Erreur inattendue lors du consentement à une application

Cet article traite des erreurs qui peuvent se produire durant le processus de consentement à une application. Si vous rencontrez des invites de consentement inattendues qui ne contiennent aucun message d’erreur, consultez Scénarios d’authentification pour Microsoft Entra ID.

Pour fonctionner, de nombreuses applications qui s’intègrent à Microsoft Entra ID nécessitent des autorisations à d’autres ressources. Quand ces ressources sont également intégrées à Microsoft Entra ID, vous devez souvent utiliser l’infrastructure de consentement commune pour demander les autorisations d’accès nécessaires. Une invite de consentement s’affiche, généralement lors de la première utilisation de l’application, mais parfois lors d’une utilisation ultérieure.

Certaines conditions doivent être réunies pour qu’un utilisateur consente aux autorisations exigées par une application. Si ces conditions ne sont pas remplies, les erreurs suivantes peuvent se produire.

Erreur : demande d’autorisations dont l’octroi n’est pas autorisé

  • AADSTS90093 :<clientAppDisplayName> demande une ou plusieurs autorisations que vous ne pouvez pas accorder. Contactez un administrateur qui peut donner son consentement à cette application en votre nom.
  • AADSTS90094 :<clientAppDisplayName> a besoin d’une autorisation pour accéder aux ressources de votre organisation, et cet accès ne peut être autorisé que par un administrateur. Demandez à un administrateur de vous accorder une autorisation d’accès à cette application avant de l’utiliser.

Cette erreur se produit quand un utilisateur, qui n’est pas un administrateur, tente d’utiliser une application qui demande des autorisations pouvant uniquement être accordées par un administrateur. Pour résoudre cette erreur, un administrateur peut accorder l’accès à l’application au nom de son organisation.

Cette erreur peut également se produire quand un utilisateur est empêché de donner son consentement à une application parce que Microsoft a détecté que la demande d’autorisation présente un risque. Dans ce cas, un événement d’audit est également journalisé avec la catégorie « ApplicationManagement », le type d’activité « Consent to application » et la raison de l’état « Risky application detected ».

Cette erreur peut également se produire lorsque l’affectation de l’utilisateur est requise pour l’application, mais qu’aucun consentement de l’administrateur n’a été fourni. Dans ce cas, l’administrateur doit d’abord fournir le consentement administrateur à l’échelle du locataire pour l’application.

Erreur : stratégie empêchant l’octroi d’autorisations

  • AADSTS90093 : un administrateur de <tenantDisplayName> a défini une stratégie qui vous empêche d’octroyer les autorisations demandées à <nom de l’application>. Contactez un administrateur de <tenantDisplayName>, qui peut accorder des autorisations à cette application en votre nom.

Cette erreur peut se produire quand un utilisateur non-administrateur tente d’utiliser une application qui nécessite son consentement alors que l’administrateur a désactivé la capacité des utilisateurs à donner leur consentement aux applications. Pour résoudre cette erreur, un administrateur peut accorder l’accès à l’application au nom de son organisation.

Erreur : problème intermittent

  • AADSTS90090 : Un problème intermittent s’est apparemment produit au cours du processus de connexion, lors de l’enregistrement des autorisations que vous avez tenté d’accorder à <clientAppDisplayName>. Réessayez plus tard.

Cette erreur indique qu’un problème intermittent côté service s’est produit. Vous pouvez le résoudre en essayant de donner à nouveau votre consentement à l’application.

Erreur : ressource non disponible dans le locataire

  • AADSTS65005 :<clientAppDisplayName> demande l’accès à une ressource <resourceAppDisplayName> qui n’est pas disponible dans votre organisation <tenantDisplayName>.

Vérifiez que ces ressources qui fournissent les autorisations demandées sont disponibles dans votre locataire ou contactez un administrateur de <tenantDisplayName>. Dans le cas contraire, la façon dont l’application demande des ressources est mal configurée et vous devez vous adresser au développeur de l’application.

Erreur : incompatibilité des autorisations

  • AADSTS65005 : L’application a fait une demande de consentement pour accéder à la ressource <resourceAppDisplayName>. Cette demande a échoué car elle ne correspond pas à la façon dont l’application a été préconfigurée pendant son inscription. Contactez le fournisseur de l’application.**

Ces erreurs se produisent quand l’application à laquelle un utilisateur tente de donner son consentement demande des autorisations pour accéder à une application de ressources introuvable dans l’annuaire (locataire) de l’organisation. Cette situation peut se produire pour plusieurs raisons :

  • Le développeur de l’application cliente a configuré l’application de manière incorrecte, la forçant à demander l’accès à une ressource non valide. Dans ce cas, le développeur de l’application doit mettre à jour la configuration de l’application cliente pour résoudre ce problème.

  • Un principal de service représentant la ressource d’application cible n’existe pas dans l’organisation, ou il a existé mais a été supprimé. Pour résoudre ce problème, un principal de service représentant l’application de ressources doit être approvisionné dans l’organisation pour que l’application cliente puisse demander des autorisations d’accès à ce principal de service. Il existe de nombreuses manières de configurer le principal de service selon le type d’application, notamment :

  • Acquisition d’un abonnement pour l’application de ressources (applications publiées par Microsoft)

  • Consentement à l’application de ressources

  • Octroi des autorisations d’application via le centre d’administration Microsoft Entra

  • Ajouter l’application depuis la galerie d’applications Microsoft Entra

Erreur et avertissement : application à risque

  • AADSTS900941 : Le consentement de l’administrateur est obligatoire. L’application est considérée comme risquée. (AdminConsentRequiredDueToRiskyApp)
  • Cette application peut présenter un risque. Si vous faites confiance à cette application, demandez à votre administrateur de vous accorder l’accès.
  • AADSTS900981 : Une demande de consentement administrateur a été reçue pour une application risquée. (AdminConsentRequestRiskyAppWarning)
  • Cette application peut présenter un risque. Continuez uniquement si vous faites confiance à cette application.

Ces deux messages s’affichent lorsque Microsoft a déterminé que la demande de consentement peut présenter un risque. Parmi de nombreux autres facteurs, cela peut se produire si aucun éditeur vérifié n’a été ajouté à l’inscription de l’application. Les utilisateurs finaux verront le premier code d’erreur et le premier message lorsque le workflow de consentement administrateur est désactivé. Les administrateurs ainsi que les utilisateurs finaux verront le second code et le second message lorsque le workflow de consentement administrateur est activé.

Les utilisateurs finaux ne peuvent pas donner leur consentement aux applications qui ont été détectées comme présentant un risque. Les administrateurs peuvent effectuer cette action. Toutefois, ils doivent évaluer l’application très attentivement et agir avec prudence. Si l’application semble suspecte après un examen plus approfondi, elle peut être signalée à Microsoft sur l’écran de consentement.

Étapes suivantes

Étendue, autorisations et consentement dans la plateforme d’identités Microsoft (point de terminaison v2.0)

Invite de consentement inattendue lors de la connexion à une application