Podczas wyrażania zgody dla aplikacji zostaje wyświetlony nieoczekiwany błąd
W tym artykule omówiono błędy, które mogą wystąpić podczas procesu wyrażania zgody na aplikację. Jeśli rozwiązujesz problemy z nieoczekiwanymi monitami o wyrażenie zgody, które nie zawierają żadnych komunikatów o błędach, zobacz Scenariusze uwierzytelniania dla identyfikatora entra firmy Microsoft.
Wiele aplikacji, które integrują się z identyfikatorem Entra firmy Microsoft, wymaga uprawnień dostępu do innych zasobów w celu działania. Gdy te zasoby są również zintegrowane z identyfikatorem Entra firmy Microsoft, często wymagane jest uprawnienie dostępu do nich przy użyciu wspólnej struktury zgody. Zostanie wyświetlony monit o wyrażenie zgody, który zazwyczaj występuje przy pierwszym użyciu aplikacji, ale może również wystąpić podczas późniejszego korzystania z aplikacji.
Niektóre warunki muszą być spełnione, aby użytkownik wyraził zgodę na uprawnienia wymagane przez aplikację. Jeśli te warunki nie zostaną spełnione, mogą wystąpić następujące błędy.
Błąd żądania nieautoryzowanych uprawnień
- AADSTS90093:<clientAppDisplayName> żąda co najmniej jednego uprawnienia, które nie są autoryzowane do udzielenia. Skontaktuj się z administratorem, który może wyrazić zgodę na tę aplikację w Twoim imieniu.
- AADSTS90094:<clientAppDisplayName> musi mieć uprawnienia dostępu do zasobów w organizacji, które może udzielić tylko administrator. Poproś administratora o udzielenie uprawnień do tej aplikacji, zanim będzie można jej użyć.
Ten błąd występuje, gdy użytkownik, który nie jest administratorem, próbuje użyć aplikacji, która żąda uprawnień, które mogą udzielić tylko administratorowi. Ten błąd można rozwiązać, udzielając dostępu do aplikacji w imieniu organizacji przez administratora.
Ten błąd może również wystąpić, gdy użytkownik nie może wyrazić zgody na aplikację ze względu na wykrycie, że żądanie uprawnień jest ryzykowne. W takim przypadku zdarzenie inspekcji zostanie również zarejestrowane za pomocą kategorii "ApplicationManagement", typ działania "Zgoda na aplikację" i przyczyna stanu "Wykryto ryzykowną aplikację".
Innym scenariuszem, w którym ten błąd może wystąpić, jest to, że przypisanie użytkownika jest wymagane dla aplikacji, ale nie podano zgody administratora. W takim przypadku administrator musi najpierw podać zgodę administratora dla całej dzierżawy dla aplikacji.
Zasady uniemożliwiają przyznanie błędu uprawnień
- AADSTS90093: Administrator dzierżawyDisplayName <> ustawił zasady, które uniemożliwiają przyznanie <nazwy aplikacji> żądanych uprawnień. Skontaktuj się z administratorem dzierżawyDisplayName<>, który może udzielić uprawnień tej aplikacji w Twoim imieniu.
Ten błąd może wystąpić, gdy administrator wyłączy możliwość wyrażania przez użytkowników zgody na aplikacje, a następnie użytkownik niebędący administratorem próbuje użyć aplikacji wymagającej zgody. Ten błąd można rozwiązać, udzielając dostępu do aplikacji w imieniu organizacji przez administratora.
Sporadyczne błędy problemu
- AADSTS90090: Wygląda na to, że proces logowania napotkał sporadyczne problemy z rejestrowaniem uprawnień, które próbowano udzielić <klientowi ClientAppDisplayName>. spróbuj ponownie później.
Ten błąd wskazuje, że wystąpił sporadyczne problemy po stronie usługi. Można go rozwiązać, próbując ponownie wyrazić zgodę na aplikację.
Zasób jest niedostępny w błędzie dzierżawy
- AADSTS65005:clientAppDisplayName żąda dostępu do zasobuAppDisplayName> <> zasobu, który nie jest dostępny w dzierżawie organizacjiDisplayName<>.<
Upewnij się, że te zasoby, które zapewniają żądane uprawnienia, są dostępne w dzierżawie lub skontaktuj się z administratorem dzierżawyDisplayName<>. W przeciwnym razie występuje błędna konfiguracja w sposobie żądania zasobów aplikacji i należy skontaktować się z deweloperem aplikacji.
Błąd niezgodności uprawnień
- AADSTS65005: aplikacja zażądała zgody na dostęp do zasobu resourceAppDisplayName<>. To żądanie nie powiodło się, ponieważ nie jest zgodne z tym, jak aplikacja została wstępnie skonfigurowana podczas rejestracji aplikacji. Skontaktuj się z dostawcą aplikacji.**
Te błędy występują, gdy aplikacja, na którą użytkownik próbuje wyrazić zgodę, żąda uprawnień dostępu do aplikacji zasobów, której nie można znaleźć w katalogu organizacji (dzierżawie). Taka sytuacja może wystąpić z kilku powodów:
Deweloper aplikacji klienckiej nieprawidłowo skonfigurował swoją aplikację, powodując żądanie dostępu do nieprawidłowego zasobu. W takim przypadku deweloper aplikacji musi zaktualizować konfigurację aplikacji klienckiej, aby rozwiązać ten problem.
Jednostka usługi reprezentująca docelową aplikację zasobów nie istnieje w organizacji lub istniała w przeszłości, ale została usunięta. Aby rozwiązać ten problem, jednostka usługi dla aplikacji zasobów musi być aprowizowana w organizacji, aby aplikacja kliencka mogła żądać uprawnień do niej. Jednostka usługi może być aprowizowana na wiele sposobów, w zależności od typu aplikacji, w tym:
Uzyskiwanie subskrypcji dla aplikacji zasobów (opublikowane przez firmę Microsoft)
Wyrażanie zgody na aplikację zasobów
Udzielanie uprawnień aplikacji za pośrednictwem centrum administracyjnego firmy Microsoft Entra
Dodawanie aplikacji z galerii aplikacji firmy Microsoft Entra
Ryzykowny błąd i ostrzeżenie aplikacji
- AADSTS900941: wymagana jest zgoda administratora. Aplikacja jest uważana za ryzykowną. (AdminConsentRequiredDueToRiskyApp)
- Ta aplikacja może być ryzykowna. Jeśli ufasz tej aplikacji, poproś administratora o udzielenie ci dostępu.
- AADSTS900981: Żądanie zgody administratora zostało odebrane dla ryzykownej aplikacji. (AdminConsentRequestRiskyAppWarning)
- Ta aplikacja może być ryzykowna. Kontynuuj tylko wtedy, gdy ufasz tej aplikacji.
Oba te komunikaty będą wyświetlane, gdy firma Microsoft ustaliła, że żądanie zgody może być ryzykowne. Między wieloma innymi czynnikami może się to zdarzyć, jeśli zweryfikowany wydawca nie został dodany do rejestracji aplikacji. Pierwszy kod błędu i komunikat zostaną wyświetlone użytkownikom końcowym, gdy przepływ pracy zgody administratora jest wyłączony. Drugi kod i komunikat będą wyświetlane użytkownikom końcowym po włączeniu przepływu pracy zgody administratora i administratorom.
Użytkownicy końcowi nie będą mogli wyrazić zgody na aplikacje, które zostały wykryte jako ryzykowne. Administratorzy są w stanie, ale powinni dokładnie ocenić aplikację i zachować ostrożność. Jeśli aplikacja wydaje się podejrzana po dalszej weryfikacji, można ją zgłosić firmie Microsoft na ekranie zgody.
Następne kroki
Zakresy, uprawnienia i zgoda w Platforma tożsamości Microsoft (punkt końcowy w wersji 2.0)
Podczas logowania się do aplikacji pojawia się nieoczekiwany monit o wyrażenie zgody