共用方式為


對應用程式執行同意時出現非預期的錯誤

這篇文章討論對應用程式進行同意的程序期間會發生的錯誤。 如果您要對未包含任何錯誤訊息的非預期同意提示進行疑難排解,請參閱 Microsoft Entra ID 的驗證案例

許多與 Microsoft Entra ID 整合的應用程式必須要有存取其他資源的權限,才能夠運作。 當這些資源也與 Microsoft Entra ID 整合時,其存取權限常會使用通用的同意架構來要求。 會顯示同意提示,一般會發生在第一次使用應用程式時,但也會發生在後續使用應用程式時。

某些條件必須成立,使用者才能同意應用程式所需的權限。 如果不符合這些條件,就可能發生下列錯誤。

要求未經授權權限的錯誤

  • AADSTS90093:<clientAppDisplayName> 正在要求一或多個您無權授與的權限。 請連絡系統管理員,其可代表您同意此應用程式。
  • AADSTS90094:<clientAppDisplayName> 需要只有系統管理員才能授與的權限來存取貴組織中的資源。 請要求管理員授與應用程式權限,您才能使用此應用程式。

若不是系統管理員的使用者嘗試使用的應用程式需要只有系統管理員能夠授與的權限,就會發生此錯誤。 可代表其組織授與應用程式存取權的系統管理員能夠解決此錯誤。

當使用者因為 Microsoft 偵測到權限要求有風險而無法同意應用程式時,也會發生此錯誤。 在此情況下,也會記錄稽核事件,具有「ApplicationManagement」類別、「同意應用程式」的活動類型和「偵測到有風險應用程式」的狀態原因。

可能發生此錯誤的另一個情況是,應用程式需要使用者指派,但未提供系統管理員同意。 在此情況下,管理員必須先為應用程式提供全租用戶管理員同意。

原則禁止授與權限錯誤

  • AADSTS90093:<tenantDisplayName> 的系統管理員設定了原則,讓您無法為<應用程式名稱>授與其所要求的權限。 請連絡 <tenantDisplayName> 的系統管理員,其可代表您將權限授與此應用程式。

若在全域管理員關閉使用者同意應用程式的功能後,非系統管理員使用者嘗試使用需要同意的應用程式,就會發生此錯誤。 可代表其組織授與應用程式存取權的系統管理員能夠解決此錯誤。

間歇性問題錯誤

  • AADSTS90090:看來登入程序在記錄您嘗試授與 <clientAppDisplayName> 的權限時似乎發生問題,此問題間歇性發生。 請稍後再試一次。

此錯誤表示已發生間歇性服務端問題。 再次嘗試同意應用程式,可解決此問題。

資源在租用戶無法使用錯誤

  • AADSTS65005:<clientAppDisplayName> 正在要求存取資源 <resourceAppDisplayName>,但此資源在您的組織 <tenantDisplayName> 中無法使用。

請確定這些提供所要求權限的資源可在您的租用戶中使用,或連絡 <tenantDisplayName> 的管理員。 否則,應用程式要求資源的方式會有錯誤設定,且您應連絡應用程式開發人員。

權限不符合錯誤

  • AADSTS65005:應用程式要求同意存取 <resourceAppDisplayName> 資源。 此要求失敗,因為它不符合在應用程式註冊期間預先設定應用程式的方式。 請連絡應用程式廠商。**

當使用者嘗試同意的應用程式正在要求存取某個資源應用程式的權限,但在組織的目錄 (租用戶) 中找不到該應用程式時,這些錯誤全部發生。 發生這種狀況的原因有數種:

  • 用戶端應用程式開發人員將其應用程式設定錯誤,導致應用程式要求存取無效的資源。 在此狀況下,應用程式開發人員必須更新用戶端應用程式的組態,以解決此問題。

  • 代表目標資源應用程式的服務主體不存在於組織中,或是過去曾存在,但現已遭移除。 若要解決此問題,在組織中必須佈建資源應用程式的服務主體,讓用戶端應用程式可以向主體要求權限。 服務主體可以用許多方式佈建,這取決於應用程式的類型,包括:

  • 取得資源應用程式 (Microsoft 發佈的應用程式) 的訂用帳戶

  • 同意資源應用程式

  • 透過 Microsoft Entra 系統管理中心授與應用程式權限

  • 從 Microsoft Entra 應用程式庫新增應用程式

具風險的應用程式錯誤和警告

  • AADSTS900941:需要系統管理員同意。 應用程式被視為有風險。 (AdminConsentRequiredDueToRiskyApp)
  • 此應用程式可能會有風險。 如果您信任此應用程式,請要求管理員授與存取權。
  • AADSTS900981:已收到具風險應用程式的系統管理員同意要求。 (AdminConsentRequestRiskyAppWarning)
  • 此應用程式可能會有風險。 請僅在您信任此應用程式時再繼續。

當 Microsoft 判斷同意要求可能有風險時,就會顯示這兩個訊息。 有許多因素可能引發此情況,已驗證的發行者尚未新增至應用程式註冊,便是其中之一。 當管理員同意工作流程停用時,使用者會看到第一個錯誤碼和訊息。 當管理員同意工作流程啟用時,使用者和管理員會看到第二個錯誤碼和訊息。

使用者將無法將同意授與已偵測為有風險的應用程式。 管理員可以授與同意,但應謹慎地評估應用程式,並小心處理。 如果在進一步檢閱應用程式時發現可疑之處,可從同意畫面向 Microsoft 回報。

下一步

Microsoft 身分識別平台 (v2.0 端點) 中的範圍、權限和同意

登入應用程式時看到非預期的同意提示