webentwicklung-frage-antwort-db.com.de

Microsoft Graph API - AADSTS90094: Die Erteilung erfordert Administratorberechtigung

Ich habe eine Anwendung in https://apps.dev.Microsoft.com (Plattformen: Web) erstellt.

Diese App benötigt die Administrator-Zustimmung für bestimmte Berechtigungen. Ich erinnere mich daran, dass ich in der Vergangenheit mit einem Administratorkonto auf https://login.microsoftonline.com/{tenant name}/adminconsent?client_id={application id}&state={some state data}&redirect_uri={redirect uri} zugegriffen habe, um die Berechtigung zum Zugriff auf Ressourcen in unserer Organisation zu erteilen, die nur ein Administrator gewähren kann. Von dort aus mussten die Benutzer ihre Zustimmung geben, um die Anwendung nutzen zu können.

Jetzt kann ich mich mit einem Admin-Konto erfolgreich anmelden und die App funktioniert wie erwartet, ABER ich erhalte immer noch eine Aufforderung für Benutzer mit der folgenden Meldung:

You can't access this applicationAPP NAME needs permission to access resources in your organization that only an admin can grant. Please ask an admin to grant permission to this app before you can use it.

Have an admin account? Sign in with that account

Return to the application without granting consent

Die Fehlermeldung lautet: AADSTS90094: The grant requires admin permission., der nirgendwo dokumentiert zu sein scheint.

Wenn ich auf Have an admin account? Sign in with that account klicke und mich mit einem Administratorkonto anmelde, funktioniert es, aber ich versuche es erneut mit einem normalen Benutzerkonto. Ich erhalte die obige Meldung erneut.

 enter image description here

EDIT: Also habe ich Berechtigungen auf ein Minimum reduziert. Bereiche in meiner Anwendung sind jetzt: openid, profile, user.read Und Microsoft Graph-Berechtigungen sind jetzt für delegierte Berechtigungen: Mail.Send, User.Read. Nichts in Anwendungsberechtigungen und ich erhalte immer noch die obige Nachricht für normale Benutzer! Hat jemand von Microsoft Informationen zum Fehlercode AADSTS90094?

8
katalin_2003

OK, also habe ich mich schließlich mit dem Microsoft-Support in Verbindung gesetzt, da zu diesem Zeitpunkt keine Informationen zu dieser Fehlermeldung vorhanden sind.

Kurz gesagt, Microsoft hat einige Änderungen in Bezug auf Berechtigungen vorgenommen. Wenn für Ihre App openid, profile oder offline_access erforderlich war, konnten Sie sie in der App einfach als Gültigkeitsbereich platzieren. Diese waren jedoch nicht für https://apps.dev.Microsoft.com verfügbar. Ein Administrator hätte zugestimmt und Ihre App würde ordnungsgemäß funktionieren.

Was Sie jetzt tun sollten, ist mirror Die Bereiche Ihrer App mit den Berechtigungen, die Sie für https://apps.dev.Microsoft.com haben. Andernfalls erhalten Sie diese Fehlermeldung weiterhin. Stellen Sie also sicher, dass Sie auf beiden Seiten dasselbe haben Besonders wenn Sie an das alte Verhalten gewöhnt sind.

Diese drei Bereiche/Berechtigungen (openid, profile und offline_access) können jetzt für Ihre App im Dev-Portal ausgewählt werden.

2
katalin_2003

Der Admin-Einwilligungsendpunkt hilft im dynamischen Bereich und im dynamischen Einwilligungsszenario nicht.

Mit dem Endpoint Admin-Einwilligung werden die im App-Registrierungsportal registrierten Berechtigungen erteilt. Sie können den Abschnitt mit den Microsoft Graph-Berechtigungen suchen und dann die für Ihre App erforderlichen Berechtigungen hinzufügen. Nachdem Sie die Admin-Einwilligung über den Admin-Einwilligungsendpunkt vorgenommen haben, kann Ihre App Berechtigungen für alle Benutzer in einem Mandanten sammeln, einschließlich von Bereichen mit eingeschränktem Administratorstatus. 

0
Nan Yu