Коды ошибок при аутентификации и авторизации Microsoft Entra

Вам нужна информация о кодах ошибок AADSTS, которые возвращаются службой маркеров безопасности Microsoft Entra? В этом документе приводятся описания ошибок AADSTS, методы их исправления и некоторые рекомендации по обходным путям.

Примечание.

Эта информация является предварительной и подлежит изменению. У вас есть вопрос или не можете найти нужную информацию? Создайте запрос в GitHub или изучите статью Возможности получения поддержки и справки для разработчиков, чтобы узнать о других способах получения поддержки и справки.

Эта документация предназначена для разработчиков и администраторов, но не должна быть ни в коем случае доступна клиенту. Коды ошибок могут быть изменены в любое время для предоставления более детализированных сообщений об ошибках, которые помогут разработчику при создании приложения. Приложения, зависящие от текста или номера кода ошибки, со временем потеряют актуальность.

Просмотр сведений о текущем коде ошибки

Коды ошибок и сообщения могут изменяться. Для получения самых актуальных сведений ознакомьтесь со страницей https://login.microsoftonline.com/error, чтобы найти описания ошибок, исправления и некоторые возможные обходные пути AADSTS.

Например, если получен код ошибки "AADSTS50058", выполните поиск по запросу "50058" в https://login.microsoftonline.com/error. Можно также напрямую связать с определенной ошибкой, добавив номер кода ошибки к URL-адресу: https://login.microsoftonline.com/error?code=50058.

Обработка кодов ошибок в приложении

Спецификация OAuth 2.0 содержит рекомендации по обработке ошибок во время проверки подлинности с помощью части error ответа на ошибку.

Ниже приведен пример ответа на ошибку:

{
  "error": "invalid_scope",
  "error_description": "AADSTS70011: The provided value for the input parameter 'scope' isn't valid. The scope https://example.contoso.com/activity.read isn't valid.\r\nTrace ID: 0000aaaa-11bb-cccc-dd22-eeeeee333333\r\nCorrelation ID: aaaa0000-bb11-2222-33cc-444444dddddd\r\nTimestamp: 2016-01-09 02:02:12Z",
  "error_codes": [
    70011
  ],
  "timestamp": "2016-01-09 02:02:12Z",
  "trace_id": "0000aaaa-11bb-cccc-dd22-eeeeee333333",
  "correlation_id": "aaaa0000-bb11-2222-33cc-444444dddddd", 
  "error_uri":"https://login.microsoftonline.com/error?code=70011"
}
Параметр Описание
error Строка кода ошибки, которую нужно использовать для классификации типов возникающих ошибок и реагирования на них.
error_description Конкретное сообщение об ошибке, с помощью которого разработчик может определить причину возникновения ошибки проверки подлинности. Никогда не используйте это поле для реагирования на ошибку в коде.
error_codes Список кодов ошибок, характерных для службы маркеров безопасности, которые могут помочь при диагностике.
timestamp Возвращает время, в течение которого произошла ошибка.
trace_id Уникальный идентификатор для запроса, который может помочь при диагностике.
correlation_id Уникальный идентификатор для запроса, который может помочь при диагностике нескольких компонентов.
error_uri Ссылка на страницу поиска ошибок с дополнительными сведениями об ошибке. Это только для использования разработчиком, не предоставляйте его пользователям. Предоставляется только в том случае, если в системе поиска ошибок содержатся дополнительные сведения об ошибке — не вся ошибка содержит дополнительные сведения.

Поле error имеет несколько возможных значений. Ознакомьтесь со ссылками на документацию по протоколам и спецификациями OAuth 2.0, чтобы узнать больше о конкретных ошибках (например, authorization_pending в потоке кода устройства) и о том, как реагировать на них. Некоторые из наиболее распространенных перечислены здесь:

Код ошибки Description Действие клиента
invalid_request Ошибка протокола, например отсутствует обязательный параметр. Исправьте запрос и отправьте его повторно.
invalid_grant Некоторые материалы для проверки подлинности (код проверки подлинности, маркер обновления, маркер доступа, запрос PKCE) были недопустимыми, недоступными для анализа, отсутствующими или непригодными для использования другим способом. Попробуйте новый запрос к конечной точке /authorize, чтобы получить новый код авторизации. Рассмотрите возможность просмотра и проверки использования протоколов приложением.
unauthorized_client У клиента, прошедшего проверку подлинности, нет прав на использование этого типа предоставления разрешения проверки подлинности. Обычно это происходит, когда клиентское приложение не зарегистрировано в идентификаторе Microsoft Entra или не добавляется в клиент Microsoft Entra пользователя. Приложение может предложить пользователю инструкцию по установке приложения и его добавлению в идентификатор Microsoft Entra.
invalid_client Сбой проверки подлинности клиента. Недопустимые учетные данные клиента. Чтобы устранить эту проблему, администратор приложения обновляет учетные данные.
unsupported_grant_type Сервер авторизации не поддерживает тип предоставления авторизации. Измените тип предоставления в запросе. Ошибка этого типа должна происходить только во время разработки, и ее должны обнаружить при первоначальном тестировании.
invalid_resource Целевой ресурс недопустим, так как он не существует, идентификатор Microsoft Entra id не может найти его или неправильно настроен. Это означает, что ресурс, если он существует, не настроен в клиенте. Приложение может предложить пользователю инструкцию по установке приложения и его добавлению в идентификатор Microsoft Entra. Во время разработки это обычно указывает на неправильно настроенный тестовый клиент или опечатку в имени запрашиваемой области.
interaction_required Для запроса требуется взаимодействие с пользователем. К примеру, требуется другой шаг проверки подлинности. Повторите запрос с тем же ресурсом в интерактивном режиме, чтобы пользователь мог выполнить все необходимые проблемы.
temporarily_unavailable Сервер временно занят и не может обработать запрос. Повторите запрос. Из клиентского приложения может поступить сообщение о том, что его ответ задерживается из-за временного состояния.

Коды ошибок AADSTS

Ошибка Описание
AADSTS16000 InteractionRequired — учетная запись пользователя "{EmailHidden}" от поставщика удостоверений "{idp}" не существует в клиенте "{tenant}" и не может получить доступ к приложению "{appid}" ({appName}) в этом клиенте. Эта учетная запись должна быть добавлена в качестве внешнего пользователя в клиенте. Выйдите и войдите еще раз с помощью другой учетной записи пользователя Microsoft Entra. Эта ошибка довольно распространена при попытке входа в Центр администрирования Microsoft Entra с помощью личной учетной записи Майкрософт и без каталога, связанного с ним.
AADSTS16001 UserAccountSelectionInvalid — эта ошибка возникает, если пользователь выбирает плитку, в которую логика выбора сеанса отклонена. Когда возникает эта ошибка, пользователю предоставляется возможность выбрать плитку сеанса из обновленного списка или выбрать другую учетную запись. Эта ошибка может возникнуть из-за дефекта кода или состояния гонки.
AADSTS16002 AppSessionSelectionInvalid — требование безопасности, указанное приложением, не было выполнено.
AADSTS160021 AppSessionSelectionInvalidSessionNotExist — приложение запросило сеанс пользователя, который не существует. Эту проблему можно устранить, создав новую учетную запись Azure.
AADSTS16003 SsoUserAccountNotFoundInResourceTenant: пользователь не был явно добавлен в клиент.
AADSTS17003 CredentialKeyProvisioningFailed — идентификатор Microsoft Entra не может подготовить ключ пользователя.
AADSTS20001 WsFedSignInResponseError — возникла проблема с федеративным поставщиком удостоверений. Чтобы решить эту проблему, обратитесь к поставщику удостоверений.
AADSTS20012 WsFedMessageInvalid — возникла проблема с федеративным поставщиком удостоверений. Чтобы решить эту проблему, обратитесь к поставщику удостоверений.
AADSTS20033 FedMetadataInvalidTenantName — возникла проблема с федеративным поставщиком удостоверений. Чтобы решить эту проблему, обратитесь к поставщику удостоверений.
AADSTS230109 CachedCredentialNonGWAuthNRequestsNotSupported — служба резервного копирования поддерживает только запросы AuthN из шлюза Microsoft Entra. Эта ошибка возвращается, когда трафик предназначен для службы резервной проверки подлинности напрямую, а не через обратный прокси-сервер.
AADSTS28002 Указано недопустимое значение области входных параметров {scope} при запрашивании маркера доступа. Укажите допустимую область.
AADSTS28003 Предоставленное значение для области входного параметра не может быть пустым при запросе маркера доступа с использованием предоставленного кода авторизации. Укажите допустимую область.
AADSTS40008 OAuth2IdPUnretryableServerError — возникла проблема с федеративным поставщиком удостоверений. Чтобы решить эту проблему, обратитесь к поставщику удостоверений.
AADSTS40009 OAuth2IdPRefreshTokenRedemptionUserError — возникла проблема с федеративным поставщиком удостоверений. Чтобы решить эту проблему, обратитесь к поставщику удостоверений.
AADSTS40010 OAuth2IdPRetryableServerError — возникла проблема с федеративным поставщиком удостоверений. Чтобы решить эту проблему, обратитесь к поставщику удостоверений.
AADSTS40015 OAuth2IdPAuthCodeRedemptionUserError — возникла проблема с федеративным поставщиком удостоверений. Чтобы решить эту проблему, обратитесь к поставщику удостоверений.
AADSTS50000 TokenIssuanceError — возникла проблема со службой входа. Чтобы решить эту проблему, отправьте запрос в службу поддержки.
AADSTS50001 InvalidResource — запрошенный ресурс отключен или не существует. Проверьте код приложения и убедитесь, что вы указали правильный URL-адрес ресурса, к которому пытаетесь получить доступ.
AADSTS50002 NotAllowedTenant: не удалось войти из-за ограниченного доступа к прокси на клиенте. Если это ваша собственная политика клиента, вы можете устранить проблему, изменив параметры ограниченного доступа к клиенту.
AADSTS500011 InvalidResourceServicePrincipalNotFound — субъект-ресурс с именем {name} не найден в клиенте с именем {tenant}. Это может произойти, если приложение установил не администратор клиента или если пользователь в клиенте не предоставил к нему разрешение. Возможно, вы отправили запрос на проверку подлинности в другой клиент. Если вы ожидаете, что приложение будет установлено, может потребоваться предоставить администратору разрешения для его добавления. Ознакомьтесь с разработчиками ресурса и приложения, чтобы понять, что такое правильная настройка для вашего клиента.
AADSTS500014 InvalidResourceServicePrincipalDisabled — субъект-служба для ресурса "{идентификатор}" отключен. Это означает, что подписка в клиенте истекла или что администратор этого клиента отключил субъект-службу приложения, предотвращая выдачу маркеров для него. Дополнительные сведения см. в разделе "Отключить вход пользователя для приложения".
AADSTS500021 Доступ к клиенту "{tenant}" запрещен. AADSTS500021 указывает, что функция ограничения арендатора настроена и пользователь пытается получить доступ к арендатору, который не входит в список разрешенных арендаторов, указанных в заголовке Restrict-Access-To-Tenant. Дополнительные сведения см. в статье Использование ограничений клиента для управления доступом к облачным приложениям SaaS.
AADSTS500022 Доступ к клиенту "{tenant}" запрещен. AADSTS500022 указывает, что функция ограничения арендатора настроена и пользователь пытается получить доступ к арендатору, который не входит в список разрешенных арендаторов, указанных в заголовке Restrict-Access-To-Tenant. Дополнительные сведения см. в статье Использование ограничений клиента для управления доступом к облачным приложениям SaaS.
AADSTS50003 MissingSigningKey: не удалось войти из-за отсутствия ключа или сертификата для подписи. Возможно, в приложении не настроен ключ подписывания. Дополнительные сведения см. в статье об устранении неполадок по коду ошибки AADSTS50003. Если проблемы не удалось решить, обратитесь к владельцу или администратору приложения.
AADSTS50005 DevicePolicyError — пользователь пытался войти на устройство с платформы, не поддерживаемой в настоящее время с помощью политики условного доступа.
AADSTS50006 InvalidSignature: не удалось проверить подпись по причине ее недействительности.
AADSTS50007 PartnerEncryptionCertificateMissing — сертификат шифрования партнера не найден для этого приложения. Чтобы решить эту проблему, отправьте запрос в службу поддержки Майкрософт.
AADSTS50008 InvalidSamlToken — в маркере отсутствует или неправильно настроено утверждение SAML. Обратитесь к федеративному поставщику.
AADSTS5000224 NotAllowedTenantBlockedTenantFraud . К сожалению, этот ресурс недоступен. Если вы видите это сообщение по ошибке, обратитесь в службу поддержки Майкрософт.
AADSTS5000819 InvalidSamlTokenEmailMissingOrInvalid — утверждение SAML недопустимо. Утверждение адреса электронной почты отсутствует или не соответствует домену из внешней области.
AADSTS50010 AudienceUriValidationFailed — для приложения не удалось проверить URI аудитории, так как аудитории маркеров не настроены.
AADSTS50011 InvalidReplyTo — обратный адрес отсутствует, неправильно настроен или не соответствует обратным адресам, настроенным для приложения. Как решение гарантирует, чтобы добавить этот отсутствующий адрес ответа в приложение Microsoft Entra или у кого-то есть разрешения на управление приложением в Microsoft Entra IF это для вас. Дополнительные сведения см. в статье об устранении неполадок AADSTS50011.
AADSTS50012 AuthenticationFailed — сбой проверки подлинности по одной из следующих причин:
  • не авторизовано имя субъекта сертификата для подписи;
  • Для имени авторизованного субъекта не найдена соответствующая политика доверенного центра
  • недопустимая цепочка сертификатов;
  • недействительный сертификат для подписи;
  • в клиенте не настроена политика;
  • не авторизован отпечаток сертификата для подписи;
  • утверждение клиента содержит недопустимую подпись.
AADSTS50013 InvalidAssertion . Утверждение недопустимо из-за различных причин. Издатель токена не соответствует версии API в пределах допустимого диапазона времени -просроченный -неправильный. Маркер обновления в утверждении не является основным маркером обновления. Обратитесь к разработчику приложений.
AADSTS500133 Утверждение не в пределах допустимого диапазона времени. Убедитесь, что маркер доступа не истек, прежде чем использовать его для утверждения пользователя или запросить новый маркер. Текущее время: {curTime}, время истечения срока действия утверждения {expTime}. Утверждение недопустимо из-за различных причин:
  • Издатель токенов не соответствует версии API в пределах допустимого диапазона времени.
  • Срок действия истек
  • Уродливый
  • Маркер обновления в утверждении не является основным маркером обновления
AADSTS50014 GuestUserInPendingState — учетная запись пользователя не существует в каталоге. Скорее всего, приложение выбрало неправильный клиент для входа, и вошедший в систему пользователь не смог сделать это, так как он не существовал в вашем клиенте. Если этот пользователь сможет войти в систему, добавьте их в качестве гостя. Дополнительные сведения см . в разделе "Добавление пользователей B2B".
AADSTS50015 ViralUserLegalAgeConsentRequiredState: требуется подтверждение совершеннолетия пользователя.
AADSTS50017 CertificateValidationFailed — сбой проверки сертификации по одной из следующих причин:
  • не удалось найти сертификат поставщика в списке доверенных сертификатов;
  • не удалось найти ожидаемый сегмент CrlSegment;
  • не удалось найти сертификат поставщика в списке доверенных сертификатов;
  • точка распространения разностного CRL настроена без соответствующей точки распространения CRL;
  • не удалось получить допустимые сегменты CRL из-за истечения времени ожидания;
  • не удалось скачать CRL.
Обратитесь к администратору клиента.
AADSTS50020 UserUnauthorized — пользователи не имеют разрешения для вызова этой конечной точки. Учетная запись пользователя "{email}" от поставщика удостоверений "{idp}" не существует в клиенте "{tenant}" и не может получить доступ к приложению "{appid}" ({appName}) в этом клиенте. Эта учетная запись должна быть добавлена в качестве внешнего пользователя в клиенте. Выйдите и войдите еще раз с помощью другой учетной записи пользователя Microsoft Entra. Если этот пользователь должен быть членом клиента, он должен быть приглашен через систему B2B. Дополнительные сведения см . в AADSTS50020.
AADSTS500208 Домен не является допустимым доменом входа для типа учетной записи. Эта ситуация возникает, когда учетная запись пользователя не соответствует ожидаемому типу учетной записи для данного клиента. Например, если клиент настроен на разрешение только рабочих или учебных учетных записей, а пользователь пытается войти с помощью личной учетной записи Майкрософт, он получит эту ошибку.
AADSTS500212 NotAllowedByOutboundPolicyTenant — администратор пользователя установил политику исходящего трафика, которая не позволяет получить доступ к арендатору ресурса.
AADSTS500213 NotAllowedByInboundPolicyTenant — политика доступа между арендаторами для арендатора ресурса не позволяет этому пользователю получить доступ к этому арендатору.
AADSTS50027 InvalidJwtToken: недопустимый маркер JWT. Возможные причины:
  • отсутствует утверждение nonce, вложенное утверждение;
  • несовпадение идентификаторов субъектов;
  • повторяющееся утверждение в утверждениях idToken;
  • непредвиденный издатель;
  • непредвиденная аудитория;
  • не в пределах допустимого диапазона времени
  • Формат токена не является правильным
  • Внешний идентификатор маркера от издателя не прошел проверку подписи.
AADSTS50029 Недопустимый URI — доменное имя содержит недопустимые символы. Обратитесь к администратору клиента.
AADSTS50032 WeakRsaKey — обозначает попытку пользователя использовать слабый ключ RSA.
AADSTS50033 RetryableError — обозначает временную ошибку, которая не связана с операциями базы данных.
AADSTS50034 UserAccountNotFound — чтобы войти в приложение, учетная запись должна быть добавлена в каталог. Эта ошибка может возникать, так как пользователь неправильно ввел имя пользователя или не входит в клиент. Возможно, приложение выбрало неправильный клиент для входа, и вошедший в систему пользователь не смог сделать это, так как он не существовал в вашем клиенте. Если этот пользователь должен иметь возможность войти в систему, добавьте их в качестве гостя. См. здесь: добавление пользователей B2B.
AADSTS50042 UnableToGeneratePairwiseIdentifierWithMissingSalt — случайные данные, необходимые для создания парного идентификатора, отсутствует в принципе. Обратитесь к администратору клиента.
AADSTS50043 UnableToGeneratePairwiseIdentifierWithMultipleSalts
AADSTS50048 SubjectMismatchesIssuer — субъект не соответствует утверждению издателя в утверждении клиента. Обратитесь к администратору клиента.
AADSTS50049 NoSuchInstanceForDiscovery — неизвестный или недопустимый экземпляр.
AADSTS50050 MalformedDiscoveryRequest: неправильный формат запроса.
AADSTS50053 Эта ошибка может привести к двум разным причинам:
  • IdsLocked — учетная запись заблокирована из-за большого количества попыток входа с неправильным идентификатором пользователя или паролем. Пользователь заблокирован из-за повторяющихся попыток входа. См. раздел Устранение рисков и разблокирование пользователей.
  • Либо вход был заблокирован, так как он осуществлялся с IP-адреса, связанного с вредоносной активностью.

Чтобы определить, какая причина сбоя вызвала эту ошибку, войдите в Центр администрирования Microsoft Entra по крайней мере администратор облачных приложений. Перейдите к клиенту Microsoft Entra, а затем мониторинг и работоспособность —>журналы входа. Найдите неудачный вход пользователя с кодом ошибки входа 50053 и проверьте причину сбоя.
AADSTS50055 InvalidPasswordExpiredPassword — истек срок действия пароля. Срок действия пароля пользователя истек, поэтому действие его имени для входа или сеанса было прекращено. Они будут предложены возможность сбросить его или попросить администратора сбросить его с помощью пароля пользователя с помощью идентификатора Microsoft Entra.
AADSTS50056 Недопустимый или пустой пароль: в каталоге нет пароля для этого пользователя. Пользователю нужно предложить ввести пароль еще раз.
AADSTS50057 UserDisabled — учетная запись пользователя отключена. Объект-пользователь в Active Directory, используемый для этой учетной записи, отключен. Администратор может повторно включить эту учетную запись с помощью PowerShell.
AADSTS50058 UserInformationNotProvided — сведений о сеансе недостаточно для выполнения единого входа. Это означает, что пользователь не выполнил вход. Это распространенная ошибка, которая ожидается, когда пользователь не прошел проверку подлинности и еще не выполнил вход.
Если эта ошибка обнаружена в контексте единого входа, в котором пользователь ранее выполнил вход, это означает, что сеанс единого входа не найден или недопустим.
Эта ошибка может быть возвращена приложению, если указан запрос=нет.
AADSTS50059 MissingTenantRealmAndNoUserInformationProvided . Сведения об идентификации клиента не найдены в запросе или подразумеваются указанными учетными данными. Пользователь может обратиться за помощью к администратору клиента.
AADSTS50061 SignoutInvalidRequest — не удалось завершить выход. Запрос был недопустим.
AADSTS50064 CredentialAuthenticationError: сбой проверки учетных данных пользователя или пароля.
AADSTS50068 SignoutInitiatorNotParticipant — сбой выхода. Приложение, инициирующее выход, не является участником в текущем сеансе.
AADSTS50070 SignoutUnknownSessionIdentifier — сбой выхода. В запросе на выход задается идентификатор имени, который не соответствует существующим сеансам.
AADSTS50071 SignoutMessageExpired: срок действия запроса на выход истек.
AADSTS50072 UserStrongAuthEnrollmentRequiredInterrupt — пользователь должен зарегистрироваться для двухфакторной (интерактивной) проверки подлинности.
AADSTS50074 UserStrongAuthClientAuthNRequiredInterrupt — требуется строгая проверка подлинности, но пользователь не прошел проверку с запросом защиты MFA.
AADSTS50076 UserStrongAuthClientAuthAuthNRequired . Из-за изменения конфигурации, внесенных администратором, например политикой условного доступа, принудительного применения для каждого пользователя или из-за перехода в новое расположение, пользователь должен использовать многофакторную проверку подлинности для доступа к ресурсу. Создайте новый запрос авторизации для доступа к ресурсу.
AADSTS50078 UserStrongAuthExpired— срок действия многофакторной проверки подлинности истек из-за политик, настроенных администратором. Чтобы получить доступ к {resource}, необходимо обновить многофакторную проверку подлинности.
AADSTS50079 UserStrongAuthEnrollmentRequired . Из-за изменений конфигурации, внесенных администратором, например политикой условного доступа, принудительного применения для каждого пользователя или из-за того, что пользователь переехал в новое расположение, пользователь должен использовать многофакторную проверку подлинности. Для завершения многофакторной проверки подлинности необходимо зарегистрировать управляемый пользователь, или федеративный пользователь должен получить многофакторное утверждение от федеративного поставщика удостоверений.
AADSTS50085 Для маркера обновления требуется имя входа IDP для социальных сетей. Пользователям следует выполнить повторную попытку входа с помощью имени пользователя и пароля.
AADSTS50086 SasNonRetryableError
AADSTS50087 SasRetryableError — во время строгой проверки подлинности произошла временная ошибка. Повторите попытку.
AADSTS50088 Достигнуто предельное число телекоммуникационных вызовов MFA. Повторите попытку через несколько минут.
AADSTS50089 Сбой проверки подлинности из-за истечения срока действия маркера потока. Ожидаемая ситуация — срок действия кодов проверки подлинности, маркеров обновления и сеансов истекает с течением времени либо их отменяет пользователь или администратор. Приложение запросит новое имя входа у пользователя.
AADSTS50097 DeviceAuthenticationRequired — требуется проверка подлинности устройства.
AADSTS50099 PKeyAuthInvalidJwtUnauthorized — недопустимая подпись JWT.
AADSTS50105 EntitlementGrantsNotFound — выполнившему вход пользователю не назначена роль для приложения, в которое выполнен вход. Назначьте пользователю роль для этого приложения. Дополнительные сведения см. в статье об устранении неполадок AADSTS50105.
AADSTS50107 InvalidRealmUri — запрошенный объект области федерации не существует. Обратитесь к администратору клиента.
AADSTS50120 ThresholdJwtInvalidJwtFormat — проблема с заголовком JWT. Обратитесь к администратору клиента.
AADSTS50124 ClaimsTransformationInvalidInputParameter — преобразование утверждений содержит недопустимый входной параметр. Обратитесь к администратору клиента, чтобы обновить политику.
AADSTS501241 Обязательный вход "{paramName}", отсутствующий из идентификатора преобразования "{transformId}". Эта ошибка возвращается, когда идентификатор Microsoft Entra пытается создать ответ SAML на приложение. Утверждение NameID или NameIdentifier является обязательным в ответе SAML, и если идентификатор Microsoft Entra ID не удалось получить исходный атрибут для утверждения NameID, он возвращает эту ошибку. В качестве разрешения убедитесь, что вы добавляете правила утверждений. Чтобы добавить правила утверждений, войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений, а затем перейдите к приложениям Identity>Applications>Enterprise. Выберите приложение, выберите единый вход , а затем в разделе "Атрибуты пользователя" и "Утверждения " введите уникальный идентификатор пользователя (идентификатор имени).
AADSTS50125 PasswordResetRegistrationRequiredInterrupt: вход был прерван из-за записи о сбросе пароля или регистрации пароля.
AADSTS50126 InvalidUserNameOrPassword — ошибка при проверке учетных данных из-за недействительного имени пользователя или пароля. Пользователь ввел неправильные учетные данные. Ожидается, что в журналах отображается некоторое количество этих ошибок из-за ошибок пользователей.
AADSTS50127 BrokerAppNotInstalled — пользователю нужно установить приложение брокера для получения доступа к этому содержимому.
AADSTS50128 Недопустимое доменное имя — не найдены идентификационные сведения о клиенте в запросе или предоставленных учетных данных.
AADSTS50129 DeviceIsNotWorkplaceJoined — для регистрации устройства требуется подключение к рабочему месту.
AADSTS50131 ConditionalAccessFailed — обозначает различные ошибки условного доступа, например неверное состояние устройства Windows, блокировку запроса из-за подозрительной активности, решений политики доступа или политики безопасности.
AADSTS50132 SsoArtifactInvalidOrExpired — сеанс не является допустимым из-за истечения срока действия пароля или недавней смены пароля.
AADSTS50133 SsoArtifactRevoked — сеанс не является допустимым из-за истечения срока действия пароля или недавней смены пароля.
AADSTS50134 DeviceFlowAuthorizeWrongDatacenter: неправильный центр обработки данных. Чтобы авторизовать запрос, инициированный приложением в потоке устройств OAuth 2.0, субъект должен находиться в том же центре обработки данных, что и исходный запрос.
AADSTS50135 PasswordChangeCompromisedPassword — требуется смена пароля из-за наличия риска для учетной записи.
AADSTS50136 RedirectMsaSessionToApp — обнаружен один сеанс MSA.
AADSTS50139 SessionMissingMsaOAuth2RefreshToken: сеанс является недопустимым из-за отсутствия внешнего маркера обновления.
AADSTS50140 KmsiInterrupt — эта ошибка происходит из-за прерывания режима "Оставаться в системе" при входе пользователя. Это ожидаемая часть потока входа, где пользователю будет предложено остаться вошедшем в текущий браузер, чтобы упростить дальнейшие входы. Дополнительные сведения см. в статье "Новые возможности входа в Microsoft Entra" и "Сохранение входа в систему". Чтобы получить дополнительные сведения, можно отправить запрос в службу поддержки, указав в нем идентификатор корреляции, идентификатор запроса и код ошибки.
AADSTS50143 Несоответствие сеанса — сеанс недопустимый, так как арендатор пользователя не соответствует указанию домена из-за того, что указаны разные ресурсы. Чтобы получить дополнительные сведения, отправьте запрос в службу поддержки, указав в нем идентификатор корреляции, идентификатор запроса и код ошибки.
AADSTS50144 InvalidPasswordExpiredOnPremPassword — истек срок действия пароля Active Directory для пользователя. Создайте для этого пользователя новый пароль или попросите его применить средство самостоятельного сброса пароля.
AADSTS50146 MissingCustomSigningKey — в приложении необходимо настроить ключ подписывания для конкретного приложения. Он либо не настроен с одним, либо ключ истек или еще не действителен. Обратитесь к владельцу приложения.
AADSTS501461 AcceptMappedClaims поддерживается только для аудитории токенов, соответствующей GUID приложения или аудитории в проверенных доменах клиента. Измените идентификатор ресурса или используйте ключ подписи для конкретного приложения.
AADSTS50147 MissingCodeChallenge — недопустимый размер параметра запроса кода.
AADSTS501481 Значение Code_Verifier не соответствует значению code_challenge, указанному в запросе на авторизацию.
AADSTS501491 InvalidCodeChallengeMethodInvalidSize — недопустимый размер параметра Code_Challenge.
AADSTS50155 DeviceAuthenticationFailed — проверка подлинности устройства для этого пользователя завершилась сбоем.
AADSTS50158 ExternalSecurityChallenge — не пройдена проверка с внешним запросом защиты.
AADSTS50161 InvalidExternalSecurityChallengeConfiguration — недостаточно утверждений, отправленных внешним поставщиком, или отсутствует запрос на утверждение внешнего поставщика.
AADSTS50166 ExternalClaimsProviderThrottled: не удалось отправить запрос поставщику утверждений.
AADSTS50168 ChromeBrowserSsoInterruptRequired — клиент поддерживает получение маркера единого входа через расширение учетных записей Windows 10, но этот маркер отсутствует в запросе или срок действия указанного маркера истек.
AADSTS50169 InvalidRequestBadRealm — область не настроена для текущего пространства имен службы.
AADSTS50170 MissingExternalClaimsProviderMapping: отсутствует сопоставление внешних элементов управления.
AADSTS50173 FreshTokenNeeded — срок действия предоставленного разрешения истек, так как он был отозван, и требуется новый маркер проверки подлинности. Администратор или пользователь отозвал маркеры для этого пользователя, что приводит к тому, что последующие маркеры обновляются в случае сбоя и это требует повторной проверки подлинности. Попросите пользователя снова войти.
AADSTS50177 ExternalChallengeNotSupportedForPassthroughUsers — внешний запрос не поддерживается для пользователей в сквозном режиме.
AADSTS50178 SessionControlNotSupportedForPassthroughUsers — управление сеансом не поддерживается для пользователей в сквозном режиме.
AADSTS50180 WindowsIntegratedAuthMissing — требуется встроенная проверка подлинности Windows. Включите в клиенте простой единый вход.
AADSTS50187 DeviceInformationNotProvided: служба не смогла выполнить проверку подлинности устройства.
AADSTS50192 Недопустимый запрос — RawCredentialExpectedNotFound — учетные данные не были включены в запрос на вход. Пример: пользователь выполняет проверку подлинности на основе сертификатов (CBA) и сертификат не отправляется (или прокси-сервер удаляет) сертификат пользователя в запросе на вход.
AADSTS50194 Приложение "{appId}"({appName}) не настроено в качестве мультитенантного приложения. Использование конечной точки /common не поддерживается для таких приложений, созданных после {time}. Используйте конечную точку для конкретного клиента или настройте приложение для мультитенантного использования.
AADSTS50196 LoopDetected — обнаружен клиентский цикл. Проверьте логику приложения, чтобы убедиться в том, что кэширование маркеров реализовано и что ошибочные условия обрабатываются правильно. Приложение сделало слишком много одинаковых запросов за слишком короткий период, что означает, что оно находится в состоянии сбоя или запрашивает маркеры слишком активно.
AADSTS50197 ConflictingIdentities — не удалось найти пользователя. Повторите попытку входа.
AADSTS50199 CmsiInterrupt — по соображениям безопасности для этого запроса требуется подтверждение пользователя. Прерывание отображается для всех перенаправлений схем в мобильных браузерах.
Действия не требуется. Пользователю было предложено подтвердить, что это приложение, в которое они намерены войти.
Это функция безопасности, которая помогает предотвратить атаки спуфингов. Это происходит из-за того, что системное веб-представление использовалось для запроса маркера для собственного приложения.
Чтобы избежать этого запроса, URI перенаправления должен быть частью следующего безопасного списка:
http://
https://
chrome-extension:// (только браузер Chrome для настольных систем)
AADSTS51000 RequiredFeatureNotEnabled: компонент отключен.
AADSTS51001 DomainHintMustbePresent — должно присутствовать указание домена с локальным идентификатором безопасности или локальным именем участника-пользователя.
AADSTS1000104 XCB2BResourceCloudNotAllowedOnIdentityTenant — облако ресурса {resourceCloud} не разрешено в арендаторе удостоверений {identityTenant}. {resourceCloud} — облачный экземпляр, которому принадлежит ресурс. {identityTenant} — арендатор, из которого создается удостоверение для входа.
AADSTS51004 UserAccountNotInDirectory — учетная запись пользователя не существует в каталоге. Скорее всего, приложение выбрало неправильный клиент для входа, и вошедший в систему пользователь не смог сделать это, так как он не существовал в вашем клиенте. Если этот пользователь должен иметь возможность войти в систему, добавьте их в качестве гостя. Дополнительные сведения см . в разделе "Добавление пользователей B2B".
AADSTS51005 TemporaryRedirect — этот эквивалент HTTP-состояния 307 обозначает, что запрашиваемые данные расположены в URI, указанном в заголовке location. Получив такое состояние, переходите по адресу, указанному в заголовке location ответа. Если для исходного запроса использовался метод POST, перенаправляемый запрос также должен использовать метод POST.
AADSTS51006 ForceReauthDueToInsufficientAuth — требуется встроенная проверка подлинности Windows. Пользователь вошел с маркером сеанса, в котором отсутствует утверждение для встроенной проверки подлинности Windows. Попросите пользователя повторить попытку входа.
AADSTS52004 DelegationDoesNotExistForLinkedIn — пользователь не предоставил согласие на доступ к ресурсам LinkedIn.
AADSTS53000 DeviceNotCompliant — политики условного доступа требуют наличия соответствующего устройства, а это устройство не соответствует требованиям. Пользователю нужно зарегистрировать свое устройство у утвержденного поставщика MDM, например Intune. Дополнительные сведения см . в статье об исправлении устройства условного доступа.
AADSTS53001 DeviceNotDomainJoined — политика условного доступа требует наличия присоединенного к домену устройства, а это устройство не присоединено к домену. Потребуйте, чтобы пользователь использовал присоединенное к домену устройство.
AADSTS53002 ApplicationUsedIsNotAnApprovedApp — используемое приложение не утверждено для использования условного доступа. Чтобы получить доступ, нужно использовать приложение, входящее в список утвержденных.
AADSTS53003 BlockedByConditionalAccess — доступ заблокирован политиками условного доступа. Политика доступа не разрешает выдачу маркеров. Если это непредвиденное, ознакомьтесь с политикой условного доступа, применяемой к этому запросу, или обратитесь к администратору. Дополнительные сведения см . в статье об устранении неполадок входа с помощью условного доступа.
AADSTS530035 BlockedBySecurityDefaults — доступ заблокирован по умолчанию. Это связано с запросом с использованием устаревшей проверки подлинности или считается небезопасным по политикам безопасности по умолчанию. Дополнительные сведения см . в политиках безопасности.
AADSTS53004 ProofUpBlockedDueToRisk — пользователю необходимо завершить процесс регистрации многофакторной проверки подлинности перед доступом к этому содержимому. Пользователь должен зарегистрировать для многофакторной проверки подлинности.
AADSTS53010 ProofUpBlockedDueToSecurityInfoAcr — не удается настроить методы многофакторной проверки подлинности, так как для организации требуется задать эти сведения из определенных расположений или устройств.
AADSTS53011 Пользователь заблокирован из-за риска в домашнем клиенте.
AADSTS530034 ДелегатAdminBlockedDueToSuspiciousActivity — делегированный администратор был заблокирован доступ к клиенту из-за риска учетной записи в своем домашнем клиенте.
AADSTS54000 MinorUserBlockedLegalAgeGroupRule
AADSTS54005 Код авторизации OAuth2 уже был активирован, повторите попытку с новым допустимым кодом или используйте существующий маркер обновления.
AADSTS65001 ДелегированиеDoesNotExist — пользователь или администратор не предоставил согласие на использование приложения с идентификатором X. Отправьте интерактивный запрос авторизации для этого пользователя и ресурса.
AADSTS65002 Согласие между собственным приложением "{applicationId}" и собственным ресурсом "{resourceId}" должно реализовываться путем предварительной авторизации. Приложения, которыми владеет и которые обслуживает корпорация Майкрософт, должны получить утверждение от владельца API, прежде чем запрашивать маркеры для этого API. Разработчик в клиенте может пытаться повторно использовать идентификатор приложения, принадлежащий корпорации Майкрософт. Эта ошибка предотвращает попытку олицетворения приложения Майкрософт для вызова других интерфейсов API. Они должны перейти на другой идентификатор приложения, который они регистрируют.
AADSTS65004 UserDeclinedConsent — пользователь отказался предоставить согласие на доступ к приложению. Пользователю нужно повторить попытку входа и дать согласие на доступ к приложению.
AADSTS65005 MisconfiguredApplication. Список доступа к ресурсам, необходимый приложению, не содержит приложений, обнаруженных ресурсом, или клиентское приложение запрашивало доступ к ресурсу, который не был указан в списке доступа к необходимым ресурсам или службе Graph, возвращенный неправильным запросом или ресурсом не найден. Если приложение поддерживает SAML, возможно, вы настроили приложение с неправильным идентификатором (сущность). Дополнительные сведения см. в статье об устранении неполадок AADSTS650056.
AADSTS650052 Приложению требуется доступ к службе (\"{name}\") , на которую ваша организация \"{organization}\" не подписана или включена. Обратитесь к вашему ИТ-админу для просмотра конфигурации подписок на службу.
AADSTS650054 Приложение запросило разрешения на доступ к ресурсу, который был удален или больше не доступен. Убедитесь, что все ресурсы, которые вызывает приложение, находятся в арендаторе, где вы работаете.
AADSTS650056 Неправильно настроенное приложение. Это может быть вызвано одной из следующих причин: клиент не предоставил разрешения для "{name}" в запрошенных разрешениях при регистрации клиентского приложения. Или администратор не предоставил согласие в арендаторе. Либо проверьте идентификатор приложения в запросе и убедитесь, что он соответствует настроенному идентификатору клиентского приложения. Или же проверьте сертификат в запросе, чтобы убедиться, что он действителен. Обратитесь к администратору, чтобы исправить конфигурацию или согласие от имени клиента. Идентификатор клиентского приложения: {ID}. Обратитесь к администратору, чтобы исправить конфигурацию или согласие от имени клиента.
AADSTS650057 Invalid resource. Клиент запросил доступ к ресурсу, который не указан в запрошенных разрешениях при регистрации клиентского приложения. Идентификатор клиентского приложения: {appId}({appName}). Значение ресурса из запроса: {resource}. Идентификатор приложения ресурса: {resourceAppId}. Список допустимых ресурсов из регистрации приложения: {regList}.
AADSTS67003 ActorNotValidServiceIdentity
AADSTS70000 InvalidGrant — сбой проверки подлинности. Маркер обновления является недопустимым. Ошибка может быть вызвана следующими причинами:
  • заголовок привязки в маркере пуст;
  • хэш привязки маркера не совпадает с ожидаемым.
AADSTS70001 UnauthorizedClient — приложение отключено. Дополнительные сведения см. в статье об устранении неполадок AADSTS70001.
AADSTS700011 UnauthorizedClientAppNotFoundInOrgIdTenant — Приложение с идентификатором {appIdentifier} не найдено в каталоге. Клиентское приложение запрашивает маркер от клиента, но клиентское приложение не существует в вашем клиенте, поэтому вызов завершился ошибкой.
AADSTS70002 InvalidClient — ошибка при проверке учетных данных. Указанное значение client_secret не соответствует ожидаемому значению для этого клиента. Исправьте значение client_secret и повторите попытку. Дополнительные сведения см. в разделе Использование кода авторизации для запроса маркера доступа.
AADSTS700025 InvalidClientPublicClientWithCredential — клиент является общедоступным, поэтому не следует представлять ни "client_assertion", ни "client_secret".
AADSTS700027 Сбой проверки подписи на утверждение клиента. Ошибка разработчика — приложение пытается выполнить вход без необходимых или правильных параметров проверки подлинности.
AADSTS70003 UnsupportedGrantType — приложение вернуло недопустимый тип предоставления разрешения.
AADSTS700030 Недопустимый сертификат — имя субъекта в сертификате не авторизовано. SubjectNames или SubjectAlternativeNames (до 10) в сертификате маркера: {certificateSubjects}.
AADSTS70004 InvalidRedirectUri — приложение вернуло недопустимый URI перенаправления. Адрес перенаправления, указанный с помощью клиента, не соответствует ни одному настроенному адресу или же не совпадает ни с одним из адресов в списке адресов, утвержденных OIDC.
AADSTS70005 UnsupportedResponseType — приложение вернуло неподдерживаемый тип ответа. Возможные причины:
  • для приложения не включен тип ответа token;
  • для типа ответа id_token требуется область OpenID — содержит неподдерживаемое значение параметра OAuth в кодировке wctx.
AADSTS700054 Response_type id_token не включен для приложения. Приложение запросило токен идентификатора из конечной точки авторизации, однако для него не включено неявное предоставление разрешения для токена идентификатора. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений, а затем перейдите к приложениям> удостоверений>Регистрация приложений. Выберите приложение и выберите проверку подлинности. В разделе "Неявное предоставление и гибридные потоки" убедитесь, что выбраны маркеры идентификатора .
AADSTS70007 UnsupportedResponseMode — приложение вернуло неподдерживаемое значение response_mode при запросе маркера.
AADSTS70008 ExpiredOrRevokedGrant — истек срок действия маркера обновления из-за отсутствия активности. Маркер был выдан XXX и не использовался в течение определенного времени.
AADSTS700082 ExpiredOrRevokedGrantInactiveToken — срок действия маркера обновления истек из-за неактивности. Маркер был выдан в {issueDate} и неактивен для {time}. Ожидаемая часть жизненного цикла маркера — пользователь пошел длительный период времени без использования приложения, поэтому срок действия маркера истек, когда приложение попыталось обновить его.
AADSTS700084 Маркер обновления был выдан одностраничному приложению и, следовательно, имеет фиксированное, ограниченное время существования {time}, которое нельзя продлить. Срок действия истек, и на страницу входа одностраничное приложение должно отправить новый запрос на вход. Дата выдачи маркера: {issueDate}.
AADSTS70011 InvalidScope — приложение запрашивает недопустимую область.
AADSTS70012 MsaServerError — при проверке подлинности пользователя (объекта-получателя) MSA произошла ошибка сервера. Повторите попытку. Если по-прежнему происходит сбой, отправьте запрос в службу поддержки
AADSTS70016 AuthorizationPending — ошибка с расширением OAuth 2.0 Device Flow. Ожидается авторизация. Устройство будет повторять опрашивающие запросы.
AADSTS70018 BadVerificationCode — пользователь ввел неправильный код проверки для потока кода авторизации устройства. Авторизация не утверждена.
AADSTS70019 CodeExpired — истек срок действия кода проверки. Попросите пользователя выполнить вход еще раз.
AADSTS70043 BadTokenDueToSignInFrequency — срок действия маркера обновления истек или недопустим из-за проверки частоты входа с помощью условного доступа. Маркер был выдан {issueDate}, а максимально допустимое время существования для этого запроса — {time}.
AADSTS75001 BindingSerializationError — ошибка в процессе привязки сообщений SAML.
AADSTS75003 UnsupportedBindingError — приложение вернуло сообщение об ошибке, которая связана с неподдерживаемой привязкой (ответ протокола SAML невозможно отправить с помощью привязок, отличных от HTTP POST).
AADSTS75005 Saml2MessageInvalid — Microsoft Entra не поддерживает запрос SAML, отправленный приложением для единого входа. Дополнительные сведения см. в статье об устранении неполадок AADSTS75005.
AADSTS7500514 Поддерживаемый тип ответа SAML не найден. Поддерживаются следующие типы ответов: "Response" (в пространстве имен XML 'urn:oasis:names:tc:SAML:2.0:protocol') или "Assertion" (в пространстве имен XML 'urn:oasis:names:tc:SAML:2.0:assertion'). Ошибка приложения — разработчик будет реагировать на эту ошибку.
AADSTS750054 Чтобы выполнить привязку перенаправления SAML, в параметрах строки запроса HTTP должен быть указан параметр SAMLRequest или SAMLResponse. Дополнительные сведения см. в статье об устранении неполадок AADSTS750054.
AADSTS75008 RequestDeniedError — запрос от приложения отклонен, так как назначение запроса SAML отличается от ожидаемого.
AADSTS75011 NoMatchedAuthnContextInOutputClaims — метод проверки подлинности, примененный пользователем для службы, не соответствует запрошенному. Дополнительные сведения см. в статье об устранении неполадок AADSTS75011.
AADSTS75016 Saml2AuthenticationRequestInvalidNameIDPolicy — запрос проверки подлинности SAML2 имеет недопустимое значение NameIdPolicy.
AADSTS76021 ApplicationRequiresSignedRequests— запрос, отправленный клиентом, не подписан, пока приложению требуются подписанные запросы.
AADSTS76026 RequestIssueTimeExpired — issueTime в запросе проверки подлинности SAML2 истек срок действия.
AADSTS80001 OnPremiseStoreIsNotAvailable — агенту проверки подлинности не удалось подключиться к Active Directory. Убедитесь, что серверы агентов являются членами того же леса, что и пользователи, чьи пароли должны быть проверены, и могут подключиться к Active Directory.
AADSTS80002 OnPremisePasswordValidatorRequestTimedout — истекло время ожидания запроса на проверку пароля. Убедитесь, что Active Directory доступен и отвечает на запросы от агентов.
AADSTS80005 OnPremisePasswordValidatorUnpredictableWebException — неизвестная ошибка при обработке ответа от агента проверки подлинности. Повторите запрос. Если ошибку не удалось устранить, отправьте запрос в службу поддержки, чтобы получить дополнительные сведения об этой ошибке.
AADSTS80007 OnPremisePasswordValidatorErrorOccurredOnPrem — агенту проверки подлинности не удалось проверить пароль пользователя. Найдите дополнительные сведения в журналах агентов и убедитесь, что Active Directory работает должным образом.
AADSTS80010 OnPremisePasswordValidationEncryptionException — агенту проверки подлинности не удалось расшифровать пароль.
AADSTS80012 OnPremisePasswordValidationAccountLogonInvalidHours — пользователи пытались войти в систему вне допустимого диапазона времени (который указан в AD).
AADSTS80013 OnPremisePasswordValidationTimeSkew — попытка проверки подлинности не может быть завершена из-за временных отклонений между компьютером, на котором выполняется агент проверки подлинности и AD. Устраните проблемы с синхронизацией времени.
AADSTS80014 OnPremisePasswordValidationAuthenticationAgentTimeout — запрос проверки ответил после превышения максимального времени. Откройте запрос в службу поддержки с кодом ошибки, идентификатором корреляции и меткой времени, чтобы получить дополнительные сведения об этой ошибке.
AADSTS81004 DesktopSsoIdentityInTicketIsNotAuthenticated — сбой при попытке проверки подлинности Kerberos.
AADSTS81005 DesktopSsoAuthenticationPackageNotSupported — пакет проверки подлинности не поддерживается.
AADSTS81006 DesktopSsoNoAuthorizationHeader — не найден заголовок авторизации.
AADSTS81007 DesktopSsoTenantIsNotOptIn — для арендатора не включен простой единый вход.
AADSTS81009 DesktopSsoAuthorizationHeaderValueWithBadFormat — не удалось проверить билет Kerberos пользователя.
AADSTS81010 DesktopSsoAuthTokenInvalid — не удалось выполнить простой единый вход, так как срок действия билета Kerberos пользователя истек или этот билет недопустим.
AADSTS81011 DesktopSsoLookupUserBySidFailed — не удалось найти объект пользователя на основе сведений в билете Kerberos пользователя.
AADSTS81012 DesktopSsoMismatchBetweenTokenUpnAndChosenUpn — пользователь, пытающийся войти в Microsoft Entra ID, отличается от пользователя, вошедшего на устройство.
AADSTS90002 InvalidTenantName — имя клиента не найдено в хранилище данных. Убедитесь, что идентификатор клиента указан правильно. Разработчик приложений получит эту ошибку, если приложение пытается войти в клиент, который не удается найти. Зачастую это связано с тем, что межоблачное приложение использовалось в неправильном облаке или разработчик пытался войти в клиент, производный от адреса электронной почты, но домен не зарегистрирован.
AADSTS90004 InvalidRequestFormat — неправильный формат запроса.
AADSTS90005 InvalidRequestWithMultipleRequirements: не удалось выполнить запрос. Запрос является недопустимым, так как идентификатор и маркер входа нельзя использовать вместе.
AADSTS90006 ExternalServerRetryableError: служба временно недоступна.
AADSTS90007 InvalidSessionId: неверный запрос. Не удается проанализировать переданный идентификатор сеанса.
AADSTS90008 TokenForItselfRequiresGraphPermission: пользователь или администратор не согласились на использование приложения. По крайней мере, приложению требуется доступ к идентификатору Microsoft Entra, указав разрешение на вход и чтение профиля пользователя.
AADSTS90009 TokenForItselfMissingIdenticalAppIdentifier: приложение запрашивает маркер для себя. Этот сценарий поддерживается, только если указанный ресурс использует идентификатор приложения на основе GUID.
AADSTS90010 NotSupported: не удается создать алгоритм.
AADSTS9001023 Тип предоставленного разрешения не поддерживается в конечных точках /common и /consumers. Используйте конечную точку /organizations или специальную конечную точку для арендатора.
AADSTS90012 RequestTimeout: время ожидания запроса истекло.
AADSTS90013 InvalidUserInput — пользователь ввел недопустимые данные.
AADSTS90014 MissingRequiredField — этот код ошибки может отображаться в различных случаях, когда ожидаемое поле отсутствует в учетных данных.
AADSTS900144 Текст запроса должен содержать следующий параметр: {name}. Ошибка разработчика — приложение пытается выполнить вход без необходимых или правильных параметров проверки подлинности.
AADSTS90015 QueryStringTooLong: слишком длинная строка запроса.
AADSTS90016 MissingRequiredClaim: недопустимый маркер доступа. Отсутствует обязательное утверждение.
AADSTS90019 MissingTenantRealm — идентификатор Microsoft Entra не удалось определить идентификатор клиента из запроса.
AADSTS90020 В утверждении SAML 1.1 отсутствует ImmutableID пользователя. Ошибка разработчика — приложение пытается выполнить вход без необходимых или правильных параметров проверки подлинности.
AADSTS90022 AuthenticatedInvalidPrincipalNameFormat — неправильный формат имени субъекта или не соблюдается ожидаемый формат name[/host][@realm]. Имя субъекта является обязательным, узел и область являются необязательными и могут иметь значение NULL.
AADSTS90023 InvalidRequest — недопустимый запрос службы проверки подлинности.
AADSTS900236 InvalidRequestSamlPropertyUnsupported. Свойство запроса проверки подлинности SAML "{propertyName}" не поддерживается и не должно быть задано.
AADSTS9002313 InvalidRequest — запрос имеет неправильный формат или является недопустимым. - Проблема возникает, так как с запросом к определенной конечной точке возникла ошибка. Предложение этой проблемы заключается в том, чтобы получить трассировку fiddler об ошибке и проверить правильность форматирования запроса или нет.
AADSTS9002332 Приложение "{principalId}"({principalName}) настроено только для пользователей Microsoft Entra. Не используйте конечную точку /consumers для обслуживания этого запроса.
AADSTS90024 RequestBudgetExceededError: произошла случайная ошибка. Повторите попытку.
AADSTS90027 Не удалось выдать маркеры из этой версии API в арендаторе MSA. Обратитесь к поставщику приложения, так как для поддержки этой возможности должен использоваться протокол версии 2.0.
AADSTS90033 MsodsServiceUnavailable — служба каталогов Microsoft Online (MSODS) недоступна.
AADSTS90036 MsodsServiceUnretryableFailure: произошла непредвиденная, неповторяемая ошибка службы WCF, размещенной в MSODS. Чтобы получить дополнительные сведения об ошибке, отправьте запрос в службу поддержки.
AADSTS90038 NationalCloudTenantRedirection — указанный клиент "Y" принадлежит национальному облаку "X". Текущий экземпляр облака "Z" не имеет федерации с "X". Возвращается ошибка перенаправления облачной службы.
AADSTS900384 Сбой проверки подписи токена JWT. Фактическое содержимое сообщения зависит от среды выполнения, существует множество причин для этой ошибки. Дополнительные сведения см. в сообщении об возвращенных исключениях.
AADSTS90043 NationalCloudAuthCodeRedirection: компонент отключен.
AADSTS900432 Конфиденциальный клиент не поддерживается в запросе между облаками.
AADSTS90051 InvalidNationalCloudId: идентификатор облака для одной страны содержит недопустимый идентификатор облака.
AADSTS90055 TenantThrottlingError — слишком много входящих запросов. Такое исключение создается для заблокированных клиентов.
AADSTS90056 BadResourceRequest — чтобы получить маркер доступа по коду, приложение должно отправить запрос POST на конечную точку /token. Кроме того, перед этим следует предоставить код авторизации и отправить его в запросе POST на конечную точку /token. Дополнительные сведения о потоке кода авторизации OAuth 2.0 см. в этой статье. Направьте пользователя на конечную точку /authorize, которая вернет код авторизации. По запросу на конечную точку /token пользователь получает маркер доступа. Проверьте Регистрация приложений > конечных точек, чтобы убедиться, что две конечные точки настроены правильно.
AADSTS900561 BadResourceRequestInvalidRequest — конечная точка принимает только запросы {valid_verbs}. Получено запрос {invalid_verb}. {valid_verbs} представляет список http-команд, поддерживаемых конечной точкой (например, POST), {invalid_verb} — это HTTP-команда, используемая в текущем запросе (например, GET). Это может быть вызвано ошибкой разработчика или из-за того, что пользователи нажимают кнопку "Назад" в браузере, запуская неправильный запрос. Его можно игнорировать.
AADSTS90072 PassThroughUserMfaError: внешняя учетная запись, в которую входит пользователь, отсутствует на клиенте, на котором он выполнил вход. Поэтому пользователь не может пройти MFA на клиенте. Эта ошибка также может возникать, если пользователи синхронизированы, но в атрибуте ImmutableID (sourceAnchor) между Active Directory и Идентификатором Microsoft Entra имеется несоответствие. Учетную запись сначала нужно добавить в клиент в качестве внешнего пользователя. Выйдите и войдите с помощью другой учетной записи пользователя Microsoft Entra. Дополнительные сведения см . в настройке внешних удостоверений.
AADSTS90081 OrgIdWsFederationMessageInvalid: произошла ошибка при попытке службы обработать сообщение WS-Federation. Сообщение не является допустимым.
AADSTS90082 OrgIdWsFederationNotSupported: выбранная политика аутентификации запроса не поддерживается.
AADSTS90084 OrgIdWsFederationGuestNotAllowed: на этом сайте нельзя использовать гостевые учетные записи.
AADSTS90085 OrgIdWsFederationSltRedemptionFailed: служба не может выдать маркер, так как объект компании еще не подготовлен.
AADSTS90086 OrgIdWsTrustDaTokenExpired: истек срок действия маркера пользователя DA.
AADSTS90087 OrgIdWsFederationMessageCreationFromUriFailed: при создании сообщения WS-Federation из URI произошла ошибка.
AADSTS90090 GraphRetryableError: служба временно недоступна.
AADSTS90091 GraphServiceUnreachable
AADSTS90092 GraphNonRetryableError
AADSTS90093 GraphUserUnauthorized — возвращается граф с кодом ошибки "Запрещено" для полученного запроса.
AADSTS90094 AdminConsentRequired: требуется согласие администратора.
AADSTS900382 Конфиденциальный клиент не поддерживается в запросе между облаками.
AADSTS90095 AdminConsentRequiredRequestAccess — это прерывание в рабочем процессе для получения согласия администратора. Оно появляется, когда пользователь получает сообщение о том, что он должен запросить согласие у администратора.
AADSTS90099 Приложение "{appId}" ({appName}) не было разрешено в клиенте "{tenant}". Приложения должны быть авторизованы для доступа к внешнему клиенту, прежде чем делегированные администраторы партнеров смогут использовать их. Предоставьте предварительное согласие или выполните соответствующий API Центра партнеров для авторизации приложения.
AADSTS900971 Не указан адрес ответа.
AADSTS90100 InvalidRequestParameter: пустой или недопустимый параметр.
AADSTS901002 AADSTS901002: параметр запроса resource не поддерживается.
AADSTS90101 InvalidEmailAddress: указан недопустимый адрес электронной почты. Необходимый формат: someone@example.com.
AADSTS90102 InvalidUriParameter: значение должно быть допустимым абсолютным URI.
AADSTS90107 InvalidXml — недопустимый запрос. Убедитесь, что данные не содержат недопустимые символы.
AADSTS90112 Ожидается, что идентификатор приложения будет GUID.
AADSTS90114 InvalidExpiryDate: использование метки времени массового истечения срока действия маркеров приведет к выдаче просроченного маркера.
AADSTS90117 InvalidRequestInput
AADSTS90119 InvalidUserCode: код пользователя имеет значение NULL или пуст.
AADSTS90120 InvalidDeviceFlowRequest: запрос уже авторизован или отклонен.
AADSTS90121 InvalidEmptyRequest: недопустимый пустой запрос.
AADSTS90123 IdentityProviderAccessDenied: не удалось выдать маркер, так как служба выдачи удостоверений или утверждений отклонила запрос.
AADSTS90124 V1ResourceV2GlobalEndpointNotSupported — ресурс не поддерживается через конечные точки /common и /consumers. Используйте конечную точку /organizations или специальную конечную точку для клиента.
AADSTS90125 DebugModeEnrollTenantNotFound: пользователя нет в системе. Убедитесь, что вы правильно ввели имя пользователя.
AADSTS90126 DebugModeEnrollTenantNotInferred — тип пользователя не поддерживается в этой конечной точке. Система не может определить клиент пользователя по имени пользователя.
AADSTS90130 NonConvergedAppV2GlobalEndpointNotSupported — приложение не поддерживается через конечные точки /common или /consumers. Используйте конечную точку /organizations или специальную конечную точку для клиента.
AADSTS120000 PasswordChangeIncorrectCurrentPassword
AADSTS120002 PasswordChangeInvalidNewPasswordWeak
AADSTS120003 PasswordChangeInvalidNewPasswordContainsMemberName
AADSTS120004 PasswordChangeOnPremComplexity
AADSTS120005 PasswordChangeOnPremSuccessCloudFail
AADSTS120008 PasswordChangeAsyncJobStateTerminated: произошла неповторяемая ошибка.
AADSTS120011 PasswordChangeAsyncUpnInferenceFailed
AADSTS120012 PasswordChangeNeedsToHappenOnPrem
AADSTS120013 PasswordChangeOnPremisesConnectivityFailure
AADSTS120014 PasswordChangeOnPremUserAccountLockedOutOrDisabled
AADSTS120015 PasswordChangeADAdminActionRequired
AADSTS120016 PasswordChangeUserNotFoundBySspr
AADSTS120018 PasswordChangePasswordDoesnotComplyFuzzyPolicy
AADSTS120020 PasswordChangeFailure
AADSTS120021 PartnerServiceSsprInternalServiceError
AADSTS130004 NgcKeyNotFound: для субъекта-пользователя не настроен идентификационный ключ NGC.
AADSTS130005 NgcInvalidSignature: не удалось проверить подпись ключа NGC.
AADSTS130006 NgcTransportKeyNotFound: ключ NGC транспорта не настроен на устройстве.
AADSTS130007 NgcDeviceIsDisabled: устройство отключено.
AADSTS130008 NgcDeviceIsNotFound: устройство, на которое ссылается ключ NGC, не найдено.
AADSTS135010 KeyNotFound
AADSTS135011 Устройство, используемое при проверке подлинности, отключено.
AADSTS140000 InvalidRequestNonce — ключ nonce запроса не указан.
AADSTS140001 InvalidSessionKey — сеансовый ключ не является допустимым.
AADSTS165004 Фактическое содержимое сообщения зависит от среды выполнения. Подробные сведения см. в возвращенном сообщении об исключении.
AADSTS165900 InvalidApiRequest: недопустимый запрос.
AADSTS220450 UnsupportedAndroidWebViewVersion — версия Chrome WebView не поддерживается.
AADSTS220501 InvalidCrlDownload
AADSTS221000 DeviceOnlyTokensNotSupportedByResource — для ресурса не настроено принятие маркеров только для устройств.
AADSTS240001 BulkAADJTokenUnauthorized. Пользователь не авторизован для регистрации устройств в идентификаторе Microsoft Entra.
AADSTS240002 RequiredClaimIsMissing: id_token нельзя использовать в качестве параметра предоставления доступа urn:ietf:params:oauth:grant-type:jwt-bearer.
AADSTS501621 ClaimsTransformationTimeoutRegularExpressionTimeout — время ожидания замены регулярных выражений для преобразования утверждений истекло. Это означает, что для этого приложения может быть настроено слишком сложное регулярное выражение. Повтор запроса может завершиться успешно. В противном случае обратитесь к администратору, чтобы исправить конфигурацию.
AADSTS530032 BlockedByConditionalAccessOnSecurityPolicy — администратор клиента настроил политику безопасности, которая блокирует этот запрос. Проверьте политики безопасности, определенные на уровне клиента, чтобы узнать, соответствует ли запрос требованиям политики.
AADSTS700016 UnauthorizedClient_DoesNotMatchRequest — приложение не найдено в клиенте или каталоге. Это может произойти, если приложение установил не администратор клиента или если пользователь в клиенте не предоставил к нему разрешение. Возможно, вы неправильно настроили значение идентификатора для приложения или отправили запрос на проверку подлинности не в тот клиент.
AADSTS700020 InteractionRequired: для предоставления доступа требуется действие.
AADSTS700022 InvalidMultipleResourcesScope: указано недопустимое значение области входных параметров, так как оно содержит более одного ресурса.
AADSTS700023 InvalidResourcelessScope — предоставленное значение для области входных параметров недопустимо при запросе маркера доступа.
AADSTS7000215 Invalid client secret is provided. Ошибка разработчика — приложение пытается выполнить вход без необходимых или правильных параметров проверки подлинности.
AADSTS7000218 Текст запроса должен содержать следующий параметр: "client_assertion" или "client_secret".
AADSTS7000222 InvalidClientSecretExpiredKeysProvided — срок действия предоставленных секретных ключей клиента истек. Создайте новые ключи для приложения или рассмотрите возможность использования учетных данных сертификата для дополнительной безопасности: https://aka.ms/certCreds
AADSTS700229 ForbiddenTokenType. Только маркеры только для приложений можно использовать в качестве учетных данных федеративного удостоверения для издателя Microsoft Entra. Используйте маркер доступа только для приложений (созданный во время потока учетных данных клиента) вместо маркера доступа, делегированного пользователем (представляющего запрос, поступающий из контекста пользователя).
AADSTS700005 InvalidGrantRedeemAgainstWrongTenant — предоставленный код авторизации предназначен для использования с другим клиентом, поэтому он отклоняется. Код авторизации OAuth2 должен быть активирован для того же клиента, который был получен для (/common or /{tenant-ID})
AADSTS1000000 UserNotBoundError — API привязки требует, чтобы пользователь Microsoft Entra также прошел проверку подлинности с помощью внешнего поставщика удостоверений, который еще не произошел.
AADSTS1000002 BindCompleteInterruptError: привязка успешно выполнена, но об этом необходимо сообщить пользователю.
AADSTS100007 Microsoft Entra Regional ONLY поддерживает проверку подлинности для MSIs OR для запросов из MSAL с помощью SN+I для приложений 1P или 3P в клиентах инфраструктуры Майкрософт.
AADSTS1000031 Сейчас приложение {appDisplayName} недоступно. Обратитесь к администратору.
AADSTS7000112 UnauthorizedClientApplicationDisabled — приложение отключено.
AADSTS7000114 Приложению appIdentifier запрещено выполнять вызовы от имени для приложения.
AADSTS7500529 Значение SAMLId-Guid не является допустимым идентификатором SAML. Идентификатор Microsoft Entra использует этот атрибут для заполнения атрибута InResponseTo возвращаемого ответа. Идентификатор не должен начинаться с цифры, поэтому общая стратегия предусматривает добавление такой строки, как ID, в начало строкового представления GUID. Например, id6c1c178c166d486687be4aaf5e482730 — это действительный идентификатор.
AADSTS9002341 V2Error: invalid_grant — пользователю требуется разрешить единый вход(SSO). Эта ошибка возникает, когда пользователь не предоставил необходимые разрешения для приложения для выполнения единого входа. Пользователь должен быть перенаправлен на экран согласия, чтобы предоставить необходимые разрешения. Дополнительные сведения см. в этом объявлении .

Следующие шаги