Поделиться через

Непредвиденная ошибка при предоставлении согласия для приложения

  • Статья

В этой статье описаны ошибки, возникающие при предоставлении согласия для приложения. Если вы устраняете неполадки с непредвиденными запросами согласия, которые не содержат сообщений об ошибках, см. статью "Сценарии проверки подлинности для идентификатора Microsoft Entra".

Во многих приложениях, которые интегрируются с идентификатором Microsoft Entra ID, требуются разрешения на доступ к другим ресурсам для работы. Если эти ресурсы также интегрированы с идентификатором Microsoft Entra, разрешение на доступ к ним часто запрашивается с помощью общей платформы согласия. Отображается запрос согласия, который обычно возникает при первом использовании приложения. Оно также может возникать при последующем использовании приложения.

Чтобы пользователь дал согласие на необходимые приложению разрешения, должны выполняться определенные условия. Если эти условия не выполнены, могут возникнуть следующие ошибки.

Ошибка при запросе неавторизованных разрешений

  • AADSTS90093:clientAppDisplayName запрашивает одно или несколько разрешений, которые вы не авторизованы на предоставление. Contact an administrator, who can consent to this application on your behalf. ("clientAppDisplayName" запрашивает одно или несколько разрешений, которые вы не имеете права предоставлять. Обратитесь к администратору, который может дать согласие для этого приложения от вашего имени.)
  • AADSTS90094:clientAppDisplayName требуется разрешение на доступ к ресурсам в вашей организации, которое может предоставить только администратор. Попросите администратора предоставить этому приложению разрешение, прежде чем его можно будет использовать.

Эта ошибка возникает, когда пользователь, который не является администратором, пытается использовать приложение, запрашивающее разрешения, которые может предоставить только администратор. Чтобы устранить эту ошибку, администратор должен предоставить доступ к приложению от имени своей организации.

Эта ошибка также может возникать, когда пользователю запрещено предоставлять согласие в отношении приложения, поскольку корпорация Майкрософт обнаружила, что такой запрос разрешений является рискованным. В этом случае событие аудита также регистрируется с категорией ApplicationManagement, тип действия согласие на использование приложения и причина состояния обнаружено рискованное приложение.

Другой сценарий, в котором может возникнуть эта ошибка, заключается в том, что для приложения требуется назначение пользователя, однако соответствующее согласие администратора не было предоставлено. В этом случае администратор должен сначала предоставить согласие администратора на уровне клиента для приложения.

Ошибка при блокировке назначения разрешений политикой

  • AADSTS90093: Администратор системы tenantDisplayName установил правило, которое предотвращает предоставление запрашиваемых разрешений для name of app. Обратитесь к администратору tenantDisplayName, который может предоставить этому приложению разрешения от вашего имени.

Эта ошибка возникает, когда администратор отключает возможность предоставления пользователям согласия на приложения. Затем пользователь неадминистратора пытается использовать приложение, требующее согласия. Чтобы устранить эту ошибку, администратор должен предоставить доступ к приложению от имени своей организации.

Ошибка, связанная с периодически возникающей проблемой

  • AADSTS90090: похоже, что процедура входа столкнулась с временными проблемами записи разрешений, которые вы пытались предоставить clientAppDisplayName. Try again later. (Похоже, мы столкнулись с периодически возникающей проблемой при записи разрешений, которые вы пытались предоставить "clientAppDisplayName". Повторите попытку позже.)

Эта ошибка указывает на то, что возникла проблема, периодически возникающая на стороне службы. Для ее решения можно еще раз попытаться предоставить согласие для приложения.

Ошибка при недоступном ресурсе в клиенте

  • AADSTS65005:clientAppDisplayName запрашивает доступ к ресурсу resourceAppDisplayName, который недоступен в вашей организации tenantDisplayName.

Убедитесь, что эти ресурсы, предоставляющие запрошенные разрешения, доступны в арендаторе, или обратитесь к администратору tenantDisplayName. В противном случае возникает ошибка в том, как приложение запрашивает ресурсы, и обратитесь к разработчику приложения.

Ошибка при несовпадении разрешений

  • AADSTS65005: приложение запрашивает согласие на доступ к ресурсам resourceAppDisplayName. Этот запрос завершился ошибкой, так как он не соответствует предварительно настроению приложения во время регистрации приложения. Contact the app vendor.** (Приложение запросило согласие на обращение к ресурсу "resourceAppDisplayName". Выполнить этот запрос не удалось, так как он не соответствует предварительной настройке приложения, заданной при регистрации. Обратитесь к поставщику.)

Ошибки возникают, когда пользователь пытается дать согласие приложению, запрашивающему разрешения на доступ к ресурсному приложению, которого нет в каталоге организации (клиенте). Такая ситуация может возникнуть по нескольким причинам:

  • Разработчик клиентского приложения неправильно настраивает свое приложение, что приводит к запросу доступа к недопустимому ресурсу. В этом случае разработчику нужно обновить конфигурации клиентского приложения для устранения этой проблемы.

  • Субъект-служба, представляющий целевое приложение ресурсов, не существует в организации или существовал в прошлом, но удаляется. Чтобы устранить эту проблему, учетная запись службы для приложения ресурсов должна быть создана в организации, чтобы клиентское приложение могло запрашивать разрешения для него. Субъект-служба может быть подготовлен различными способами в зависимости от типа приложения, в том числе:

  • Приобретение подписки для приложения-ресурса (приложения, опубликованные корпорацией Майкрософт)

  • Предоставление согласия для приложения-ресурса

  • Предоставление разрешений приложению через Центр администрирования Microsoft Entra

  • Добавление приложения из коллекции приложений Microsoft Entra

Ошибка и предупреждение о рискованном приложении

  • AADSTS900941: требуется согласие администратора. Приложение считается рискованным. (AdminConsentRequiredDueToRiskyApp)
  • Это приложение может быть рискованным. Если вы доверяете этому приложению, попросите администратора предоставить вам доступ.
  • AADSTS900981: для рискованного приложения получен запрос согласия администратора. (AdminConsentRequestRiskyAppWarning)
  • Это приложение может быть рискованным. Продолжайте только в том случае, если вы доверяете этому приложению.

Оба этих сообщения отображаются, когда корпорация Майкрософт определяет, что запрос согласия может быть рискованным. Среди многих других факторов эта ошибка может возникнуть, если проверенный издатель не будет добавлен при регистрации приложения. Первый код ошибки и сообщение отображаются конечным пользователям при отключении рабочего процесса согласия администратора . Второй код и сообщение отображаются конечным пользователям при включении рабочего процесса согласия администратора и администраторам.

Конечные пользователи не могут предоставлять согласие приложениям, обнаруженным как рискованные. Администраторы могут, но должны тщательно оценивать приложение и следить за осторожностью. Если приложение кажется подозрительным при дальнейшей проверке, о нем можно сообщить в корпорацию Майкрософт на экране согласия.

Следующие шаги

Области, разрешения и согласие в платформа удостоверений Майкрософт (конечная точка версии 2.0)

Непредвиденный запрос на согласие при входе в приложение