Udostępnij za pośrednictwem

Podczas wyrażania zgody dla aplikacji zostaje wyświetlony nieoczekiwany błąd

  • Artykuł

W tym artykule omówiono błędy, które mogą wystąpić podczas procesu wyrażania zgody na aplikację. Jeśli rozwiązujesz problemy z nieoczekiwanymi monitami o wyrażenie zgody, które nie zawierają żadnych komunikatów o błędach, zobacz Scenariusze uwierzytelniania dla identyfikatora entra firmy Microsoft.

Wiele aplikacji, które integrują się z identyfikatorem Entra firmy Microsoft, wymaga uprawnień dostępu do innych zasobów w celu działania. Gdy te zasoby są również zintegrowane z identyfikatorem Entra firmy Microsoft, często wymagane jest uprawnienie dostępu do nich przy użyciu wspólnej struktury zgody. Zostanie wyświetlony monit o wyrażenie zgody, który zazwyczaj występuje po raz pierwszy w użyciu aplikacji. Może również wystąpić w przypadku późniejszego użycia aplikacji.

Niektóre warunki muszą być spełnione, aby użytkownik wyraził zgodę na uprawnienia wymagane przez aplikację. Jeśli te warunki nie zostaną spełnione, mogą wystąpić następujące błędy.

Błąd żądania nieautoryzowanych uprawnień

  • AADSTS90093:clientAppDisplayName żąda co najmniej jednego uprawnienia, którego nie masz uprawnień do udzielenia. Skontaktuj się z administratorem, który może wyrazić zgodę na tę aplikację w Twoim imieniu.
  • AADSTS90094:clientAppDisplayName musi mieć uprawnienia dostępu do zasobów w organizacji, które może udzielić tylko administrator. Poproś administratora o udzielenie uprawnień do tej aplikacji, zanim będzie można jej użyć.

Ten błąd występuje, gdy użytkownik, który nie jest administratorem, próbuje użyć aplikacji, która żąda uprawnień, które mogą udzielić tylko administratorowi. Aby rozwiązać ten błąd, administrator powinien udzielić dostępu do aplikacji w imieniu swojej organizacji.

Ten błąd może również wystąpić, gdy użytkownik nie może wyrazić zgody na aplikację ze względu na wykrycie, że żądanie uprawnień jest ryzykowne. W takim przypadku zdarzenie inspekcji jest również rejestrowane z Kategorią ApplicationManagement, Typem Działania Zgoda na aplikację i Przyczyną Stanu Wykrycia Ryzykownej Aplikacji .

Innym scenariuszem, w którym ten błąd może wystąpić, jest to, że przypisanie użytkownika jest wymagane dla aplikacji, ale nie podano zgody administratora. W takim przypadku administrator musi najpierw podać zgodę administratora dla całej dzierżawy dla aplikacji.

Zasady uniemożliwiają przyznanie błędu uprawnień

  • AADSTS90093: Administrator tenantDisplayName ustawił politykę, która uniemożliwia przyznanie name of app uprawnień, o które prosi. Skontaktuj się z administratorem tenantDisplayName, który może udzielić uprawnień tej aplikacji w Twoim imieniu.

Ten błąd występuje, gdy administrator wyłącza możliwość wyrażania zgody przez użytkowników na aplikacje. Następnie użytkownik niebędący administratorem próbuje użyć aplikacji, która wymaga zgody. Aby rozwiązać ten błąd, administrator powinien udzielić dostępu do aplikacji w imieniu swojej organizacji.

Sporadyczne błędy problemu

  • AADSTS90090: Wygląda na to, że proces logowania napotkał sporadyczne problemy z rejestrowaniem uprawnień, które próbowano udzielić clientAppDisplayName. spróbuj ponownie później.

Ten błąd wskazuje, że wystąpił sporadyczne problemy po stronie usługi. Można go rozwiązać, próbując ponownie wyrazić zgodę na aplikację.

Zasób jest niedostępny w błędzie dzierżawy

  • AADSTS65005:clientAppDisplayName żąda dostępu do zasobu resourceAppDisplayName, który nie jest dostępny w twojej organizacji tenantDisplayName.

Upewnij się, że zasoby zapewniające żądane uprawnienia są dostępne w dzierżawcy lub skontaktuj się z administratorem tenantDisplayName. W przeciwnym razie występuje błędna konfiguracja w sposobie żądania zasobów aplikacji i należy skontaktować się z deweloperem aplikacji.

Błąd niezgodności uprawnień

  • AADSTS65005: Aplikacja zażądała zgody na dostęp do zasobu resourceAppDisplayName. To żądanie nie powiodło się, ponieważ nie jest zgodne z tym, jak aplikacja została wstępnie skonfigurowana podczas rejestracji aplikacji. Skontaktuj się z dostawcą aplikacji.**

Te błędy występują, gdy użytkownik próbuje wyrazić zgodę na żądania uprawnień dostępu do zasobu, którego nie można znaleźć w katalogu organizacji (dzierżawcy). Taka sytuacja może wystąpić z kilku powodów:

  • Deweloper aplikacji klienckiej nieprawidłowo skonfigurował swoją aplikację, powodując żądanie dostępu do nieprawidłowego zasobu. W takim przypadku deweloper aplikacji musi zaktualizować konfigurację aplikacji klienckiej, aby rozwiązać ten problem.

  • Jednostka usługi reprezentująca docelową aplikację zasobów nie istnieje w organizacji lub istniała w przeszłości, ale została usunięta. Aby rozwiązać ten problem, jednostka usługi dla aplikacji zasobów musi być aprowizowana w organizacji, aby aplikacja kliencka mogła żądać uprawnień do niej. Podmiot usługi może być konfigurowany na wiele sposobów w zależności od typu aplikacji, w tym:

  • Uzyskiwanie subskrypcji dla aplikacji zasobów (opublikowane przez firmę Microsoft)

  • Wyrażanie zgody na aplikację zasobów

  • Udzielanie uprawnień aplikacji za pośrednictwem centrum administracyjnego firmy Microsoft Entra

  • Dodawanie aplikacji z galerii aplikacji firmy Microsoft Entra

Ryzykowny błąd i ostrzeżenie aplikacji

  • AADSTS900941: wymagana jest zgoda administratora. Aplikacja jest uważana za ryzykowną. (AdminConsentRequiredDueToRiskyApp)
  • Ta aplikacja może być ryzykowna. Jeśli ufasz tej aplikacji, poproś administratora o udzielenie ci dostępu.
  • AADSTS900981: Żądanie zgody administratora zostało odebrane dla ryzykownej aplikacji. (AdminConsentRequestRiskyAppWarning)
  • Ta aplikacja może być ryzykowna. Kontynuuj tylko wtedy, gdy ufasz tej aplikacji.

Oba te komunikaty są wyświetlane, gdy firma Microsoft ustali, że żądanie zgody może być ryzykowne. Wśród wielu innych czynników ten błąd może wystąpić, jeśli zweryfikowany wydawca nie zostanie dodany do rejestracji aplikacji. Pierwszy kod błędu i komunikat jest wyświetlany użytkownikom końcowym, gdy przepływ pracy zgody administratora jest wyłączony. Drugi kod i komunikat są wyświetlane zarówno użytkownikom końcowym, jak i administratorom, gdy przepływ pracy zgody administratora jest włączony.

Użytkownicy końcowi nie mogą udzielać zgody na aplikacje, które są wykrywane jako ryzykowne. Administratorzy są w stanie, ale powinni dokładnie ocenić aplikację i zachować ostrożność. Jeśli aplikacja wydaje się podejrzana po dalszej weryfikacji, można ją zgłosić firmie Microsoft na ekranie zgody.

Następne kroki

Zakresy, uprawnienia i zgoda w Platforma tożsamości Microsoft (punkt końcowy w wersji 2.0)

Podczas logowania się do aplikacji pojawia się nieoczekiwany monit o wyrażenie zgody