Errore imprevisto durante la richiesta di consenso per un'applicazione
Questo articolo descrive gli errori che possono verificarsi quando si tenta di ottenere il consenso per un'applicazione. Se si stanno risolvendo richieste di consenso impreviste che non contengono messaggi di errore, vedere Scenari di autenticazione per Microsoft Entra ID.
Molte applicazioni che si integrano con Microsoft Entra ID richiedono autorizzazioni per accedere ad altre risorse per funzionare. Quando queste risorse sono integrate anche con Microsoft Entra ID, l'autorizzazione ad accedervi viene spesso richiesta usando il framework di consenso comune. Questo comporta la visualizzazione di una richiesta di consenso, che in genere viene inviata al primo utilizzo di un'applicazione ma a volte anche successivamente.
Perché un utente possa concedere le autorizzazioni richieste da un'applicazione, è necessario che siano soddisfatte determinate condizioni. Se queste condizioni non vengono soddisfatte, possono verificarsi gli errori seguenti.
Errore di richiesta di autorizzazioni non consentite
- AADSTS90093:<clientAppDisplayName> richiede una o più autorizzazioni che non sono autorizzate a concedere. Contattare un amministratore che possa concedere il consenso per l'applicazione per conto dell'utente.
- AADSTS90094:<NomeVisualizzatoAppClient> richiede l'autorizzazione per accedere alle risorse dell'organizzazione che solo un amministratore può concedere. Chiedi a un amministratore di concedere l'autorizzazione a questa app prima di poterla usare.
Questo errore si verifica quando un utente che non è un amministratore tenta di usare un'applicazione che richiede autorizzazioni che solo un amministratore può concedere. Il problema può essere risolto chiedendo a un amministratore di concedere l'accesso all'applicazione per conto dell'organizzazione.
Questo errore può verificarsi anche quando un utente non può fornire il consenso a un'applicazione a causa del rilevamento che la richiesta di autorizzazioni è rischiosa. In questo caso, verrà registrato anche un evento di controllo con una categoria "ApplicationManagement", il tipo di attività "Consent to application" e il motivo dello stato di "Applicazione rischiosa rilevata".
Un altro scenario in cui questo errore può verificarsi è quando l'assegnazione utente è necessaria per l'applicazione, ma non è stato fornito il consenso dell'amministratore. In questo caso, l'amministratore deve prima fornire il consenso amministratore a livello di tenant per l'applicazione.
Errore dovuto a criteri che impediscono di concedere le autorizzazioni
- AADSTS90093: un amministratore di <tenantDisplayName> ha impostato un criterio che impedisce di concedere <al nome dell'app> le autorizzazioni richieste. Contattare un amministratore di <NomeVisualizzatoTenant> che possa concedere le autorizzazioni richieste dall'app per conto dell'utente.
Questo errore può verificarsi quando un amministratore disattiva la possibilità per gli utenti di fornire il consenso alle applicazioni, quindi un utente non amministratore tenta di usare un'applicazione che richiede il consenso. Il problema può essere risolto chiedendo a un amministratore di concedere l'accesso all'applicazione per conto dell'organizzazione.
Errore dovuto a un problema intermittente
- AADSTS90090: sembra che la procedura di accesso rilevi un problema intermittente durante la registrazione delle autorizzazioni che si è tentato di concedere a <NomeVisualizzazioneAppClient>. Riprovare in un secondo momento.
Questo errore indica che si è verificato un problema intermittente relativo al servizio. È possibile risolverlo provando a concedere di nuovo il consenso per l'applicazione.
Errore di risorsa non disponibile nel tenant
- AADSTS65005:clientAppDisplayName> richiede l'accesso a una risorsa risorsaAppDisplayName> <non disponibile nel tenant dell'organizzazioneDisplayName<>.<
Assicurarsi che queste risorse che forniscono le autorizzazioni richieste siano disponibili nel tenant o contattare un amministratore di <tenantDisplayName>. In caso contrario, si verifica un errore di configurazione nel modo in cui l'applicazione richiede le risorse ed è necessario contattare lo sviluppatore dell'applicazione.
Errore di mancata corrispondenza delle autorizzazioni
- AADSTS65005: l'app ha richiesto il consenso per accedere alla risorsa <NomeVisualizzatoAppRisorsa>. Questa richiesta non è riuscita perché non corrisponde al modo in cui l'app è stata preconfigurata durante la registrazione dell'app. Contattare il fornitore dell'app.**
Questi errori si verificano tutti quando l'applicazione a cui un utente sta tentando di fornire il consenso richiede autorizzazioni per accedere a un'applicazione di risorse che non è possibile trovare nella directory dell'organizzazione (tenant). Questa situazione può verificarsi per diversi motivi:
Lo sviluppatore dell'applicazione client ha configurato l'applicazione in modo errato per cui questa richiede l'accesso a una risorsa non valida. In questo caso, lo sviluppatore dell'applicazione deve aggiornare la configurazione dell'applicazione client per risolvere il problema.
Un'entità servizio che rappresenta l'applicazione di risorse di destinazione non esiste nell'organizzazione o esiste in passato, ma è stata rimossa. Per risolvere questo problema, è necessario eseguire il provisioning di un'entità servizio per l'applicazione della risorsa all'interno dell'organizzazione, in modo che l'applicazione client possa richiedere le autorizzazioni per tale entità. Il provisioning dell'entità servizio può essere eseguito in molti modi, a seconda del tipo di applicazione, tra cui:
Acquisendo una sottoscrizione per l'applicazione della risorsa (applicazioni pubblicate da Microsoft)
Concedendo il consenso per l'applicazione della risorsa
Concessione delle autorizzazioni dell'applicazione tramite l'interfaccia di amministrazione di Microsoft Entra
Aggiunta dell'applicazione dalla raccolta di applicazioni Microsoft Entra
Errore e avviso dell'app rischiosa
- AADSTS900941: è necessario il consenso dell'amministratore. L'app è considerata rischiosa. (AdminConsentRequiredDueToRiskyApp)
- Questa app può essere rischiosa. Se si considera attendibile questa app, chiedere all'amministratore di concedere l'accesso.
- AADSTS900981: è stata ricevuta una richiesta di consenso amministratore per un'app rischiosa. (AdminConsentRequestRiskyAppWarning)
- Questa app può essere rischiosa. Continuare solo se si considera attendibile questa app.
Entrambi questi messaggi verranno visualizzati quando Microsoft ha determinato che la richiesta di consenso potrebbe essere rischiosa. Tra gli altri fattori, questo può verificarsi se un editore verificato non è stato aggiunto alla registrazione dell'app. Il primo codice di errore e il primo messaggio verranno visualizzati agli utenti finali quando il flusso di lavoro di consenso amministratore è disabilitato. Il secondo codice e il secondo messaggio verranno visualizzati agli utenti finali quando il flusso di lavoro di consenso amministratore è abilitato e agli amministratori.
Gli utenti finali non potranno concedere il consenso alle app rilevate come rischiose. Gli amministratori possono, ma devono valutare attentamente l'app e procedere con cautela. Se l'app sembra sospetta durante un'ulteriore revisione, può essere segnalata a Microsoft dalla schermata di consenso.
Passaggi successivi
Ambiti, autorizzazioni e consenso in Microsoft Identity Platform (endpoint v2.0)
Richiesta di consenso imprevista al momento dell'accesso a un'applicazione