共用方式為

對應用程式執行同意時出現非預期的錯誤

  • 發行項

本文討論同意應用程式期間可能發生的錯誤。 如果您要針對未包含任何錯誤訊息的非預期同意提示進行疑難解答,請參閱 Microsoft Entra ID 的驗證案例。

許多與 Microsoft Entra ID 整合的應用程式都需要許可權才能存取其他資源才能運作。 當這些資源也與 Microsoft Entra ID 整合時,通常會使用一般同意架構來要求存取這些資源的許可權。 隨即顯示同意提示,這通常會在第一次使用應用程式時發生,但也可以在後續使用應用程式時發生。

某些條件必須成立,使用者才能同意應用程式所需的許可權。 如果不符合這些條件,可能會發生下列錯誤。

要求未授權的許可權錯誤

  • AADSTS90093:<clientAppDisplayName> 要求您未獲授權授與的一或多個許可權。 請連絡系統管理員可以代表您同意此應用程式。
  • AADSTS90094:<clientAppDisplayName> 需要許可權,才能存取組織中只有系統管理員可以授與的資源。 請要求管理員授與應用程式權限,您才能使用此應用程式。

當不是系統管理員的用戶嘗試使用只有系統管理員可授與許可權的應用程式時,就會發生此錯誤。 系統管理員可以代表其組織授與應用程式存取權來解決此錯誤。

當使用者因為 Microsoft 偵測到許可權要求有風險而無法同意應用程式時,也可能會發生此錯誤。 在此情況下,稽核事件也會記錄為 「ApplicationManagement」類別、「同意應用程式」的活動類型,以及「偵測到具風險的應用程式」的狀態原因。

另一個可能發生此錯誤的情況是應用程式需要使用者指派,但未提供系統管理員同意。 在此情況下,系統管理員必須先為應用程式提供全租用戶的系統管理員同意。

原則可防止授與許可權錯誤

  • AADSTS90093:tenantDisplayName> 的<系統管理員已設定原則,以防止您授<與應用程式>要求的許可權名稱。 請連絡tenantDisplayName>的<系統管理員,他們可以代表您授與此應用程式的許可權。

當系統管理員關閉使用者同意應用程式的能力時,就會發生此錯誤,然後非系統管理員用戶嘗試使用需要同意的應用程式。 系統管理員可以代表其組織授與應用程式存取權來解決此錯誤。

間歇性問題錯誤

  • AADSTS90090: 登入程式似乎發生間歇性問題,記錄您嘗試授與 <clientAppDisplayName> 的許可權。 請稍後再試一次。

此錯誤表示發生間歇性服務端問題。 您可以再次嘗試同意應用程式來解決此問題。

租用戶錯誤中無法使用的資源

  • AADSTS65005:clientAppDisplayName> 要求存取組織<租使用者DisplayName 中無法使用的資源<資源AppDisplayName>>。<

請確定這些提供所要求許可權的資源可在您的租使用者中使用,或連絡 tenantDisplayName> 的<系統管理員。 否則,應用程式要求資源的方式有錯誤設定,您應該連絡應用程式開發人員。

許可權不符錯誤

  • AADSTS65005: 應用程式要求同意存取資源 <資源AppDisplayName>。 此要求失敗,因為它與應用程式註冊期間預先設定的應用程式方式不符。 請連絡應用程式廠商。**

當使用者嘗試同意的應用程式要求存取組織目錄 (tenant) 中找不到的資源應用程式的許可權時,就會發生這些錯誤。 這種情況可能會因為數個原因而發生:

  • 用戶端應用程式開發人員已錯誤地設定其應用程式,導致它要求存取無效的資源。 在此情況下,應用程式開發人員必須更新用戶端應用程式的組態,才能解決此問題。

  • 代表目標資源應用程式的服務主體不存在於組織中,或存在於過去但已移除。 若要解決此問題,必須在組織中布建資源應用程式的服務主體,讓用戶端應用程式可以要求許可權給它。 服務主體可以透過多種方式佈建,視應用程式類型而定,包括:

  • 取得資源應用程式的訂用帳戶 (Microsoft 已發布的應用程式 )

  • 同意資源應用程式

  • 透過 Microsoft Entra 系統管理中心授與應用程式許可權

  • 從 Microsoft Entra 應用連結庫新增應用程式

有風險的應用程式錯誤和警告

  • AADSTS900941:需要 管理員 istrator 同意。 應用程式被視為有風險。 (管理員 ConsentRequiredDueToRiskyApp)
  • 此應用程式可能會有風險。 如果您信任此應用程式,請要求系統管理員授與您存取權。
  • AADSTS900981: 已收到有風險應用程式的系統管理員同意要求。 (管理員 ConsentRequestRiskyAppWarning)
  • 此應用程式可能會有風險。 只有在您信任此應用程式時,才繼續。

當 Microsoft 判斷同意要求可能有風險時,這兩則訊息都會顯示。 在許多其他因素中,如果 已驗證的發行者 尚未新增至應用程式註冊,就可能會發生這種情況。 停用 管理員 同意工作流程時,將會向用戶顯示第一個錯誤碼和訊息。 第二個程式代碼和訊息會在系統管理員同意工作流程啟用和系統管理員時向用戶顯示。

終端用戶無法將已偵測到為有風險的應用程式授與同意。 管理員 能夠,但應該仔細評估應用程式,並謹慎行事。 如果應用程式在進一步檢閱時似乎可疑,可以從同意畫面向 Microsoft 回報。

下一步

Microsoft 身分識別平台中的範圍、許可權和同意(v2.0 端點)

登入應用程式時看到非預期的同意提示