Erro inesperado ao executar o consentimento para um aplicativo

  • Artigo

Este artigo discute os erros que podem ocorrer durante o processo de consentimento para um aplicativo. Se você estiver solucionando problemas de prompts de consentimento inesperado que não contenham mensagens de erro, consulte Cenários de autenticação do Microsoft Entra ID.

Muitos aplicativos que se integram com o Microsoft Entra ID exigem permissões para acessar outros recursos para serem executados. Quando esses recursos também são integrados com o Microsoft Entra ID, a permissão para acessá-los é solicitadas usando a estrutura de consentimento comum. Um prompt de consentimento é exibido, o que geralmente ocorre na primeira vez que um aplicativo é usado, mas também pode ocorrer em um uso subseqüente do aplicativo.

Determinadas condições devem ser verdadeiras para que um usuário conceda as permissões exigidas por um aplicativo. Se essas condições não forem atendidas, os seguintes erros podem ocorrer.

Solicitação de erro de permissão não autorizada

  • O AADSTS90093:<clientAppDisplayName> está solicitando uma ou mais permissões que você não está autorizado a conceder. Contate um administrador que pode consentir pedido em seu nome.
  • O AADSTS90094:<clientAppDisplayName>precisa de permissão para acessar recursos em sua organização que apenas um administrador pode conceder. Peça a um administrador para conceder permissão para este aplicativo antes de usá-lo.

Esse erro ocorre quando um usuário que não é um administrador global tenta usar um aplicativo que está solicitando permissões, as quais somente um administrador pode conceder. Esse erro pode ser resolvido por um administrador concedendo acesso ao aplicativo em nome de sua organização.

Esse erro também pode ocorrer quando um usuário é impedido de consentir em um aplicativo pelo fato de a Microsoft detectar que a solicitação de permissões é arriscada. Nesse caso, um evento de auditoria também será registrado com a categoria "ApplicationManagement", o tipo de atividade "Consentimento para aplicativo" e o motivo do status "Aplicativo arriscado detectado".

Outro cenário no qual esse erro pode ocorrer é quando a atribuição de usuário é necessária para o aplicativo, mas nenhum consentimento de administrador foi fornecido. Nesse caso, o administrador deve primeiro fornecer consentimento do administrador a todos os locatários para o aplicativo.

Política impede concessão de permissões de erro

  • AADSTS90093: Um administrador do <NomeExibiçãoLocatário> definiu uma política que impede que você conceda ao <nome do aplicativo> as permissões solicitadas. Contate um administrador de <Nome Exibiçãolocatário> que pode conceder permissões para esse aplicativo em seu nome.

Esse erro pode ocorrer quando um Administrador Global desativa a capacidade de consentimento dos usuários para aplicativos e, em seguida, um usuário não administrador tenta usar um aplicativo que exige consentimento. Esse erro pode ser resolvido por um administrador concedendo acesso ao aplicativo em nome de sua organização.

Erro de problema intermitente

  • AADSTS90090: Parece que o processo de login encontrou um problema intermitente registrando as permissões que você tentou conceder a < clientAppDisplayName >. tente novamente mais tarde.

Esse erro indica que ocorreu um erro de serviço intermitente. Ele pode ser resolvido tentando consentir ao aplicativo novamente.

Recurso não disponível no erro do locatário

  • AADSTS65005:<NomeExibiçãoAplicativoCliente> está solicitando acesso a um recurso <NomeExibiçãoAplicativoRecurso> que não está disponível em sua organização <NomeExibiçãoLocatário>.

Verifique se esses recursos que fornecem as permissões solicitadas estão disponíveis em seu locatário ou entre em contato com um administrador do <tenantDisplayName>. Caso contrário, há uma configuração incorreta de como o aplicativo solicita recursos e você deve entrar em contato com o desenvolvedor do aplicativo.

Erro de incompatibilidade de permissões

  • AADSTS65005: O aplicativo solicitou consentimento para acessar o recurso <NomeExibiçãoAplicativoRecurso>. A solicitação falhou porque não corresponde como o aplicativo configurado previamente durante o registro do aplicativo. Contate o fornecedor do aplicativo.**

Esses erros ocorrem quando o aplicativo que um usuário está tentando consentir está solicitando permissões para acessar um aplicativo de recurso que não pode ser localizado no diretório da organização (locatário). Essa situação pode ocorrer por vários motivos:

  • O desenvolvedor do aplicativo cliente configurou seu aplicativo incorretamente, fazendo com que solicite acesso a um recurso inválido. Nesse caso, o desenvolvedor do aplicativo deve atualizar a configuração do aplicativo cliente para resolver esse problema.

  • Uma Entidade de Serviço que representa o aplicativo de recurso de destino não existe na organização ou existiu no passado mas foi removido. Para resolver esse problema, uma Entidade de Serviço para o aplicativo de recurso deve ser provisionada na organização para que o aplicativo cliente possa solicitar-lhe permissões. O Service Principal pode ser provisionado de várias maneiras, dependendo do tipo de aplicativo, incluindo:

  • Adquirir uma assinatura para o aplicativo de recursos (aplicativos publicados pela Microsoft)

  • Consentimento para a aplicação de recursos

  • Concedendo permissões de aplicativo por meio do Centro de administração do Microsoft Entra

  • Adicionar o aplicativo a partir da Galeria do Aplicativo do Microsoft Entra

Erro e aviso do aplicativo arriscado

  • AADSTS900941: O consentimento do administrador é necessário. O aplicativo é considerado arriscado. (AdminConsentRequiredDueToRiskyApp)
  • Este aplicativo pode ser arriscado. Se você confiar nesse aplicativo, peça ao administrador para conceder acesso.
  • AADSTS900981: Uma solicitação de consentimento de administrador foi recebida para um aplicativo arriscado. (AdminConsentRequestRiskyAppWarning)
  • Este aplicativo pode ser arriscado. Só continue se confiar neste aplicativo.

Essas duas mensagens serão exibidas quando a Microsoft determinar que a solicitação de consentimento pode ser arriscada. Entre vários outros fatores, isso pode ocorrer se um publicador verificado não tiver sido adicionado ao registro do aplicativo. O primeiro código de erro e mensagem serão mostrados aos usuários finais quando o fluxo de trabalho de consentimento do administrador estiver desabilitado. O segundo código de erro e mensagem serão mostrados aos usuários finais quando o fluxo de trabalho de consentimento do administrador estiver desabilitado e para administradores.

Os usuários finais não poderão conceder consentimento a aplicativos detectados como arriscados. Os administradores são capazes de fazer isso, mas devem avaliar o aplicativo com cautela e tomar cuidado. Se o aplicativo parecer suspeito após uma análise adicional, ele poderá ser relatado à Microsoft na tela de consentimento.

Próximas etapas

Escopos, permissões e consentimento na plataforma de identidade da Microsoft (ponto de extremidade v2.0).

Um usuário vê uma solicitação de consentimento inesperada ao entrar em um aplicativo