对应用程序执行许可时发生的意外错误

本文介绍对应用程序进行许可期间可能发生的错误。如果要对不包含任何错误消息的意外同意提示进行故障排除，请参阅 Microsoft Entra ID 的身份验证方案。

与 Microsoft Entra ID 集成的许多应用程序需要获取访问其他资源的权限才能正常运行。当这些资源也与 Microsoft Entra ID 集成时，通常使用通用同意框架来请求访问它们的权限。此时会显示同意提示，这通常发生在应用程序首次使用时。在随后使用应用程序时，也可能发生此情况。

对于用户而言，必须满足一些条件才能对应用程序所需的权限进行许可。如果不满足这些条件，可能会发生以下错误。

请求未授予的权限错误

AADSTS90093：clientAppDisplayName 请求一个或多个你无权授予的权限。请与管理员联系，他/她可代表你对此应用程序进行许可。
AADSTS90094：clientAppDisplayName 需要访问组织中只有管理员才能授权的资源。请让管理员授予访问此应用的权限，否则你将无法使用该应用。

当非管理员用户尝试使用的应用程序请求只有管理员才能授予的权限时，会发生此错误。若要解决此错误，管理员应代表其组织授予对应用程序的访问权限。

如果 Microsoft 检测到权限请求存在风险而阻止用户许可应用程序，则也可能会发生此错误。在这种情况下，还将记录一个审核事件，其类别为“ApplicationManagement”、活动类型为“同意应用程序”，状态原因为“检测到存在风险的应用程序”。

可能发生此错误的另一种情况是，应用程序需要用户分配，但未获得管理员同意。在这种情况下，管理员必须首先为应用程序提供租户范围的管理员同意。

AADSTS90093：tenantDisplayName 的管理员设置了一个策略，阻止你授予 name of app 请求的权限。请联系 tenantDisplayName管理员，他们可以代表你向此应用授予权限。

当管理员关闭用户同意应用程序的能力时，会发生此错误。然后，非管理员用户尝试使用需要同意的应用程序。若要解决此错误，管理员应代表其组织授予对应用程序的访问权限。

此错误表示发生了间歇性服务端问题。可通过重新尝试对应用程序进行许可来解决此问题。

AADSTS65005：clientAppDisplayName 请求访问你的组织 tenantDisplayName 中不可用的资源 resourceAppDisplayName。

确保提供所请求权限的这些资源在租户中可用，或联系 tenantDisplayName管理员。否则表明应用程序请求资源的方式存在错误配置，应联系应用程序开发人员。

AADSTS65005： 应用请求同意访问资源 resourceAppDisplayName。此请求失败，因为它与应用注册期间如何预配置应用不匹配。与应用供应商联系。**

当用户尝试同意某个应用程序请求的权限以访问组织目录（租户）中无法找到的资源应用程序时，会发生这些错误。出现这种情况的原因可能有很多个：

客户端应用程序开发人员错误地配置了其应用程序，导致它请求对无效资源的访问权限。在这种情况下，为了解决此问题，应用程序开发人员必须更新客户端应用程序的配置。
表示目标资源应用程序的服务主体不存在于组织中，或存在于过去但已删除。若要解决此问题，必须在组织中预配资源应用程序的服务主体，以便客户端应用程序可以请求其权限。可以通过多种方式预配服务主体，具体取决于应用程序的类型，包括：
获取资源应用程序（Microsoft 已发布的应用程序）的订阅
对资源应用程序进行许可
通过 Microsoft Entra 管理中心授予应用程序权限
从 Microsoft Entra 应用程序库添加应用程序

当Microsoft确定同意请求可能有风险时，将显示这两条消息。除其他许多因素外，如果应用注册中未添加已验证的发布者，则可能会出现此错误。禁用管理员同意工作流时，向最终用户显示第一条错误代码和消息。当启用管理员同意工作流时，第二条代码和消息会显示给最终用户和管理员。

最终用户无法向检测到有风险的应用授予许可。管理员可以评估应用，但必须谨慎行事。如果该应用在进一步审查后看起来可疑，可以从同意屏幕向 Microsoft 报告。