アプリケーションに同意すると、予期しないエラーが発生する
この記事では、アプリケーションに同意する処理の最中に発生する可能性があるエラーについて説明します。 エラー メッセージが含まれていない、予期しない同意プロンプトをトラブルシューティングをする場合は、「Microsoft Entra ID の認証シナリオ」を参照してください。
Microsoft Entra ID と統合される多くのアプリケーションが機能するためには、他のリソースにアクセスするためのアクセス許可が必要です。 これらのリソースを Microsoft Entra ID に統合する際にも、共通同意フレームワークを使用してリソースへのアクセス許可がしばしば要求されます。 同意プロンプトが表示されます。これは通常、アプリケーションが初めて使用されるときに発生します。 また、アプリケーションの後続の使用時にも発生する可能性があります。
アプリケーションが求めるアクセス許可にユーザーが同意する場合は、特定の条件が true でなければなりません。 これらの条件が満たされていない場合は、以下のエラーが発生する可能性があります。
許可されていないアクセス許可を要求するエラー
-
AADSTS90093:
clientAppDisplayNameは、付与する権限がない 1 つ以上のアクセス許可を要求しています。 あなたの代わりにこのアプリケーションに同意できる管理者に問い合わせてください。 -
AADSTS90094:
clientAppDisplayName管理者のみが付与できる組織内のリソースにアクセスするためのアクセス許可が必要です。 アプリケーションを使用するには、まず管理者に依頼してこのアプリにアクセス許可を付与してください。
このエラーは、管理者のみが付与できるアクセス許可を要求するアプリケーションを、会社の管理者ではないユーザーが使用しようとしたときに発生します。 このエラーを解決するには、管理者が組織に代わってアプリケーションへのアクセス権を付与する必要があります。
このエラーは、要求を許可すると危険であることを Microsoft が検出したために、ユーザーがアプリケーションに同意できない場合にも、発生する可能性があります。 この場合、監査イベントは、カテゴリとして ApplicationManagement、アクティビティの種類としてアプリケーションへの同意、および状態理由として リスクのあるアプリケーション検出でログに記録されます。
このエラーが発生する可能性があるもう 1 つのシナリオは、アプリケーションでユーザー割り当てが必要だが、管理者の同意が提供されていない場合です。 この場合、管理者はまず、アプリケーションに対してテナント全体の管理者の同意を提供する必要があります。
ポリシーがアクセス許可の付与を妨げるエラー
-
AADSTS90093:
tenantDisplayNameの管理者が、name of appに要求されているアクセス許可を付与できないようにするポリシーを設定しました。 ユーザーに代わってこのアプリにアクセス許可を付与できるtenantDisplayNameの管理者に問い合わせてください。
このエラーは、管理者がユーザーがアプリケーションに同意する機能をオフにした場合に発生します。 その後、管理者以外のユーザーが、同意を必要とするアプリケーションの使用を試みます。 このエラーを解決するには、管理者が組織に代わってアプリケーションへのアクセス権を付与する必要があります。
一時的な問題によるエラー
-
AADSTS90090: サインイン プロセスで、
clientAppDisplayNameに付与しようとしたアクセス許可を記録する断続的な問題が発生したようです。 後でもう一度やり直してください。
このエラーは、断続的なサービス側の問題が発生したことを示します。 再度アプリケーションへの同意を試みることにより解決できる可能性があります。
テナントでのリソース使用不可エラー
-
AADSTS65005:
clientAppDisplayNameは、組織のtenantDisplayNameで使用できないリソースresourceAppDisplayNameへのアクセスを要求しています。
要求されたアクセス許可を提供するこれらのリソースがテナントで使用可能であることを確認するか、tenantDisplayNameの管理者に問い合わせてください。 それ以外の場合は、アプリケーションがリソースを要求する方法に誤った構成があり、アプリケーション開発者に問い合わせる必要があります。
アクセス許可の不一致エラー
-
AADSTS65005: アプリがリソース
resourceAppDisplayNameにアクセスするための同意を要求しました。 この要求は、アプリの登録時のアプリの事前構成方法と一致しないため、失敗しました。 アプリのベンダーに問い合わせてください。**
これらのエラーは、組織のディレクトリ (テナント) に見つからないリソース アプリケーションにアクセスするためのアクセス許可をユーザーが要求することにユーザーが同意しようとしたときに発生します。 この状況は、さまざまな理由で発生する可能性があります。
クライアント アプリケーション開発者がアプリケーションを誤って構成し、無効なリソースへのアクセスを要求しました。 この場合、アプリケーション開発者がクライアント アプリケーションの構成を更新して、この問題を解決する必要があります。
ターゲット リソース アプリケーションを表すサービス プリンシパルが組織に存在しないか、過去に存在していたが削除されます。 この問題を解決するには、クライアント アプリケーションがアクセス許可を要求できるように、リソース アプリケーションのサービス プリンシパルを組織内にプロビジョニングする必要があります。 サービス プリンシパルは、次のようなアプリケーションの種類に応じて、さまざまな方法でプロビジョニングできます。
リソース アプリケーション (Microsoft が公開したアプリケーション) のサブスクリプションの取得
リソース アプリケーションへの同意
Microsoft Entra 管理センター経由でアプリケーションのアクセス許可を付与する
Microsoft Entra アプリケーション ギャラリーからのアプリケーションの追加
危険なアプリのエラーと警告
- AADSTS900941: 管理者アカウントが必要です。 アプリは危険であると考えられます。 (AdminConsentRequiredDueToRiskyApp)
- このアプリは危険な場合があります。 このアプリを信頼する場合は、アクセス権を付与するように管理者に依頼してください。
- AADSTS900981: 危険なアプリに対する管理者の同意要求が受信されました。 (AdminConsentRequestRiskyAppWarning)
- このアプリは危険な場合があります。 このアプリを信頼している場合のみ続行してください。
これらのメッセージはどちらも、Microsoft が同意要求が危険であると判断したときに表示されます。 他の多くの要因の中で、このエラーは、検証済みの発行元 がアプリの登録に追加されていない場合に発生する可能性があります。 管理者の同意ワークフロー が無効になっている場合、最初のエラー コードとメッセージがエンド ユーザーに表示されます。 2 番目のコードとメッセージは、管理者の同意ワークフローが有効になっているときにエンド ユーザーと管理者に表示されます。
エンド ユーザーは、危険であると検出されたアプリに同意を与えることはできません。 管理者はできますが、注意してアプリを評価し、慎重に進める必要があります。 詳細に検討した結果、アプリが疑わしいと思われる場合は、同意画面から Microsoft に報告できます。