AADSTS90093：調用主體可以不同意，由於缺乏權限

Question

我得到當非全局管理員用戶正在嘗試我們的租戶中訪問圖形資源管理器2以下錯誤：

其他技術信息：

相關ID：2346b0f5-bb5f-4138-8f9d-07fa96dcf02f 時間戳：2015-05-29 17：18：48Z AADSTS90093：由於缺少權限，調用委託人不能同意。

從Azure中，我們有「用戶可以授予應用程序訪問其數據的權限」設置爲使用。我們也有「用戶可以添加集成應用程序」。

Answer 1

只是想檢查你要去哪個URL。我們有2個「圖形瀏覽器」 - 一個用於探索Azure AD Graph API，而另一個（稱爲API瀏覽器）用於瀏覽Office 365 unified API。

如果您要去https://graphexplorer2.cloudapp.net - 這是（AAD）圖形​​瀏覽器，並且不應該要求管理員權限。請讓我們知道這是你正在使用，如果這是造成問題。

如果另一方面你要去https://graphexplorer2.azurewebsites.net--這是API瀏覽器，並且由於它需要訪問的API數量，它目前需要管理員同意。我們將研究一種方法來減少需要訪問的範圍數量，以便到達用戶可以同意的地方（但目前情況並非如此）。

希望這有助於

Answer 2

我今天就遇到了這個問題，在這裏我所做的：

• 登錄到傳統的門戶 （https://manage.windowsazure.com/）
• 你的AD應用程序在「配置」部分，其中 是「對其他應用程序的權限」，請查看「Window Azure Active Directory」的「授權 權限」。
• 確保您爲您的應用選擇了 正確的權限。通常，「登錄並閱讀 用戶配置文件」足以讓用戶登錄。
• 欲瞭解更多信息，您 可以在此鏈接 https://graph.microsoft.io/en-us/docs/authorization/permission_scopes

Answer 3

我工作了Skype的在線業務用例（WEB API）看一看。我面臨的問題是用戶不是全局管理員。全球管理員添加的用戶。

我設法通過傳遞額外參數提示= admin_consent來解決問題。

var href = 'https://login.microsoftonline.com/common/oauth2/authorize?response_type=token&client_id='; 
    href += client_id + '&resource=https://webdir.online.lync.com&redirect_uri=' + window.location.href+'&prompt=admin_consent'; 

欲瞭解更多詳情，請訪問鏈接https://blogs.msdn.microsoft.com/exchangedev/2014/03/25/using-oauth2-to-access-calendar-contact-and-mail-api-in-office-365-exchange-online/