本文介绍对应用程序进行许可期间可能发生的错误。 如果要对不包含任何错误消息的意外同意提示进行故障排除,请参阅 Microsoft Entra ID 的身份验证方案。
与Microsoft Entra ID集成的许多应用程序需要有权访问其他资源才能正常运行。 当这些资源还与Microsoft Entra ID集成时,通常通过通用同意框架请求访问这些资源的权限。 当应用程序首次使用时,会出现一个同意提示。 这种情况在随后使用应用程序时也可能发生。
用户必须满足某些条件才能同意应用程序所需的权限。 如果不满足这些条件,可能会发生以下错误。
请求未经授权的权限
-
AADSTS90093:
clientAppDisplayName请求你无权授予的一个或多个权限。 请与管理员联系,他/她可代表你对此应用程序进行许可。 -
AADSTS90094:
clientAppDisplayName需要有权访问组织中只有管理员才能授予的资源。 请让管理员授予访问此应用的权限,否则你将无法使用该应用。
当不是管理员的用户尝试使用仅管理员可以授予的权限的应用程序时,会发生此错误。 要解决此错误,管理员应代表其组织授予访问此应用程序的权限。
当阻止用户同意应用程序时,也可能会发生此错误,因为Microsoft检测到权限请求存在风险。 在这种情况下,还会记录一个审核事件,类别为 ApplicationManagement,活动类型为 同意应用程序使用,状态原因为 检测到高风险应用程序。
可能发生此错误的另一种情况是,应用程序需要用户分配,但未获得管理员同意。 在这种情况下,管理员必须首先为应用程序提供租户范围的管理员同意。
策略阻止授予权限
-
AADSTS90093:
tenantDisplayName的管理员设置了一项策略,阻止你授予name of app请求的权限。 请与tenantDisplayName管理员联系,他/她可代表你授予对此应用的权限。
当管理员关闭用户同意应用程序的能力时,将会发生此错误。 然后,非管理员用户尝试使用需要许可的应用程序。 要解决此错误,管理员应代表其组织授予访问此应用程序的权限。
间歇性问题
-
AADSTS90090:登录过程遇到间歇性问题,记录您尝试授予给
clientAppDisplayName的权限。 请稍后重试。
此错误表示发生了间歇性服务端问题。 解决方法是再次尝试同意应用程序。
租户中不可用的资源
-
AADSTS65005:
clientAppDisplayName请求访问组织中resourceAppDisplayName不可用的资源tenantDisplayName。
确保提供请求权限的资源在租户中可用,或请与管理员 tenantDisplayName 联系。 否则表明应用程序请求资源的方式存在错误配置,应联系应用程序开发人员。
权限不匹配
-
AADSTS65005:应用请求同意访问资源
resourceAppDisplayName。 由于此请求与应用注册期间预配置应用的方式不匹配,此请求失败。 与应用供应商联系。
当用户尝试同意请求访问组织目录(租户)中找不到的资源应用程序的权限时,会出现此错误。 出现这种情况的原因如下:
客户端应用程序开发人员错误地配置了应用程序,导致应用程序请求对无效资源的访问。 在这种情况下,应用程序开发人员必须更新客户端应用程序的配置才能解决此问题。
表示目标资源应用程序的服务主体不存在于组织中,或者它过去存在但已删除。 若要解决此问题,必须为组织中的资源应用程序预配服务主体,以便客户端应用程序可以请求其权限。 用于预配服务主体的方法取决于应用程序的类型:
- 获取资源应用程序的订阅(Microsoft已发布的应用程序)
- 对资源应用程序进行许可
- 通过Microsoft Entra admin center授予应用程序权限
- 从Microsoft Entra应用程序库中添加应用程序
有风险的应用
AADSTS900941:需要管理员同意。 应用被视为有风险。 (由于应用风险需要管理员同意)
这个应用可能有风险。 如果你信任此应用,请要求管理员授予你访问权限。
AADSTS900981:收到有风险应用的管理员同意请求。 (AdminConsentRequestRiskyAppWarning)
这个应用可能有风险。 仅当你信任此应用时继续。
当Microsoft确定同意请求可能存在风险时,将显示这些消息。 在许多其他因素中,如果未将已验证的发布者添加到应用注册,则可能会发生这些错误。 关闭 管理员同意工作流 时,第一条错误代码和消息会显示给用户。 启用管理员同意工作流时,第二个代码和消息会显示给用户和管理员。
用户无法向Microsoft检测为有风险的应用授予许可。 管理员可以授予同意,但他们应仔细评估应用,并谨慎行事。 管理员可以通过同意对话框向Microsoft报告任何在进一步审查中看起来可疑的应用。
用户拒绝同意访问应用
- AADSTS65004:用户拒绝同意访问应用。
在管理员同意工作流期间发生此错误。 用户提交应用程序的管理员同意批准后,将显示另一个对话框,其中包含 “返回到应用 ”按钮。 当用户选择该按钮时,Microsoft Entra ID将AADSTS65004错误发送到原始身份验证请求中指定的重定向 URI。 此错误是管理员同意工作流的预期部分。
管理员评审后,在用户批准提交的管理员同意后,用户需要通过应用程序开始新的身份验证过程。