アプリケーションに同意すると、予期しないエラーが発生する
この記事では、アプリケーションに同意する処理の最中に発生する可能性があるエラーについて説明します。 エラー メッセージが含まれていない、予期しない同意プロンプトをトラブルシューティングをする場合は、「Microsoft Entra ID の認証シナリオ」を参照してください。
Microsoft Entra ID と統合される多くのアプリケーションが機能するためには、他のリソースにアクセスするためのアクセス許可が必要です。 これらのリソースを Microsoft Entra ID に統合する際にも、共通同意フレームワークを使用してリソースへのアクセス許可がしばしば要求されます。 同意プロンプトが表示されます。これは、通常は、アプリケーションを初めて使用するときに発生しますが、その後のアプリケーションの使用時にも発生する可能性があります。
アプリケーションが求めるアクセス許可にユーザーが同意する場合は、特定の条件が true でなければなりません。 これらの条件が満たされていない場合は、以下のエラーが発生する可能性があります。
許可されていないアクセス許可を要求するエラー
- AADSTS90093:<clientAppDisplayName> が、付与するように許可されていない 1 つまたは複数のアクセス許可を要求しています。 あなたの代わりにこのアプリケーションに同意できる管理者に問い合わせてください。
- AADSTS90094:<clientAppDisplayName> には、組織内のリソースへのアクセス許可が必要です。このアクセス許可を付与できるのは管理者のみです。 アプリケーションを使用するには、まず管理者に依頼してこのアプリにアクセス許可を付与してください。
このエラーは、管理者のみが付与できるアクセス許可を要求するアプリケーションを、会社の管理者ではないユーザーが使用しようとしたときに発生します。 このエラーは、組織を代表してアプリケーションにアクセス許可を付与できる管理者が解決できます。
このエラーは、要求を許可すると危険であることを Microsoft が検出したために、ユーザーがアプリケーションに同意できない場合にも、発生する可能性があります。 この場合、"ApplicationManagement" というカテゴリ、"Consent to application" (アプリケーションへの同意) というアクティビティの種類、"Risky application detected" (危険なアプリケーションの検出) という状態の理由で、監査イベントもログに記録されます。
このエラーが発生する可能性があるもう 1 つのシナリオは、アプリケーションでユーザー割り当てが必要だが、管理者の同意が提供されていない場合です。 この場合、管理者はまず、アプリケーションに対してテナント全体の管理者の同意を提供する必要があります。
ポリシーがアクセス許可の付与を妨げるエラー
- AADSTS90093: 管理者 <tenantDisplayName> がアクセス許可を要求している<アプリの名前>を付与するのを妨げるポリシーを設定しています。 あなたの代わりにこのアプリケーションに同意できる管理者 <tenantDisplayName> に問い合わせてください。
このエラーは、ユーザーがアプリケーションに同意する機能を、管理者がオフにしており、管理者以外のユーザーが同意を必要とするアプリケーションを使用しようとした場合に発生する可能性があります。 このエラーは、組織を代表してアプリケーションにアクセス許可を付与できる管理者が解決できます。
一時的な問題によるエラー
- AADSTS90090:<clientAppDisplayName> に付与しようとしたアクセス許可を記録するときに、サインイン プロセスで一時的な問題が発生したと考えられます。 後でもう一度やり直してください。
このエラーは、サービス側に一時的な問題が発生したことを示します。 再度アプリケーションへの同意を試みることにより解決できる可能性があります。
テナントでのリソース使用不可エラー
- AADSTS65005:<clientAppDisplayName> が組織 <tenantDisplayName> で使用できないリソース <resourceAppDisplayName> へのアクセスを要求しています。
要求されたアクセス許可を提供するこれらのリソースがテナントで使用できることを確認するか、<tenantDisplayName> の管理者に問い合わせてください。 それ以外の場合は、アプリケーションがリソースを要求する方法に誤った構成があり、アプリケーション開発者に問い合わせる必要があります。
アクセス許可の不一致エラー
- AADSTS65005: アプリがリソース <resourceAppDisplayName> へのアクセスに同意するよう要求しました。 この要求は、アプリがアプリの登録中に事前に構成された方法と一致しないため失敗しました。 アプリのベンダーに問い合わせてください。**
これらのエラーは、ユーザーが同意しようとしたアプリケーションが、組織のディレクトリ (テナント) に見つからないリソース アプリケーションにアクセスするためのアクセス許可を要求するときに発生します。 この状況は、さまざまな理由で発生する可能性があります。
クライアント アプリケーションの開発者によるアプリケーションの構成が正しくないため、無効なリソースへのアクセスの要求が発生します。 この場合、アプリケーション開発者がクライアント アプリケーションの構成を更新して、この問題を解決する必要があります。
ターゲット リソース アプリケーションを表すサービス プリンシパルが組織に存在しないか、または過去に存在したが削除されました。 この問題を解決するには、クライアント アプリケーションがアクセス許可を要求できるように、リソース アプリケーションのサービス プリンシパルを組織内にプロビジョニングする必要があります。 サービス プリンシパルは、アプリケーションの種類に応じて、以下を含むさまざまな方法でプロビジョニングできます。
リソース アプリケーション (Microsoft が公開したアプリケーション) のサブスクリプションの取得
リソース アプリケーションへの同意
Microsoft Entra 管理センター経由でアプリケーションのアクセス許可を付与する
Microsoft Entra アプリケーション ギャラリーからのアプリケーションの追加
危険なアプリのエラーと警告
- AADSTS900941: 管理者アカウントが必要です。 アプリは危険であると考えられます。 (AdminConsentRequiredDueToRiskyApp)
- このアプリは危険である可能性があります。 このアプリを信頼する場合は、アクセス権を付与するように管理者に依頼してください。
- AADSTS900981: 危険なアプリに対する管理者の同意要求が受信されました。 (AdminConsentRequestRiskyAppWarning)
- このアプリは危険である可能性があります。 このアプリを信頼している場合のみ続行してください。
これらのメッセージはどちらも、同意要求が危険である可能性があると Microsoft が判断した場合に表示されます。 他の多くの要因の中で、これは、確認済みの発行元がアプリ登録に追加されていない場合に発生する可能性があります。 管理者の同意ワークフローが無効になっている場合は、1 番目のエラー コードとメッセージがエンドユーザーに表示されます。 管理者の同意ワークフローが有効になっている場合は、2 番目のコードとメッセージがエンドユーザーと管理者に表示されます。
エンドユーザーは、危険であると検出されたアプリに同意を付与することはできません。 管理者はできますが、注意してアプリを評価し、慎重に進める必要があります。 詳細に検討した結果、アプリが疑わしいと思われる場合は、同意画面から Microsoft に報告できます。