlation ID) z komunikatu błędu. Te dane znajdują się w treści odpowiedzi AADSTS65001.
  3. Poproś o włączenie workflowu zgody administratora (admin consent workflow). Jeśli Twoja organizacja ma go włączonego, zamiast błędu zobaczysz przycisk „Request approval” (Poproś o zatwierdzenie). Po jego kliknięciu administrator otrzyma powiadomienie i będzie mógł zatwierdzić lub odrzucić żądanie.

Dla administratorów — wyrażenie zgody na poziomie dzierżawy

  1. Zaloguj się do centrum administracyjnego Microsoft Entra (dawniej Azure AD) jako administrator globalny, administrator aplikacji lub administrator aplikacji w chmurze.
  2. Przejdź do Identity → Applications → Enterprise applications → All applications.
  3. Wyszukaj aplikację, której dotyczy błąd. Jeśli aplikacja nie pojawia się na liście, przejdź do App registrations i sprawdź, czy w ogóle istnieje w Twojej dzierżawie.
  4. Wybierz aplikację, a następnie przejdź do zakładki Permissions (Uprawnienia).
  5. Kliknij Grant admin consent for <nazwa organizacji> (Udziel zgody administratora dla organizacji). Potwierdź operację.
  6. Odczekaj do 5 minut na propagację zmian — zgoda powinna być aktywna natychmiast, ale w rzadkich przypadkach replikacja między regionami może potrwać dłużej.

Alternatywa: wyrażenie zgody przez URL

Administratorzy mogą również użyć bezpośredniego linku do wyrażenia zgody administratorskiej. Konstrukcja URL:

https://login.microsoftonline.com/{tenant-id}/adminconsent?client_id={client-id}&redirect_uri={redirect-uri}

Gdzie:

  • {tenant-id} — identyfikator dzierżawy (lub common dla aplikacji wielodostępnych)
  • {client-id} — identyfikator aplikacji (Application ID) z rejestracji aplikacji
  • {redirect-uri} — adres przekierowania skonfigurowany w aplikacji

Po otwarciu tego adresu w przeglądarce i zalogowaniu się jako administrator, zostaniesz poproszony o zaakceptowanie żądanych uprawnień dla całej organizacji.

Konfiguracja ustawień zgody użytkownika w Microsoft Entra ID

Jeśli chcesz umożliwić użytkownikom samodzielne wyrażanie zgody (dla niskiego poziomu uprawnień), skonfiguruj to w centrum administracyjnym Entra:

  1. Przejdź do Identity → Applications → Enterprise applications → User settings.

  2. W sekcji „Users can consent to apps” wybierz jedną z opcji:

    • Disable user consent — użytkownicy nie mogą wyrażać zgody (domyślnie w nowych dzierżawach od 2024)
    • Allow user consent for apps from verified publishers, for selected permissions — zalecane dla większości organizacji; użytkownicy mogą wyrażać zgodę tylko dla aplikacji od zweryfikowanych wydawców i tylko na uprawnienia sklasyfikowane jako niskiego ryzyka
    • Allow user consent for all apps — użytkownicy mogą wyrażać zgodę na dowolne uprawnienia nie wymagające zgody administratora (najmniej restrykcyjne, niezalecane)

  3. Skonfiguruj również admin consent workflow (Identity → Applications → Enterprise applications → Admin consent settings), aby użytkownicy mogli wysyłać prośby o zgodę do wyznaczonych recenzentów, zamiast otrzymywać surowy błąd AADSTS65001.

Klasyfikacja uprawnień według ryzyka

Microsoft klasyfikuje uprawnienia na trzy poziomy ryzyka. Tylko uprawnienia niskiego ryzyka (low) mogą być zatwierdzane przez użytkowników (przy odpowiedniej konfiguracji):

Poziom ryzykaPrzykładowe uprawnieniaKto może wyrazić zgodę
Niskie (low)User.Read, email, openid, profile, offline_accessUżytkownik (jeśli polityka zezwala)
Średnie (medium)Mail.Read, Files.ReadWrite, Calendars.ReadAdministrator lub użytkownik (jeśli polityka zezwala i wydawca zweryfikowany)
Wysokie (high)Mail.ReadWrite.All, Directory.ReadWrite.All, Sites.FullControl.AllTylko administrator

Porównanie: AADSTS65001 vs pokrewne błędy zgody

Kod błęduNazwaZnaczenieTypowe rozwiązanie
AADSTS65001DelegationDoesNotExistBrak zgody użytkownika lub administratora na użycie aplikacjiWyraź zgodę przez interaktywne logowanie lub jako administrator
AADSTS65004UserDeclinedConsentUżytkownik kliknął „Cancel” (Anuluj) na ekranie zgodyPonów logowanie i zaakceptuj uprawnienia
AADSTS65005MisconfiguredApplicationAplikacja żąda dostępu do zasobu, którego nie ma na liście wymaganych uprawnieńAdministrator musi poprawić konfigurację rejestracji aplikacji
AADSTS650056MisconfiguredApplication (wariant)Klient nie wymienił żadnych uprawnień w rejestracji lub administrator nie wyraził zgodySprawdź rejestrację aplikacji w Entra ID i udziel zgody administratorskiej
AADSTS90008TokenForItselfRequiresGraphPermissionAplikacja żąda tokenu dla siebie bez uprawnień do Microsoft GraphDodaj uprawnienia User.Read w rejestracji aplikacji

Częste pytania

Czy błąd AADSTS65001 oznacza, że moje konto jest zablokowane?

Nie. AADSTS65001 nie ma nic wspólnego z blokadą konta, nieprawidłowym hasłem ani ograniczeniami dostępu warunkowego. To czysto techniczny błąd braku zgody na poziomie dzierżawy — Twoje konto działa poprawnie, ale aplikacja, do której próbujesz się zalogować, nie otrzymała jeszcze pozwolenia na dostęp do zasobów Twojej organizacji.

Czy mogę samodzielnie naprawić błąd AADSTS65001 bez udziału administratora?

To zależy od konfiguracji Twojej organizacji. Jeśli polityka dzierżawy zezwala użytkownikom na wyrażanie zgody, a żądane uprawnienia są sklasyfikowane jako niskiego ryzyka — tak, wystarczy, że zalogujesz się interaktywnie i zaakceptujesz uprawnienia na ekranie zgody. Jeśli jednak polityka tego zabrania lub uprawnienia wymagają zgody administratora, jedyną drogą jest kontakt z działem IT.

Jak sprawdzić, które aplikacje mają już udzieloną zgodę w mojej dzierżawie?

Zaloguj się do centrum administracyjnego Microsoft Entra, przejdź do Identity → Applications → Enterprise applications. Na liście znajdują się wszystkie aplikacje, którym udzielono zgody. Kliknij konkretną aplikację i przejdź do zakładki Permissions, aby zobaczyć, jakie uprawnienia przyznano i kto wyraził zgodę (użytkownik czy administrator).

Czy Microsoft wycofał zgodę użytkowników w 2026 roku?

Nie całkowicie. Microsoft nie wycofał możliwości wyrażania zgody przez użytkowników, ale od 2024 roku domyślnie wyłącza ją w nowo tworzonych dzierżawach. Istniejące dzierżawy zachowują dotychczasowe ustawienia. Ponadto Microsoft systematycznie przenosi kolejne uprawnienia do kategorii wymagających zgody administratora (high-privilege), co w praktyce oznacza, że coraz więcej scenariuszy wymaga interwencji administratora globalnego.

Czy błąd AADSTS65001 może pojawić się przy logowaniu do aplikacji Microsoft (np. Teams, Outlook)?

Nie. Aplikacje pierwszej strony Microsoft (first-party apps) mają wstępnie skonfigurowaną autoryzację (preauthorization) i nie wymagają jawnej zgody użytkownika ani administratora. Błąd AADSTS65001 dotyczy wyłącznie aplikacji firm trzecich (third-party apps) zarejestrowanych w Twojej dzierżawie lub aplikacji wielodostępnych spoza organizacji.

Co zrobić, gdy błąd AADSTS65001 powtarza się mimo udzielenia zgody administratorskiej?

Najczęstszą przyczyną jest opóźnienie propagacji. Odczekaj 5-10 minut i spróbuj ponownie. Jeśli problem nadal występuje, sprawdź, czy aplikacja nie żąda dodatkowych uprawnień, które nie zostały objęte pierwotną zgodą — w takim przypadku konieczne jest ponowne udzielenie zgody z uwzględnieniem nowych zakresów. W ostateczności sprawdź logi sign-in w centrum administracyjnym Entra ID (Monitoring & health → Sign-in logs), gdzie znajdziesz szczegółowe informacje o przyczynie niepowodzenia.

Czy subskrypcja Microsoft 365 Business Basic wystarczy do zarządzania zgodami?

Samo zarządzanie zgodami (consent) jest funkcją platformy Entra ID i nie wymaga płatnej licencji — działa nawet w bezpłatnej warstwie Microsoft Entra ID Free. Jeśli jednak potrzebujesz zaawansowanych funkcji, takich jak Conditional Access blokujący aplikacje bez zgody, ocena ryzyka w czasie rzeczywistym (Identity Protection) czy Privileged Identity Management do delegowania uprawnień administratora, wymagana jest subskrypcja Microsoft Entra ID P1 lub P2, dostępna w ramach planów Microsoft 365 Business Premium oraz Microsoft 365 E3/E5.

Potrzebujesz licencji Microsoft 365 z pełną kontrolą nad zgodami?

Jeśli Twoja organizacja potrzebuje zaawansowanego zarządzania tożsamością, w tym kontroli nad zgodami użytkowników, dostępu warunkowego i ochrony przed ryzykownymi logowaniami, warto rozważyć subskrypcję z Microsoft Entra ID P1. Pełne funkcje zarządzania zgodami są dostępne w planach Microsoft 365 Business Premium i wyższych.

Sprawdź Microsoft 365 Business Premium w KluczeSoft

KluczeSoft jest niezależnym sprzedawcą — nie jesteśmy powiązani ani sponsorowani przez Microsoft Corporation. Microsoft, Microsoft 365, Microsoft Entra ID, Azure i pozostałe znaki towarowe należą do Microsoft group of companies.

Najczęściej zadawane pytania

Nie. AADSTS65001 nie ma nic wspólnego z blokadą konta, nieprawidłowym hasłem ani ograniczeniami dostępu warunkowego. To czysto techniczny błąd braku zgody na poziomie dzierżawy — Twoje konto działa poprawnie, ale aplikacja, do której próbujesz się zalogować, nie otrzymała jeszcze pozwolenia na dostęp do zasobów Twojej organizacji.
To zależy od konfiguracji Twojej organizacji. Jeśli polityka dzierżawy zezwala użytkownikom na wyrażanie zgody, a żądane uprawnienia są sklasyfikowane jako niskiego ryzyka — tak, wystarczy, że zalogujesz się interaktywnie i zaakceptujesz uprawnienia na ekranie zgody. Jeśli jednak polityka tego zabrania lub uprawnienia wymagają zgody administratora, jedyną drogą jest kontakt z działem IT.
Zaloguj się do [centrum administracyjnego Microsoft Entra](https://entra.microsoft.com), przejdź do **Identity → Applications → Enterprise applications**. Na liście znajdują się wszystkie aplikacje, którym udzielono zgody. Kliknij konkretną aplikację i przejdź do zakładki **Permissions**, aby zobaczyć, jakie uprawnienia przyznano i kto wyraził zgodę (użytkownik czy administrator).
Nie całkowicie. Microsoft nie wycofał możliwości wyrażania zgody przez użytkowników, ale od 2024 roku domyślnie **wyłącza ją w nowo tworzonych dzierżawach**. Istniejące dzierżawy zachowują dotychczasowe ustawienia. Ponadto Microsoft systematycznie przenosi kolejne uprawnienia do kategorii wymagających zgody administratora (high-privilege), co w praktyce oznacza, że coraz więcej scenariuszy wymaga interwencji administratora globalnego.
Nie. Aplikacje pierwszej strony Microsoft (first-party apps) mają wstępnie skonfigurowaną autoryzację (`preauthorization`) i nie wymagają jawnej zgody użytkownika ani administratora. Błąd AADSTS65001 dotyczy wyłącznie aplikacji firm trzecich (third-party apps) zarejestrowanych w Twojej dzierżawie lub aplikacji wielodostępnych spoza organizacji.
Najczęstszą przyczyną jest opóźnienie propagacji. Odczekaj 5-10 minut i spróbuj ponownie. Jeśli problem nadal występuje, sprawdź, czy aplikacja nie żąda dodatkowych uprawnień, które nie zostały objęte pierwotną zgodą — w takim przypadku konieczne jest ponowne udzielenie zgody z uwzględnieniem nowych zakresów. W ostateczności sprawdź logi sign-in w centrum administracyjnym Entra ID (Monitoring & health → Sign-in logs), gdzie znajdziesz szczegółowe informacje o przyczynie niepowodzenia.
Samo zarządzanie zgodami (consent) jest funkcją platformy Entra ID i nie wymaga płatnej licencji — działa nawet w bezpłatnej warstwie Microsoft Entra ID Free. Jeśli jednak potrzebujesz zaawansowanych funkcji, takich jak Conditional Access blokujący aplikacje bez zgody, ocena ryzyka w czasie rzeczywistym (Identity Protection) czy Privileged Identity Management do delegowania uprawnień administratora, wymagana jest subskrypcja **Microsoft Entra ID P1 lub P2**, dostępna w ramach planów **Microsoft 365 Business Premium** oraz **Microsoft 365 E3/E5**.

Czy ten artykuł był pomocny?