Поделиться через


Непредвиденная ошибка при предоставлении согласия для приложения

В этой статье описаны ошибки, возникающие при предоставлении согласия для приложения. Если вы устраняете неполадки с непредвиденными запросами согласия, которые не содержат сообщений об ошибках, см. статью "Сценарии проверки подлинности для идентификатора Microsoft Entra".

Во многих приложениях, которые интегрируются с идентификатором Microsoft Entra ID, требуются разрешения на доступ к другим ресурсам для работы. Если эти ресурсы также интегрированы с идентификатором Microsoft Entra, разрешение на доступ к ним часто запрашивается с помощью общей платформы согласия. Поступает запрос на продолжение, что обычно происходит при первом использовании приложения, но может встречаться и при дальнейшем использовании.

Чтобы пользователь дал согласие на необходимые приложению разрешения, должны выполняться определенные условия. Если эти условия не выполнены, могут возникнуть следующие ошибки.

Ошибка при запросе неавторизованных разрешений

  • AADSTS90093:<clientAppDisplayName> запрашивает одно или несколько разрешений, которые вы не авторизованы для предоставления. Contact an administrator, who can consent to this application on your behalf. ("clientAppDisplayName" запрашивает одно или несколько разрешений, которые вы не имеете права предоставлять. Обратитесь к администратору, который может дать согласие для этого приложения от вашего имени.)
  • AADSTS90094:<clientAppDisplayName> требуются разрешения на доступ к ресурсам в вашей организации, которые может предоставить только администратор. Попросите администратора предоставить этому приложению разрешение, прежде чем его можно будет использовать.

Эта ошибка возникает, когда пользователь, который не является администратором, пытается использовать приложение, запрашивающее разрешения, которые может предоставить только администратор. Администратор может устранить эту ошибку, предоставив доступ к приложению от имени своей организации.

Эта ошибка также может возникать, когда пользователю запрещено предоставлять согласие в отношении приложения, поскольку корпорация Майкрософт обнаружила, что такой запрос разрешений является рискованным. В этом случае событие аудита также будет регистрироваться с категорией ApplicationManagement, типом действия "Согласие на приложение" и состоянием "Обнаружено рискованное приложение".

Другой сценарий, в котором может возникнуть эта ошибка, заключается в том, что для приложения требуется назначение пользователя, однако соответствующее согласие администратора не было предоставлено. В этом случае администратор должен сначала предоставить согласие администратора на уровне клиента для приложения.

Ошибка при блокировке назначения разрешений политикой

  • AADSTS90093. Администратор <клиентаDisplayName> установил политику, которая не позволяет предоставлять <имя приложения> разрешения, запрашиваемые им. Contact an administrator of <tenantDisplayName>, who can grant permissions to this app on your behalf. (Администратор "tenantDisplayName" задал политику, которая запрещает предоставление разрешений, запрошенных "имя приложения". Обратитесь к администратору "tenantDisplayName", который может предоставить разрешения для этого приложения от вашего имени.)

Эта ошибка может возникать, когда администратор отключает возможность предоставления пользователям согласия на приложения, а затем пользователь, отличный от администратора, пытается использовать приложение, требующее согласия. Администратор может устранить эту ошибку, предоставив доступ к приложению от имени своей организации.

Ошибка, связанная с периодически возникающей проблемой

  • AADSTS90090: It looks like the sign-in process encountered an intermittent problem recording the permissions you attempted to grant to <clientAppDisplayName>. Try again later. (Похоже, мы столкнулись с периодически возникающей проблемой при записи разрешений, которые вы пытались предоставить "clientAppDisplayName". Повторите попытку позже.)

Эта ошибка указывает на наличие периодически возникающей проблемы на стороне службы. Для ее решения можно еще раз попытаться предоставить согласие для приложения.

Ошибка при недоступном ресурсе в клиенте

  • AADSTS65005:clientAppDisplayName> запрашивает доступ к ресурсу <ResourceAppDisplayName>, который недоступен в клиенте организацииDisplayName<>.<

Убедитесь, что эти ресурсы, предоставляющие запрошенные разрешения, доступны в клиенте или обратитесь к администратору <tenantDisplayName>. В противном случае возникает ошибка в том, как приложение запрашивает ресурсы, и обратитесь к разработчику приложения.

Ошибка при несовпадении разрешений

  • AADSTS65005: The app requested consent to access resource <resourceAppDisplayName>. Сбой этого запроса, так как он не соответствует предварительной настройке приложения во время регистрации приложения. Contact the app vendor.** (Приложение запросило согласие на обращение к ресурсу "resourceAppDisplayName". Выполнить этот запрос не удалось, так как он не соответствует предварительной настройке приложения, заданной при регистрации. Обратитесь к поставщику.)

Все эти ошибки возникают, когда пользователь пытается предоставить пользователю согласие запрашивать разрешения на доступ к приложению ресурсов, которое не удается найти в каталоге организации (клиенте). Такая ситуация может возникнуть по нескольким причинам:

  • Разработчик клиентского приложения неправильно настроил его, в результате чего оно запрашивает доступ к недопустимому ресурсу. В этом случае разработчику нужно обновить конфигурации клиентского приложения для устранения этой проблемы.

  • Субъект-служба, представляющий целевое приложение ресурсов, не существует в организации или существовал в прошлом, но был удален. Чтобы устранить эту проблему, в организации нужно подготовить субъект-службу для приложения-ресурса, после чего клиентское приложение сможет запросить для него права. Субъект-служба может быть подготовлен различными способами в зависимости от типа приложения, в том числе:

  • Приобретение подписки для приложения-ресурса (приложения, опубликованные корпорацией Майкрософт)

  • Предоставление согласия для приложения-ресурса

  • Предоставление разрешений приложению через Центр администрирования Microsoft Entra

  • Добавление приложения из коллекции приложений Microsoft Entra

Ошибка и предупреждение о рискованном приложении

  • AADSTS900941: требуется согласие администратора. Приложение считается рискованным. (AdminConsentRequiredDueToRiskyApp)
  • Это приложение может быть рискованным. Если вы доверяете этому приложению, попросите администратора предоставить вам доступ.
  • AADSTS900981: для рискованного приложения получен запрос согласия администратора. (AdminConsentRequestRiskyAppWarning)
  • Это приложение может быть рискованным. Продолжайте только в том случае, если вы доверяете этому приложению.

Оба эти сообщения будут отображаться, когда корпорация Майкрософт определит, что запрос согласия может быть рискованным. Среди многих других факторов это может произойти, если проверенный издатель не был добавлен в регистрацию приложения. Первый код ошибки и сообщение будут отображаться для конечных пользователей при отключенном рабочем процессе согласия администратора. Второй код и сообщение будут отображаться для конечных пользователей, когда включен рабочий процесс согласия администратора и для администраторов.

Конечные пользователи не смогут предоставлять согласие приложениям, которые были обнаружены как рискованные. Администратор способны, но следует тщательно оценивать приложение и следить за осторожностью. Если приложение кажется подозрительным при дальнейшей проверке, о нем можно сообщить в корпорацию Майкрософт на экране согласия.

Следующие шаги

Области, разрешения и согласие в платформа удостоверений Майкрософт (конечная точка версии 2.0)

Непредвиденный запрос на согласие при входе в приложение