Непредвиденная ошибка при предоставлении согласия для приложения

В этой статье описаны ошибки, возникающие при предоставлении согласия для приложения. Если вы устраняете неполадки с непредвиденными запросами на согласие, которые не содержат сообщений об ошибках, см. Сценарии аутентификации для Microsoft Entra ID.

Многие приложения, которые интегрируются с Microsoft Entra ID, требуют разрешений для доступа к другим ресурсам для работы. Если эти ресурсы также интегрированы с Microsoft Entra ID, разрешение на доступ к ним часто запрашивается через общую платформу согласия. Появится запрос согласия, как правило, при первом использовании приложения. Оно также может возникать при последующем использовании приложения.

Определенные условия должны быть верными для того, чтобы пользователь предоставил разрешения, необходимые приложению. Если эти условия не выполнены, могут возникнуть следующие ошибки.

Запрос несанкционированных разрешений

• AADSTS90093: clientAppDisplayName запрашивает одно или несколько разрешений, которые вы не авторизованы для предоставления. Обратитесь к администратору, который может дать согласие для этого приложения от вашего имени.
• AADSTS90094: clientAppDisplayName требуется разрешение на доступ к ресурсам в вашей организации, которое может дать только администратор. Попросите администратора предоставить этому приложению разрешение, прежде чем его можно будет использовать.

Эта ошибка возникает, когда пользователь, который не является администратором, пытается использовать приложение, запрашивающее разрешения, которые может предоставить только администратор. Чтобы устранить эту ошибку, администратор должен предоставить доступ к приложению от имени своей организации.

Эта ошибка также может возникать, если пользователь не может дать согласие приложению, так как Майкрософт обнаруживает, что запрос разрешений является рискованным. В этом случае событие аудита также регистрируется с категорией ApplicationManagement, типом действия "Согласие для приложения" и причиной состояния обнаруженного приложения Risky.

Другой сценарий, в котором может возникнуть эта ошибка, заключается в том, что для приложения требуется назначение пользователя, однако соответствующее согласие администратора не было предоставлено. В этом случае администратор должен сначала предоставить согласие администратора на уровне клиента для приложения.

Политика запрещает предоставление разрешений

• AADSTS90093: администратор tenantDisplayName установил политику, которая не позволяет вам предоставлять name of app запрашиваемые разрешения. Обратитесь к администратору tenantDisplayName, который может предоставить этому приложению разрешения от вашего имени.

Эта ошибка возникает, когда администратор отключает возможность предоставления пользователям согласия на приложения. Затем пользователь, отличный от администратора, пытается использовать приложение, требующее согласия. Чтобы устранить эту ошибку, администратор должен предоставить доступ к приложению от имени своей организации.

Прерывистая проблема

• AADSTS90090. Процесс входа столкнулся с временной проблемой записи разрешений, которые вы пытались предоставить clientAppDisplayName. Повторите попытку позже.

Эта ошибка указывает на то, что возникла прерывистая проблема на стороне службы. Решение заключается в том, чтобы снова попытаться дать согласие приложению.

Ресурс недоступен в арендаторе

• AADSTS65005: clientAppDisplayName запрашивает доступ к ресурсу resourceAppDisplayName , который недоступен в вашей организации tenantDisplayName.

Убедитесь, что ресурсы, предоставляющие запрошенные разрешения, доступны в клиенте, или обратитесь к администратору tenantDisplayName. В противном случае возникает ошибка в том, как приложение запрашивает ресурсы, и обратитесь к разработчику приложения.

Несоответствие разрешений

• AADSTS65005. Приложение запрашивает согласие на доступ к ресурсу resourceAppDisplayName. Этот запрос завершился ошибкой, так как он не соответствует предварительно настроению приложения во время регистрации приложения. Обратитесь к поставщику приложения.

Эта ошибка возникает, когда пользователь пытается дать согласие приложению на запросы разрешений для доступа к приложению-ресурсу, которое не удается найти в каталоге организации (арендаторе). Эта ситуация может произойти по следующим причинам:

• Разработчик клиентского приложения неправильно настроит приложение, что приводит к запросу доступа к недопустимому ресурсу. В этом случае разработчик приложения должен обновить конфигурацию клиентского приложения, чтобы устранить эту проблему.

• Основной сервис, представляющий целевое приложение ресурсов, отсутствует в организации или он существовал в прошлом, но был удалён. Чтобы устранить эту проблему, необходимо подготовить учетную запись службы для ресурсного приложения в организации, чтобы клиентское приложение могло запрашивать у него разрешения. Метод, используемый для предоставления учетной записи службы, зависит от типа приложения.

  • Получение подписки для ресурсного приложения (приложений, опубликованных Майкрософт)
  • Согласие на использование приложения с ресурсами
  • Предоставление приложению разрешений через Центр администрирования Microsoft Entra
  • Добавление приложения из коллекции приложений Microsoft Entra

Опасное приложение

• AADSTS900941. Требуется согласие администратора. Приложение считается рискованным. (Требуется согласие администратора из-за рискованного приложения)

  Это приложение может быть рискованным. Если вы доверяете этому приложению, попросите администратора предоставить вам доступ.

• AADSTS900981: запрос на согласие администратора был получен для опасного приложения. (Предупреждение для рискового приложения при запросе согласия администратора)

  Это приложение может быть рискованным. Продолжайте только в том случае, если вы доверяете этому приложению.

Эти сообщения отображаются, когда Майкрософт определяет, что запрос согласия может быть рискованным. Среди многих других факторов эти ошибки могут возникать, если проверенный издатель не добавляется в регистрацию приложения. Первый код ошибки и сообщение отображаются пользователями при отключении рабочего процесса согласия администратора . Второй код и сообщение отображаются пользователям и администраторам при включении рабочего процесса согласия администратора.

Пользователи не могут предоставлять согласие приложениям, которые Майкрософт обнаруживают как рискованные. Администраторы могут предоставить согласие, но они должны тщательно оценивать приложение и следить за осторожностью. Если приложение кажется подозрительным при дальнейшей проверке, администраторы могут сообщить о нем Майкрософт прямо из диалогового окна согласия.

Пользователь отказался дать согласие на доступ к приложению

• AADSTS65004. Пользователь отказался предоставить доступ к приложению.

Эта ошибка возникает во время рабочего процесса согласия администратора. После отправки согласия администратора для приложения появится другое диалоговое окно с кнопкой "Назад к приложению ". Когда пользователь выбирает кнопку, Microsoft Entra ID отправляет ошибку AADSTS65004 в URI перенаправления, указанный в исходном запросе проверки подлинности. Эта ошибка является ожидаемой частью рабочего процесса согласия администратора.

После проверки администратора и после утверждения согласия администратора пользователь должен начать новый процесс проверки подлинности с приложением.

Связанный контент

• Обзор разрешений и согласия в платформа удостоверений Майкрософт
• Непредвиденный запрос на согласие при входе в приложение