Freigeben über

Unerwarteter Fehler beim Vorgang des Genehmigens einer Anwendung

  • Artikel

In diesem Artikel werden Fehler erläutert, die während des Vorgangs des Genehmigens einer Anwendung auftreten können. Wenn Sie Probleme mit unerwarteten Einwilligungsaufforderungen behandeln, die keine Fehlermeldungen enthalten, sehen Sie sich die Authentifizierungsszenarien für Microsoft Entra ID an.

Viele Anwendungen, die in Microsoft Entra ID integriert sind, erfordern Berechtigungen für den Zugriff auf andere Ressourcen, um zu funktionieren. Wenn diese Ressourcen auch in Microsoft Entra ID integriert sind, werden Berechtigungen für den Zugriff darauf häufig mithilfe des allgemeinen Genehmigungsframeworks angefordert. Es wird eine Zustimmungsaufforderung angezeigt, die im Allgemeinen auftritt, wenn eine Anwendung zum ersten Mal verwendet wird. Es kann auch bei einer späteren Verwendung der Anwendung auftreten.

Bestimmte Bedingungen müssen sein erfüllt, damit ein Benutzer die von einer Anwendung benötigten Berechtigungen genehmigt. Wenn diese Bedingungen nicht erfüllt sind, können die folgenden Fehler auftreten.

Anfordern nicht autorisierter Berechtigungen

  • AADSTS90093:clientAppDisplayName fordert mindestens eine Berechtigung an, für deren Erteilung Sie nicht autorisiert sind. Wenden Sie sich an einen Administrator, der diese Anwendung in Ihrem Auftrag genehmigen kann.
  • AADSTS90094:clientAppDisplayName benötigt die Berechtigung für den Zugriff auf Ressourcen in Ihrer Organisation, die nur ein Administrator erteilen kann. Bitten Sie einen Administrator, Berechtigungen für diese App zu erteilen, bevor Sie sie verwenden.

Dieser Fehler tritt auf, wenn ein Benutzer, der kein Administrator ist, versucht, eine Anwendung zu verwenden, die Berechtigungen anfordert, die nur ein Administrator erteilen kann. Um diesen Fehler zu beheben, sollte ein Administrator im Namen seiner Organisation Zugriff auf die Anwendung gewähren.

Dieser Fehler kann auch auftreten, wenn ein Benutzer daran gehindert wird, einer Anwendung zuzustimmen, weil Microsoft erkennt, dass die Berechtigungsanforderung riskant ist. In diesem Fall wird auch ein Überwachungsereignis der Kategorie ApplicationManagement mit dem Aktivitätstyp Einwilligung in Anwendung und dem Statusgrund Riskante Anwendung erkannt protokolliert.

Ein weiteres Szenario, in dem dieser Fehler auftreten kann, ist, wenn die Benutzerzuweisung für die Anwendung erforderlich ist, aber keine Administratoreinwilligung gegeben wurde. In diesem Fall muss der Administrator zuerst die mandantenweite Administratorzustimmung für die Anwendung bereitstellen.

Richtlinien verhindern das Erteilen von Berechtigungen

  • AADSTS90093: Administrator*in von tenantDisplayName hat eine Richtlinie festgelegt, die Sie daran hindert, name of app die angeforderten Berechtigungen zu erteilen. Wenden Sie sich an einen Administrator von tenantDisplayName, der Berechtigungen für diese App in Ihrem Auftrag erteilen kann.

Dieser Fehler tritt auf, wenn ein Administrator die Möglichkeit deaktiviert, benutzern die Zustimmung zu Anwendungen zu erteilen. Anschließend versucht ein Nichtadministratorbenutzer, eine Anwendung zu verwenden, die eine Zustimmung erfordert. Um diesen Fehler zu beheben, sollte ein Administrator im Namen seiner Organisation Zugriff auf die Anwendung gewähren.

Vorübergehendes Problem

  • AADSTS90090: Beim Anmeldevorgang ist ein vorübergehendes Problem beim Aufzeichnen der Berechtigungen aufgetreten, die Sie clientAppDisplayName erteilen wollten. Versuchen Sie es später erneut.

Dieser Fehler weist darauf hin, dass ein zeitweiliges dienstseitiges Problem aufgetreten ist. Es kann behoben werden, indem versucht wird, die Anwendung erneut zu genehmigen.

Ressource im Mandanten nicht verfügbar

  • AADSTS65005:clientAppDisplayName fordert Zugriff auf eine Ressource resourceAppDisplayName an, die in Ihrer Organisation tenantDisplayNamenicht verfügbar ist.

Stellen Sie sicher, dass diese Ressourcen, die die angeforderten Berechtigungen bereitstellen, in Ihrem Mandanten verfügbar sind, oder wenden Sie sich an einen Administrator von tenantDisplayName. Andernfalls gibt es eine Falschkonfiguration in Bezug darauf, wie die Anwendung Ressourcen anfordert, und Sie sollten sich an den Anwendungsentwickler wenden.

Berechtigungskonflikt

  • AADSTS65005: Die App hat die Zustimmung zum Zugriff auf Ressource resourceAppDisplayNameangefordert. Diese Anforderung ist fehlgeschlagen, da sie nicht mit der Vorkonfiguration der App während der App-Registrierung übereinstimmt. Wenden Sie sich an den App-Hersteller.**

Diese Fehler treten auf, wenn die App, zu der ein Benutzer seine Zustimmung geben möchte, Berechtigungen für den Zugriff auf eine Ressourcenanwendung anfordert, die im Verzeichnis (Mandant) der Organisation nicht gefunden werden kann. Dies kann aus unterschiedlichen Gründen passieren:

  • Der Clientanwendungsentwickler hat seine Anwendung falsch konfiguriert, wodurch er den Zugriff auf eine ungültige Ressource anforderte. In diesem Fall muss der Anwendungsentwickler die Konfiguration der Clientanwendung zum Beheben dieses Problems aktualisieren.

  • Ein Dienstprinzipal, der die Zielressourcenanwendung darstellt, ist in der Organisation nicht vorhanden oder war in der Vergangenheit vorhanden, wurde jedoch entfernt. Um dieses Problem zu beheben, muss ein Dienstprinzipal für die Ressourcenanwendung in der Organisation so bereitgestellt werden, dass die Clientanwendung Berechtigungen dafür anfordern kann. Je nach Anwendungstyp gibt es zahlreiche Bereitstellungsmöglichkeiten für den Dienstprinzipal, einschließlich:

  • Erwerben eines Abonnements für die Ressourcenanwendung (von Microsoft veröffentlichte Anwendungen)

  • Genehmigen der Ressourcenanwendung

  • Erteilen von Anwendungsberechtigungen über das Microsoft Entra Admin Center

  • Hinzufügen der Anwendung aus dem Microsoft Entra-Anwendungskatalog

Fehler und Warnungen bei riskanter App

  • AADSTS900941: Administratoreinwilligung ist erforderlich. Die App wird als riskant eingestuft. (AdminConsentRequiredDueToRiskyApp)
  • Diese App kann riskant sein. Wenn Sie dieser App vertrauen, bitten Sie Ihren Administrator, Ihnen Zugriff zu erteilen.
  • AADSTS900981: Eine Anforderung zur Administratoreinwilligung wurde für eine riskante App empfangen. (AdminConsentRequestRiskyAppWarning)
  • Diese App kann riskant sein. Fahren Sie nur fort, wenn Sie dieser App vertrauen.

Beide Nachrichten werden angezeigt, wenn Microsoft feststellt, dass die Zustimmungsanforderung riskant sein könnte. Neben zahlreichen anderen Faktoren kann dieser Fehler vorkommen, wenn der App-Registrierung kein verifizierter Herausgeber hinzugefügt wird. Der erste Fehlercode und die erste Meldung werden Endbenutzern angezeigt, wenn der Administratorzustimmungsworkflow deaktiviert ist. Der zweite Code und die zweite Meldung werden Endbenutzern und Administratoren angezeigt, wenn der Administratorzustimmungsworkflow aktiviert ist.

Endbenutzer können apps, die als riskant erkannt werden, nicht zustimmen. Administratoren können dies zwar tun, sollten die App aber sorgfältig evaluieren und Vorsicht walten lassen. Wenn die App bei weiterer Überprüfung immer noch verdächtig scheint, kann sie über den Zustimmungsbildschirm an Microsoft gemeldet werden.

Nächste Schritte

Umfänge, Berechtigungen und Einwilligung in der Microsoft Identity Platform (v2.0-Endpunkt)

Unerwartete Aufforderung zur Genehmigung bei der Anmeldung bei einer Anwendung