Erro inesperado ao conceder consentimento a uma aplicação

  • Artigo

Este artigo discute erros que podem ocorrer durante o processo de consentimento de um aplicativo. Se você estiver solucionando problemas de prompts de consentimento inesperados que não contenham mensagens de erro, consulte Cenários de autenticação para ID do Microsoft Entra.

Muitos aplicativos que se integram com o Microsoft Entra ID exigem permissões para acessar outros recursos para funcionar. Quando esses recursos também são integrados ao Microsoft Entra ID, a permissão para acessá-los geralmente é solicitada usando a estrutura de consentimento comum. Um prompt de consentimento é exibido, o que geralmente ocorre na primeira vez que um aplicativo é usado, mas também pode ocorrer em um uso subsequente do aplicativo.

Certas condições devem ser verdadeiras para que um usuário consinta com as permissões que um aplicativo exige. Se essas condições não forem atendidas, os seguintes erros podem ocorrer.

Solicitando erro de permissões não autorizadas

  • AADSTS90093:<clientAppDisplayName> está solicitando uma ou mais permissões que você não está autorizado a conceder. Entre em contato com um administrador, que pode consentir com este aplicativo em seu nome.
  • AADSTS90094:<clientAppDisplayName> precisa de permissão para acessar recursos em sua organização que somente um administrador pode conceder. Peça a um administrador para conceder permissão a este aplicativo antes de poder usá-lo.

Este erro ocorre quando um utilizador que não é um Administrador Global tenta utilizar uma aplicação que está a solicitar permissões que apenas um administrador pode conceder. Este erro pode ser resolvido por um administrador que concede acesso ao aplicativo em nome de sua organização.

Esse erro também pode ocorrer quando um usuário é impedido de consentir com um aplicativo devido à Microsoft detetar que a solicitação de permissões é arriscada. Nesse caso, um evento de auditoria também será registrado com uma categoria de "ApplicationManagement", tipo de atividade de "Consentimento para aplicativo" e motivo de status de "aplicativo arriscado detetado".

Outro cenário em que esse erro pode ocorrer é quando a atribuição de usuário é necessária para o aplicativo, mas nenhum consentimento do administrador foi fornecido. Nesse caso, o administrador deve primeiro fornecer consentimento de administrador para todo o locatário para o aplicativo.

A política impede o erro de concessão de permissões

  • AADSTS90093: Um administrador de <tenantDisplayName> definiu uma política que impede que você conceda <ao nome do aplicativo> as permissões solicitadas. Entre em contato com um administrador de <tenantDisplayName>, que pode conceder permissões para este aplicativo em seu nome.

Este erro pode ocorrer quando um Administrador Global desativa a capacidade de os utilizadores consentirem com aplicações e, em seguida, um utilizador não administrador tenta utilizar uma aplicação que requer consentimento. Este erro pode ser resolvido por um administrador que concede acesso ao aplicativo em nome de sua organização.

Erro de problema intermitente

  • AADSTS90090: Parece que o processo de entrada encontrou um problema intermitente ao registrar as permissões que você tentou conceder a <clientAppDisplayName>. tente novamente mais tarde.

Este erro indica que ocorreu um problema intermitente do lado do serviço. Pode ser resolvido tentando consentir o pedido novamente.

Recurso não disponível em erro de locatário

  • AADSTS65005:clientAppDisplayName> está solicitando acesso a um recurso de recursoAppDisplayName><que não está disponível no locatário da sua organizaçãoDisplayName<>.<

Verifique se esses recursos que fornecem as permissões solicitadas estão disponíveis em seu locatário ou entre em contato com um administrador de <tenantDisplayName>. Caso contrário, há uma configuração incorreta em como o aplicativo solicita recursos, e você deve entrar em contato com o desenvolvedor do aplicativo.

Erro de incompatibilidade de permissões

  • AADSTS65005: O aplicativo solicitou consentimento para acessar o recurso <resourceAppDisplayName>. Esta solicitação falhou porque não corresponde à forma como o aplicativo foi pré-configurado durante o registro do aplicativo. Entre em contato com o fornecedor do aplicativo.**

Todos esses erros ocorrem quando o aplicativo que um usuário está tentando consentir está solicitando permissões para acessar um aplicativo de recurso que não pode ser encontrado no diretório da organização (locatário). Esta situação pode ocorrer por várias razões:

  • O desenvolvedor do aplicativo cliente configurou seu aplicativo incorretamente, fazendo com que ele solicite acesso a um recurso inválido. Nesse caso, o desenvolvedor do aplicativo deve atualizar a configuração do aplicativo cliente para resolver esse problema.

  • Uma entidade de serviço que representa o aplicativo de recurso de destino não existe na organização ou existia no passado, mas foi removida. Para resolver esse problema, uma entidade de serviço para o aplicativo de recurso deve ser provisionada na organização para que o aplicativo cliente possa solicitar permissões para ele. A entidade de serviço pode ser provisionada de várias maneiras, dependendo do tipo de aplicativo, incluindo:

  • Adquirindo uma assinatura para o aplicativo de recurso (aplicativos publicados pela Microsoft)

  • Consentimento para a aplicação de recursos

  • Concedendo as permissões do aplicativo por meio do centro de administração do Microsoft Entra

  • Adicionando o aplicativo da Galeria de Aplicativos do Microsoft Entra

Erro e aviso de aplicativo arriscado

  • AADSTS900941: É necessário o consentimento do administrador. App é considerado arriscado. (AdminConsentRequiredDueToRiskyApp)
  • Este aplicativo pode ser arriscado. Se confiar nesta aplicação, peça ao seu administrador para lhe conceder acesso.
  • AADSTS900981: Foi recebida uma solicitação de consentimento de administrador para um aplicativo arriscado. (AdminConsentRequestRiskyAppWarning)
  • Este aplicativo pode ser arriscado. Só continue se confiar nesta aplicação.

Ambas as mensagens serão exibidas quando a Microsoft determinar que a solicitação de consentimento pode ser arriscada. Entre muitos outros fatores, isso pode ocorrer se um editor verificado não tiver sido adicionado ao registro do aplicativo. O primeiro código de erro e a primeira mensagem serão mostrados aos usuários finais quando o fluxo de trabalho de consentimento do administrador estiver desativado. O segundo código e a mensagem serão mostrados aos usuários finais quando o fluxo de trabalho de consentimento do administrador estiver habilitado e aos administradores.

Os utilizadores finais não poderão conceder consentimento a aplicações que tenham sido detetadas como de risco. Os administradores podem, mas devem avaliar o aplicativo cuidadosamente e proceder com cautela. Se o aplicativo parecer suspeito após uma análise mais aprofundada, ele poderá ser denunciado à Microsoft na tela de consentimento.

Próximos passos

Escopos, permissões e consentimento na plataforma de identidade da Microsoft (ponto de extremidade v2.0)

Pedido de consentimento inesperado ao iniciar sessão numa aplicação