對應用程式執行同意時出現非預期的錯誤 - Microsoft Entra ID

這篇文章討論對應用程式進行同意的程序期間會發生的錯誤。如果您要對未包含任何錯誤訊息的非預期同意提示進行疑難排解，請參閱 Microsoft Entra ID 的驗證案例。

許多與 Microsoft Entra ID 整合的應用程式必須要有存取其他資源的權限，才能夠運作。當這些資源也與 Microsoft Entra ID 整合時，其存取權限常會使用通用的同意架構來要求。隨即顯示同意提示，這通常會在應用程式第一次使用時發生。它也可以在後續使用應用程式時發生。

某些條件必須成立，使用者才能同意應用程式所需的權限。如果不符合這些條件，就可能發生下列錯誤。

要求未經授權權限的錯誤

AADSTS90093：clientAppDisplayName 要求您未經授權授予的一或多個權限。請連絡系統管理員，其可代表您同意此應用程式。
AADSTS90094：clientAppDisplayName 需要許可權，才能存取組織中只有系統管理員可以授與的資源。請要求管理員授與應用程式權限，您才能使用此應用程式。

若不是系統管理員的使用者嘗試使用的應用程式需要只有系統管理員能夠授與的權限，就會發生此錯誤。若要解決此錯誤，系統管理員應該代表其組織授與應用程式的存取權。

當使用者因為 Microsoft 偵測到權限要求有風險而無法同意應用程式時，也會發生此錯誤。在此情況下，稽核事件也會記錄一個類別為 ApplicationManagement的事件，活動類型為 應用程式同意 ，以及狀態原因為偵測到具風險的應用程式。

可能發生此錯誤的另一個情況是，應用程式需要使用者指派，但未提供系統管理員同意。在此情況下，管理員必須先為應用程式提供全租用戶管理員同意。

AADSTS90093：tenantDisplayName 的系統管理員設定了一項原則，以防止您授與 name of app 所要求的許可權。請連絡 tenantDisplayName系統管理員，他們可以代表您授與此應用程式的許可權。

當系統管理員關閉使用者同意應用程式的能力時，就會發生此錯誤。然後，非系統管理員用戶會嘗試使用需要同意的應用程式。若要解決此錯誤，系統管理員應該代表其組織授與應用程式的存取權。

此錯誤表示發生間歇性服務端問題。再次嘗試同意應用程式，可解決此問題。

AADSTS65005：clientAppDisplayName 要求存取在您的組織中不可用的資源 resourceAppDisplayNametenantDisplayName。

請確定這些提供所請求權限的資源在您的租戶中有供使用，或聯絡 tenantDisplayName的管理員。否則，應用程式要求資源的方式會有錯誤設定，且您應連絡應用程式開發人員。

AADSTS65005： 應用程式要求同意存取資源 resourceAppDisplayName。此要求失敗，因為它不符合應用程式在應用程式註冊期間預先設定的方式。請連絡應用程式廠商。**

當使用者嘗試同意要求許可權以存取組織目錄（tenant）中找不到的資源應用程式時，就會發生這些錯誤。發生這種狀況的原因有數種：

用戶端應用程式開發人員未正確設定其應用程式，導致其要求存取無效的資源。在此狀況下，應用程式開發人員必須更新用戶端應用程式的組態，以解決此問題。
代表目標資源應用程式的服務主體不存在於組織中，或存在於過去但已移除。若要解決此問題，必須在組織中布建資源應用程式的服務主體，讓用戶端應用程式可以要求許可權給它。服務主體可以透過多種方式佈建，視應用程式類型而定，包括：
取得資源應用程式 (Microsoft 發佈的應用程式) 的訂用帳戶
同意資源應用程式
透過 Microsoft Entra 系統管理中心授與應用程式權限
從 Microsoft Entra 應用程式庫新增應用程式

當Microsoft判斷同意要求可能有風險時，這兩則訊息都會顯示。在許多其他因素中，如果已驗證的發行者未新增至應用程式註冊，就可能發生此錯誤。停用管理員同意工作流程時，會顯示第一個錯誤碼和訊息給使用者。第二個程式代碼和訊息會在系統管理員同意工作流程啟用時顯示給終端用戶，也會顯示給系統管理員。

終端用戶無法將同意授與偵測為具風險的應用程式。管理員可以授與同意，但應謹慎地評估應用程式，並小心處理。如果在進一步檢閱應用程式時發現可疑之處，可從同意畫面向 Microsoft 回報。