Codes d’erreur d’authentification et d’autorisation Microsoft Entra
Vous cherchez des informations sur les codes d’erreur AADSTS retournés par le service d’émission de jeton de sécurité de Microsoft Entra (STS) ? Lisez ce document pour rechercher les descriptions des erreurs AADSTS, leurs correctifs ainsi que d’autres solutions de contournement.
Notes
Ces informations sont provisoires et peuvent être modifiées. Vous avez une question ou vous ne trouvez pas ce que vous recherchez ? Créez un problème GitHub ou consultez Options d’aide et de support pour les développeurs pour en savoir plus sur les autres méthodes vous permettant d’obtenir de l’aide et un support.
Cette documentation fournit des conseils aux développeurs et aux administrateurs ; elle ne doit jamais être utilisée par le client lui-même. Les codes d’erreur sont susceptibles d’être modifié à tout moment afin de fournir des messages d’erreur plus granulaires destinés à aider les développeurs lors de la création de leur application. Les applications qui dépendent des numéros de code d’erreur ou de texte seront endommagées au fil du temps.
Rechercher les informations actuelles sur les codes d’erreur
Les codes d’erreur et les messages sont susceptibles d’être modifiés. Pour obtenir les informations les plus récentes, consultez la page https://login.microsoftonline.com/error pour trouver les descriptions des erreurs AADSTS, des correctifs et des solutions suggérées.
Par exemple, si vous avez reçu le code d’erreur « AADSTS50058 », effectuez une recherche dans https://login.microsoftonline.com/error sur « 50058 ». Vous pouvez également établir un lien direct à une erreur spécifique en ajoutant le numéro de code d’erreur à l’URL : https://login.microsoftonline.com/error?code=50058.
Gestion des codes d’erreur dans votre application
La spécification OAuth 2.0 fournit des conseils sur la façon de gérer les erreurs d’authentification en utilisant la portion error
de la réponse d’erreur.
Voici un exemple de réponse d’erreur :
{
"error": "invalid_scope",
"error_description": "AADSTS70011: The provided value for the input parameter 'scope' isn't valid. The scope https://example.contoso.com/activity.read isn't valid.\r\nTrace ID: 0000aaaa-11bb-cccc-dd22-eeeeee333333\r\nCorrelation ID: aaaa0000-bb11-2222-33cc-444444dddddd\r\nTimestamp: 2016-01-09 02:02:12Z",
"error_codes": [
70011
],
"timestamp": "2016-01-09 02:02:12Z",
"trace_id": "0000aaaa-11bb-cccc-dd22-eeeeee333333",
"correlation_id": "aaaa0000-bb11-2222-33cc-444444dddddd",
"error_uri":"https://login.microsoftonline.com/error?code=70011"
}
Paramètre | Description |
---|---|
error |
Chaîne de code d’erreur utilisable pour classer les types d’erreurs se produisant, et à utiliser pour traiter les erreurs. |
error_description |
Un message d’erreur spécifique qui peut aider un développeur à identifier la cause principale d’une erreur d’authentification. N’utilisez jamais ce champ pour traiter une erreur dans votre code. |
error_codes |
Liste des codes d’erreur STS spécifiques pouvant être utiles dans les tests de diagnostic. |
timestamp |
Retourne l’heure à laquelle l’erreur s’est produite. |
trace_id |
Identifiant unique de la demande pouvant être utile dans les tests de diagnostic. |
correlation_id |
Identifiant unique de la demande pouvant être utile dans les tests de diagnostic sur les divers composants. |
error_uri |
Lien vers la page de recherche d’erreur avec des informations supplémentaires sur l’erreur. Il est réservé à l’usage des développeurs. Ne l’affichez pas pour les utilisateurs. Présent uniquement lorsque le système de recherche d’erreur contient des informations supplémentaires sur l’erreur. Des informations supplémentaires ne sont pas disponibles pour toutes les erreurs. |
Le champ error
a plusieurs valeurs possibles : consultez les liens de documentation sur le protocole et les spécifications OAuth 2.0 pour en savoir plus sur certaines erreurs spécifiques (par exemple, authorization_pending
dans le flux de code de l’appareil) et savoir comment les traiter. Certaines erreurs courantes sont répertoriées ici :
Code d'erreur | Description | Action du client |
---|---|---|
invalid_request |
Erreur de protocole, tel qu’un paramètre obligatoire manquant. | Corrigez l’erreur, puis envoyez à nouveau la demande. |
invalid_grant |
Le matériel d’authentification (code d’authentification, jeton d’actualisation, jeton d’accès, vérification PKCE (Proof Key for Code Exchange)) était en partie non valide, non analysable, manquant ou inutilisable. | Essayez d’envoyer une nouvelle requête au point de terminaison /authorize pour obtenir un nouveau code d’autorisation. Songez à examiner et valider l’utilisation des protocoles par cette application. |
unauthorized_client |
Le client authentifié n’est pas autorisé à utiliser ce type d’octroi d’autorisation. | Ceci se produit généralement lorsque l’application cliente n’est pas inscrite auprès de Microsoft Entra ID ou n’est pas ajoutée au locataire Microsoft Entra de l’utilisateur. L’application peut proposer à l’utilisateur des instructions pour installer l’application et l’ajouter à Microsoft Entra ID. |
invalid_client |
Échec d’authentification du client. | Les informations d’identification du client ne sont pas valides. Pour résoudre le problème, l’administrateur de l’application met à jour les informations d’identification. |
unsupported_grant_type |
Le serveur d’autorisation ne prend pas en charge le type d’octroi d’autorisation. | Modifiez le type d’octroi dans la demande. Ce type d’erreur doit se produire uniquement lors du développement et doit être détecté lors du test initial. |
invalid_resource |
La ressource cible n’est pas valide car elle n’existe pas, Microsoft Entra ID ne la trouve pas ou elle n’est pas configurée correctement. | Cela indique que la ressource, si elle existe, n’a pas été configurée dans le locataire. L’application peut proposer à l’utilisateur des instructions pour installer l’application et l’ajouter à Microsoft Entra ID. Dans le cadre d’un développement, cela indique généralement qu’un tenant test n’est pas configuré correctement ou que le nom de l’étendue demandée contient une faute de frappe. |
interaction_required |
La demande nécessite une interaction utilisateur. Par exemple, une autre étape d’authentification est nécessaire. | Relancez la demande avec la même ressource, mais de manière interactive, afin que l’utilisateur puisse effectuer les vérifications demandées. |
temporarily_unavailable |
Le serveur est temporairement trop occupé pour traiter la demande. | Relancez la requête. L’application cliente peut expliquer à l’utilisateur que sa réponse est reportée en raison d’une condition temporaire. |
Codes d’erreur AADSTS
Erreur | Description |
---|---|
AADSTS16000 | InteractionRequired : Le compte d’utilisateur « {e-mail_masqué} » du fournisseur d’identité « {idp} » n’existe pas dans le locataire « {locataire} » et ne peut pas accéder à l’application « {ID_application} »({nom_application}) dans ce locataire. Ce compte doit d’abord être ajouté comme utilisateur externe dans le locataire. Déconnectez-vous et reconnectez-vous avec un autre compte d’utilisateur Microsoft Entra. Cette erreur est assez courante quand vous essayez de vous connecter au centre d’administration Microsoft Entra avec un compte Microsoft personnel et qu’aucun annuaire ne lui est associé. |
AADSTS16001 | UserAccountSelectionInvalid : Cette erreur s’affiche si l’utilisateur sélectionne une vignette qui a été rejetée par la logique de sélection de session. Lorsque cette erreur est déclenchée, elle permet à l’utilisateur de récupérer en faisant un choix à partir d’une liste à jour des vignettes/sessions, ou en choisissant un autre compte. Cette erreur peut se produire en raison d’un défaut du code ou d’une condition de concurrence. |
AADSTS16002 | AppSessionSelectionInvalid : l’exigence de SID spécifiée par l’application n’a pas été remplie. |
AADSTS160021 | AppSessionSelectionInvalidSessionNotExist : L’application a demandé une session utilisateur qui n’existe pas. Ce problème peut être résolu en créant un compte Azure. |
AADSTS16003 | SsoUserAccountNotFoundInResourceTenant : indique que l’utilisateur n’a pas été explicitement ajouté au locataire. |
AADSTS17003 | CredentialKeyProvisioningFailed : Microsoft Entra ID ne peut pas provisionner la clé utilisateur. |
AADSTS20001 | WsFedSignInResponseError : il existe un problème avec votre fournisseur d’identité fédérée. Contactez votre IDP pour résoudre ce problème. |
AADSTS20012 | WsFedMessageInvalid : il existe un problème avec votre fournisseur d’identité fédérée. Contactez votre IDP pour résoudre ce problème. |
AADSTS20033 | FedMetadataInvalidTenantName : il existe un problème avec votre fournisseur d’identité fédérée. Contactez votre IDP pour résoudre ce problème. |
AADSTS230109 | CachedCredentialNonGWAuthNRequestsNotSupported—le service d’authentification de sauvegarde autorise uniquement les demandes AuthN à partir de la passerelle Microsoft Entra. Cette erreur est retournée lorsque le trafic cible directement le service d’authentification de sauvegarde au lieu de passer par le proxy inverse. |
AADSTS28002 | La valeur fournie pour l’étendue du paramètre d’entrée « {scope} » n’est pas valide lors de la demande d’un jeton d’accès. Spécifiez une étendue valide. |
AADSTS28003 | La valeur fournie pour la portée du paramètre d’entrée ne peut pas être vide lors de la demande d’un jeton d’accès à l’aide du code d’autorisation fourni. Spécifiez une étendue valide. |
AADSTS40008 | OAuth2IdPUnretryableServerError : il existe un problème avec votre fournisseur d’identité fédérée. Contactez votre IDP pour résoudre ce problème. |
AADSTS40009 | OAuth2IdPRefreshTokenRedemptionUserError : il existe un problème avec votre fournisseur d’identité fédérée. Contactez votre IDP pour résoudre ce problème. |
AADSTS40010 | OAuth2IdPRetryableServerError : il existe un problème avec votre fournisseur d’identité fédérée. Contactez votre IDP pour résoudre ce problème. |
AADSTS40015 | OAuth2IdPAuthCodeRedemptionUserError : il existe un problème avec votre fournisseur d’identité fédérée. Contactez votre IDP pour résoudre ce problème. |
AADSTS50000 | TokenIssuanceError : il existe un problème avec le service d’inscription. Ouvrez un ticket de support pour résoudre ce problème. |
AADSTS50001 | InvalidResource : la ressource est désactivée ou n’existe pas. Vérifiez le code de votre application pour vous assurer que vous avez spécifié l’URL de ressource exacte pour la ressource à laquelle vous essayez d’accéder. |
AADSTS50002 | NotAllowedTenant : la connexion a échoué en raison d’un accès proxy restreint sur le locataire. Si s’agit de votre propre stratégie de locataire, vous pouvez modifier les paramètres de locataire restreints pour résoudre ce problème. |
AADSTS500011 | InvalidResourceServicePrincipalNotFound : Le principal de ressource nommé {nom} n’a pas été trouvé dans le locataire nommé {locataire}. Ceci peut se produire si l’application n’a pas été installée par l’administrateur du locataire ou acceptée par un utilisateur dans le locataire. Vous avez peut-être envoyé votre demande d’authentification au locataire incorrect. Si vous prévoyez que l'application sera installée, vous devrez peut-être fournir des autorisations d'administrateur pour l'ajouter. Consultez les développeurs de la ressource et de l’application pour comprendre quelle est la configuration appropriée pour votre locataire. |
AADSTS500014 | InvalidResourceServicePrincipalDisabled : le principal de service de la ressource « {identifier} » est désactivé. Cela indique qu’un abonnement au sein du locataire a expiré ou qu’un administrateur pour ce locataire a désactivé le principal de service de l’application, empêchant ainsi l’émission de jetons. Pour plus d’informations, consultez Désactiver la connexion utilisateur pour l’application. |
AADSTS500021 | L’accès au locataire « {tenant} » est refusé. AADSTS500021 indique que la fonctionnalité de restriction du locataire est configurée et que l’utilisateur tente d’accéder à un locataire qui ne figure pas dans la liste des locataires autorisés spécifiés dans l’en-tête Restrict-Access-To-Tenant . Pour plus d’informations, consultez Utiliser des restrictions liées au locataire pour gérer l’accès aux applications cloud SaaS. |
AADSTS500022 | L’accès au locataire « {tenant} » est refusé. AADSTS500022 indique que la fonctionnalité de restriction du locataire est configurée et que l’utilisateur tente d’accéder à un locataire qui ne figure pas dans la liste des locataires autorisés spécifiés dans l’en-tête Restrict-Access-To-Tenant . Pour plus d’informations, consultez Utiliser des restrictions liées au locataire pour gérer l’accès aux applications cloud SaaS. |
AADSTS50003 | MissingSigningKey : la connexion a échoué en raison d’une clé de signature ou d’un certificat manquant. Il n’existe peut-être aucune clé de signature configurée dans l’application. Pour en savoir plus, consultez l’article sur la résolution des problèmes liés à l’erreur AADSTS50003. Si vous rencontrez toujours des problèmes, contactez le propriétaire ou l’administrateur de l’application. |
AADSTS50005 | DevicePolicyError : L’utilisateur a essayé de se connecter à un appareil à partir d’une plateforme qui n’est actuellement pas prise en charge via la stratégie d’accès conditionnel. |
AADSTS50006 | InvalidSignature : la vérification de la signature a échoué en raison d’une signature non valide. |
AADSTS50007 | PartnerEncryptionCertificateMissing : Le certificat de chiffrement partenaire est introuvable pour cette application. Ouvrez un ticket de support auprès de Microsoft pour résoudre ce problème. |
AADSTS50008 | InvalidSamlToken : l’assertion SAML est manquante ou configurée de façon incorrecte dans le jeton. Contactez votre fournisseur de fédération. |
AADSTS5000224 | NotAllowedTenantBlockedTenantFraud – Toutes nos excuses, cette ressource n’est pas disponible. Si vous voyez ce message par erreur, contactez le support Microsoft. |
AADSTS5000819 | InvalidSamlTokenEmailMissingOrInvalid : l’assertion SAML n’est pas valide. La revendication d’adresse e-mail est manquante ou ne correspond pas au domaine d’un domaine externe. |
AADSTS50010 | AudienceUriValidationFailed : la validation de l’URI d’audience pour l’application a échoué, car aucune audience de jeton n’a été configurée. |
AADSTS50011 | InvalidReplyTo : l’adresse de réponse est manquante, configurée de façon incorrecte ou elle ne correspond pas aux adresses de réponse configurées pour l’application. Pour la résolution, veillez à ajouter cette adresse de réponse manquante à l’application Microsoft Entra, ou demandez à quelqu’un qui dispose des autorisations nécessaires pour gérer votre application dans Microsoft Entra de le faire votre place. Pour en savoir plus, consultez l’article sur la résolution des problèmes liés à l’erreur AADSTS50011. |
AADSTS50012 | AuthenticationFailed : échec de l’authentification pour l’une des raisons suivantes :
|
AADSTS50013 | InvalidAssertion : L’assertion n’est pas valide pour différentes raisons : l’émetteur du jeton ne correspond pas à la version d’API dans l’intervalle de temps valide -expired -malformed. Le jeton d’actualisation dans l’assertion n’est pas un jeton d’actualisation principal. Contactez le développeur d’application. |
AADSTS500133 | L’assertion ne se situe pas dans son intervalle de temps valide. Vérifiez que le jeton d’accès n’est pas arrivé à expiration avant de l’utiliser pour l’assertion d’utilisateur ou demandez-en un nouveau. Heure actuelle : {curTime}, heure d’expiration de l’assertion {expTime}. L’assertion n’est pas valide pour plusieurs raisons :
|
AADSTS50014 | GuestUserInPendingState : le compte d’utilisateur n’existe pas dans le répertoire. Une application a probablement choisi le mauvais locataire pour se connecter, et l’utilisateur actuellement connecté n’a pas pu le faire, car il n’existait pas dans votre locataire. Si cet utilisateur doit pouvoir se connecter, ajoutez-le en tant qu’invité. Pour plus d’informations, consultez ajouter des utilisateurs B2B. |
AADSTS50015 | ViralUserLegalAgeConsentRequiredState : l’utilisateur exige le consentement légal d’une tranche d’âge. |
AADSTS50017 | CertificateValidationFailed : la validation de la certification a échoué pour les raisons suivantes :
|
AADSTS50020 | UserUnauthorized : les utilisateurs ne sont pas autorisés à appeler ce point de terminaison. Le compte d’utilisateur '{email}' du fournisseur d’identité '{idp}' n’existe pas dans le locataire '{tenant}' et ne peut donc pas accéder à l’application '{appid}'({appName}) dans ce dernier. Ce compte doit d’abord être ajouté comme utilisateur externe dans le locataire. Déconnectez-vous et reconnectez-vous avec un autre compte d’utilisateur Microsoft Entra. Si cet utilisateur doit être membre du locataire, il doit être invité via le système B2B. Pour plus d’informations, consultez AADSTS50020. |
AADSTS500208 | Le domaine n’est pas un domaine de connexion valide pour le type de compte. Cette situation se produit lorsque le compte de l’utilisateur ne correspond pas au type de compte attendu pour le tenant donné. Par exemple, si le tenant est configuré pour autoriser uniquement les comptes professionnels ou scolaires et que l’utilisateur tente de se connecter avec un compte Microsoft personnel, il reçoit cette erreur. |
AADSTS500212 | NotAllowedByOutboundPolicyTenant : l’administrateur de l’utilisateur a défini une stratégie d’accès sortant qui n’autorise pas l’accès au locataire de ressources. |
AADSTS500213 | NotAllowedByInboundPolicyTenant : la stratégie d’accès inter-locataires de la ressource du locataire ne permet pas à cet utilisateur d’accéder à ce locataire. |
AADSTS50027 | InvalidJwtToken : jeton JWT non valide pour l’une des raisons suivantes :
|
AADSTS50029 | URI non valide. Le nom du domaine contient des caractères non valides. Contactez l’administrateur du locataire. |
AADSTS50032 | WeakRsaKey : indique la tentative erronée de l’utilisateur pour utiliser une clé RSA faible. |
AADSTS50033 | RetryableError : indique une erreur temporaire qui n’est pas liée aux opérations de base de données. |
AADSTS50034 | UserAccountNotFound : pour se connecter à cette application, le compte doit être ajouté au répertoire. Cette erreur peut se produire car l’utilisateur a mal tapé son nom d’utilisateur ou ne se trouve pas dans le locataire. Une application a peut-être choisi le mauvais locataire auquel se connecter, et l'utilisateur actuellement connecté n'a pas pu le faire car il n'existait pas dans votre locataire. Si cet utilisateur doit pouvoir se connecter, ajoutez-le en tant qu’invité. Consultez la documentation ici : Ajouter des utilisateurs B2B. |
AADSTS50042 | UnableToGeneratePairwiseIdentifierWithMissingSalt : la valeur salt nécessaire pour générer un identificateur par paire est manquante dans le principe. Contactez l’administrateur du locataire. |
AADSTS50043 | UnableToGeneratePairwiseIdentifierWithMultipleSalts |
AADSTS50048 | SubjectMismatchesIssuer : l’objet ne correspond pas à la revendication d’émetteur dans l’assertion du client. Contactez l’administrateur du locataire. |
AADSTS50049 | NoSuchInstanceForDiscovery : instance inconnue ou non valide. |
AADSTS50050 | MalformedDiscoveryRequest : le format de la requête est incorrect. |
AADSTS50053 | Cette erreur peut résulter de deux raisons différentes :
Pour déterminer la raison de la défaillance à l’origine de cette erreur, connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur d’application cloud au moins. Accédez à votre locataire Microsoft Entra, puis à Surveillance et intégrité ->Journaux d’activité de connexion. Retrouvez la connexion d’utilisateur ayant échoué avec le code d’erreur 50053, puis vérifiez la raison de la défaillance. |
AADSTS50055 | InvalidPasswordExpiredPassword : le mot de passe a expiré. Le mot de passe de l’utilisateur a expiré et, par conséquent, sa connexion ou sa session a été interrompue. Ils auront la possibilité de le réinitialiser ou pourront demander à un administrateur de le réinitialiser via Réinitialiser le mot de passe d'un utilisateur à l'aide de Microsoft Entra ID. |
AADSTS50056 | Mot de passe est nul ou non valide : le mot de passe pour cet utilisateur n’existe pas dans le répertoire. Il faut demander à l’utilisateur d’entrer à nouveau son mot de passe. |
AADSTS50057 | UserDisabled : le compte d’utilisateur est désactivé. L’objet utilisateur dans Active Directory qui soutient ce compte a été désactivé. Un administrateur peut réactiver ce compte via PowerShell. |
AADSTS50058 | UserInformationNotProvided : les informations de session ne sont pas suffisantes pour l’authentification unique. Cela signifie qu’un utilisateur n’est pas connecté. Il s’agit d’une erreur courante qui est attendue lorsqu’un utilisateur n’est pas authentifié et n’est pas encore connecté. Si cette erreur est rencontrée dans un contexte SSO où l’utilisateur s’est déjà connecté, cela signifie que la session SSO est introuvable ou non valide. Cette erreur peut être renvoyée à l’application si prompt=none est spécifié. |
AADSTS50059 | MissingTenantRealmAndNoUserInformationProvided : Les informations d’identification de locataire sont introuvables dans la requête ou ne peuvent pas être déduites des informations d’identification fournies. L’utilisateur peut contacter l’administrateur du locataire pour qu’il l’aide à résoudre le problème. |
AADSTS50061 | SignoutInvalidRequest : impossible de terminer la déconnexion. La requête n’était pas valide. |
AADSTS50064 | CredentialAuthenticationError : la validation des informations d’identification sur le nom d’utilisateur ou le mot de passe a échoué. |
AADSTS50068 | SignoutInitiatorNotParticipant : la déconnexion a échoué. L’application qui a initié la déconnexion ne participe pas à la session active. |
AADSTS50070 | SignoutUnknownSessionIdentifier : la déconnexion a échoué. La demande de déconnexion a spécifié un identificateur de nom qui ne correspond à aucune session existante. |
AADSTS50071 | SignoutMessageExpired : la demande de déconnexion a expiré. |
AADSTS50072 | UserStrongAuthEnrollmentRequiredInterrupt : l’utilisateur doit s’inscrire pour l’authentification de second facteur (interactif). |
AADSTS50074 | UserStrongAuthClientAuthNRequiredInterrupt : une authentification renforcée est nécessaire et l’utilisateur n’a pas réussi la vérification de l’authentification multifacteur. |
AADSTS50076 | UserStrongAuthClientAuthNRequired – En raison d'une modification de configuration effectuée par l'administrateur, telle qu'une stratégie d'accès conditionnel, une application par utilisateur ou parce que vous avez déménagé vers un nouvel emplacement, l'utilisateur doit utiliser l'authentification multi-facteur pour accéder à la ressource. Réessayez avec une nouvelle requête d’autorisation pour la ressource. |
AADSTS50078 | UserStrongAuthExpired : L’authentification multifacteur présentée a expiré en raison des stratégies configurées par votre administrateur. Vous devez actualiser votre authentification multifacteur pour accéder à « {ressource} ». |
AADSTS50079 | UserStrongAuthEnrollmentRequired – En raison d'une modification de configuration effectuée par l'administrateur, telle qu'une stratégie d'accès conditionnel, une application par utilisateur ou parce que l'utilisateur a déménagé vers un nouvel emplacement, l'utilisateur doit utiliser l'authentification multi-facteur. Soit un utilisateur géré doit enregistrer les informations de sécurité pour terminer l'authentification multi-facteur, soit un utilisateur fédéré doit obtenir la revendication multi-facteur auprès du fournisseur d'identité fédéré. |
AADSTS50085 | Le jeton d’actualisation a besoin d’une connexion IDP sociale. Demandez à l’utilisateur d’essayer à nouveau de se connecter avec son nom d’utilisateur et son mot de passe. |
AADSTS50086 | SasNonRetryableError |
AADSTS50087 | SasRetryableError : une erreur temporaire s’est produite lors de l’authentification forte. Recommencez. |
AADSTS50088 | La limite des appels d’authentification multifacteur est atteinte. Réessayez dans quelques minutes. |
AADSTS50089 | L’authentification a échoué en raison de l’expiration du jeton de flux. Attendu : les codes d’authentification, les jetons d’actualisation et les sessions expirent avec le temps ou sont révoqués par l’utilisateur ou un administrateur. L’application demandera une nouvelle connexion à l’utilisateur. |
AADSTS50097 | DeviceAuthenticationRequired : l’authentification de l’appareil est requise. |
AADSTS50099 | PKeyAuthInvalidJwtUnauthorized : la signature JWT n’est pas valide. |
AADSTS50105 | EntitlementGrantsNotFound : l’utilisateur connecté n’est pas affecté à un rôle pour l’application concernée. Affectez l’utilisateur à l’application. Pour en savoir plus, consultez l’article sur la résolution des problèmes liés à l’erreur AADSTS50105. |
AADSTS50107 | InvalidRealmUri : l’objet de domaine de fédération requis n’existe pas. Contactez l’administrateur du locataire. |
AADSTS50120 | ThresholdJwtInvalidJwtFormat : problème avec l’en-tête JWT. Contactez l’administrateur du locataire. |
AADSTS50124 | ClaimsTransformationInvalidInputParameter : la transformation des revendications contient un paramètre d’entrée non valide. Contactez l’administrateur du locataire pour mettre à jour la stratégie. |
AADSTS501241 | Entrée obligatoire « {paramName} » manquante dans l’ID de transformation « {transformId} ». Cette erreur est renvoyée lorsque Microsoft Entra tente de générer une réponse SAML à l’application. La revendication NameID ou NameIdentifier est obligatoire dans la réponse SAML, et si Microsoft Entra ID ne parvient pas à obtenir l’attribut source pour la revendication NameID, il retourne cette erreur. En guise de résolution, veillez à ajouter des règles de revendication. Pour ajouter des règles de revendication, connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Administrateur d’application cloud, puis accédez à Identité>Applications>Applications d’entreprise. Sélectionnez votre application, sélectionnez Authentification unique, puis dans Attributs utilisateur et revendications, entrez l’identificateur d’utilisateur unique (ID de nom). |
AADSTS50125 | PasswordResetRegistrationRequiredInterrupt : la connexion a été interrompue en raison d’une réinitialisation de mot de passe ou d’une entrée d’inscription de mot de passe. |
AADSTS50126 | InvalidUserNameOrPassword : erreur de validation des informations d’identification en raison d’un nom d’utilisateur ou d’un mot de passe non valide. L’utilisateur n’a pas entré les informations d’identification appropriées. Vous pouvez vous attendre à voir un certain nombre de ces erreurs dans vos journaux en raison des erreurs des utilisateurs. |
AADSTS50127 | BrokerAppNotInstalled : l’utilisateur a besoin d’installer une application de répartiteur pour accéder à ce contenu. |
AADSTS50128 | Nom de domaine non valide. Informations d’identification de locataire introuvables dans la requête ou déduites des informations d’identification fournies. |
AADSTS50129 | DeviceIsNotWorkplaceJoined : un rattachement à l’espace de travail est nécessaire pour inscrire l’appareil. |
AADSTS50131 | ConditionalAccessFailed : indique diverses erreurs d’accès conditionnel, comme un état de périphérique Windows incorrect, une requête bloquée en raison d’une activité, d’une stratégie d’accès ou de décisions de stratégie de sécurité suspectes. |
AADSTS50132 | SsoArtifactInvalidOrExpired : la session n’est pas valide en raison de l’expiration du mot de passe ou de sa modification récente. |
AADSTS50133 | SsoArtifactRevoked : la session n’est pas valide en raison de l’expiration du mot de passe ou de sa modification récente. |
AADSTS50134 | DeviceFlowAuthorizeWrongDatacenter : centre de données incorrect. Pour autoriser une demande initiée par une application dans le flux d’appareil OAuth 2.0, la partie qui accorde l’autorisation doit figurer dans le même centre de données que la demande d’origine. |
AADSTS50135 | PasswordChangeCompromisedPassword : La modification du mot de passe est nécessaire en raison du risque du compte. |
AADSTS50136 | RedirectMsaSessionToApp : une seule session MSA est détectée. |
AADSTS50139 | SessionMissingMsaOAuth2RefreshToken : la session n’est pas valide en raison d’un jeton d’actualisation externe manquant. |
AADSTS50140 | KmsiInterrupt : cette erreur s’est produite suite à l’interruption de la fonction « Maintenir la connexion » lors de la connexion de l’utilisateur. Il s’agit d’une partie attendue du flux de connexion, où il est demandé à l’utilisateur s’il souhaite rester connecté à son navigateur actuel pour faciliter les connexions ultérieures. Pour plus d’informations, consultez Nouvelles expériences de connexion Azure AD et de maintien de la connexion en cours de déploiement. Vous pouvez ouvrir un ticket de support avec l’ID de corrélation, l’ID de requête et le code d’erreur pour obtenir plus de détails. |
AADSTS50143 | Incompatibilité de session. La session n’est pas valide, car le locataire de l’utilisateur ne correspond pas à l’indicateur de domaine en raison d’une ressource différente. Ouvrez un ticket de support avec l’ID de corrélation, l’ID de requête et le code d’erreur pour obtenir plus de détails. |
AADSTS50144 | InvalidPasswordExpiredOnPremPassword : Le mot de passe Active Directory de l’utilisateur est arrivé à expiration. Générez un nouveau mot de passe pour l’utilisateur ou demandez à l’utilisateur d’utiliser l’outil de réinitialisation en libre-service pour le réinitialiser. |
AADSTS50146 | MissingCustomSigningKey : cette application doit être configurée avec une clé de signature spécifique. Elle n’est configurée avec aucune clé, ou la clé a expiré ou n’est pas encore valide. Contactez le propriétaire de l’application. |
AADSTS501461 | AcceptMappedClaims est uniquement pris en charge pour une audience du jeton correspondant au GUID de l’application ou à une audience au sein des domaines vérifiés du locataire. Modifiez l’identificateur de ressource ou servez-vous d’une clé de signature spécifique à l’application. |
AADSTS50147 | MissingCodeChallenge : la taille du paramètre de vérification du code n’est pas valide. |
AADSTS501481 | L’élément Code_Verifier ne correspond pas à l’élément code_challenge fourni dans la requête d’autorisation. |
AADSTS501491 | InvalidCodeChallengeMethodInvalidSize - Taille non valide du paramètre Code_Challenge. |
AADSTS50155 | DeviceAuthenticationFailed : l’authentification de l’appareil a échoué pour cet utilisateur. |
AADSTS50158 | ExternalSecurityChallenge : la vérification de sécurité externe n’a pas abouti. |
AADSTS50161 | InvalidExternalSecurityChallengeConfiguration : les revendications envoyées par un fournisseur externe ne sont pas suffisantes, ou il manque une revendication demandée à un fournisseur externe. |
AADSTS50166 | ExternalClaimsProviderThrottled : l’envoi de la requête au fournisseur de revendications a échoué. |
AADSTS50168 | ChromeBrowserSsoInterruptRequired : le client est capable d’obtenir un jeton d’authentification unique via l’extension des comptes Windows 10, mais le jeton est introuvable dans la requête ou bien le jeton fourni a expiré. |
AADSTS50169 | InvalidRequestBadRealm : le domaine n’est pas un domaine configuré de l’espace de noms de service actuel. |
AADSTS50170 | MissingExternalClaimsProviderMapping : le mappage des contrôles externes est manquant. |
AADSTS50173 | FreshTokenNeeded : l’octroi fourni a expiré en raison de sa révocation et un nouveau jeton d’authentification est nécessaire. Un administrateur ou un utilisateur a révoqué les jetons pour cet utilisateur, ce qui entraîne l’échec des actualisations de jetons suivantes et nécessite une nouvelle authentification. L’utilisateur doit se connecter à nouveau. |
AADSTS50177 | ExternalChallengeNotSupportedForPassthroughUsers : la vérification externe n’est pas prise en charge pour les utilisateurs de PassThrough. |
AADSTS50178 | SessionControlNotSupportedForPassthroughUsers : le contrôle de session n’est pas pris en charge pour les utilisateurs de PassThrough. |
AADSTS50180 | WindowsIntegratedAuthMissing : l’authentification Windows intégrée est nécessaire. Activez le locataire pour l’authentification unique transparente. |
AADSTS50187 | DeviceInformationNotProvided : le service n’a pas réussi à authentifier l’appareil. |
AADSTS50192 | Requête non valide – RawCredentialExpectedNotFound – Les informations d’identification n’étaient pas incluses dans la requête de connexion. Exemple : L’utilisateur effectue l’authentification basée sur un certificat et aucun certificat utilisateur n’est envoyé (ou le proxy supprime le certificat dans la demande de connexion). |
AADSTS50194 | L'application '{appId}'({appName}) n'est pas configurée en tant qu'application mutualisée. L’utilisation du point de terminaison /common n’est pas prise en charge pour les applications créées après « {time} ». Utilisez un point de terminaison spécifique au locataire ou configurez l’application pour qu’elle soit multi-tenant. |
AADSTS50196 | LoopDetected : une boucle client a été détectée. Vérifiez la logique de l’application pour vous assurer que la mise en cache des jetons est implémentée et que les conditions d’erreur sont gérées correctement. L’application a effectué un trop grand nombre de requêtes sur une période trop brève, indiquant qu’elle est dans un état défectueux ou qu’elle demande trop de jetons. |
AADSTS50197 | ConflictingIdentities : impossible de trouver l’utilisateur. Réessayez de vous connecter. |
AADSTS50199 | CmsiInterrupt : pour des raisons de sécurité, une confirmation de l’utilisateur est requise pour cette demande. L’interruption s’affiche pour toutes les redirections du schéma dans les navigateurs mobiles. Aucune action requise. L’utilisateur a été invité à confirmer que cette application est l’application à laquelle il souhaitait se connecter. Il s’agit d’une fonctionnalité de sécurité qui aide à se prémunir des attaques par usurpation d’identité. Cela se produit parce qu’une vue web système a été utilisée pour solliciter un jeton pour une application native. Pour éviter cette invite, l’URI de redirection doit faire partie de la liste approuvée suivante : http:// https:// chrome-extension:// (navigateur Chrome appareil de bureau uniquement) |
AADSTS51000 | RequiredFeatureNotEnabled : la fonctionnalité est désactivée. |
AADSTS51001 | DomainHintMustbePresent : l’indicateur de domaine doit être présent avec l’identificateur de sécurité local ou l’UPN local. |
AADSTS1000104 | XCB2BResourceCloudNotAllowedOnIdentityTenant : le cloud de ressources {resourceCloud} n’est pas autorisé sur le locataire d’identité {identityTenant}. {resourceCloud} : instance cloud propriétaire de la ressource. {identityTenant} : est le locataire à partir duquel l’identité de connexion provient. |
AADSTS51004 | UserAccountNotInDirectory : le compte d’utilisateur n’existe pas dans le répertoire. Une application a probablement choisi le mauvais locataire pour se connecter, et l’utilisateur actuellement connecté n’a pas pu le faire, car il n’existait pas dans votre locataire. Si cet utilisateur doit pouvoir se connecter, ajoutez-le en tant qu’invité. Pour plus d’informations, consultez ajouter des utilisateurs B2B. |
AADSTS51005 | TemporaryRedirect : l’équivalent de l’état HTTP 307, qui indique que les informations demandées se trouvent au niveau de l’URI spécifié dans l’en-tête Location. Lorsque vous recevez cet état, suivez l’en-tête Location associé à la réponse. Lorsque la méthode de requête d’origine est POST, la requête redirigée l’utilise également. |
AADSTS51006 | ForceReauthDueToInsufficientAuth : l’authentification Windows intégrée est nécessaire. L’utilisateur s’est connecté à l’aide d’un jeton de session ne contenant pas la revendication de l’authentification Windows intégrée. Demandez à l’utilisateur de se connecter à nouveau. |
AADSTS52004 | DelegationDoesNotExistForLinkedIn : l’utilisateur n’a pas donné son consentement pour l’accès aux ressources de LinkedIn. |
AADSTS53000 | DeviceNotCompliant : une stratégie d’accès conditionnel nécessite un appareil conforme, or l’appareil n’est pas conforme. L’utilisateur doit inscrire ses appareils auprès d’un fournisseur approuvé de gestion des périphériques mobiles, comme Intune. Pour plus d’informations, consultez Correction de l’appareil d’accès conditionnel. |
AADSTS53001 | DeviceNotDomainJoined : une stratégie d’accès conditionnel nécessite un appareil de jonction de domaine, or l’appareil n’est pas joint au domaine. Demandez à l’utilisateur d’utiliser un appareil de jonction de domaine. |
AADSTS53002 | ApplicationUsedIsNotAnApprovedApp : l’application utilisée n’est pas une application approuvée pour l’accès conditionnel. L’utilisateur doit utiliser une des options de la liste des applications approuvées afin d’obtenir l’accès. |
AADSTS53003 | BlockedByConditionalAccess : l’accès a été bloqué par des stratégies d’accès conditionnel. La stratégie d’accès n’autorise pas l’émission de jeton. Si c’est inattendu, consultez la stratégie d’accès conditionnel qui s’applique à cette requête dans le Portail Azure ou contactez votre administrateur. Pour plus d’informations, consultez résolution des problèmes de connexion avec accès conditionnel. |
AADSTS530035 | BlockedBySecurityDefaults : l’accès a été bloqué par les paramètres de sécurité par défaut. Cela est dû au fait que la requête utilise l’authentification héritée ou est considérée comme non sécurisée par les stratégies de sécurité par défaut. Pour plus d’informations, consultez les Stratégies de sécurité appliquées. |
AADSTS53004 | ProofUpBlockedDueToRisk – L'utilisateur doit terminer le processus d'enregistrement d'authentification multi-facteur avant d'accéder à ce contenu. L'utilisateur doit s'inscrire à l'authentification multi-facteur. |
AADSTS53010 | ProofUpBlockedDueToSecurityInfoAcr – Impossible de configurer les méthodes d'authentification multi-facteur car l'organisation exige que ces informations soient définies à partir d'emplacements ou d'appareils spécifiques. |
AADSTS53011 | Utilisateur bloqué en raison d’un risque sur le locataire de base. |
AADSTS530034 | DelegatedAdminBlockedDueToSuspiciousActivity : un administrateur délégué n’a pas pu accéder au locataire en raison du risque de compte dans son locataire de base. |
AADSTS54000 | MinorUserBlockedLegalAgeGroupRule |
AADSTS54005 | Le code d’autorisation OAuth2 a déjà été utilisé, réessayez avec un nouveau code valide ou utilisez un jeton d’actualisation existant. |
AADSTS65001 | DelegationDoesNotExist : L’utilisateur ou l’administrateur n’a pas accepté d’utiliser l’application avec ID X. Envoyez une requête d’autorisation interactive pour cet utilisateur et cette ressource. |
AADSTS65002 | Le consentement entre l’application du premier tiers '{applicationId}' et la ressource de la première partie '{resourceId}'doit être configuré par le biais de la pré-autorisation. Les applications détenues et gérées par Microsoft doivent obtenir l’approbation du propriétaire de l’API avant toute demande de jetons pour cette API. Un développeur de votre client tente peut-être de réutiliser un ID d’application appartenant à Microsoft. Cette erreur l’empêche d’usurper l’identité d’une application Microsoft pour appeler d’autres API. Il doit passer à une autre ID d’application qu’il inscrit. |
AADSTS65004 | UserDeclinedConsent : l’utilisateur a refusé de donner son consentement pour accéder à l’application. Demandez à l’utilisateur de réessayer de se connecter et de donner son consentement à l’application. |
AADSTS65005 | MisconfiguredApplication : La liste d’accès aux ressources requise par l’application ne contient pas d’applications détectables par la ressource, l’application cliente a demandé un accès à la ressource qui n’était pas spécifié dans sa liste d’accès aux ressources requise, ou bien le service Graph a retourné une requête incorrecte ou la ressource est introuvable. Si l'application prend en charge SAML, vous avez peut-être configuré l'application avec le mauvais identifiant (entité). Pour en savoir plus, consultez l’article sur la résolution des problèmes liés à l’erreur AADSTS650056. |
AADSTS650052 | L’application a besoin d’accéder à un service (\"{name}\") auquel votre organisation \"{organization}\" n’est pas abonnée ou qu’elle n’a pas activé. Contactez votre administrateur informatique pour examiner la configuration de vos abonnements de service. |
AADSTS650054 | L’application a demandé des autorisations pour accéder à une ressource qui a été supprimée ou qui n’est plus disponible. Assurez-vous que toutes les ressources que l’application appelle sont présentes dans le locataire dans lequel vous travaillez. |
AADSTS650056 | Application mal configurée. La raison peut être l’une des suivantes : le client n’a listé aucune autorisation pour « {name} » parmi les autorisations demandées dans l’inscription d’application du client. Ou l’administrateur n’a pas donné son consentement dans le locataire. Vous pouvez aussi vérifier l’identificateur d’application dans la requête pour vous assurer qu’il correspond à l’identificateur d’application cliente configuré. Sinon, vérifiez le certificat dans la demande pour vous assurer qu’il est valide. Contactez votre administrateur pour corriger la configuration ou donner le consentement au nom du locataire. ID de l’application cliente : {ID}. Contactez votre administrateur pour corriger la configuration ou donner le consentement au nom du locataire. |
AADSTS650057 | ressource non valide. Le client a demandé l’accès à une ressource qui n’est pas listée dans les autorisations demandées dans l’inscription d’application du client. ID d’application cliente : {appId} ({appName}). Valeur de la ressource à partir de la demande : {resource}. ID de l’application de la ressource : {resourceAppId}. Liste des ressources valides de l’inscription de l’application : {regList}. |
AADSTS67003 | ActorNotValidServiceIdentity |
AADSTS70000 | InvalidGrant : échec d’authentification. Le jeton d’actualisation n'est pas valide. L'erreur peut être due aux raisons suivantes :
|
AADSTS70001 | UnauthorizedClient : l’application est désactivée. Pour en savoir plus, consultez l’article sur la résolution des problèmes liés à l’erreur AADSTS70001. |
AADSTS700011 | UnauthorizedClientAppNotFoundInOrgIdTenant : l’application avec l’identificateur {appIdentifier} est introuvable dans le répertoire. Une application cliente a demandé un jeton à votre locataire, mais l’application cliente n’existe pas dans votre locataire, de sorte que l’appel a échoué. |
AADSTS70002 | InvalidClient : erreur de validation des informations d’identification. La clé secrète client (client_secret) spécifiée ne correspond pas à la valeur attendue pour ce client. Corrigez la clé secrète client, puis réessayez. Pour plus d’informations, consultez Utiliser le code d’autorisation pour demander un jeton d’accès. |
AADSTS700025 | InvalidClientPublicClientWithCredential : le client est public, donc ni « client_assertion » ni « client_secret » ne doivent être présentés. |
AADSTS700027 | La validation de la signature a échoué pour l’assertion cliente. Erreur du développeur : l’application tente de se connecter sans les paramètres d’authentification nécessaires ou corrects. |
AADSTS70003 | UnsupportedGrantType : l’application a retourné un type d’autorisation non pris en charge. |
AADSTS700030 | Certificat non valide : le nom d’objet du certificat n’est pas autorisé. Les SubjectNames/SubjectAlternativeNames (jusqu’à 10) dans le certificat de jeton sont : {certificateSubjects}. |
AADSTS70004 | InvalidRedirectUri : l’application a retourné un URI de redirection non valide. L’adresse de redirection spécifiée par le client ne correspond à aucune adresse configurée ni à aucune adresse de la liste d’approbation OIDC. |
AADSTS70005 | UnsupportedResponseType : l’application a renvoyé un type de réponse non pris en charge pour les raisons suivantes :
|
AADSTS700054 | Response_type « id_token » n’est pas activé pour l’application. L’application a demandé un jeton d’ID au point de terminaison d’autorisation, mais n’a pas activé l’octroi implicite de jeton d’ID. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Administrateur d’application cloud, puis accédez à Identité>Applications>Inscriptions d’applications. Sélectionnez votre application, puis sélectionnez Authentification. Sous Octroi implicite et flux hybrides, vérifiez que l’option Jetons d’ID est sélectionnée. |
AADSTS70007 | UnsupportedResponseMode : l’application a renvoyé une valeur non prise en charge pour response_mode lors de la requête d’un jeton. |
AADSTS70008 | ExpiredOrRevokedGrant : le jeton d’actualisation a expiré en raison d’une inactivité. Le jeton a été émis le XXX et il était inactif pendant un certain laps de temps. |
AADSTS700082 | ExpiredOrRevokedGrantInactiveToken : le jeton d’actualisation a expiré en raison d’une inactivité. Le jeton a été émis le {issueDate} et est resté inactif pendant {time}. Partie attendue du cycle de vie du jeton : l’utilisateur a passé une période prolongée sans utiliser l’application, de sorte que le jeton a expiré lorsque l’application a tenté de l’actualiser. |
AADSTS700084 | Le jeton d’actualisation ayant été délivré à une application monopage (SPA), il a une durée de vie fixe et limitée de {time}, laquelle ne peut pas être prolongée. Il a entre-temps expiré et une nouvelle demande de connexion doit être envoyée par la SPA à la page de connexion. Le jeton a été délivré le {issueDate}. |
AADSTS70011 | InvalidScope : la portée demandée par l’application n’est pas valide. |
AADSTS70012 | MsaServerError : une erreur de serveur s’est produite lors de l’authentification d’un utilisateur de compte de service administré (consommateur). Réessayez. Si le problème persiste, ouvrez un ticket de support. |
AADSTS70016 | AuthorizationPending : erreur de flux d’appareil d’OAuth 2.0. Une autorisation est en attente. L’appareil va réessayer l’interrogation de la requête. |
AADSTS70018 | BadVerificationCode : le code de vérification n’est pas valide, car l’utilisateur a saisi un code utilisateur incorrect pour le flux de code d’appareil. L’autorisation n’est pas approuvée. |
AADSTS70019 | CodeExpired : le code de vérification a expiré. Demandez à l’utilisateur de réessayer de se connecter. |
AADSTS70043 | BadTokenDueToSignInFrequency : le jeton d’actualisation a expiré ou n’est pas valide en raison des vérifications de la fréquence de connexion par l’accès conditionnel. Le jeton a été émis le {issueDate} et la durée de vie maximale autorisée pour cette demande est {time}. |
AADSTS75001 | BindingSerializationError : une erreur s’est produite lors de la liaison de message SAML. |
AADSTS75003 | UnsupportedBindingError : l’application a renvoyé une erreur relative à une liaison non prise en charge (impossible d’envoyer une réponse de protocole SAML via des liaisons autres que HTTP POST). |
AADSTS75005 | Saml2MessageInvalid : Microsoft Entra ne prend pas en charge les requêtes SAML envoyées par l’application pour l’authentification unique. Pour en savoir plus, consultez l’article sur la résolution des problèmes liés à l’erreur AADSTS75005. |
AADSTS7500514 | Impossible de trouver un type de réponse SAML pris en charge. Les types de réponse pris en charge sont « Response » (dans l’espace de noms XML « urn:oasis:names:tc:SAML:2.0:protocol ») ou « Assertion » (dans l’espace de noms XML « urn:oasis:names:tc:SAML:2.0:assertion »). Erreur de l’application : le développeur va gérer cette erreur. |
AADSTS750054 | SAMLRequest ou SAMLResponse doit être présent en tant que paramètres de la chaîne de requête dans la requête HTTP pour la liaison de redirection SAML. Pour en savoir plus, consultez l’article sur la résolution des problèmes liés à l’erreur AADSTS750054. |
AADSTS75008 | RequestDeniedError : la requête provenant de l’application a été refusée, car la requête SAML avait une destination inattendue. |
AADSTS75011 | NoMatchedAuthnContextInOutputClaims : la méthode d’authentification de l’utilisateur auprès du service ne correspond pas à la méthode d’authentification demandée. Pour en savoir plus, consultez l’article sur la résolution des problèmes liés à l’erreur AADSTS75011. |
AADSTS75016 | Saml2AuthenticationRequestInvalidNameIDPolicy : dans la requête d’authentification SAML2, NameIdPolicy n’est pas valide. |
AADSTS76021 | ApplicationRequiresSignedRequests : La demande envoyée par le client n’est pas signée alors que l’application nécessite des demandes signées |
AADSTS76026 | RequestIssueTimeExpired : IssueTime dans une requête d’authentification SAML2 a expiré. |
AADSTS80001 | OnPremiseStoreIsNotAvailable : l’agent d’authentification ne peut pas se connecter à Active Directory. Assurez-vous que les serveurs des agents sont membres de la même forêt Active Directory que les utilisateurs dont les mots de passe doivent être validés, et qu’ils peuvent se connecter à Active Directory. |
AADSTS80002 | OnPremisePasswordValidatorRequestTimedout : La requête de validation du mot de passe est arrivée à expiration. Vérifiez qu’Active Directory est disponible et répond aux requêtes des agents. |
AADSTS80005 | OnPremisePasswordValidatorUnpredictableWebException : une erreur inconnue s’est produite lors du traitement de la réponse provenant de l’agent d’authentification. Relancez la requête. Si le problème persiste, ouvrez un ticket de support pour plus d’informations sur l’erreur. |
AADSTS80007 | OnPremisePasswordValidatorErrorOccurredOnPrem : l’agent d’authentification n’est pas en mesure de valider le mot de passe de l’utilisateur. Consultez les journaux d’activité de l’agent pour plus d’informations, et vérifiez qu’Active Directory fonctionne comme prévu. |
AADSTS80010 | OnPremisePasswordValidationEncryptionException : l’agent d’authentification n’est pas en mesure de déchiffrer le mot de passe. |
AADSTS80012 | OnPremisePasswordValidationAccountLogonInvalidHours : les utilisateurs ont essayé de se connecter en dehors des heures autorisées (spécifiées dans Active Directory). |
AADSTS80013 | OnPremisePasswordValidationTimeSkew : La tentative d’authentification n’a pas abouti en raison du décalage de temps entre l’ordinateur exécutant l’agent d’authentification et Active Directory. Résolvez les problèmes de synchronisation. |
AADSTS80014 | OnPremisePasswordValidationAuthenticationAgentTimeout - La demande de validation a répondu après que le temps maximum écoulé a été dépassé. Ouvrez un ticket de support avec le code d’erreur, l’ID de corrélation et l’horodatage pour obtenir plus de détails sur cette erreur. |
AADSTS81004 | DesktopSsoIdentityInTicketIsNotAuthenticated : Échec de la tentative d’authentification Kerberos. |
AADSTS81005 | DesktopSsoAuthenticationPackageNotSupported : le package d’authentification n’est pas pris en charge. |
AADSTS81006 | DesktopSsoNoAuthorizationHeader : Aucun en-tête d’autorisation n’a été trouvé. |
AADSTS81007 | DesktopSsoTenantIsNotOptIn : le locataire n’est pas activé pour l’authentification unique transparente. |
AADSTS81009 | DesktopSsoAuthorizationHeaderValueWithBadFormat : Impossible de valider le ticket Kerberos de l’utilisateur. |
AADSTS81010 | DesktopSsoAuthTokenInvalid : l’authentification unique transparente a échoué, car le ticket Kerberos de l’utilisateur est arrivé à expiration ou n’est pas valide. |
AADSTS81011 | DesktopSsoLookupUserBySidFailed : impossible de trouver l’objet utilisateur à partir des informations contenues dans le ticket Kerberos de l’utilisateur. |
AADSTS81012 | DesktopSsoMismatchBetweenTokenUpnAndChosenUpn : l’utilisateur qui tente de se connecter à Microsoft Entra ID est différent de l’utilisateur connecté à l’appareil. |
AADSTS90002 | InvalidTenantName : le nom du locataire n’a pas été trouvé dans le magasin de données. Assurez-vous d’avoir l’ID de locataire correct. Le développeur de l’application reçoit cette erreur si son application tente de se connecter à un locataire que nous ne trouvons pas. Souvent, cela est dû au fait qu’une application intercloud a été utilisée sur le mauvais cloud, ou que le développeur a tenté de se connecter à un locataire dérivé d’une adresse e-mail, mais que le domaine n’est pas inscrit. |
AADSTS90004 | InvalidRequestFormat : le format de la demande est incorrect. |
AADSTS90005 | InvalidRequestWithMultipleRequirements : impossible de terminer la demande. La demande n’est pas valide car l’identificateur et l’indicateur de connexion ne peut pas être utilisés conjointement. |
AADSTS90006 | ExternalServerRetryableError : le service est temporairement indisponible. |
AADSTS90007 | InvalidSessionId : demande incorrecte. L’ID de la session précédente ne peut pas être analysé. |
AADSTS90008 | TokenForItselfRequiresGraphPermission : l’utilisateur ou l’administrateur n’a pas accepté d’utiliser l’application. Au minimum, l’application requiert l’accès à Microsoft Entra ID en spécifiant l’autorisation de connexion et de lecture du profil utilisateur. |
AADSTS90009 | TokenForItselfMissingIdenticalAppIdentifier : l’application demande un jeton pour elle-même. Ce scénario est pris en charge uniquement si la ressource spécifiée utilise l’ID d’application basé sur GUID. |
AADSTS90010 | NotSupported : impossible de créer l’algorithme. |
AADSTS9001023 | Le type d’autorisation n’est pas pris en charge sur les points de terminaison /common ou /consumers. Utilisez le point de terminaison /organizations ou propre au locataire. |
AADSTS90012 | RequestTimeout : la demandé a expiré. |
AADSTS90013 | InvalidUserInput : l’entrée de l’utilisateur n’est pas valide. |
AADSTS90014 | MissingRequiredField – ce code d'erreur peut apparaître dans divers cas lorsqu'un champ attendu n'est pas présent dans les informations d'identification. |
AADSTS900144 | Le corps de la requête doit contenir le paramètre : '{name}'. Erreur du développeur : l’application tente de se connecter sans les paramètres d’authentification nécessaires ou corrects. |
AADSTS90015 | QueryStringTooLong : la chaîne de la requête est trop longue. |
AADSTS90016 | MissingRequiredClaim : le jeton d’accès n’est pas valide. La revendication requise est manquante. |
AADSTS90019 | MissingTenantRealm : Microsoft Entra ID n’a pas pu déterminer l’identificateur de locataire à partir de la requête. |
AADSTS90020 | L’assertion SAML 1.1 ne contient pas l’ImmutableID de l’utilisateur. Erreur du développeur : l’application tente de se connecter sans les paramètres d’authentification nécessaires ou corrects. |
AADSTS90022 | AuthenticatedInvalidPrincipalNameFormat : le format du nom du principal n’est pas valide ou ne répond pas au format name[/host][@realm] attendu. Le nom du principal est requis, l’hôte et le domaine sont facultatifs et peuvent être définis sur la valeur Null. |
AADSTS90023 | InvalidRequest : la demande de service d’authentification n’est pas valide. |
AADSTS900236 | InvalidRequestSamlPropertyUnsupported : La propriété de requête d’authentification SAML « {nom_propriété} » n’est pas prise en charge et ne doit pas être définie. |
AADSTS9002313 | InvalidRequest - La requête est non valide ou incorrecte. - Le problème est la conséquence d’une erreur survenue au niveau de la requête à un point de terminaison donné. La suggestion pour corriger ce problème consiste à obtenir une trace Fiddler de l’erreur qui se produit et à vérifier si la requête est correctement mise en forme ou non. |
AADSTS9002332 | L’application '{principalId}'({principalName}) est configurée pour être utilisée uniquement par des utilisateurs Microsoft Entra. N’utilisez pas le point de terminaison /consumers pour traiter cette demande. |
AADSTS90024 | RequestBudgetExceededError : une erreur temporaire s’est produite. Réessayez. |
AADSTS90027 | Nous ne pouvons pas émettre de jetons à partir de cette version d’API sur le locataire MSA. Contactez le fournisseur de l’application, car il doit utiliser la version 2.0 du protocole pour la prendre en charge. |
AADSTS90033 | MsodsServiceUnavailable : Microsoft Online Directory Service (MSODS) n’est pas disponible. |
AADSTS90036 | MsodsServiceUnretryableFailure : une erreur inattendue et non renouvelable provenant du service WCF hébergé par MSODS s’est produite. Ouvrez un ticket de support pour plus d’informations sur l’erreur. |
AADSTS90038 | NationalCloudTenantRedirection : le locataire spécifié « Y » appartient au Cloud National « X ». L’instance de cloud actuelle « Z » n’est pas fédérée avec X. Une erreur de redirection de cloud est retournée. |
AADSTS900384 | La validation de la signature du jeton JWT a échoué. Le contenu réel du message est spécifique à l'exécution. Il existe diverses causes à cette erreur. Veuillez consulter le message d'exception renvoyé pour plus de détails. |
AADSTS90043 | NationalCloudAuthCodeRedirection : la fonctionnalité est désactivée. |
AADSTS900432 | Le client confidentiel n’est pas pris en charge dans une requête intercloud. |
AADSTS90051 | InvalidNationalCloudId : l’identificateur de cloud national contient un identificateur de cloud non valide. |
AADSTS90055 | TenantThrottlingError : il y a un trop grand nombre de requêtes entrantes. Cette exception est levée pour les locataires bloqués. |
AADSTS90056 | BadResourceRequest : pour utiliser le code pour un jeton d’accès, l’application doit envoyer une requête POST au point de terminaison /token . En outre, avant cela, vous devez fournir un code d’autorisation et l’envoyer dans la requête POST au point de terminaison /token . Consultez cet article pour avoir une vue d’ensemble du flux du code d’autorisation OAuth 2.0. Dirigez l’utilisateur vers le point de terminaison /authorize , qui retournera un code d’autorisation. En publiant une requête pour le point de terminaison /token , l’utilisateur obtient le jeton d’accès. Vérifiez Inscriptions d’applications > Points de terminaison pour confirmer que les deux points de terminaison ont été configurés correctement. |
AADSTS900561 | BadResourceRequestInvalidRequest : le point de terminaison accepte uniquement les demandes {valid_verbs}. Nous avons reçu une demande {invalid_verb}. {valid_verbs} représente une liste de verbes HTTP pris en charge par le point de terminaison (par exemple, POST), {invalid_verb} est un verbe HTTP utilisé dans la requête actuelle (par exemple, GET). Cela peut être dû à une erreur du développeur ou au fait que les utilisateurs appuient sur le bouton Précédent dans leur navigateur, ce qui déclenche une demande incorrecte. Vous pouvez ignorer ce message. |
AADSTS90072 | PassThroughUserMfaError : le compte externe avec lequel l’utilisateur se connecte n’existe pas sur le locataire auquel il s’était connecté ; par conséquent, l’utilisateur ne peut pas remplir les exigences d’authentification multifacteur pour le locataire. Cette erreur peut également se produire si les utilisateurs sont synchronisés, mais qu’il existe une incompatibilité dans l’attribut ImmutableID (sourceAnchor) entre Active Directory et Microsoft Entra ID. Le compte doit d’abord être ajouté comme utilisateur externe dans le locataire. Déconnectez-vous et connectez-vous avec un autre compte d’utilisateur Microsoft Entra. Pour plus d’informations, consultez Configuration des identités externes. |
AADSTS90081 | OrgIdWsFederationMessageInvalid : une erreur s’est produite lorsque le service a tenté de traiter un message WS-Federation. Le message n’est pas valide. |
AADSTS90082 | OrgIdWsFederationNotSupported : la stratégie d’authentification sélectionnée pour la demande n’est pas prise en charge actuellement. |
AADSTS90084 | OrgIdWsFederationGuestNotAllowed : les comptes invités ne sont pas autorisés pour ce site. |
AADSTS90085 | OrgIdWsFederationSltRedemptionFailed : le service ne peut pas émettre un jeton car l’objet de l’entreprise n’a pas encore été provisionné. |
AADSTS90086 | OrgIdWsTrustDaTokenExpired : le jeton DA de l’utilisateur a expiré. |
AADSTS90087 | OrgIdWsFederationMessageCreationFromUriFailed : une erreur s’est produite lors de la création du message WS-Federation à partir de l’URI. |
AADSTS90090 | GraphRetryableError : le service est temporairement indisponible. |
AADSTS90091 | GraphServiceUnreachable |
AADSTS90092 | GraphNonRetryableError |
AADSTS90093 | GraphUserUnauthorized : graphique retourné avec un code d’erreur interdit pour la demande. |
AADSTS90094 | AdminConsentRequired : le consentement de l’administrateur est requis. |
AADSTS900382 | Le client confidentiel n’est pas pris en charge dans une requête intercloud. |
AADSTS90095 | AdminConsentRequiredRequestAccess : dans le cadre du flux de travail du consentement de l’administrateur, une interruption s’affiche lorsque l’utilisateur est informé qu’il doit demander son consentement à l’administrateur. |
AADSTS90099 | L’application « {appId} » ({appName}) n’a pas été autorisée dans le locataire « {tenant} ». Les applications doivent être autorisées à accéder au tenant externe avant de pouvoir être utilisées par les administrateurs délégués partenaires. Fournissez un préconsentement ou exécutez l’API appropriée de l’Espace partenaires pour autoriser l’application. |
AADSTS900971 | Aucune adresse de réponse n’est fournie. |
AADSTS90100 | InvalidRequestParameter : le paramètre est vide ou non valide. |
AADSTS901002 | AADSTS901002 : le paramètre de requête « resource » n’est pas pris en charge. |
AADSTS90101 | InvalidEmailAddress : les données fournies ne correspondent pas à une adresse e-mail valide. L’adresse e-mail doit être au format someone@example.com . |
AADSTS90102 | InvalidUriParameter : la valeur doit être un URI absolu valide. |
AADSTS90107 | InvalidXml : la demande n’est pas valide. Assurez-vous que vos données ne comportent aucun caractère non valide. |
AADSTS90112 | L’identificateur d’application est censé être un GUID. |
AADSTS90114 | InvalidExpiryDate : l’horodatage d’expiration du jeton en bloc entraînera l’émission d’un jeton expiré. |
AADSTS90117 | InvalidRequestInput |
AADSTS90119 | InvalidUserCode : le code de l’utilisateur est null ou vide. |
AADSTS90120 | InvalidDeviceFlowRequest : la demande a déjà été autorisée ou refusée. |
AADSTS90121 | InvalidEmptyRequest : demande vide non valide. |
AADSTS90123 | IdentityProviderAccessDenied : le jeton ne peut pas être émis car le fournisseur de l’identité ou de l’émission de la revendication a refusé la demande. |
AADSTS90124 | V1ResourceV2GlobalEndpointNotSupported : la ressource n’est pas prise en charge sur les points de terminaison /common ou /consumers . Utilisez plutôt /organizations ou le point de terminaison propre au locataire. |
AADSTS90125 | DebugModeEnrollTenantNotFound : utilisateur introuvable dans le système. Assurez-vous que vous avez correctement entré le nom de l’utilisateur. |
AADSTS90126 | DebugModeEnrollTenantNotInferred : le type d’utilisateur n’est pas pris en charge sur ce point de terminaison. Le système ne peut pas déduire le locataire de l’utilisateur à partir de son nom. |
AADSTS90130 | NonConvergedAppV2GlobalEndpointNotSupported : l’application n’est pas prise en charge sur les points de terminaison /common ou /consumers . Utilisez plutôt /organizations ou le point de terminaison propre au locataire. |
AADSTS120000 | PasswordChangeIncorrectCurrentPassword |
AADSTS120002 | PasswordChangeInvalidNewPasswordWeak |
AADSTS120003 | PasswordChangeInvalidNewPasswordContainsMemberName |
AADSTS120004 | PasswordChangeOnPremComplexity |
AADSTS120005 | PasswordChangeOnPremSuccessCloudFail |
AADSTS120008 | PasswordChangeAsyncJobStateTerminated : une erreur non renouvelable s’est produite. |
AADSTS120011 | PasswordChangeAsyncUpnInferenceFailed |
AADSTS120012 | PasswordChangeNeedsToHappenOnPrem |
AADSTS120013 | PasswordChangeOnPremisesConnectivityFailure |
AADSTS120014 | PasswordChangeOnPremUserAccountLockedOutOrDisabled |
AADSTS120015 | PasswordChangeADAdminActionRequired |
AADSTS120016 | PasswordChangeUserNotFoundBySspr |
AADSTS120018 | PasswordChangePasswordDoesnotComplyFuzzyPolicy |
AADSTS120020 | PasswordChangeFailure |
AADSTS120021 | PartnerServiceSsprInternalServiceError |
AADSTS130004 | NgcKeyNotFound : la clé d’identification NGC de l’utilisateur principal n’est pas configurée. |
AADSTS130005 | NgcInvalidSignature : la vérification de la signature de la clé NGC a échoué. |
AADSTS130006 | NgcTransportKeyNotFound : la clé de transport NGC n’est pas configurée sur l’appareil. |
AADSTS130007 | NgcDeviceIsDisabled : l’appareil est désactivé. |
AADSTS130008 | NgcDeviceIsNotFound : l’appareil référencé par la clé NGC est introuvable. |
AADSTS135010 | KeyNotFound |
AADSTS135011 | L’appareil utilisé pendant l’authentification est désactivé. |
AADSTS140000 | InvalidRequestNonce : aucune valeur à usage unique n’est fournie pour la demande. |
AADSTS140001 | InvalidSessionKey : la clé de session n’est pas valide. |
AADSTS165004 | Le contenu du message réel est spécifique au runtime. Consultez le message de l'exception renvoyé pour obtenir plus d'informations. |
AADSTS165900 | InvalidApiRequest : demande non valide. |
AADSTS220450 | UnsupportedAndroidWebViewVersion : la version de Chrome WebView n’est pas prise en charge. |
AADSTS220501 | InvalidCrlDownload |
AADSTS221000 | DeviceOnlyTokensNotSupportedByResource : la ressource n’est pas configurée pour accepter des jetons d’appareil uniquement. |
AADSTS240001 | BulkAADJTokenUnauthorized : l’utilisateur n’est pas autorisé à inscrire des appareils dans Microsoft Entra ID. |
AADSTS240002 | RequiredClaimIsMissing : id_token ne peut pas être utilisé comme octroi urn:ietf:params:oauth:grant-type:jwt-bearer . |
AADSTS501621 | ClaimsTransformationTimeoutRegularExpressionTimeout : le remplacement des expressions régulières pour la transformation des revendications a expiré. Ce message indique qu’une expression régulière trop complexe a peut-être été configurée pour cette application. Il est possible qu’une nouvelle tentative de la requête aboutisse. Sinon, contactez votre administrateur pour corriger la configuration. |
AADSTS530032 | BlockedByConditionalAccessOnSecurityPolicy : l’administrateur de locataire a configuré une stratégie de sécurité qui bloque cette requête. Vérifiez les stratégies de sécurité définies au niveau du locataire pour déterminer si votre requête répond aux exigences de la stratégie. |
AADSTS700016 | UnauthorizedClient_DoesNotMatchRequest : l’application est introuvable dans le répertoire/locataire. Cela peut se produire si l’application n’a pas été installée par l’administrateur du locataire ni acceptée par un utilisateur dans le locataire. Vous avez peut-être configuré de manière incorrecte la valeur d’identificateur de l’application ou envoyé votre requête d’authentification à un locataire incorrect. |
AADSTS700020 | InteractionRequired : l’octroi d’accès nécessite une interaction. |
AADSTS700022 | InvalidMultipleResourcesScope : la valeur fournie pour l’étendue du paramètre d’entrée n’est pas valide car elle contient plusieurs ressources. |
AADSTS700023 | InvalidResourcelessScope : la valeur fournie pour l’étendue du paramètre d’entrée n’est pas valide pour demander un jeton d’accès. |
AADSTS7000215 | La clé secrète client fournie n’est pas valide. Erreur du développeur : l’application tente de se connecter sans les paramètres d’authentification nécessaires ou corrects. |
AADSTS7000218 | Le corps de la requête doit contenir le paramètre « client_assertion » ou « client_secret ». |
AADSTS7000222 | InvalidClientSecretExpiredKeysProvided : les clés secrètes client fournies ont expiré. Visitez le portail Azure pour créer de nouvelles clés pour votre application. Sinon, nous vous recommandons d’utiliser des informations d’identification de certificat pour renforcer la sécurité : https://aka.ms/certCreds |
AADSTS700229 | ForbiddenTokenType : seuls les jetons d’application uniquement peuvent servir comme informations d’identification d’identité fédérée pour un émetteur Microsoft Entra. Utilisez un jeton d’accès d’application uniquement (généré pendant un flux des informations d’identification du client) plutôt qu’un jeton d’accès délégué par l’utilisateur (représentant une requête provenant d’un contexte utilisateur). |
AADSTS700005 | InvalidGrantRedeemAgainstWrongTenant : le code d’autorisation fourni est destiné à être utilisé auprès d’un autre locataire et a donc été rejeté. Le code d’autorisation OAuth2 doit être échangé auprès du même locataire pour lequel il a été acquis (/common ou /{tenant-ID}, le cas échéant) |
AADSTS1000000 | UserNotBoundError : l’API Bind nécessite que l’utilisateur Microsoft Entra s’authentifie également auprès d’un fournisseur d’identité externe, ce qui n’a pas encore été effectué. |
AADSTS1000002 | BindCompleteInterruptError : la liaison s’est terminée correctement, mais l’utilisateur doit être informé. |
AADSTS100007 | Les régions Microsoft Entra prennent UNIQUEMENT en charge l’authentification pour les fichiers MSI ou pour les demandes de MSAL à l’aide de SN+I pour les applications 1P ou 3P dans les locataires de l’infrastructure Microsoft. |
AADSTS1000031 | L’application {appDisplayName} n’est pas accessible pour l’instant. Contactez votre administrateur. |
AADSTS7000112 | UnauthorizedClientApplicationDisabled : l’application est désactivée. |
AADSTS7000114 | L’application « appIdentifier » n’est pas autorisée à effectuer des appels au nom de l’application. |
AADSTS7500529 | La valeur « SAMLId-GUID » n’est pas un ID SAML valide : Microsoft Entra ID utilise cet attribut pour remplir l’attribut InResponseTo de la réponse retournée. L’ID ne doit pas commencer par un nombre. Vous pouvez donc suivre la stratégie courante qui consiste à ajouter une chaîne de type « ID » devant la représentation sous forme de chaîne d’un GUID. Par exemple, id6c1c178c166d486687be4aaf5e482730 est un ID valide. |
AADSTS9002341 | V2Error : invalid_grant – L’utilisateur doit autoriser l’authentification unique (SSO). Cette erreur se produit lorsque l’utilisateur n’a pas accordé les autorisations nécessaires à l’application pour effectuer l’authentification unique. L’utilisateur doit être redirigé vers l’écran de consentement pour accorder les autorisations nécessaires. Pour plus d’informations, consultez cette annonce. » |
Étapes suivantes
- Vous avez une question ou vous ne trouvez pas ce que vous recherchez ? Créez un problème GitHub ou consultez Options d’aide et de support pour les développeurs pour en savoir plus sur les autres méthodes vous permettant d’obtenir de l’aide et un support.