Códigos de error de autenticación y autorización de Microsoft Entra

¿Busca información sobre los códigos de error AADSTS que devuelve el servicio de token de seguridad (STS) de Microsoft Entra? Lea este documento para ver las descripciones de los errores AADSTS, sus correcciones y algunas soluciones alternativas.

Nota:

Esta información es preliminar y está sujeta a cambios. ¿Tiene preguntas y no encuentra lo que busca? Abra una incidencia en GitHub o consulte Opciones de ayuda y soporte técnico para desarrolladores para ver otras maneras de obtener ayuda y soporte técnico.

Esta documentación se proporciona como una guía para desarrolladores y administradores, pero nunca la debe usar el cliente por sí solo. Los códigos de error están sujetos a cambio en cualquier momento con el fin de proporcionar mensajes de error más pormenorizados diseñados para ayudar al desarrollador mientras compila su aplicación. Las aplicaciones que tienen dependencia de números de código de error o texto se interrumpirán en el tiempo.

Búsqueda de información actual sobre códigos de error

Los códigos y los mensajes de error están sujetos a cambios. Para disponer de la información más actualizada, eche un vistazo a la página https://login.microsoftonline.com/error, donde encontrará descripciones de errores de AADSTS, correcciones y algunas soluciones recomendadas.

Por ejemplo, si ha recibido el código de error "AADSTS50058", busque "50058" en https://login.microsoftonline.com/error. También puede agregar el número de código de error a la dirección URL: https://login.microsoftonline.com/error?code=50058 para crear un vínculo directo a un error específico.

Manejo de los códigos de error en una aplicación

La especificación OAuth2.0 brinda orientación sobre cómo manejar los errores durante la autenticación con la parte error de la respuesta de error.

A continuación se muestra una respuesta de error de ejemplo:

{
  "error": "invalid_scope",
  "error_description": "AADSTS70011: The provided value for the input parameter 'scope' isn't valid. The scope https://example.contoso.com/activity.read isn't valid.\r\nTrace ID: 0000aaaa-11bb-cccc-dd22-eeeeee333333\r\nCorrelation ID: aaaa0000-bb11-2222-33cc-444444dddddd\r\nTimestamp: 2016-01-09 02:02:12Z",
  "error_codes": [
    70011
  ],
  "timestamp": "2016-01-09 02:02:12Z",
  "trace_id": "0000aaaa-11bb-cccc-dd22-eeeeee333333",
  "correlation_id": "aaaa0000-bb11-2222-33cc-444444dddddd", 
  "error_uri":"https://login.microsoftonline.com/error?code=70011"
}
Parámetro Descripción
error Una cadena de código de error que puede utilizarse para clasificar los tipos de errores que se producen y debe usarse para reaccionar ante ellos.
error_description Un mensaje de error específico que puede ayudar a un desarrollador a identificar la causa de un error de autenticación. No use nunca este campo para reaccionar ante un error en el código.
error_codes Una lista de los códigos de error específicos de STS que pueden ayudar en los diagnósticos.
timestamp Devuelve la hora a la que se produjo el error.
trace_id Un identificador exclusivo para la solicitud que puede ayudar en los diagnósticos.
correlation_id Un identificador exclusivo para la solicitud que puede ayudar en los diagnósticos entre componentes.
error_uri Un vínculo a la página de búsqueda de errores con información adicional sobre el error. Esto solo es para uso del desarrollador, no lo presente a los usuarios. Solo preséntelo cuando el sistema de búsqueda de errores tenga información adicional sobre el error (no todos los errores incluyen información adicional).

El campo error tiene varios valores posibles. Revise los vínculos de documentación del protocolo y las especificaciones de OAuth 2.0 para más información sobre errores específicos (por ejemplo, authorization_pending en el flujo de código del dispositivo) y cómo reaccionar a ellos. A continuación se enumeran algunos de los más comunes:

Código de error Descripción Acción del cliente
invalid_request Error de protocolo, como un parámetro obligatorio que falta. Corrija el error y vuelva a enviar la solicitud.
invalid_grant Parte del material de autenticación (código de autenticación, token de actualización, token de acceso, desafío PKCE) no es válida, no se puede analizar, falta o no se puede volver a usar. Pruebe una solicitud nueva al punto de conexión /authorize para obtener un código de autorización nuevo. Considere la posibilidad de revisar y validar el uso de los protocolos de la aplicación.
unauthorized_client El cliente autenticado no está autorizado para usar este tipo de concesión de autorización. Esto puede producirse cuando la aplicación cliente no está registrada en Microsoft Entra ID o no está agregada al inquilino de Microsoft Entra del usuario. La aplicación puede solicitar al usuario instrucciones para instalar la aplicación y agregarla a Microsoft Entra ID.
invalid_client Se produjo un error de autenticación de cliente. Las credenciales del cliente no son válidas. Para corregirlo, el administrador de la aplicación actualiza las credenciales.
unsupported_grant_type El servidor de autorización no admite el tipo de concesión de autorización. Cambie el tipo de concesión de la solicitud. Este tipo de error solo debe producirse durante el desarrollo y detectarse en las pruebas iniciales.
invalid_resource El recurso de destino no es válido porque no existe, Microsoft Entra ID no lo encuentra o está configurado incorrectamente. Esto indica que el recurso, si existe, no se ha configurado en el inquilino. La aplicación puede solicitar al usuario instrucciones para instalar la aplicación y agregarla a Microsoft Entra ID. Durante el desarrollo, suele indicar un inquilino de prueba configurado incorrectamente o un error tipográfico en el nombre del ámbito que se solicita.
interaction_required La solicitud requiere la interacción del usuario. Por ejemplo, se requiere otro paso de autenticación. Vuelva a intentar la solicitud con el mismo recurso, de manera interactiva, para que el usuario pueda completar los desafíos necesarios.
temporarily_unavailable De manera temporal, el servidor está demasiado ocupado para atender la solicitud. Vuelva a intentarlo. La aplicación podría explicar al usuario que su respuesta se retrasó debido a una condición temporal.

Códigos de error AADSTS

Error Descripción
AADSTS16000 InteractionRequired: la cuenta de usuario "{EmailHidden}" del proveedor de identidades "{idp}" no existe en el inquilino "{tenant}" y no se puede acceder a la aplicación "{appid}"({appName}) en ese inquilino. La cuenta tiene que agregarse primero como un usuario externo en el inquilino. Cierre la sesión y vuelva a iniciarla con otra cuenta de usuario de Microsoft Entra. Este error es bastante común cuando se intenta iniciar sesión en el Centro de administración de Microsoft Entra mediante una cuenta de Microsoft personal y no hay ningún directorio asociado a ella.
AADSTS16001 UserAccountSelectionInvalid: este error aparece si el usuario selecciona un icono que indica que la lógica de selección de sesión se ha rechazado. Cuando se desencadena, este error permite al usuario solucionarlo; para ello, selecciona en una lista de iconos o sesiones, o elige otra cuenta. Este error puede producirse debido a una condición de carrera o a defectos de código.
AADSTS16002 AppSessionSelectionInvalid: no se cumplió el requisito de SID especificado por la aplicación.
AADSTS160021 AppSessionSelectionInvalidSessionNotExist: la aplicación solicitó una sesión de usuario que no existe. Este problema se puede resolver mediante la creación de una nueva cuenta de Azure.
AADSTS16003 SsoUserAccountNotFoundInResourceTenant: indica que el usuario no se ha agregado explícitamente al inquilino.
AADSTS17003 CredentialKeyProvisioningFailed: Microsoft Entra ID no puede aprovisionar la clave de usuario.
AADSTS20001 WsFedSignInResponseError: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema.
AADSTS20012 WsFedMessageInvalid: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema.
AADSTS20033 FedMetadataInvalidTenantName: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema.
AADSTS230109 CachedCredentialNonGWAuthNRequestsNotSupported: el servicio de autenticación de copia de seguridad solo permite solicitudes AuthN desde la puerta de enlace de Microsoft Entra. Este error se devuelve cuando el tráfico tiene como destino el servicio de autenticación de copia de seguridad directamente en lugar de pasar por el proxy inverso.
AADSTS28002 El valor proporcionado para el ámbito del parámetro de entrada "{scope}" no es válido al solicitar un token de acceso. Especifique un ámbito válido.
AADSTS28003 El valor proporcionado para el ámbito del parámetro de entrada no puede estar vacío al solicitar un token de acceso mediante el código de autorización proporcionado. Especifique un ámbito válido.
AADSTS40008 OAuth2IdPUnretryableServerError: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema.
AADSTS40009 OAuth2IdPRefreshTokenRedemptionUserError: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema.
AADSTS40010 OAuth2IdPRetryableServerError: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema.
AADSTS40015 OAuth2IdPAuthCodeRedemptionUserError: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema.
AADSTS50000 TokenIssuanceError: hay un problema con el servicio de inicio de sesión. Abra un vale de soporte para resolver este problema.
AADSTS50001 InvalidResource: el recurso está deshabilitado o no existe. Compruebe el código de la aplicación para asegurarse de que ha especificado la URL exacta del recurso al que está intentando acceder.
AADSTS50002 NotAllowedTenant: no se pudo iniciar sesión debido a un acceso de proxy restringido en el inquilino. Si se trata de su propia directiva de inquilino, puede cambiar la configuración restringida del inquilino para corregir este problema.
AADSTS500011 InvalidResourceServicePrincipalNotFound: la entidad de seguridad del recurso denominada {name} no se encontró en el inquilino denominado {tenant}. Este error puede aparecer pasar si el administrador del inquilino no es el que ha instalado la aplicación o si ningún usuario del inquilino ha dado su consentimiento. Es posible que haya enviado la solicitud de autenticación al inquilino incorrecto. Si espera que la aplicación se instale, es posible que tenga que proporcionar permisos de administrador para agregarla. Consulte con los desarrolladores del recurso y la aplicación para comprender cuál es la configuración adecuada para el inquilino.
AADSTS500014 InvalidResourceServicePrincipalDisabled: la entidad de servicio del recurso '{identifier}' está deshabilitada. Esto indica que una suscripción dentro del inquilino ha expirado o que un administrador de este inquilino ha deshabilitado la entidad de servicio de la aplicación, lo que impide que se emita tokens para ella. Para más información, consulte Deshabilitación del inicio de sesión de usuario para la aplicación.
AADSTS500021 Se denegó el acceso al inquilino "{tenant}". AADSTS500021 indica que la característica de restricción de inquilino está configurada y que el usuario está intentando acceder a un inquilino que no está en la lista de inquilinos permitidos especificados en el encabezado Restrict-Access-To-Tenant. Para obtener más información, consulte Uso de restricciones de inquilino para administrar el acceso a aplicaciones en la nube SaaS.
AADSTS500022 Se denegó el acceso al inquilino "{tenant}". AADSTS500022 indica que la característica de restricción de inquilino está configurada y que el usuario está intentando acceder a un inquilino que no está en la lista de inquilinos permitidos especificados en el encabezado Restrict-Access-To-Tenant. Para obtener más información, consulte Uso de restricciones de inquilino para administrar el acceso a aplicaciones en la nube SaaS.
AADSTS50003 MissingSigningKey: no se pudo iniciar sesión debido a que falta la clave de firma o el certificado. Esto se puede deber a que no había ninguna clave de firma configurada en la aplicación. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS50003. Si siguen los problemas, póngase en contacto con el propietario o el administrador de la aplicación.
AADSTS50005 DevicePolicyError: el usuario intentó iniciar sesión en un dispositivo desde una plataforma que actualmente no se admite en una directiva de acceso condicional.
AADSTS50006 InvalidSignature: no se pudo comprobar la firma debido a una firma no válida.
AADSTS50007 PartnerEncryptionCertificateMissing: no se encontró el certificado de cifrado de asociado de esta aplicación. Abra una incidencia de soporte técnico en Microsoft para solucionar este problema.
AADSTS50008 InvalidSamlToken: la aserción SAML falta o está mal configurada en el token. Póngase en contacto con el proveedor de federación.
AADSTS5000224 NotAllowedTenantBlockedTenantFraud: lo sentimos, este recurso no está disponible. Si ve este mensaje por error, comuníquese con el soporte técnico de Microsoft.
AADSTS5000819 InvalidSamlTokenEmailMissingOrInvalid: la aserción de SAML no es válida. Falta la notificación de dirección de correo electrónico, o bien la existente no coincide con el dominio de un dominio kerberos externo.
AADSTS50010 AudienceUriValidationFailed: se ha producido un error en la validación del identificador URI de audiencia de la aplicación debido a que no se configuraron audiencias de token.
AADSTS50011 InvalidReplyTo: la dirección de respuesta falta, está mal configurada o no coincide con las direcciones de respuesta configuradas para la aplicación. Como resolución, asegura agregar esta dirección de respuesta omitida a la aplicación de Microsoft Entra o hacer que alguien que cuente con los permisos para administrar la aplicación en Active Directory lo haga por usted. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS50011.
AADSTS50012 AuthenticationFailed: se ha producido un error de autenticación por uno de los motivos siguientes:
  • El nombre del titular del certificado de firma no está autorizado.
  • No se encontró una directiva de autoridad de confianza correspondiente al nombre del titular autorizado
  • La cadena de certificados no es válida.
  • El certificado de firma no es válido.
  • La directiva no está configurada en el inquilino
  • La huella digital del certificado de firma no está autorizada.
  • La aserción de cliente contiene una firma no válida.
AADSTS50013 InvalidAssertion: la aserción no es válida debido a varias razones: el emisor del token no coincide con la versión de la API en su intervalo de tiempo válido, la aserción ha expirado o tiene un formato incorrecto, o el token de actualización de la aserción no es un token de actualización principal. Póngase en contacto con el desarrollador de la aplicación.
AADSTS500133 La aserción no está dentro de su intervalo de tiempo válido. Asegúrese de que el token de acceso no ha expirado antes de usarlo para la aserción de usuario o solicite un nuevo token. Hora actual: {curTime}, hora de expiración de la aserción {expTime}. La aserción no es válida debido a varias razones:
  • El emisor de tokens no coincide con la versión de la API dentro de su intervalo de tiempo válido
  • Expired
  • Con formato incorrecto
  • El token de actualización de la aserción no es un token de actualización principal
AADSTS50014 GuestUserInPendingState: la cuenta de usuario no existe en el directorio. Es probable que una aplicación haya elegido el inquilino incorrecto para iniciar sesión y que el usuario que tiene actualmente la sesión iniciada no haya podido hacerlo porque no existía en su inquilino. Si este usuario debería poder iniciar sesión, agréguelo como invitado. Para obtener más información, visite Adición de usuarios B2B.
AADSTS50015 ViralUserLegalAgeConsentRequiredState: el usuario requiere el consentimiento de grupo de edad legal.
AADSTS50017 CertificateValidationFailed: no se pudo realizar la validación de la certificación por alguno de los siguientes motivos:
  • No se pudo encontrar el certificado de emisión en la lista de certificados de confianza
  • No se pudo encontrar el CrlSegment esperado
  • No se pudo encontrar el certificado de emisión en la lista de certificados de confianza
  • El punto de distribución de la diferencia CRL se ha configurado sin el punto de distribución de CRL correspondiente
  • No se pueden recuperar segmentos CRL válidos debido a un problema de tiempo de espera
  • No se puede descargar el CRL
Póngase en contacto con el administrador del inquilino.
AADSTS50020 UserUnauthorized: los usuarios no tiene autorización para llamar a este punto de conexión. La cuenta de usuario "{email}" del proveedor de identidades "{idp}" no existe en el inquilino "{tenant}" y no se puede acceder a la aplicación "{appid}"({appName}) en ese inquilino. La cuenta tiene que agregarse primero como un usuario externo en el inquilino. Cierre la sesión y vuelva a iniciarla con otra cuenta de usuario de Microsoft Entra. Si este usuario debe ser miembro del inquilino, se le debe invitar a través del sistema B2B. Para obtener más información, visite AADSTS50020.
AADSTS500208 El dominio no es un dominio de inicio de sesión válido para el tipo de cuenta: esta situación se produce cuando la cuenta del usuario no coincide con el tipo de cuenta esperado para el inquilino determinado. Por ejemplo, si el inquilino está configurado para permitir solo cuentas profesionales o educativas, y el usuario intenta iniciar sesión con una cuenta Microsoft personal, recibirá este error.
AADSTS500212 NotAllowedByOutboundPolicyTenant: el administrador del usuario ha establecido una directiva de acceso saliente que no permite el acceso al inquilino del recurso.
AADSTS500213 NotAllowedByInboundPolicyTenant: la directiva de acceso entre inquilinos del inquilino de recursos no permite que este usuario acceda a este inquilino.
AADSTS50027 InvalidJwtToken: token JWT no válido debido a los siguientes motivos:
  • no contiene la notificación nonce, sub notificación
  • no coincide el identificador de asunto
  • notificación duplicada en las notificaciones de idToken
  • emisor inesperado
  • audiencia inesperada
  • fuera de su intervalo de tiempo válido
  • El formato de token no es adecuado.
  • El token del identificador externo del emisor no pudo comprobar la firma.
AADSTS50029 Identificador URI no válido: el nombre de dominio contiene caracteres no válidos. Póngase en contacto con el administrador del inquilino.
AADSTS50032 WeakRsaKey: indica un intento erróneo del usuario para usar una clave RSA débil.
AADSTS50033 RetryableError: indica un error transitorio no relacionado con las operaciones de base de datos.
AADSTS50034 UserAccountNotFound: para iniciar sesión en esta aplicación, la cuenta debe agregarse al directorio. Este error puede producirse porque el usuario ha escrito mal su nombre de usuario o no está en el inquilino. Es posible que una aplicación haya elegido el inquilino incorrecto para iniciar sesión, y que el usuario que tiene actualmente la sesión iniciada no haya podido hacerlo porque no existía en su inquilino. Si este usuario debería poder iniciar sesión, agréguelo como invitado. Consulte la documentación aquí: Adición de usuarios B2B.
AADSTS50042 UnableToGeneratePairwiseIdentifierWithMissingSalt: falta la sal necesaria para generar un identificador en pares en la entidad de seguridad. Póngase en contacto con el administrador del inquilino.
AADSTS50043 UnableToGeneratePairwiseIdentifierWithMultipleSalts
AADSTS50048 SubjectMismatchesIssuer: el asunto no coincide con la notificación del emisor en la aserción de cliente. Póngase en contacto con el administrador del inquilino.
AADSTS50049 NoSuchInstanceForDiscovery: instancia desconocida o no válida.
AADSTS50050 MalformedDiscoveryRequest: la solicitud no está correctamente formada.
AADSTS50053 Este error puede tener dos motivos diferentes:
  • IdsLocked: la cuenta está bloqueada porque el usuario intentó iniciar sesión demasiadas veces con un identificador de usuario o contraseña incorrectos. El usuario se bloquea debido a intentos repetidos de inicio de sesión. Consulte Corregir riesgos y desbloquear usuarios.
  • O bien, el inicio de sesión se bloqueó porque procedía de una dirección IP con actividad malintencionada.

Para determinar qué motivo de error provocó este error, inicie sesión en el Centro de administración de Microsoft Entra como al menos un Administrador de aplicaciones en la nube. Vaya al inquilino de Microsoft Entra y, a continuación, Supervisión y estado ->Registros de inicio de sesión. Busque el usuario de información de inicio de sesión con error con el Código de error de inicio de sesión 50053 y compruebe la Causa de error.
AADSTS50055 InvalidPasswordExpiredPassword: la contraseña ha expirado. La contraseña del usuario ha expirado y, por tanto, el inicio de sesión o la sesión han finalizado. Se les ofrecerá la oportunidad de restablecerla o pueden pedir a un administrador que la restablezca a través de Restablecimiento de la contraseña de un usuario mediante Microsoft Entra ID.
AADSTS50056 Contraseña no válida o nula: la contraseña no existe en el directorio de este usuario. Se debe solicitar al usuario que vuelva a escribir su contraseña.
AADSTS50057 UserDisabled: la cuenta de usuario está deshabilitada. El objeto de usuario de Active Directory que respalda esta cuenta se ha deshabilitado. Un administrador puede volver a habilitar esta cuenta mediante PowerShell.
AADSTS50058 UserInformationNotProvided: la información de sesión no es suficiente para el inicio de sesión único. Esto significa que un usuario no ha iniciado sesión. Este es un error común que se espera cuando un usuario no está autenticado y aún no ha iniciado sesión.
Si este error se encuentra en un contexto de inicio de sesión único en el que el usuario ha iniciado sesión anteriormente, significa que la sesión SSO no se encuentra o no es válida.
Este error puede devolverse a la aplicación si se especifica prompt=none.
AADSTS50059 MissingTenantRealmAndNoUserInformationProvided: la información de identificación del inquilino no se ha encontrado ni en la solicitud ni está implícita en las credenciales proporcionadas. El usuario puede ponerse en contacto con el administrador del inquilino para ayudar a resolver el problema.
AADSTS50061 SignoutInvalidRequest: no se puede completar el cierre de sesión. La solicitud no era válida.
AADSTS50064 CredentialAuthenticationError: error de validación de credenciales en el nombre de usuario o la contraseña.
AADSTS50068 SignoutInitiatorNotParticipant: error de cierre de sesión. La aplicación que inició el cierre de sesión no participa en la sesión actual.
AADSTS50070 SignoutUnknownSessionIdentifier: error de cierre de sesión. La solicitud de cierre de sesión especificó un identificador de nombre que no coincidía con las sesiones existentes.
AADSTS50071 SignoutMessageExpired: la solicitud de inicio de sesión ha expirado.
AADSTS50072 UserStrongAuthEnrollmentRequiredInterrupt: el usuario debe inscribirse para el segundo factor de autenticación (interactivo).
AADSTS50074 UserStrongAuthClientAuthNRequiredInterrupt: la autenticación segura es obligatoria y el usuario no ha superado el desafío de la autenticación multifactor.
AADSTS50076 UserStrongAuthClientAuthNRequired: debido a un cambio de configuración realizado por el administrador, como una directiva de acceso condicional, aplicación por usuario, o porque se ha trasladado a una nueva ubicación, el usuario debe usar la autenticación multifactor para tener acceso al recurso. Vuelva a intentarlo con una nueva solicitud de autorización para el recurso.
AADSTS50078 UserStrongAuthExpired: la autenticación multifactor presentada ha expirado debido a las directivas configuradas por el administrador. Debe actualizar la autenticación multifactor para acceder a "{resource}".
AADSTS50079 UserStrongAuthEnrollmentRequired: debido a un cambio de configuración realizado por el administrador, como una directiva de acceso condicional, aplicación por usuario, o porque el usuario se ha trasladado a una nueva ubicación, este debe usar la autenticación multifactor. Un usuario administrado debe registrar la información de seguridad para completar la autenticación multifactor o un usuario federado debe obtener la notificación multifactor del proveedor de identidades federado.
AADSTS50085 El token de actualización necesita un inicio de sesión de IDP social. Haga que el usuario intente iniciar sesión de nuevo con el nombre de usuario y la contraseña
AADSTS50086 SasNonRetryableError
AADSTS50087 SasRetryableError: se produjo un error transitorio durante la autenticación segura. Inténtelo de nuevo.
AADSTS50088 Se alcanzó el límite de llamadas MFA de telecomunicaciones. Inténtalo de nuevo al cabo de un rato.
AADSTS50089 Se produjo un error de autenticación debido a la expiración del token de flujo. Previsto: los códigos de autenticación, los tokens de actualización y las sesiones expiran con el tiempo o los revoca el usuario o un administrador. La aplicación solicitará un nuevo inicio de sesión al usuario.
AADSTS50097 DeviceAuthenticationRequired: la autenticación de dispositivo es obligatoria.
AADSTS50099 PKeyAuthInvalidJwtUnauthorized: la firma JWT no es válida.
AADSTS50105 EntitlementGrantsNotFound: el usuario que ha iniciado sesión no está asignado a un rol de la aplicación en la que inició sesión. Asigne el usuario a la aplicación. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS50105.
AADSTS50107 InvalidRealmUri: el objeto solicitado del dominio Kerberos de federación no existe. Póngase en contacto con el administrador del inquilino.
AADSTS50120 ThresholdJwtInvalidJwtFormat: hay un problema con el encabezado JWT. Póngase en contacto con el administrador del inquilino.
AADSTS50124 ClaimsTransformationInvalidInputParameter: la transformación de notificaciones contiene parámetros de entrada no válidos. Póngase en contacto con el administrador del inquilino para actualizar la directiva.
AADSTS501241 Falta la entrada obligatoria "{paramName}" del identificador de transformación "{transformId}". Este error se devuelve mientras Microsoft Entra está intentando compilar una respuesta SAML a la aplicación. La notificación NameID o NameIdentifier son obligatorias en la respuesta SAML y, si Microsoft Entra ID no puede obtener el atributo de origen de la notificación NameID, devuelve este error. Como resolución, asegúrese de que agrega reglas de notificación. Para agregar reglas de notificación, inicie sesión en el Centro de administración de Microsoft Entra como mínimo un Administrador de aplicaciones en la nube y, a continuación, vaya a Aplicaciones de identidad>Aplicaciones>Aplicaciones empresariales. Seleccione la aplicación, seleccione Inicio de sesión único y, en Atributos y notificaciones del usuario, escriba el identificador de usuario único (id. de nombre).
AADSTS50125 PasswordResetRegistrationRequiredInterrupt: el inicio de sesión se interrumpió debido a una entrada de registro de contraseña o restablecimiento de contraseña.
AADSTS50126 InvalidUserNameOrPassword: se ha producido un error al validar las credenciales debido a un nombre de usuario o contraseña no válidos. El usuario no ha especificado las credenciales correctas. Puede esperar que aparezcan algunos de estos errores en los registros debido a errores cometidos por los usuarios.
AADSTS50127 BrokerAppNotInstalled: el usuario necesita instalar una aplicación de agente para acceder a este contenido.
AADSTS50128 Nombre de dominio no válido: No se ha encontrado ninguna información de identificación del inquilino en la solicitud ni implícita en ninguna credencial proporcionada.
AADSTS50129 DeviceIsNotWorkplaceJoined: es obligatorio unirse al área de trabajo para registrar el dispositivo.
AADSTS50131 ConditionalAccessFailed: indica varios errores de acceso condicional tales como mal estado del dispositivo Windows, solicitud bloqueada debido a actividad sospechosa, directiva de acceso o decisiones de directiva de seguridad.
AADSTS50132 SsoArtifactInvalidOrExpired: la sesión no es válida debido a la expiración de la contraseña o a un cambio reciente de contraseña.
AADSTS50133 SsoArtifactRevoked: la sesión no es válida debido a la expiración de la contraseña o a un cambio reciente de contraseña.
AADSTS50134 DeviceFlowAuthorizeWrongDatacenter: centro de datos incorrecto. Para autorizar una solicitud iniciada por una aplicación en el flujo de dispositivo de OAuth 2.0, la entidad encargada de autorizar debe estar en el mismo centro de datos donde reside la solicitud original.
AADSTS50135 PasswordChangeCompromisedPassword: es obligatorio cambiar la contraseña debido al riesgo de la cuenta.
AADSTS50136 RedirectMsaSessionToApp: se ha detectado una única sesión de MSA.
AADSTS50139 SessionMissingMsaOAuth2RefreshToken: la sesión no es válida debido a un token de actualización externo que falta.
AADSTS50140 KmsiInterrupt: este error se ha producido debido a una interrupción en "Mantener la sesión iniciada" cuando el usuario estaba iniciando sesión. Se trata de una parte esperada del flujo de inicio de sesión, donde se pregunta a un usuario si desea mantener la sesión iniciada en el explorador actual para facilitar los posteriores inicios de sesión. Para obtener más información, consulte Las nuevas experiencias de inicio de sesión de Azure AD y "Mantener la sesión iniciada" se están implementando. Abra una incidencia de soporte técnico con el id. de correlación, el id. de solicitud y el código de error para conocer más detalles.
AADSTS50143 Error de coincidencia de sesión: la sesión no es válida porque el inquilino de usuario no coincide con la sugerencia de dominio debido a que el recurso es diferente. Abra un vale de soporte con el identificador de correlación, el de solicitud y el código de error para conocer más detalles.
AADSTS50144 InvalidPasswordExpiredOnPremPassword: la contraseña de Active Directory del usuario ha expirado. Genere una nueva contraseña para el usuario o solicite al usuario que restablezca la contraseña con la herramienta de autoservicio de restablecimiento.
AADSTS50146 MissingCustomSigningKey: es necesario que esta aplicación esté configurada con una clave de firma específica de la aplicación. No tiene configurada ninguna clave, o bien la clave ha expirado o ya no es válida. Póngase en contacto con el propietario de la aplicación.
AADSTS501461 AcceptMappedClaims solo se admite para una audiencia de token que coincida con el GUID de la aplicación o una audiencia dentro de los dominios comprobados del inquilino. Cambie el identificador de recursos o use una clave de firma específica de la aplicación.
AADSTS50147 MissingCodeChallenge: el tamaño del parámetro de desafío de código no es válido.
AADSTS501481 Code_Verifier no coincide con el code_challenge proporcionado en la solicitud de autorización.
AADSTS501491 InvalidCodeChallengeMethodInvalidSize: tamaño no válido del parámetro Code_Challenge.
AADSTS50155 DeviceAuthenticationFailed: error de autenticación del dispositivo para este usuario.
AADSTS50158 ExternalSecurityChallenge: no se cumplió el desafío de seguridad externo.
AADSTS50161 InvalidExternalSecurityChallengeConfiguration: las notificaciones enviadas por el proveedor externo no son suficientes o falta la notificación que se solicitó al proveedor externo.
AADSTS50166 ExternalClaimsProviderThrottled: no se pudo enviar la solicitud al proveedor de notificaciones.
AADSTS50168 ChromeBrowserSsoInterruptRequired: el cliente es capaz de obtener un token de inicio de sesión único mediante la extensión Cuentas de Windows 10, pero no se encontró el token en la solicitud o el token proporcionado ha expirado.
AADSTS50169 InvalidRequestBadRealm: el dominio Kerberos no es un dominio configurado del espacio de nombres de servicio actual.
AADSTS50170 MissingExternalClaimsProviderMapping: falta la asignación de controles externos.
AADSTS50173 FreshTokenNeeded: la concesión proporcionada ha expirado debido a que se ha revocado y se necesita un nuevo token de autenticación. Un administrador o un usuario ha revocado los tokens de este usuario, lo que hace que se produzcan errores en las actualizaciones posteriores del token y sea necesaria una nueva autenticación. Pida al usuario que vuelva a iniciar sesión.
AADSTS50177 ExternalChallengeNotSupportedForPassthroughUsers: no se admite el desafío externo para los usuarios de acceso directo.
AADSTS50178 SessionControlNotSupportedForPassthroughUsers: no se admite el control de sesión para los usuarios de acceso directo.
AADSTS50180 WindowsIntegratedAuthMissing: es obligatoria la autenticación de Windows integrada. Habilite el inquilino para un inicio de sesión único de conexión directa.
AADSTS50187 DeviceInformationNotProvided: el servicio no pudo realizar la autenticación de dispositivos.
AADSTS50192 Solicitud no válida: RawCredentialExpectedNotFound: no se incluyó ninguna credencial en la solicitud de inicio de sesión. Ejemplo: el usuario está realizando la autenticación basada en certificados (CBA) y no se envía ningún certificado (o el proxy quita el certificado del usuario en la solicitud de inicio de sesión).
AADSTS50194 La aplicación "{appId}"({appName}) no está configurada como aplicación multiinquilino. El uso del punto de conexión /common no se admite para las aplicaciones creadas después de "{time}". Use un punto de conexión específico del inquilino o configure la aplicación como multiinquilino.
AADSTS50196 LoopDetected: se ha detectado un bucle de cliente. Compruebe la lógica de la aplicación para asegurarse de que el almacenamiento en caché de tokens está implementado y de que las condiciones de error se controlan correctamente. La aplicación ha realizado demasiadas veces la misma solicitud en un período demasiado corto, lo que indica que se encuentra en un estado defectuoso o que solicita tokens de forma abusiva.
AADSTS50197 ConflictingIdentities: no se encontró el usuario. Intente iniciar sesión de nuevo.
AADSTS50199 CmsiInterrupt: por razones de seguridad, se requiere la confirmación del usuario para esta solicitud. Se muestra la interrupción para todos los redireccionamientos de esquema en los exploradores para dispositivos móviles.
No es necesaria ninguna acción. Se le pidió al usuario que confirme que esta aplicación es la aplicación en la que tenía previsto iniciar sesión.
Se trata de una característica de seguridad que ayuda a evitar ataques de suplantación de identidad. Esto ocurre porque se ha usado una vista web del sistema para solicitar un token para una aplicación nativa.
Para evitar que esto aparezca, el URI de redirección debe formar parte de la siguiente lista segura:
http://
https://
chrome-extension:// (solo explorador Chrome de escritorio)
AADSTS51000 RequiredFeatureNotEnabled: la característica está deshabilitada.
AADSTS51001 DomainHintMustbePresent: la sugerencia de dominio debe estar presente con el identificador de seguridad local o UPN local.
AADSTS1000104 XCB2BResourceCloudNotAllowedOnIdentityTenant: no se permite la nube de recursos {resourceCloud} en el inquilino de identidad {identityTenant}. {resourceCloud}: instancia en la nube que posee el recurso. {identityTenant}: es el inquilino en el que se origina la identidad de inicio de sesión.
AADSTS51004 UserAccountNotInDirectory: la cuenta de usuario no existe en el directorio. Es probable que una aplicación haya elegido el inquilino incorrecto para iniciar sesión, y que el usuario que tiene actualmente la sesión iniciada no haya podido hacerlo porque no existía en su inquilino. Si este usuario debería poder iniciar sesión, agréguelo como invitado. Para obtener más información, visite Adición de usuarios B2B.
AADSTS51005 TemporaryRedirect: equivalente al código de estado HTTP 307, que indica que la información solicitada se encuentra en el URI especificado en el encabezado location. Cuando reciba este estado, siga el encabezado location asociado a la respuesta. Si el método de solicitud original era POST, la solicitud redirigida también utilizará el método POST.
AADSTS51006 ForceReauthDueToInsufficientAuth: se necesita la autenticación de Windows integrada. El usuario ha iniciado sesión con un token de sesión al que le falta la notificación de autenticación de Windows integrada. Solicite al usuario que vuelva a iniciar sesión.
AADSTS52004 DelegationDoesNotExistForLinkedIn: el usuario no ha proporcionado consentimiento para acceder a los recursos de LinkedIn.
AADSTS53000 DeviceNotCompliant: la directiva de acceso condicional requiere un dispositivo compatible, y el dispositivo no lo es. El usuario debe inscribir su dispositivo con un proveedor de administración de datos maestros aprobado, como Intune. Para más información, visite Corrección de dispositivos de acceso condicional.
AADSTS53001 DeviceNotDomainJoined: la directiva de acceso condicional requiere un dispositivo unido a un dominio y este no lo está. Haga que el usuario utilice un dispositivo unido a un dominio.
AADSTS53002 ApplicationUsedIsNotAnApprovedApp: la aplicación utilizada no es una aplicación aprobada para el acceso condicional. Para poder acceder, el usuario tiene que usar una de las aplicaciones de la lista de aplicaciones aprobadas.
AADSTS53003 BlockedByConditionalAccess: se ha bloqueado el acceso a las directivas de acceso condicional. La directiva de acceso no admite la emisión de tokens. Si esto es inesperado, consulte la directiva de acceso condicional que se aplica a esta solicitud o comuníquese con el administrador. Para más información, visite Solución de problemas de inicio de sesión con acceso condicional.
AADSTS530035 BlockedBySecurityDefaults: el acceso se ha bloqueado de forma predeterminada de seguridad. Esto se debe a que la solicitud usa la autenticación heredada o se considera no segura por las directivas predeterminadas de seguridad. Para obtener información adicional, visite las directivas de seguridad aplicadas.
AADSTS53004 ProofUpBlockedDueToRisk: el usuario tiene que completar el proceso de registro de la autenticación multifactor antes de acceder a este contenido. El usuario se debe registrar para la autenticación multifactor.
AADSTS53010 ProofUpBlockedDueToSecurityInfoAcr: no se pueden configurar métodos de autenticación multifactor porque la organización requiere que esta información se establezca desde ubicaciones o dispositivos específicos.
AADSTS53011 Usuario bloqueado debido al riesgo en el inquilino principal.
AADSTS530034 DelegatedAdminBlockedDueToSuspiciousActivity: un administrador delegado no pudo acceder al inquilino debido al riesgo de la cuenta en su inquilino principal.
AADSTS54000 MinorUserBlockedLegalAgeGroupRule
AADSTS54005 El código de autorización de OAuth2 ya se canjeó. Vuelva a intentarlo con un nuevo código válido o use un token de actualización existente.
AADSTS65001 DelegationDoesNotExist: el usuario o el administrador no han dado su consentimiento para usar la aplicación con el identificador X. Envíe una solicitud de autorización interactiva para este usuario y recurso.
AADSTS65002 El consentimiento entre la aplicación interna "{applicationId}" y el recurso interno "{resourceId}" debe configurarse mediante la autenticación previa: las aplicaciones operadas por Microsoft y de su propiedad deben obtener la aprobación del propietario de la API antes de solicitar tokens para esa API. Es posible que un desarrollador del inquilino esté intentando reutilizar un identificador de aplicación propiedad de Microsoft. Este error impide suplantar una aplicación de Microsoft para llamar a otras API. Deben pasar a otro identificador de aplicación que registren.
AADSTS65004 UserDeclinedConsent: el usuario no ha dado su consentimiento para acceder a la aplicación. Haga que el usuario intente iniciar sesión de nuevo y dé el consentimiento para acceder a la aplicación
AADSTS65005 MisconfiguredApplication: la lista de acceso a recursos requerida por la aplicación no contiene aplicaciones que el recurso pueda detectar o la aplicación cliente ha solicitado acceso a un recurso que no estaba especificado en su lista de acceso a recursos requerida, o bien el servicio Graph ha devuelto una solicitud errónea o un recurso no encontrado. Si la aplicación admite SAML, es posible que haya configurado la aplicación con el identificador incorrecto (entidad). Para obtener más información, consulte el artículo de solución de problemas de error AADSTS650056.
AADSTS650052 La aplicación necesita acceso a un servicio (\"{name}\") que su organización \"{organization}\" no ha habilitado o al que no se ha suscrito. Póngase en contacto con el administrador de TI para revisar la configuración de las suscripciones de servicio.
AADSTS650054 La aplicación solicitó permisos para acceder a un recurso que se quitó o que ya no está disponible. Asegúrese de que todos los recursos a los que llama la aplicación están presentes en el inquilino en el que está trabajando.
AADSTS650056 Aplicación mal configurada. Esto puede deberse a uno de los siguientes motivos: el cliente no ha enumerado ningún permiso para "{name}" en los permisos solicitados en el registro de aplicación del cliente. O bien el administrador no ha dado su consentimiento en el inquilino. O bien, compruebe también el identificador de la aplicación en la solicitud para asegurarse de que coincide con el identificador de la aplicación cliente configurada. O bien, compruebe el certificado en la solicitud para asegurarse de que es válido. Póngase en contacto con su administrador para corregir la configuración o dar su consentimiento en nombre del inquilino. Identificador de la aplicación cliente: {ID} Póngase en contacto con su administrador para corregir la configuración o dar su consentimiento en nombre del inquilino.
AADSTS650057 Recurso no válido. El cliente ha solicitado el acceso a un recurso, que no se muestra en los permisos solicitados del registro de la aplicación del cliente. Id. de aplicación cliente: {appId}({appName}). Valor de recurso de la solicitud: {resource}. Id. de aplicación del recurso: {resourceAppId}. Lista de recursos válidos del registro de aplicaciones: {regList}.
AADSTS67003 ActorNotValidServiceIdentity
AADSTS70000 InvalidGrant: se ha producido un error de autenticación de cliente. El token de actualización no es válido. El error puede deberse a los siguientes motivos:
  • El encabezado del enlace de token está vacío.
  • El hash del enlace de token no coincide.
AADSTS70001 UnauthorizedClient: la aplicación está deshabilitada. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS70001.
AADSTS700011 UnauthorizedClientAppNotFoundInOrgIdTenant: no se encontró la aplicación con el identificador {appIdentifier} en el directorio. Una aplicación cliente solicitó un token del inquilino, pero la aplicación cliente no existe en el inquilino, por lo que se produjo un error en la llamada.
AADSTS70002 InvalidClient: error al validar las credenciales. El valor de client_secret especificado no coincide con el esperado para este cliente. Corrija el valor de client_secret e inténtelo de nuevo. Para más información, consulte Uso del código de autorización para solicitar un token de acceso.
AADSTS700025 InvalidClientPublicClientWithCredential: el cliente es público, por lo que no se deben presentar "client_assertion" ni "client_secret".
AADSTS700027 Se ha producido un error de validación de firmas en la aserción del cliente. Error del desarrollador: la aplicación está intentando iniciar sesión sin los parámetros de autenticación necesarios o correctos.
AADSTS70003 UnsupportedGrantType: la aplicación ha devuelto un tipo de concesión no admitido.
AADSTS700030 Certificado no válido: el nombre de sujeto del certificado no está autorizado. SubjectNames/SubjectAlternativeNames (hasta 10) en el certificado de token son: {certificateSubjects}.
AADSTS70004 InvalidRedirectUri: la aplicación ha devuelto un URI de redireccionamiento no válido. La dirección de redireccionamiento que ha especificado el cliente no coincide con ninguna de las direcciones configuradas ni con ninguna de las de la lista de direcciones aprobadas de OIDC.
AADSTS70005 UnsupportedResponseType: la aplicación ha devuelto un tipo de respuesta no admitido por alguno de los siguientes motivos:
  • el tipo de respuesta "token" no está habilitado para la aplicación
  • el tipo de respuesta "id_token" requiere el ámbito "OpenID", o contiene un valor de parámetro de OAuth no admitido en el wctx codificado
AADSTS700054 El elemento 'id_token' de response_type no está habilitado para la aplicación. La aplicación solicitó un token de identificador al punto de conexión de autorización, pero no tenía habilitada la concesión implícita del token de identificador. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Administrador de aplicaciones en la nube y, a continuación, vaya aIdentidad>Aplicaciones>Registros de aplicaciones. Seleccione su aplicación y, a continuaciónAutenticación. En Concesión implícita y flujos híbridos, asegúrese de que los Tokens de identificador están seleccionados.
AADSTS70007 UnsupportedResponseMode: la aplicación ha devuelto un valor no admitido de response_mode al solicitar un token.
AADSTS70008 ExpiredOrRevokedGrant: el token de actualización ha expirado debido por inactividad. El token se emitió en XXX y estuvo inactivo durante un período de tiempo.
AADSTS700082 ExpiredOrRevokedGrantInactiveToken: el token de actualización ha expirado debido a la inactividad. El token se emitió el {issueDate} y estuvo inactivo durante {time}. Parte esperada del ciclo de vida del token: el usuario pasó un período de tiempo prolongado sin usar la aplicación, por lo que el token había caducado cuando la aplicación intentó actualizarlo.
AADSTS700084 El token de actualización se ha emitido en una aplicación de página única (SPA) y, por tanto, tiene una duración limitada fija de {tiempo}, que no se puede extender. Ahora ha expirado y la SPA debe enviar una nueva solicitud de inicio de sesión a la página de inicio de sesión. El token se ha emitido el {fechaDeEmisión}.
AADSTS70011 InvalidScope: el ámbito solicitado por la aplicación no es válido.
AADSTS70012 MsaServerError: se ha producido un error de servidor al autenticar un usuario (consumidor) de MSA. Inténtelo de nuevo. Si el error persiste, abra una incidencia de soporte técnico 
AADSTS70016 AuthorizationPending: error de flujo de dispositivo de OAuth 2.0. La autorización está pendiente. El dispositivo volverá a intentar sondear la solicitud.
AADSTS70018 BadVerificationCode: el código de verificación no es válido porque el usuario ha escrito un código de usuario incorrecto en el flujo de códigos del dispositivo. No se aprueba la autorización.
AADSTS70019 CodeExpired: el código de verificación ha expirado. Pida al usuario que vuelva a iniciar sesión.
AADSTS70043 BadTokenDueToSignInFrequency: el token de actualización ha expirado o no es válido debido a las comprobaciones de frecuencia de inicio de sesión por acceso condicional. El token se emitió en {issueDate} y la duración máxima permitida para esta solicitud es {time}.
AADSTS75001 BindingSerializationError: se ha producido un error durante el enlace de mensajes de SAML.
AADSTS75003 UnsupportedBindingError: la aplicación ha devuelto un error relacionado con un enlace no admitido (la respuesta del protocolo SAML no se puede enviar a través de enlaces que no sean HTTP POST).
AADSTS75005 Saml2MessageInvalid: Microsoft Entra no admite la solicitud SAML enviada por la aplicación para el inicio de sesión único. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS75005.
AADSTS7500514 No se encontró ningún tipo admitido de respuesta SAML. Los tipos de respuesta admitidos son "Response" (en el espacio de nombres XML "urn:oasis:names:tc:SAML:2.0:protocol") o "Assertion" (en el espacio "urn:oasis:names:tc:SAML:2.0:assertion"). Error de aplicación: el desarrollador controlará este error.
AADSTS750054 SAMLRequest o SAMLResponse deben existir como parámetros de cadena de consulta en la solicitud HTTP para el enlace de redirección SAML. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS750054.
AADSTS75008 RequestDeniedError: se ha rechazado la solicitud de la aplicación ya que la solicitud SAML tenía un destino inesperado.
AADSTS75011 NoMatchedAuthnContextInOutputClaims: el método de autenticación mediante el cual se autenticó el usuario en el servicio no coincide con el método de autenticación solicitado. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS75011.
AADSTS75016 Saml2AuthenticationRequestInvalidNameIDPolicy: la solicitud de autenticación de SAML2 tiene un valor de NameIdPolicy no válido.
AADSTS76021 ApplicationRequiresSignedRequests: la solicitud enviada por el cliente no está firmada, pero la aplicación requiere solicitudes firmadas
AADSTS76026 RequestIssueTimeExpired: IssueTime en una solicitud de autenticación SAML2 ha expirado.
AADSTS80001 OnPremiseStoreIsNotAvailable: el agente de autenticación no puede conectarse a Active Directory. Asegúrese de que los servidores del agente sean miembros del mismo bosque de AD que los usuarios cuyas contraseñas haya que validar y que pueden conectarse a Active Directory.
AADSTS80002 OnPremisePasswordValidatorRequestTimedout: la solicitud de validación de la contraseña ha agotado el tiempo de espera. Asegúrese de que Active Directory está disponible y responde a las solicitudes de los agentes.
AADSTS80005 OnPremisePasswordValidatorUnpredictableWebException: se ha producido un error desconocido al procesar la respuesta del agente de autenticación. Vuelva a intentarlo. Si el error continúa, abra una incidencia de soporte técnico para obtener más información.
AADSTS80007 OnPremisePasswordValidatorErrorOccurredOnPrem: el agente de autenticación no puede validar la contraseña del usuario. Compruebe los registros del agente para más información y asegúrese de que Active Directory está funcionando según lo previsto.
AADSTS80010 OnPremisePasswordValidationEncryptionException: el agente de autenticación no puede descifrar la contraseña.
AADSTS80012 OnPremisePasswordValidationEncryptionException: los usuarios han intentado iniciar sesión fuera de las horas permitidas (esto se especifica en Active Directory).
AADSTS80013 OnPremisePasswordValidationTimeSkew: el intento de autenticación no se pudo completar porque se produjo un sesgo de tiempo entre la máquina en la que se ejecutaba el agente de autenticación y AD. Corrija los problemas de sincronización de tiempo.
AADSTS80014 OnPremisePasswordValidationAuthenticationAgentTimeout: la solicitud de validación ha respondido una vez superado el tiempo máximo transcurrido. Abra una incidencia de soporte técnico con el código de error, el identificador de correlación y la marca de tiempo para conocer más detalles sobre este error.
AADSTS81004 DesktopSsoIdentityInTicketIsNotAuthenticated: error durante el intento de autenticación de Kerberos.
AADSTS81005 DesktopSsoAuthenticationPackageNotSupported: no se admite el paquete de autenticación.
AADSTS81006 DesktopSsoNoAuthorizationHeader: no se encontró ningún encabezado de autorización.
AADSTS81007 DesktopSsoTenantIsNotOptIn: el inquilino no está habilitado para SSO de conexión directa.
AADSTS81009 DesktopSsoAuthorizationHeaderValueWithBadFormat: no se puede validar el vale de Kerberos del usuario.
AADSTS81010 DesktopSsoAuthTokenInvalid: error de SSO de conexión directa porque el vale de Kerberos del usuario ha expirado o no es válido.
AADSTS81011 DesktopSsoLookupUserBySidFailed: no se encuentra el objeto de usuario con la información del vale de Kerberos del usuario.
AADSTS81012 DesktopSsoMismatchBetweenTokenUpnAndChosenUpn: el usuario que intenta iniciar sesión en Microsoft Entra ID es distinto del que inició sesión en el dispositivo.
AADSTS90002 InvalidTenantName: no se encontró el nombre del inquilino en el almacén de datos. Compruebe que tiene el identificador de inquilino correcto. El desarrollador de la aplicación recibirá este error si su aplicación intenta iniciar sesión en un inquilino que no se encuentra. A menudo, esto se debe a que se usó una aplicación entre nubes en la nube incorrecta o el desarrollador intentó iniciar sesión en un inquilino derivado de una dirección de correo electrónico, pero el dominio no está registrado.
AADSTS90004 InvalidRequestFormat: el formato de la solicitud es incorrecto.
AADSTS90005 InvalidRequestWithMultipleRequirements: no se puede completar la solicitud. La solicitud no es válida porque el identificador y la sugerencia de inicio de sesión no pueden usarse juntos.
AADSTS90006 ExternalServerRetryableError: el servicio no está disponible temporalmente.
AADSTS90007 InvalidSessionId: solicitud incorrecta. El identificador de sesión aprobado no se puede analizar.
AADSTS90008 TokenForItselfRequiresGraphPermission: el usuario o administrador no ha dado su consentimiento para usar la aplicación. Como mínimo, la aplicación requiere acceso a Microsoft Entra especificando el permiso de inicio de sesión y lectura del perfil de usuario.
AADSTS90009 TokenForItselfMissingIdenticalAppIdentifier: la aplicación solicita un token por sí misma. Este escenario se admite solamente si el recurso especificado usa el identificador de aplicación basado en GUID.
AADSTS90010 NotSupported: no se puede crear el algoritmo.
AADSTS9001023 The grant type isn't supported over the /common or /consumers endpoints. Use el punto de conexión /organizations o uno específico del inquilino.
AADSTS90012 RequestTimeout: se superó el tiempo de espera de la solicitud.
AADSTS90013 InvalidUserInput: la entrada del usuario no es válida.
AADSTS90014 MissingRequiredField: este código de error puede aparecer en varios casos cuando un campo esperado no está presente en la credencial.
AADSTS900144 El cuerpo de la solicitud debe contener el siguiente parámetro: "{name}". Error del desarrollador: la aplicación está intentando iniciar sesión sin los parámetros de autenticación necesarios o correctos.
AADSTS90015 QueryStringTooLong: la cadena de consulta es demasiado larga.
AADSTS90016 MissingRequiredClaim: el token de acceso no es válido. Falta la notificación necesaria.
AADSTS90019 MissingTenantRealm: Microsoft Entra no pudo determinar el identificador de inquilino en la solicitud.
AADSTS90020 Falta ImmutableID del usuario en la aserción de SAML 1.1. Error del desarrollador: la aplicación está intentando iniciar sesión sin los parámetros de autenticación necesarios o correctos.
AADSTS90022 AuthenticatedInvalidPrincipalNameFormat: el formato de nombre de la entidad de seguridad no es válido o no cumple con el formato name[/host][@realm] esperado. El nombre principal es obligatorio, el host y el dominio kerberos son opcionales y se pueden establecer en null.
AADSTS90023 InvalidRequest: la solicitud de servicio de autenticación no es válida.
AADSTS900236 InvalidRequestSamlPropertyUnsupported: la propiedad de solicitud de la autenticación SAML "{propertyName}" no se admite y no se debe establecer.
AADSTS9002313 InvalidRequest: la solicitud tiene un formato incorrecto o no es válida. -El problema surge porque se ha producido un error con la solicitud en un punto de conexión determinado. Para resolver este problema, se aconseja obtener un seguimiento de Fiddler del error que se produce y buscar si la solicitud tiene un formato correcto.
AADSTS9002332 La aplicación '{principalId}'({principalName}) está configurada para que la usen solo los usuarios de Microsoft Entra. No use el punto de conexión /consumers para atender esta solicitud.
AADSTS90024 RequestBudgetExceededError: se ha producido un error transitorio. Inténtelo de nuevo.
AADSTS90027 No se pueden emitir tokens de esta versión de API en el inquilino de MSA. Póngase en contacto con el proveedor de la aplicación, ya que debe usar la versión 2.0 del protocolo para admitirlo.
AADSTS90033 MsodsServiceUnavailable: Microsoft Online Directory Service (MSODS) no está disponible.
AADSTS90036 MsodsServiceUnretryableFailure: se ha producido un error inesperado y que no permite el reintento desde el servicio WCF hospedado por MSODS. Abra un vale de soporte para más información sobre el error.
AADSTS90038 NationalCloudTenantRedirection: el inquilino "Y" especificado pertenece a la nube nacional "X". La instancia de nube actual "Z" no está federada con "X". Se devuelve un error de redireccionamiento de nube.
AADSTS900384 El token JWT no pudo validar la firma. El contenido real del mensaje es específico del entorno de ejecución; son varias las causas de este error. Consulte el mensaje de excepción devuelto para obtener más detalles.
AADSTS90043 NationalCloudAuthCodeRedirection: la característica está deshabilitada.
AADSTS900432 El cliente confidencial no se admite en una solicitud entre nubes.
AADSTS90051 InvalidNationalCloudId: el identificador de la nube nacional contiene un identificador de la nube no válido.
AADSTS90055 TenantThrottlingError: hay demasiadas solicitudes entrantes. Esta excepción se produce para los inquilinos bloqueados.
AADSTS90056 BadResourceRequest: para canjear el código por un token de acceso, la aplicación debe enviar una solicitud POST al punto de conexión /token. Además, antes de esto, debe proporcionar un código de autorización y enviarlo en la solicitud POST al punto de conexión /token. Consulte este artículo para obtener más información sobre el flujo de los códigos de autorización de OAuth 2.0. Dirija al usuario al punto de conexión /authorize, que devolverá un código de autorización. Al publicar una solicitud para el punto de conexión /token, el usuario obtiene el token de acceso. Compruebe Registros de aplicaciones > Puntos de conexión para confirmar que los dos puntos de conexión se configuraron correctamente.
AADSTS900561 BadResourceRequestInvalidRequest: el punto de conexión solo acepta solicitudes {valid_verbs}. Recibió una solicitud {invalid_verb}. {valid_verbs} representa una lista de verbos HTTP admitidos por el punto de conexión (por ejemplo, POST), {invalid_verb} es un verbo HTTP que se usa en la solicitud actual (por ejemplo, GET). Esto puede deberse a un error del desarrollador o a que los usuarios presionan el botón Atrás en su explorador, lo que desencadena una solicitud incorrecta. Se puede omitir.
AADSTS90072 PassThroughUserMfaError: la cuenta externa con la que el usuario inicia sesión no existe en el inquilino en el que inició sesión; así pues, el usuario no puede satisfacer los requisitos de MFA para el inquilino. Este error también puede producirse si los usuarios se sincronizan pero hay una discrepancia en el atributo ImmutableID (sourceAnchor) entre Active Directory Microsoft Entra ID. La cuenta debe agregarse primero como un usuario externo en el inquilino. Cierre sesión e inicie sesión con una cuenta de usuario de Microsoft Entra diferente. Para obtener más información, visite Configuración de identidades externas.
AADSTS90081 OrgIdWsFederationMessageInvalid: se produjo un error cuando el servicio intentó procesar un mensaje de WS-Federation. El mensaje no es válido.
AADSTS90082 OrgIdWsFederationNotSupported: la directiva de autenticación seleccionada para la solicitud no se admite actualmente.
AADSTS90084 OrgIdWsFederationGuestNotAllowed: las cuentas de invitado no están permitidas para este sitio.
AADSTS90085 OrgIdWsFederationSltRedemptionFailed: el servicio no puede emitir un token porque el objeto de la empresa aún no se ha aprovisionado.
AADSTS90086 OrgIdWsTrustDaTokenExpired: el token DA de usuario ha expirado.
AADSTS90087 OrgIdWsFederationMessageCreationFromUriFailed: se ha producido un error al crear el mensaje de WS-Federation desde el URI.
AADSTS90090 GraphRetryableError: el servicio no está disponible temporalmente.
AADSTS90091 GraphServiceUnreachable
AADSTS90092 GraphNonRetryableError
AADSTS90093 GraphUserUnauthorized: Graph devolvió un código de error de prohibido para la solicitud.
AADSTS90094 AdminConsentRequired: es necesario el consentimiento del administrador.
AADSTS900382 El cliente confidencial no se admite en una solicitud entre nubes.
AADSTS90095 AdminConsentRequiredRequestAccess: en la experiencia de flujo de trabajo de consentimiento del administrador, una interrupción que aparece cuando se le informa al usuario de que necesita pedir consentimiento al administrador.
AADSTS90099 No se ha autorizado la aplicación "{appId}" ({appName}) en el inquilino "{tenant}". Las aplicaciones deben estar autorizadas para acceder al inquilino externo para que los administradores delegados del asociado puedan usarlas. Proporcione consentimiento previo o ejecute la API del Centro de partners correspondiente para autorizar la aplicación.
AADSTS900971 No se proporcionó ninguna dirección de respuesta.
AADSTS90100 InvalidRequestParameter: el parámetro está vacío o no es válido.
AADSTS901002 AADSTS901002: no se admite el parámetro de solicitud "resource".
AADSTS90101 InvalidEmailAddress: los datos proporcionados no son una dirección de correo electrónico válida. El formato de la dirección de correo electrónico debe ser someone@example.com.
AADSTS90102 InvalidUriParameter: el valor debe ser un URI absoluto válido.
AADSTS90107 InvalidXml: la solicitud no es válida. Asegúrese de que sus datos no tienen caracteres no válidos.
AADSTS90112 Se espera que el identificador de aplicación sea un GUID.
AADSTS90114 InvalidExpiryDate: la marca de tiempo de expiración del token masiva dará lugar a la emisión de un token expirado.
AADSTS90117 InvalidRequestInput
AADSTS90119 InvalidUserCode: el código de usuario es NULL o está vacío.
AADSTS90120 InvalidDeviceFlowRequest: ya se autorizó o rechazó la solicitud.
AADSTS90121 InvalidEmptyRequest: solicitud vacía no válida.
AADSTS90123 IdentityProviderAccessDenied: el token no se puede emitir porque el proveedor de emisión de identidad o notificación rechazó la solicitud.
AADSTS90124 V1ResourceV2GlobalEndpointNotSupported: el recurso no se admite a través de los puntos de conexión /common o /consumers. Use /organizations o el punto de conexión específico del inquilino en su lugar.
AADSTS90125 DebugModeEnrollTenantNotFound: el usuario no está en el sistema. Asegúrese de haber escrito el nombre de usuario correctamente.
AADSTS90126 DebugModeEnrollTenantNotInferred: el tipo de usuario no se admite en este punto de conexión. El sistema no puede inferir el inquilino del usuario desde el nombre de usuario.
AADSTS90130 NonConvergedAppV2GlobalEndpointNotSupported: la aplicación no se admite a través de los puntos de conexión /common o /consumers. Use /organizations o el punto de conexión específico del inquilino en su lugar.
AADSTS120000 PasswordChangeIncorrectCurrentPassword
AADSTS120002 PasswordChangeInvalidNewPasswordWeak
AADSTS120003 PasswordChangeInvalidNewPasswordContainsMemberName
AADSTS120004 PasswordChangeOnPremComplexity
AADSTS120005 PasswordChangeOnPremSuccessCloudFail
AADSTS120008 PasswordChangeAsyncJobStateTerminated: se ha producido un error que no permite el reintento.
AADSTS120011 PasswordChangeAsyncUpnInferenceFailed
AADSTS120012 PasswordChangeNeedsToHappenOnPrem
AADSTS120013 PasswordChangeOnPremisesConnectivityFailure
AADSTS120014 PasswordChangeOnPremUserAccountLockedOutOrDisabled
AADSTS120015 PasswordChangeADAdminActionRequired
AADSTS120016 PasswordChangeUserNotFoundBySspr
AADSTS120018 PasswordChangePasswordDoesnotComplyFuzzyPolicy
AADSTS120020 PasswordChangeFailure
AADSTS120021 PartnerServiceSsprInternalServiceError
AADSTS130004 NgcKeyNotFound: la entidad de seguridad de usuario no tiene configurada la clave de identificador de NGC.
AADSTS130005 NgcInvalidSignature: error de firma de clave de NGC comprobada.
AADSTS130006 NgcTransportKeyNotFound: la clave de transporte de NGC no está configurada en el dispositivo.
AADSTS130007 NgcDeviceIsDisabled: el dispositivo está deshabilitado.
AADSTS130008 NgcDeviceIsNotFound: no se encontró el dispositivo al que la clave de NGC hace referencia.
AADSTS135010 KeyNotFound
AADSTS135011 El dispositivo usado durante la autenticación está deshabilitado.
AADSTS140000 InvalidRequestNonce: no se proporciona el valor nonce de la solicitud.
AADSTS140001 InvalidSessionKey: la clave de sesión no es válida.
AADSTS165004 El contenido real del mensaje es específico del entorno de ejecución. Consulte el mensaje de excepción devuelto para obtener más detalles.
AADSTS165900 InvalidApiRequest: solicitud no válida.
AADSTS220450 UnsupportedAndroidWebViewVersion: no se admite la versión de Chrome WebView.
AADSTS220501 InvalidCrlDownload
AADSTS221000 DeviceOnlyTokensNotSupportedByResource: el recurso no está configurado para aceptar tokens solo de dispositivo.
AADSTS240001 BulkAADJTokenUnauthorized: el usuario no tiene autorización para registrar dispositivos en Microsoft Entra ID.
AADSTS240002 RequiredClaimIsMissing: el token de identificador no se puede usar como concesión urn:ietf:params:oauth:grant-type:jwt-bearer.
AADSTS501621 ClaimsTransformationTimeoutRegularExpressionTimeout: el reemplazo de expresiones regulares para la transformación de notificaciones ha agotado el tiempo de espera. Esto indica que es posible que se haya configurado una expresión regular demasiado compleja para esta aplicación. Es posible realizar correctamente un reintento de la solicitud. De lo contrario, póngase en contacto con el administrador para corregir la configuración.
AADSTS530032 BlockedByConditionalAccessOnSecurityPolicy: el administrador del inquilino tiene configurada una directiva de seguridad que bloquea esta solicitud. Compruebe las directivas de seguridad que están definidas en el nivel de inquilino para determinar si la solicitud cumple con los requisitos de las directivas.
AADSTS700016 UnauthorizedClient_DoesNotMatchRequest: no se encontró la aplicación en el directorio o inquilino. Esto puede pasar si el administrador del inquilino no es el que ha instalado el administrador del inquilino o no ha recibido el consentimiento de ningún usuario del inquilino. Puede que haya configurado de forma incorrecta el valor del identificador de la aplicación o que haya enviado la solicitud de autenticación al inquilino incorrecto.
AADSTS700020 InteractionRequired: la concesión de acceso requiere interacción.
AADSTS700022 InvalidMultipleResourcesScope: el valor proporcionado para el ámbito de parámetro de entrada no es válido porque contiene más de un recurso.
AADSTS700023 InvalidResourcelessScope: el valor proporcionado para el ámbito del parámetro de entrada no es válido al solicitar un token de acceso.
AADSTS7000215 Se ha proporcionado un secreto de cliente no válido. Error del desarrollador: la aplicación está intentando iniciar sesión sin los parámetros de autenticación necesarios o correctos.
AADSTS7000218 El cuerpo de la solicitud debe contener el siguiente parámetro: "client_assertion" o "client_secret".
AADSTS7000222 InvalidClientSecretExpiredKeysProvided: las claves secretas de cliente que se proporcionaron expiraron. Cree claves para la aplicación o considere usar credenciales de certificado para mayor seguridad: https://aka.ms/certCreds
AADSTS700229 ForbiddenTokenType: solo se pueden usar tokens de solo aplicación como credenciales de identidad federada para el emisor de Microsoft Entra. Use un token de acceso de solo aplicación (generado durante un flujo de credenciales de cliente) en lugar de un token de acceso delegado por el usuario (que representa una solicitud procedente de un contexto de usuario).
AADSTS700005 InvalidGrantRedeemAgainstWrongTenant: el código de autorización proporcionado está diseñado para usarlo con otro inquilino, por lo que se rechaza. El código de autorización de OAuth2 se debe canjear en el mismo inquilino para el cual se adquirió (/common o /{tenant-ID} según corresponda).
AADSTS1000000 UserNotBoundError: la API de Bind requiere que el usuario de Microsoft Entra también se autentique con un IDP externo, que aún no se ha producido.
AADSTS1000002 BindCompleteInterruptError: el enlace se completó correctamente, pero debe informarse al usuario.
AADSTS100007 Microsoft Entra Regional solo admite la autenticación para MSI O para solicitudes de MSAL mediante SN+I para aplicaciones internas o aplicaciones externas en inquilinos de infraestructura de Microsoft.
AADSTS1000031 No se puede acceder a la aplicación {appDisplayName} en este momento. Póngase en contacto con el administrador.
AADSTS7000112 UnauthorizedClientApplicationDisabled: la aplicación está deshabilitada.
AADSTS7000114 No se permite que la aplicación "appIdentifier" realice llamadas en nombre de aplicación.
AADSTS7500529 El valor "SAMLId-Guid" no es un identificador de SAML válido. Microsoft Entra usa este atributo para rellenar el atributo InResponseTo de la respuesta devuelta. El id. no debe empezar con un número. La estrategia habitual consiste en anteponer una cadena como "id" en la representación de cadena de un GUID. Por ejemplo, id6c1c178c166d486687be4aaf5e482730 es un identificador válido.
AADSTS9002341 V2Error: invalid_grant: el usuario es necesario para permitir el inicio de sesión único (SSO). Este error se produce cuando el usuario no ha concedido los permisos necesarios para que la aplicación realice el inicio de sesión único. El usuario debe redirigirse a la pantalla de consentimiento para conceder los permisos necesarios. Para obtener más información, consulta este anuncio".

Pasos siguientes