Unerwarteter Fehler beim Vorgang des Genehmigens einer Anwendung

In diesem Artikel werden Fehler erläutert, die während des Vorgangs des Genehmigens einer Anwendung auftreten können. Wenn Sie Probleme mit unerwarteten Einwilligungsaufforderungen behandeln, die keine Fehlermeldungen enthalten, sehen Sie sich die Authentifizierungsszenarien für Microsoft Entra ID an.

Viele Anwendungen, die in Microsoft Entra ID integriert sind, erfordern Berechtigungen für den Zugriff auf andere Ressourcen, um zu funktionieren. Wenn diese Ressourcen auch in Microsoft Entra ID integriert sind, werden Berechtigungen für den Zugriff darauf häufig mithilfe des allgemeinen Genehmigungsframeworks angefordert. Eine Zustimmungsaufforderung wird in der Regel angezeigt, wenn eine Anwendung erstmals verwendet wird. Sie kann jedoch auch zu einem späteren Zeitpunkt erscheinen.

Bestimmte Bedingungen müssen sein erfüllt, damit ein Benutzer die von einer Anwendung benötigten Berechtigungen genehmigt. Wenn diese Bedingungen nicht erfüllt sind, können die folgenden Fehler auftreten.

Anfordern nicht autorisierter Berechtigungen

  • AADSTS90093:<Anzeigename_der_Client-App> fordert mindestens eine Berechtigung an, für deren Erteilung Sie nicht autorisiert sind. Wenden Sie sich an einen Administrator, der diese Anwendung in Ihrem Auftrag genehmigen kann.
  • AADSTS90094:<clientAppDisplayName> braucht eine Erlaubnis, um Zugriff auf die Resourcen in Ihrer Organisation zu erhalten, die nur ein Administrator gewähren kann. Bitten Sie einen Administrator, Berechtigungen für diese App zu erteilen, bevor Sie sie verwenden.

Dieser Fehler tritt auf, wenn ein Benutzer, der kein Administrator ist, versucht, eine Anwendung zu verwenden, die Berechtigungen anfordert, die nur ein Administrator erteilen kann. Dieser Fehler kann von einem Administrator behoben werden, indem der Zugriff auf die Anwendung im Auftrag der Organisation gewährt wird.

Dieser Fehler kann auch auftreten, wenn ein Benutzer daran gehindert wird, einer Anwendung zuzustimmen, weil Microsoft erkennt, dass die Berechtigungsanforderung riskant ist. In diesem Fall wird auch ein Überwachungsereignis der Kategorie „ApplicationManagement“ mit dem Aktivitätstyp „Zustimmung zu Anwendung“ und dem Statusgrund „Riskante Anwendung erkannt“ protokolliert.

Ein weiteres Szenario, in dem dieser Fehler auftreten kann, ist, wenn die Benutzerzuweisung für die Anwendung erforderlich ist, aber keine Administratoreinwilligung gegeben wurde. In diesem Fall muss der Administrator zuerst die mandantenweite Administratorzustimmung für die Anwendung bereitstellen.

Richtlinien verhindern das Erteilen von Berechtigungen

  • AADSTS90093: Ein Administrator von <Anzeigename_des_Mandanten> hat eine Richtlinie festgelegt, die Sie daran hindert, <Name der App> die angeforderten Berechtigungen zu erteilen. Wenden Sie sich an einen Administrator von <Anzeigename_des_Mandanten>, der Berechtigungen für diese App in Ihrem Auftrag erteilen kann.

Dieser Fehler tritt auf, wenn ein Administrator für Benutzer die Möglichkeit zur Genehmigung von Anwendungen deaktiviert und ein Nichtadministrator anschließend versucht, eine Anwendung zu nutzen, die eine Genehmigung erfordert. Dieser Fehler kann von einem Administrator behoben werden, indem der Zugriff auf die Anwendung im Auftrag der Organisation gewährt wird.

Vorübergehendes Problem

  • AADSTS90090: Beim Anmeldevorgang ist ein vorübergehendes Problem beim Aufzeichnen der Berechtigungen aufgetreten, die Sie <Anzeigename_der_Client-App> erteilen wollten. Versuchen Sie es später erneut.

Dieser Fehler zeigt an, dass auf Serverseite ein vorübergehendes Dienstproblem aufgetreten ist. Es kann behoben werden, indem versucht wird, die Anwendung erneut zu genehmigen.

Ressource im Mandanten nicht verfügbar

  • AADSTS65005:<Anzeigename_der_Client-App> fordert den Zugriff auf <Anzeigename_der_Ressourcenanwendung> an, die in <Anzeigename_des_Mandanten> Ihrer Organisation nicht verfügbar ist.

Stellen Sie sicher, dass diese Ressourcen, die die angeforderten Berechtigungen bereitstellen, in Ihrem Mandanten verfügbar sind, oder wenden Sie sich an einen Administrator von <tenantDisplayName>. Andernfalls gibt es eine Falschkonfiguration in Bezug darauf, wie die Anwendung Ressourcen anfordert, und Sie sollten sich an den Anwendungsentwickler wenden.

Berechtigungskonflikt

  • AADSTS65005: Die App hat die Genehmigung für den Zugriff auf <Anzeigename_der_Ressourcenanwendung> angefordert. Diese Anforderung war nicht erfolgreich, da sie nicht damit übereinstimmt, wie die App während ihrer Registrierung vorkonfiguriert wurde. Wenden Sie sich an den App-Hersteller.**

Diese Art von Fehler tritt auf, wenn die Anwendung, die ein Benutzer versucht zu genehmigen, Berechtigungen für den Zugriff auf eine Ressourcenanwendung anfordert, die im Verzeichnis (Mandanten) der Organisation nicht vorhanden ist. Dies kann aus unterschiedlichen Gründen passieren:

  • Der Entwickler der Clientanwendung hat seine Anwendung falsch konfiguriert, was bewirkt, dass ein Zugriff auf eine ungültige Ressource angefordert wird. In diesem Fall muss der Anwendungsentwickler die Konfiguration der Clientanwendung zum Beheben dieses Problems aktualisieren.

  • Ein Dienstprinzipal, der die Zielressourcenanwendung darstellt, ist in der Organisation nicht vorhanden oder war in der Vergangenheit vorhanden, wurde jedoch entfernt. Um dieses Problem zu beheben, muss ein Dienstprinzipal für die Ressourcenanwendung in der Organisation so bereitgestellt werden, dass die Clientanwendung Berechtigungen dafür anfordern kann. Je nach Anwendungstyp gibt es zahlreiche Bereitstellungsmöglichkeiten für den Dienstprinzipal, einschließlich:

  • Erwerben eines Abonnements für die Ressourcenanwendung (von Microsoft veröffentlichte Anwendungen)

  • Genehmigen der Ressourcenanwendung

  • Erteilen von Anwendungsberechtigungen über das Microsoft Entra Admin Center

  • Hinzufügen der Anwendung aus dem Microsoft Entra-Anwendungskatalog

Fehler und Warnungen bei riskanter App

  • AADSTS900941: Administratoreinwilligung ist erforderlich. Die App wird als riskant eingestuft. (AdminConsentRequiredDueToRiskyApp)
  • Diese App ist möglicherweise riskant. Wenn Sie dieser App vertrauen, bitten Sie Ihren Administrator, Ihnen Zugriff zu erteilen.
  • AADSTS900981: Eine Anforderung zur Administratoreinwilligung wurde für eine riskante App empfangen. (AdminConsentRequestRiskyAppWarning)
  • Diese App ist möglicherweise riskant. Fahren Sie nur fort, wenn Sie dieser App vertrauen.

Diese beiden Meldungen werden angezeigt, wenn Microsoft festgestellt hat, dass die Einwilligungsanforderung riskant sein kann. Neben zahlreichen anderen Faktoren kann dies vorkommen, wenn der App-Registrierung kein verifizierter Herausgeber hinzugefügt wurde. Wenn der Workflow für Administratoreinwilligung deaktiviert ist, wird Endbenutzern der erste Fehlercode mit zugehöriger Meldung angezeigt. Der zweite Fehlercode mit zugehöriger Meldung wird ihnen angezeigt, wenn der Workflow für Administratoreinwilligung aktiviert ist und eine Weiterleitung an die Administratoren erfolgt.

Der Endbenutzer kann für Apps, die als riskant erkannt wurden, keine Einwilligung erteilen. Administratoren können dies zwar tun, sollten die App aber sorgfältig evaluieren und Vorsicht walten lassen. Wenn die App bei weiterer Überprüfung immer noch verdächtig scheint, kann sie über den Zustimmungsbildschirm an Microsoft gemeldet werden.

Nächste Schritte

Umfänge, Berechtigungen und Einwilligung in der Microsoft Identity Platform (v2.0-Endpunkt)

Unerwartete Aufforderung zur Genehmigung bei der Anmeldung bei einer Anwendung