根据你描述的情况——虽然租户已开启用户自行同意权限、应用仅配置了无需管理员同意的User.Read（Sign in and read user profile）权限，但非管理员登录仍触发AADSTS90094: The grant requires admin permission错误，我整理了几个排查和解决方向：

1. 确认权限的「谁可以同意」配置 #

虽然User.Read默认允许用户自行同意，但可能被租户或应用的特殊设置修改：

• 进入Azure AD门户的应用注册 → API权限 → 点击已添加的User.Read权限
• 查看权限详情中的谁可以同意字段：确保显示的是Users can consent，而非Admin consent required
• 如果显示需要管理员同意，大概率是租户全局设置强制将该权限标记为需管理员同意，需联系租户管理员调整全局权限规则

2. 检查租户用户同意的额外限制 #

除了「Users can consent to apps accessing company data on their behalf」设为Yes，还要确认以下细节：

• 进入Azure AD门户 → 企业应用 → 用户设置 → 检查Limit consent to apps verified by Microsoft是否开启：
  • 如果开启，而你的应用是未经过Microsoft验证的自定义内部应用，用户将无法自行同意权限，建议关闭该选项
• 排查是否存在条件访问策略或权限管理策略，限制了用户的权限同意能力：比如部分策略会阻止用户同意特定类型的应用或权限范围

3. 验证Service Fabric的认证请求是否隐含额外权限 #

虽然你提到/authorize请求未包含resource参数，但Service Fabric的认证流程可能在后台请求了额外的scope或资源：

• 抓包查看实际/authorize请求中的scope参数：确保仅包含User.Read、openid、profile这类无需管理员同意的范围
• 如果scope中包含类似https://management.azure.com/user_impersonation或其他需管理员同意的API权限，需调整Service Fabric的Azure AD配置，移除不必要的权限请求

4. 测试手动OAuth授权流程 #

为排除Service Fabric配置问题，可手动构造授权请求测试：

https://login.microsoftonline.com/{你的租户ID}/oauth2/v2.0/authorize?client_id={你的应用ID}&response_type=code&redirect_uri={应用注册的回复URL}&scope=User.Read&response_mode=query

• 用非管理员用户打开该链接，尝试登录并同意权限：
  • 若手动请求正常，说明问题出在Service Fabric集群配置上，需检查集群的Azure AD认证设置是否正确
  • 若手动请求仍报同样错误，说明问题在Azure AD的权限或租户设置上，回到前两步排查

5. 检查应用的多租户配置 #

如果你的应用注册设置为多租户（Supported account types为Accounts in any organizational directory）：

• 租户的用户同意设置可能限制了用户对多租户应用的权限同意，可将应用改为单租户（Accounts in this organizational directory only）后再测试用户登录

内容的提问来源于stack exchange，提问作者Saca