Бөлісу құралы:

Коды ошибок при аутентификации и авторизации Microsoft Entra

  • Мақала

Вам нужна информация о кодах ошибок AADSTS, которые возвращаются службой токенов безопасности Microsoft Entra? В этом документе приводятся описания ошибок AADSTS, методы их исправления и некоторые рекомендации по обходным путям.

Примечание.

Эта информация является предварительной и подлежит изменению. У вас есть вопрос или не можете найти нужную информацию? Создайте запрос в GitHub или изучите статью Возможности получения поддержки и справки для разработчиков, чтобы узнать о других способах получения поддержки и справки.

Эта документация предназначена для разработчиков и администраторов, но не должна быть ни в коем случае доступна клиенту. Коды ошибок могут быть изменены в любое время для предоставления более детализированных сообщений об ошибках, которые помогут разработчику при создании приложения. Приложения, зависящие от текста или кодов ошибок, со временем перестанут работать.

Просмотр сведений о текущем коде ошибки

Коды ошибок и сообщения могут изменяться. Для получения самых актуальных сведений ознакомьтесь со страницей https://login.microsoftonline.com/error, чтобы найти описания ошибок, исправления и некоторые возможные обходные пути AADSTS.

Например, если получен код ошибки "AADSTS50058", выполните поиск по запросу "50058" в https://login.microsoftonline.com/error. Можно также напрямую связать с определенной ошибкой, добавив номер кода ошибки к URL-адресу: https://login.microsoftonline.com/error?code=50058.

Обработка кодов ошибок в приложении

Спецификация OAuth 2.0 содержит рекомендации по обработке ошибок во время проверки подлинности с помощью части error ответа на ошибку.

Ниже приведен пример ответа на ошибку:

{
  "error": "invalid_scope",
  "error_description": "AADSTS70011: The provided value for the input parameter 'scope' isn't valid. The scope https://example.contoso.com/activity.read isn't valid.\r\nTrace ID: 0000aaaa-11bb-cccc-dd22-eeeeee333333\r\nCorrelation ID: aaaa0000-bb11-2222-33cc-444444dddddd\r\nTimestamp: 2016-01-09 02:02:12Z",
  "error_codes": [
    70011
  ],
  "timestamp": "2016-01-09 02:02:12Z",
  "trace_id": "0000aaaa-11bb-cccc-dd22-eeeeee333333",
  "correlation_id": "aaaa0000-bb11-2222-33cc-444444dddddd", 
  "error_uri":"https://login.microsoftonline.com/error?code=70011"
}
Параметр Описание
error Строка кода ошибки, которую нужно использовать для классификации типов возникающих ошибок и реагирования на них.
error_description Конкретное сообщение об ошибке, с помощью которого разработчик может определить причину возникновения ошибки проверки подлинности. Никогда не используйте это поле для реагирования на ошибку в коде.
error_codes Список кодов ошибок, специфичных для STS, которые могут помочь при диагностике.
timestamp Возвращает время, в течение которого произошла ошибка.
trace_id Уникальный идентификатор для запроса, который может помочь при диагностике.
correlation_id Уникальный идентификатор для запроса, который может помочь при диагностике нескольких компонентов.
error_uri Ссылка на страницу поиска ошибок с дополнительными сведениями об ошибке. Это только для использования разработчиком, не предоставляйте его пользователям. Предоставляется только в том случае, если в системе поиска ошибок содержатся дополнительные сведения об ошибке — не вся ошибка содержит дополнительные сведения.

Поле error имеет несколько возможных значений. Ознакомьтесь со ссылками на документацию по протоколам и спецификациями OAuth 2.0, чтобы узнать больше о конкретных ошибках (например, authorization_pending в потоке кода устройства) и о том, как реагировать на них. Некоторые из наиболее распространенных перечислены здесь:

Код ошибки Описание Действие клиента
invalid_request Ошибка протокола, например отсутствует обязательный параметр. Исправьте запрос и отправьте его повторно.
invalid_grant Некоторые материалы для проверки подлинности (код проверки подлинности, маркер обновления, маркер доступа, запрос PKCE) были недопустимыми, недоступными для анализа, отсутствующими или непригодными для использования другим способом. Попробуйте новый запрос к конечной точке /authorize, чтобы получить новый код авторизации. Рассмотрите возможность просмотра и проверки использования протоколов приложением.
unauthorized_client У клиента, прошедшего проверку подлинности, нет прав на использование этого типа авторизации. Обычно это происходит, когда клиентское приложение не зарегистрировано в идентификаторе Microsoft Entra или не добавляется в клиент Microsoft Entra пользователя. Приложение может предложить пользователю инструкцию по установке приложения и его добавлению в идентификатор Microsoft Entra.
invalid_client Сбой проверки подлинности клиента. Неверные учетные данные клиента. Чтобы устранить эту проблему, администратор приложения обновляет учетные данные.
unsupported_grant_type Сервер авторизации не поддерживает тип предоставления авторизации. Измените тип предоставления в запросе. Ошибка этого типа должна происходить только во время разработки, и ее должны обнаружить при первоначальном тестировании.
invalid_resource Целевой ресурс недопустим, так как он не существует, идентификатор Microsoft Entra id не может найти его или неправильно настроен. Это означает, что ресурс, если он существует, не настроен в клиенте. Приложение может предложить пользователю инструкцию по установке приложения и его добавлению в идентификатор Microsoft Entra. Во время разработки это обычно указывает на неправильно настроенный тестовый клиент или опечатку в имени запрашиваемой области.
interaction_required Для запроса требуется взаимодействие с пользователем. К примеру, требуется другой шаг проверки подлинности. Повторите запрос с тем же ресурсом в интерактивном порядке, чтобы пользователь мог выполнить все необходимые требования.
temporarily_unavailable Сервер временно занят и не может обработать запрос. Повторите запрос. Из клиентского приложения может поступить сообщение о том, что его ответ задерживается из-за временного состояния.

Коды ошибок AADSTS

Ошибка Описание
AADSTS16000 InteractionRequired — учетная запись пользователя "{EmailHidden}" от поставщика удостоверений "{idp}" не существует в клиенте "{tenant}" и не может получить доступ к приложению "{appid}" ({appName}) в этом клиенте. Эта учетная запись должна быть добавлена в качестве внешнего пользователя в клиенте. Выйдите и войдите еще раз с помощью другой учетной записи пользователя Microsoft Entra. Эта ошибка довольно распространена при попытке входа в Центр администрирования Microsoft Entra с помощью личной учетной записи Майкрософт и без каталога, связанного с ним.
AADSTS16001 UserAccountSelectionInvalid — эта ошибка возникает, если пользователь выбирает плитку, которую логика выбора сеанса отклоняет. Когда возникает эта ошибка, пользователю предоставляется возможность выбрать плитку или сеанс из обновленного списка либо выбрать другую учетную запись. Эта ошибка может возникнуть из-за дефекта кода или состояния гонки.
AADSTS16002 AppSessionSelectionInvalid — требование SID, указанное приложением, не было выполнено.
AADSTS160021 AppSessionSelectionInvalidSessionNotExist — приложение запросило сессию пользователя, которой не существует. Эту проблему можно устранить, создав новую учетную запись Azure.
AADSTS16003 SsoUserAccountNotFoundInResourceTenant - пользователь не был специально добавлен в арендатора.
AADSTS17003 CredentialKeyProvisioningFailed — Microsoft Entra ID не может сформировать ключ учетных данных пользователя.
AADSTS20001 WsFedSignInResponseError — есть проблема с вашим федеративным поставщиком удостоверений. Обратитесь к своему поставщику удостоверений (IDP), чтобы решить эту проблему.
AADSTS20012 WsFedMessageInvalid — возникла проблема с федеративным поставщиком удостоверений. Обратитесь к поставщику удостоверений, чтобы решить эту проблему.
AADSTS20033 FedMetadataInvalidTenantName — возникла проблема с вашим федеративным поставщиком удостоверений. Чтобы решить эту проблему, свяжитесь с вашим поставщиком удостоверяющих данных.
AADSTS230109 CachedCredentialNonGWAuthNRequestsNotSupported — служба резервного копирования поддерживает только запросы AuthN из шлюза Microsoft Entra. Эта ошибка возникает, когда трафик направляется непосредственно к резервной службе аутентификации, минуя обратный прокси-сервер.
AADSTS28002 Указано недопустимое значение области входных параметров {scope} при запрашивании маркера доступа. Укажите допустимую область.
AADSTS28003 Предоставленное значение для области входного параметра не может быть пустым при запросе токена доступа с использованием предоставленного кода авторизации. Укажите допустимую область.
AADSTS399284 InboundIdTokenIssuerInvalid — входной токен идентификатора, полученный в федерации, имеет недопустимого эмитента. Либо он пуст, либо не соответствует идентификатору области.
AADSTS40008 OAuth2IdPUnretryableServerError — возникла проблема с вашим федеративным удостоверяющим центром. Чтобы решить эту проблему, обратитесь к вашему провайдеру удостоверенного доступа.
AADSTS40009 OAuth2IdPRefreshTokenRedemptionUserError — возникла проблема с вашим федеративным поставщиком идентификации. Чтобы решить эту проблему, обратитесь к вашему IDP (поставщику удостоверений).
AADSTS40010 OAuth2IdPRetryableServerError — проблема с вашим федеральным поставщиком удостоверяющей информации. Чтобы решить эту проблему, обратитесь к провайдеру удостоверений.
AADSTS40015 OAuth2IdPAuthCodeRedemptionUserError — возникла проблема с вашим федеративным поставщиком удостоверений. Чтобы решить эту проблему, обратитесь к вашему провайдеру удостоверений.
AADSTS50000 TokenIssuanceError — возникла проблема со службой входа. Чтобы решить эту проблему, отправьте запрос в службу поддержки.
AADSTS50001 InvalidResource — запрошенный ресурс отключен или не существует. Проверьте код приложения и убедитесь, что вы указали правильный URL-адрес ресурса, к которому пытаетесь получить доступ.
AADSTS50002 NotAllowedTenant: не удалось войти из-за ограниченного доступа через прокси на tenant. Если это ваша собственная политика клиента, вы можете устранить проблему, изменив параметры ограниченного доступа к клиенту.
AADSTS500011 InvalidResourceServicePrincipalNotFound — ресурс-принципал с именем {name} не найден в арендаторе с именем {tenant}. Это может произойти, если приложение не установлено администратором арендатора или если любой пользователь в аренде не дал согласие на это. Возможно, вы отправили запрос на проверку подлинности в неверного арендатора. Если вы ожидаете, что приложение будет установлено, может потребоваться предоставить администратору разрешения для его добавления. Ознакомьтесь с разработчиками ресурса и приложения, чтобы понять, что такое правильная настройка для вашего клиента.
AADSTS500014 InvalidResourceServicePrincipalDisabled — субъект-служба для ресурса "{идентификатор}" отключен. Это указывает на то, что подписка в клиенте истекла, или что администратор этого клиента отключил учетную запись службы приложения, что предотвращает выдачу токенов для него. Дополнительные сведения см. в разделе "Отключить вход пользователя для приложения".
AADSTS500021 Доступ к клиенту "{tenant}" запрещен. AADSTS500021 указывает, что функция ограничения арендатора настроена и пользователь пытается получить доступ к арендатору, который не входит в список разрешенных арендаторов, указанных в заголовке Restrict-Access-To-Tenant. Дополнительные сведения см. в статье Использование ограничений клиента для управления доступом к облачным приложениям SaaS.
AADSTS500022 Доступ к клиенту "{tenant}" запрещен. AADSTS500022 указывает, что функция ограничения арендатора настроена и пользователь пытается получить доступ к арендатору, который не входит в список разрешенных арендаторов, указанных в заголовке Restrict-Access-To-Tenant. Дополнительные сведения см. в статье Использование ограничений клиента для управления доступом к облачным приложениям SaaS.
AADSTS50003 MissingSigningKey: не удалось войти из-за отсутствия ключа или сертификата для подписи. Возможно, в приложении не настроен ключ подписывания. Дополнительные сведения см. в статье об устранении неполадок по коду ошибки AADSTS50003. Если проблемы не удалось решить, обратитесь к владельцу или администратору приложения.
AADSTS50005 DevicePolicyError — пользователь пытался войти на устройство с платформы, не поддерживаемой в настоящее время с помощью политики условного доступа.
AADSTS50006 InvalidSignature: не удалось проверить подпись по причине ее недействительности.
AADSTS50007 PartnerEncryptionCertificateMissing — сертификат шифрования партнера не найден для этого приложения. Чтобы решить эту проблему, отправьте запрос в службу поддержки Майкрософт.
AADSTS50008 InvalidSamlToken — в токене отсутствует или неправильно настроена декларация SAML. Обратитесь к федеративному поставщику.
AADSTS5000224 NotAllowedTenantBlockedTenantFraud. К сожалению, этот ресурс недоступен. Если вы видите это сообщение по ошибке, обратитесь в службу поддержки Майкрософт.
AADSTS5000819 InvalidSamlTokenEmailMissingOrInvalid — утверждение SAML недействительно. Заявка на адрес электронной почты отсутствует или не соответствует домену из внешней сферы.
AADSTS50010 AudienceUriValidationFailed — проверка URI аудитории для приложения не была выполнена, так как ни одна аудитория для токенов не была настроена.
AADSTS50011 InvalidReplyTo — обратный адрес отсутствует, неправильно настроен или не соответствует обратным адресам, настроенным для приложения. В качестве решения добавьте этот отсутствующий адрес ответа в приложение Microsoft Entra или попросите кого-то, у кого есть разрешения на управление вашим приложением, сделать это за вас. Дополнительные сведения см. в статье об устранении неполадок AADSTS50011.
AADSTS50012 AuthenticationFailed — сбой проверки подлинности по одной из следующих причин:
  • Имя субъекта подписного сертификата не авторизовано.
  • Для имени авторизованного субъекта не найдена соответствующая политика доверенного органа.
  • цепочка сертификатов недействительна
  • Сертификат подписи недействителен
  • в клиенте не настроена политика;
  • Отпечаток сертификата подписи не авторизован
  • утверждение клиента содержит недопустимую подпись.
AADSTS50013 InvalidAssertion. Утверждение недопустимо по различным причинам. Издатель токена не соответствует версии API в рамках допустимого временного диапазона - срок действия истёк - искажен. Маркер обновления в утверждении не является основным маркером обновления. Обратитесь к разработчику приложений.
AADSTS500133 Утверждение выходит за пределы допустимого временного диапазона. Убедитесь, что маркер доступа не истек, прежде чем использовать его для утверждения пользователя или запросить новый маркер. Текущее время: {curTime}, время истечения срока действия утверждения {expTime}. Утверждение недопустимо из-за различных причин:
  • Издатель токенов не соответствует версии API в пределах допустимого диапазона времени.
  • Срок действия истек
  • Деформированный
  • Маркер обновления в утверждении не является основным маркером обновления
AADSTS50014 GuestUserInPendingState — учетная запись пользователя не существует в каталоге. Скорее всего, приложение выбрало неправильный клиент для входа, и вошедший в систему пользователь не смог сделать это, так как он не существовал в вашем клиенте. Если этот пользователь сможет войти в систему, добавьте их в качестве гостя. Для получения дополнительной информации посетите добавить пользователей B2B.
AADSTS50015 ViralUserLegalAgeConsentRequiredState: требуется согласие пользователя, достигшего совершеннолетия.
AADSTS50017 CertificateValidationFailed — сбой проверки сертификации по одной из следующих причин:
  • Не удалось найти выдающий сертификат в списке доверенных сертификатов.
  • не удалось найти ожидаемый сегмент CrlSegment;
  • Не удалось найти выдавший сертификат в списке доверенных сертификатов.
  • Точка распространения Delta CRL настроена без соответствующей точки распространения CRL.
  • Не удалось получить действительные сегменты CRL из-за истечения времени ожидания.
  • не удалось скачать CRL.
Обратитесь к администратору клиента.
AADSTS500141 Активация пользователя завершена, но запрос не был инициирован целевым приложением.
AADSTS5001256 Не удалось пройти аутентификацию у внешнего поставщика из-за недействительного id_token. Сведения о сбое: {details}
AADSTS50020 UserUnauthorized — пользователи не имеют разрешения для вызова этой конечной точки. Учетная запись пользователя "{email}" от поставщика удостоверений "{idp}" не существует в клиенте "{tenant}" и не может получить доступ к приложению "{appid}" ({appName}) в этом клиенте. Эта учетная запись сначала должна быть добавлена в качестве внешнего пользователя в арендаторе. Выйдите и войдите еще раз с помощью другой учетной записи пользователя Microsoft Entra. Если этот пользователь должен быть членом клиента, он должен быть приглашен через систему B2B. Для получения дополнительной информации посетите AADSTS50020.
AADSTS500207 Тип учетной записи не может использоваться для ресурса, к которым вы пытаетесь получить доступ.
AADSTS500208 Домен не является допустимым доменом входа для типа учетной записи. Эта ситуация возникает, когда учетная запись пользователя не соответствует ожидаемому типу учетной записи для данного клиента. Например, если клиент настроен на разрешение только рабочих или учебных учетных записей, а пользователь пытается войти с помощью личной учетной записи Майкрософт, он получит эту ошибку.
AADSTS500212 NotAllowedByOutboundPolicyTenant — администратор пользователя установил политику исходящего доступа, которая не позволяет получить доступ к арендодателю ресурса.
AADSTS500213 NotAllowedByInboundPolicyTenant — политика межарендаторского доступа арендатора ресурса не позволяет этому пользователю получить доступ к данному арендатору.
AADSTS50027 InvalidJwtToken: недопустимый токен JWT по следующим причинам:
  • отсутствует утверждение nonce, вложенное утверждение;
  • несовпадение идентификаторов субъектов;
  • повторяющееся утверждение в утверждениях idToken;
  • непредусмотренный эмитент
  • непредвиденная аудитория;
  • не в пределах допустимого диапазона времени
  • Формат токена не является правильным
  • Внешний идентификатор токена от издателя не прошел проверку подписи.
AADSTS50029 Недопустимый URI — доменное имя содержит недопустимые символы. Обратитесь к администратору клиента.
AADSTS50032 WeakRsaKey — обозначает ошибочную попытку пользователя использовать слабый ключ RSA.
AADSTS50033 RetryableError — обозначает временную ошибку, которая не связана с операциями базы данных.
AADSTS50034 UserAccountNotFound — чтобы войти в приложение, учетная запись должна быть добавлена в каталог. Эта ошибка может возникать, так как пользователь неправильно ввел имя пользователя или не входит в арендатора. Возможно, приложение выбрало неправильного арендатора для входа в учетную запись, и текущий вошедший в систему пользователь не смог это сделать, поскольку он отсутствует у вашего арендатора. Если этот пользователь должен иметь возможность войти в систему, добавьте их в качестве гостя. См. документацию здесь: Добавить пользователей B2B.
AADSTS50042 UnableToGeneratePairwiseIdentifierWithMissingSalt — случайные данные, необходимые для создания парного идентификатора, отсутствует в принципе. Обратитесь к администратору клиента.
AADSTS50043 Невозможно сгенерировать парный идентификатор с несколькими солями.
AADSTS50048 SubjectMismatchesIssuer — субъект не соответствует заявлению эмитента в утверждении клиента. Обратитесь к администратору клиента.
AADSTS50049 NoSuchInstanceForDiscovery — неизвестный или некорректный экземпляр.
AADSTS50050 MalformedDiscoveryRequest: неправильный формат запроса.
AADSTS50053 Эта ошибка может привести к двум разным причинам:
  • IdsLocked — учетная запись заблокирована из-за большого количества попыток входа с неправильным идентификатором пользователя или паролем. Пользователь заблокирован из-за повторяющихся попыток входа. См. раздел Устранение рисков и разблокирование пользователей.
  • Либо вход был заблокирован, так как он осуществлялся с IP-адреса, связанного с вредоносной активностью.

Чтобы определить, какая причина сбоя вызвала эту ошибку, войдите в Центр администрирования Microsoft Entra по крайней мере в качестве Администратора облачных приложений. Перейдите к клиенту Microsoft Entra, а затем мониторинг и работоспособность —>журналы входа. Найдите неудачный вход пользователя с кодом ошибки входа 50053 и проверьте причину сбоя.
AADSTS50055 InvalidPasswordExpiredPassword — истек срок действия пароля. Срок действия пароля пользователя истек, поэтому действие его имени для входа или сеанса было прекращено. Им будет предложена возможность сбросить пароль или они могут попросить администратора сбросить его с помощью сброса пароля пользователя, используя Microsoft Entra ID.
AADSTS50056 Недопустимый или пустой пароль: в каталоге нет пароля для этого пользователя. Пользователю нужно предложить ввести пароль еще раз.
AADSTS50057 UserDisabled — учетная запись пользователя отключена. Объект-пользователь в Active Directory, используемый для этой учетной записи, отключен. Администратор может повторно включить эту учетную запись с помощью PowerShell.
AADSTS50058 UserInformationNotProvided — сведений о сеансе недостаточно для выполнения единого входа. Это означает, что пользователь не выполнил вход. Это распространенная ошибка, которая ожидается, когда пользователь не прошел проверку подлинности и еще не выполнил вход.
Если эта ошибка обнаружена в контексте единого входа, в котором пользователь ранее выполнил вход, это означает, что сеанс единого входа не найден или недопустим.
Эта ошибка может быть возвращена приложению, если указано prompt=none.
AADSTS50059 MissingTenantRealmAndNoUserInformationProvided. Идентификационная информация арендатора не найдена ни в запросе, ни не подразумевалась указанными учетными данными. Пользователь может обратиться к администратору арендатора для решения проблемы.
AADSTS50061 SignoutInvalidRequest — не удалось завершить выход из системы. Запрос оказался недопустимым.
AADSTS50064 CredentialAuthenticationError: сбой проверки учетных данных пользователя или пароля.
AADSTS50068 SignoutInitiatorNotParticipant — выход не выполнен. Приложение, инициирующее выход, не является участником в текущем сеансе.
AADSTS50070 SignoutUnknownSessionIdentifier — не удалось выйти из системы. В запросе на выход задается идентификатор имени, который не соответствует существующим сеансам.
AADSTS50071 SignoutMessageExpired: срок действия запроса на выход истек.
AADSTS50072 UserStrongAuthEnrollmentRequiredInterrupt — пользователь должен зарегистрироваться для двухфакторной (интерактивной) проверки подлинности.
AADSTS50074 UserStrongAuthClientAuthNRequiredInterrupt — требуется строгая проверка подлинности, но пользователь не прошел проверку с использованием многофакторной аутентификации.
AADSTS50076 UserStrongAuthClientAuthNRequired . Из-за изменений конфигурации, внесённых администратором, таких как политика условного доступа, применение для каждого пользователя, или из-за переезда в новое местоположение, пользователь должен использовать многофакторную проверку подлинности для доступа к ресурсу. Создайте новый запрос авторизации для доступа к ресурсу.
AADSTS50078 UserStrongAuthExpired— срок действия многофакторной проверки подлинности истек из-за политик, настроенных администратором. Чтобы получить доступ к {resource}, необходимо обновить многофакторную проверку подлинности.
AADSTS50079 UserStrongAuthEnrollmentRequired . Из-за изменений конфигурации, внесенных администратором, например политикой условного доступа, принудительного применения для каждого пользователя или из-за того, что пользователь переехал в новое расположение, пользователь должен использовать многофакторную проверку подлинности. Для завершения многофакторной проверки подлинности управляемому пользователю необходимо зарегистрировать информацию безопасности, в то время как федеративному пользователю нужно получить многофакторное утверждение от федеративного поставщика удостоверений.
AADSTS50085 Для маркера обновления требуется имя входа IDP для социальных сетей. Пользователям следует выполнить повторную попытку входа с помощью имени пользователя и пароля.
AADSTS50086 Ошибка SasNonRetryable (Невозможно повторить)
AADSTS50087 SasRetryableError — во время строгой проверки подлинности произошла временная ошибка. Повторите попытку.
AADSTS50088 Достигнут лимит на количество звонков многофакторной аутентификации в телекоммуникациях. Повторите попытку через несколько минут.
AADSTS50089 Сбой проверки подлинности из-за истечения срока действия маркера потока. Ожидаемая ситуация — срок действия кодов проверки подлинности, маркеров обновления и сеансов истекает с течением времени либо их отменяет пользователь или администратор. Приложение запросит новое имя входа у пользователя.
AADSTS50097 DeviceAuthenticationRequired — требуется проверка подлинности устройства.
AADSTS50099 PKeyAuthInvalidJwtUnauthorized — недопустимая подпись JWT.
AADSTS50105 EntitlementGrantsNotFound — выполнившему вход пользователю не назначена роль для приложения, в которое выполнен вход. Привяжите пользователя к приложению. Дополнительные сведения см. в статье об устранении неполадок AADSTS50105.
AADSTS50107 InvalidRealmUri — запрошенный объект области федерации не существует. Обратитесь к администратору клиента.
AADSTS50120 ThresholdJwtInvalidJwtFormat — проблема с заголовком JWT. Обратитесь к администратору клиента.
AADSTS50124 ClaimsTransformationInvalidInputParameter — преобразование утверждений содержит недопустимый входной параметр. Обратитесь к администратору клиента, чтобы обновить политику.
AADSTS501241 Обязательный входной параметр "{paramName}" отсутствует в идентификаторе преобразования "{transformId}". Эта ошибка возвращается, когда идентификатор Microsoft Entra пытается создать ответ SAML на приложение. Утверждение NameID или NameIdentifier является обязательным в ответе SAML, и если Microsoft Entra ID не удалось получить исходный атрибут для утверждения NameID, то возвращается эта ошибка. В качестве разрешения убедитесь, что вы добавляете правила утверждений. Чтобы добавить правила утверждений, войдите в Центр администрирования Microsoft Entra как минимум как Администратор облачных приложений, и затем перейдите к Идентификации>Приложения>Корпоративные приложения. Выберите приложение, выберите единый вход , а затем в разделе "Атрибуты пользователя" и "Утверждения " введите уникальный идентификатор пользователя (идентификатор имени).
AADSTS50125 PasswordResetRegistrationRequiredInterrupt: вход был прерван из-за сброса пароля или необходимости регистрации нового пароля.
AADSTS50126 InvalidUserNameOrPassword — ошибка при проверке учетных данных из-за недействительного имени пользователя или пароля. Пользователь ввел неправильные учетные данные. Ожидается, что в журналах отображается некоторое количество этих ошибок из-за ошибок пользователей.
AADSTS50127 BrokerAppNotInstalled — пользователю нужно установить приложение брокера для получения доступа к этому содержимому.
AADSTS50128 Недопустимое доменное имя — не найдены сведения, идентифицирующие арендатора, ни в запросе, ни в подразумеваемых любом предоставленных учетных данных.
AADSTS50129 DeviceIsNotWorkplaceJoined — для регистрации устройства требуется подключение к рабочему месту.
AADSTS50131 ConditionalAccessFailed — обозначает различные ошибки условного доступа, например неверное состояние устройства Windows, блокировку запроса из-за подозрительной активности, решений политики доступа или политики безопасности.
AADSTS50132 SsoArtifactInvalidOrExpired — сеанс не является допустимым из-за истечения срока действия пароля или недавней смены пароля.
AADSTS50133 SsoArtifactRevoked — сеанс не является допустимым из-за истечения срока действия пароля или недавней смены пароля.
AADSTS50134 DeviceFlowAuthorizeWrongDatacenter - Неправильный центр обработки данных. Чтобы дать разрешение на запрос, инициированный приложением в процессе устройства OAuth 2.0, авторизующая сторона должна находиться в том же центре обработки данных, где и исходный запрос.
AADSTS50135 PasswordChangeCompromisedPassword — требуется смена пароля из-за риска для учетной записи.
AADSTS50136 RedirectMsaSessionToApp — обнаружен один сеанс MSA.
AADSTS50139 SessionMissingMsaOAuth2RefreshToken: сеанс является недействительным из-за отсутствия внешнего токена обновления.
AADSTS50140 KmsiInterrupt — эта ошибка произошла из-за сбоя функции "Оставаться в системе" при входе пользователя. Это ожидаемая часть потока входа, где пользователя спрашивают, хочет ли он остаться в системе в текущем браузере, чтобы упростить последующие входы. Дополнительные сведения см. в статье "Новые возможности входа в Microsoft Entra" и "Сохранение входа в систему". Чтобы получить дополнительные сведения, можно отправить запрос в службу поддержки, указав в нем идентификатор корреляции, идентификатор запроса и код ошибки.
AADSTS50143 Несоответствие сеанса — сеанс недействителен, так как учетная запись арендатора пользователя не соответствует указанию домена из-за разных ресурсов. Чтобы получить дополнительные сведения, отправьте запрос в службу поддержки, указав в нем идентификатор корреляции, идентификатор запроса и код ошибки.
AADSTS50144 InvalidPasswordExpiredOnPremPassword — истек срок действия пароля Active Directory для пользователя. Создайте для этого пользователя новый пароль или попросите его применить средство самостоятельного сброса пароля.
AADSTS50146 MissingCustomSigningKey — в приложении требуется настроить ключ подписи, специфичный для приложения. Либо он не сконфигурирован, либо ключ истек или еще не действителен. Обратитесь к владельцу приложения.
AADSTS501461 AcceptMappedClaims поддерживается только для аудитории токенов, соответствующей GUID приложения или аудитории в проверенных доменах клиента. Измените идентификатор ресурса или используйте ключ подписи для конкретного приложения.
AADSTS50147 MissingCodeChallenge — недопустимый размер параметра запроса кода.
AADSTS501481 Значение Code_Verifier не соответствует значению Code_Challenge, указанному в запросе на авторизацию.
AADSTS501491 InvalidCodeChallengeMethodInvalidSize — недопустимый размер параметра Code_Challenge.
AADSTS50155 DeviceAuthenticationFailed — проверка подлинности устройства для этого пользователя завершилась сбоем.
AADSTS50158 ExternalSecurityChallenge — внешняя проверка безопасности не была выполнена.
AADSTS50161 InvalidExternalSecurityChallengeConfiguration — недостаточно утверждений, отправленных внешним поставщиком, или отсутствует требуемое утверждение от внешнего поставщика.
AADSTS50166 ExternalClaimsProviderThrottled: не удалось отправить запрос поставщику утверждений.
AADSTS50168 ChromeBrowserSsoInterruptRequired — клиент поддерживает получение токена единого входа через расширение учетных записей Windows 10, но этот токен отсутствует в запросе, или срок действия предоставленного токена истек.
AADSTS50169 InvalidRequestBadRealm — область не является частью конфигурации текущего пространства имен службы.
AADSTS50170 MissingExternalClaimsProviderMapping: отсутствует сопоставление внешних элементов управления.
AADSTS50173 FreshTokenNeeded — срок действия предоставленного разрешения истек, так как он был отозван, и требуется новый маркер проверки подлинности. Администратор или пользователь отозвал токены этого пользователя, что привело к сбоям в последующих обновлениях токенов и требует повторной аутентификации. Попросите пользователя снова войти.
AADSTS50177 ExternalChallengeNotSupportedForPassthroughUsers — внешний запрос не поддерживается для пользователей в сквозном режиме.
AADSTS50178 SessionControlNotSupportedForPassthroughUsers — управление сеансом для пользователей, работающих в пасcтроенном режиме, не поддерживается.
AADSTS50180 WindowsIntegratedAuthMissing — требуется встроенная проверка подлинности Windows. Включите в организации бесшовное SSO.
AADSTS50187 DeviceInformationNotProvided: служба не смогла выполнить проверку подлинности устройства.
AADSTS50192 Недопустимый запрос — RawCredentialExpectedNotFound — учетные данные не были включены в запрос на вход. Пример: пользователь выполняет проверку подлинности на основе сертификатов (CBA) и сертификат не отправляется (или прокси-сервер удаляет) сертификат пользователя в запросе на вход.
AADSTS50194 Приложение "{appId}"({appName}) не настроено в качестве мультитенантного приложения. Использование конечной точки /common не поддерживается для таких приложений, созданных после {time}. Используйте конечную точку для конкретного клиента или настройте приложение для мультитенантного использования.
AADSTS50196 LoopDetected — обнаружен клиентский цикл. Проверьте логику приложения, чтобы убедиться в том, что кэширование токенов реализовано и что ошибки обрабатываются правильно. Приложение сделало слишком много одинаковых запросов за слишком короткий период, что означает, что оно находится в состоянии сбоя или слишком активно запрашивает токены.
AADSTS50197 ConflictingIdentities — не удалось найти пользователя. Повторите попытку входа.
AADSTS50199 CmsiInterrupt — по соображениям безопасности для этого запроса требуется подтверждение пользователя. Прерывание показывается для всех схематических перенаправлений в мобильных браузерах.
Действия не требуется. Пользователю было предложено подтвердить, что это приложение, в которое они намерены войти.
Это функция безопасности, которая помогает предотвратить атаки спуфингов. Это происходит потому что системное веб-представление использовалось для запроса токена для нативного приложения.
Чтобы избежать этого запроса, URI перенаправления должен быть частью следующего безопасного списка:
http://
https://
chrome-extension:// (только браузер Chrome для настольных систем)
AADSTS51000 RequiredFeatureNotEnabled: компонент отключен.
AADSTS51001 DomainHintMustbePresent — должна быть указана подсказка домена с локальным идентификатором безопасности или локальным UPN.
AADSTS1000104 XCB2BResourceCloudNotAllowedOnIdentityTenant — ресурсное облако {resourceCloud} не разрешено для арендаторa удостоверений {identityTenant}. {resourceCloud} — облачный экземпляр, которому принадлежит данный ресурс. {identityTenant} — это арендатор, из которого происходит исходная идентификация для входа.
AADSTS51004 UserAccountNotInDirectory — учетная запись пользователя не существует в каталоге. Скорее всего, приложение выбрало неправильного арендатора для входа, и текущий вошедший в систему пользователь не смог войти, поскольку он не существовал в вашем арендаторе. Если этот пользователь должен иметь возможность войти в систему, добавьте их в качестве гостя. Для получения дополнительной информации см. раздел Добавление пользователей B2B.
AADSTS51005 TemporaryRedirect — этот эквивалент HTTP-состояния 307 обозначает, что запрашиваемые данные расположены в URI, указанном в заголовке location. Получив этот статус, следуйте по адресу, указанному в заголовке location ответа. Если для исходного запроса использовался метод POST, перенаправляемый запрос также должен использовать метод POST.
AADSTS51006 ForceReauthDueToInsufficientAuth — требуется интегрированная проверка подлинности Windows. Пользователь вошел с токеном сеанса, в котором отсутствует утверждение для интегрированной Windows-аутентификации. Попросите пользователя повторить попытку входа.
AADSTS52004 DelegationDoesNotExistForLinkedIn — пользователь не предоставил согласие на доступ к ресурсам LinkedIn.
AADSTS53000 DeviceNotCompliant — политики условного доступа требуют наличия соответствующего устройства, а это устройство не соответствует требованиям. Пользователю нужно зарегистрировать свое устройство у утвержденного поставщика MDM, например Intune. Для получения дополнительной информации посетите раздел об исправлении устройств условного доступа.
AADSTS53001 DeviceNotDomainJoined — политика условного доступа требует наличия присоединенного к домену устройства, а это устройство не присоединено к домену. Потребуйте, чтобы пользователь использовал присоединенное к домену устройство.
AADSTS53002 Приложение, которое используется, не является одобренным для условного доступа. Чтобы получить доступ, нужно использовать приложение, входящее в список утвержденных.
AADSTS53003 BlockedByConditionalAccess — доступ заблокирован политиками условного доступа. Политика доступа не разрешает выдачу маркеров. Если это непредвиденное, ознакомьтесь с политикой условного доступа, применяемой к этому запросу, или обратитесь к администратору. Для получения дополнительной информации посетите статью об устранении неполадок входа с помощью условного доступа.
AADSTS530035 BlockedBySecurityDefaults — доступ заблокирован по умолчанию. Это связано с запросом с использованием устаревшей проверки подлинности или считается небезопасным согласно политикам безопасности по умолчанию. Для получения дополнительной информации посетите политику безопасности.
AADSTS53004 ProofUpBlockedDueToRisk — пользователю необходимо завершить процесс регистрации многофакторной проверки подлинности перед доступом к этому содержимому. Пользователь должен зарегистрироваться для многофакторной аутентификации.
AADSTS53010 ProofUpBlockedDueToSecurityInfoAcr — не удается настроить методы многофакторной аутентификации, так как организация требует, чтобы эта информация была задана из определенных местоположений или устройств.
AADSTS53011 Пользователь заблокирован из-за риска для домашнего арендатора.
AADSTS530034 Делегированный администратор был заблокирован в доступе к арендатору из-за риска учетной записи в своем домашнем арендаторе.
AADSTS54000 ПравилоБлокировкиНесовершеннолетнегоПользователяДляВозрастнойГруппы
AADSTS54005 Код авторизации OAuth2 уже был активирован, повторите попытку с новым допустимым кодом или используйте существующий маркер обновления.
AADSTS65001 ОшибкаОтсутствияДелегирования — пользователь или администратор не дали согласие на использование приложения с идентификатором X. Отправьте интерактивный запрос на авторизацию для этого пользователя и ресурса.
AADSTS65002 Согласие между собственным приложением "{applicationId}" и собственным ресурсом "{resourceId}" должно реализовываться путем предварительной авторизации. Приложения, которыми владеет и которые обслуживает корпорация Майкрософт, должны получить утверждение от владельца API, прежде чем запрашивать маркеры для этого API. Разработчик в клиенте может пытаться повторно использовать идентификатор приложения, принадлежащий корпорации Майкрософт. Эта ошибка предотвращает подделку приложения Майкрософт для вызова других API. Они должны перейти на другой идентификатор приложения, который они регистрируют.
AADSTS65004 UserDeclinedConsent — пользователь отказался предоставить согласие на доступ к приложению. Пользователю нужно повторить попытку входа и дать согласие на доступ к приложению.
AADSTS65005 MisconfiguredApplication. Список доступа к ресурсам, требуемый приложением, не содержит приложений, доступных для ресурса, или клиентское приложение запросило доступ к ресурсу, который не был указан в его списке доступа к необходимым ресурсам, или служба Graph вернула ошибку запроса или ресурс не найден. Если приложение поддерживает SAML, возможно, вы настроили приложение с неправильным идентификатором (сущность). Дополнительные сведения см. в статье об устранении неполадок AADSTS650056.
AADSTS650052 Приложению требуется доступ к службе (\"{name}\") , на которую ваша организация \"{organization}\" не подписана или включена. Обратитесь к вашему ИТ-админу для просмотра конфигурации подписок на службу.
AADSTS650054 Приложение запросило разрешения на доступ к ресурсу, который был удален или больше не доступен. Убедитесь, что все ресурсы, которые вызывает приложение, находятся в арендаторе, где вы работаете.
AADSTS650056 Неправильно настроенное приложение. Это может быть вызвано одной из следующих причин: клиент не предоставил разрешения для "{name}" в запрошенных разрешениях при регистрации клиентского приложения. Или администратор не дал согласие в рамках арендатора. Либо проверьте идентификатор приложения в запросе и убедитесь, что он соответствует настроенному идентификатору клиентского приложения. Или же проверьте сертификат в запросе, чтобы убедиться, что он действителен. Обратитесь к администратору, чтобы исправить конфигурацию или согласие от имени клиента. Идентификатор клиентского приложения: {ID}. Обратитесь к администратору, чтобы исправить конфигурацию или согласие от имени клиента.
AADSTS650057 Недопустимый ресурс Клиент запросил доступ к ресурсу, который не указан в запрошенных разрешениях при регистрации клиентского приложения. Идентификатор клиентского приложения: {appId}({appName}). Значение ресурса из запроса: {resource}. Идентификатор приложения ресурса: {resourceAppId}. Список допустимых ресурсов из регистрации приложения: {regList}.
AADSTS67003 НедействительныйИдентификаторУслугиАктора
AADSTS70000 ОшибкаInvalidGrant — аутентификация не удалась. Токен обновления недействителен. Ошибка может быть вызвана следующими причинами:
  • заголовок привязки токена пуст.
  • хэш привязки маркера не совпадает с ожидаемым.
AADSTS70001 UnauthorizedClient — приложение отключено. Дополнительные сведения см. в статье об устранении неполадок AADSTS70001.
AADSTS700011 UnauthorizedClientAppNotFoundInOrgIdTenant — Приложение с идентификатором {appIdentifier} не найдено в каталоге. Клиентское приложение запрашивает маркер от клиента, но клиентское приложение не существует в вашем клиенте, поэтому вызов завершился ошибкой.
AADSTS70002 InvalidClient — ошибка при проверке учетных данных. Указанное значение client_secret не соответствует ожидаемому значению для этого клиента. Исправьте значение client_secret и повторите попытку. Дополнительные сведения см. в Использование кода авторизации для запроса токена доступа.
AADSTS700025 InvalidClientPublicClientWithCredential — клиент является общедоступным, поэтому не следует представлять ни "client_assertion", ни "client_secret".
AADSTS700027 Сбой проверки подписи на утверждение клиента. Ошибка разработчика — приложение пытается выполнить вход без необходимых или правильных параметров проверки подлинности.
AADSTS70003 UnsupportedGrantType — приложение вернуло неподдерживаемый тип гранта.
AADSTS700030 Недопустимый сертификат — имя субъекта в сертификате не авторизовано. SubjectNames/SubjectAlternativeNames (до 10) в сертификате токена: {certificateSubjects}.
AADSTS70004 InvalidRedirectUri — приложение вернуло недопустимый URI перенаправления. Адрес перенаправления, указанный с помощью клиента, не соответствует ни одному настроенному адресу или же не совпадает ни с одним из адресов в списке адресов, утвержденных OIDC.
AADSTS70005 UnsupportedResponseType — приложение вернуло неподдерживаемый тип ответа по следующим причинам:
  • В приложении не включен тип ответа 'token'.
  • для типа ответа id_token требуется область OpenID — содержит неподдерживаемое значение параметра OAuth в кодировке wctx.
AADSTS700054 Параметр response_type 'id_token' не включен для приложения. Приложение запросило токен идентификатора с конечной точки авторизации, но не было включено неявное разрешение для получения токена идентификатора. Войдите в Центр администрирования Microsoft Entra как минимум как Администратор облачных приложений, а затем перейдите к Идентификация>Приложения>Регистрация приложений. Выберите приложение и выберите проверку подлинности. В разделе «Неявное предоставление и гибридные потоки» убедитесь, что выбраны идентификационные токены.
AADSTS70007 UnsupportedResponseMode — приложение вернуло неподдерживаемое значение response_mode при запросе токена.
AADSTS70008 ExpiredOrRevokedGrant — истек срок действия маркера обновления из-за отсутствия активности. Токен был выдан на XXX и был неактивен в течение определенного времени.
AADSTS700082 ExpiredOrRevokedGrantInactiveToken — токен обновления истек из-за неактивности. Токен был выдан {issueDate} и был неактивен в течение {time}. Ожидаемая часть жизненного цикла маркера — пользователь долгое время не пользовался приложением, поэтому срок действия маркера стал недействительным, когда приложение попыталось его обновить.
AADSTS700084 Токен обновления был выдан одностраничному приложению (SPA), поэтому он имеет фиксированное, ограниченное время существования {time}, которое нельзя продлить. Срок действия истек, и на страницу входа одностраничное приложение должно отправить новый запрос на вход. Дата выдачи маркера: {issueDate}.
AADSTS70011 InvalidScope — область, запрашиваемая приложением, недопустима.
AADSTS70012 MsaServerError — при проверке подлинности пользователя (объекта-получателя) MSA произошла ошибка сервера. Повторите попытку. Если по-прежнему происходит сбой, отправьте запрос в службу поддержки
AADSTS70016 AuthorizationPending — ошибка OAuth 2.0 в процессе Device Flow. Ожидается авторизация. Устройство попытается повторно опросить запрос.
AADSTS70018 BadVerificationCode — неверный код проверки, потому что пользователь ввел неправильный код пользователя для потока кода устройства. Авторизация не утверждена.
AADSTS70019 CodeExpired — истек срок действия кода проверки. Попросите пользователя выполнить вход еще раз.
AADSTS70043 BadTokenDueToSignInFrequency — маркер обновления истек или недействителен из-за проверки частоты входа средствами условного доступа. Маркер был выдан {issueDate}, и максимальная допустимая продолжительность для данного запроса — {time}.
AADSTS75001 BindingSerializationError — ошибка в процессе привязки сообщений SAML.
AADSTS75003 UnsupportedBindingError — приложение вернуло сообщение об ошибке, которая связана с неподдерживаемой привязкой (ответ протокола SAML невозможно отправить с помощью привязок, отличных от HTTP POST).
AADSTS75005 Saml2MessageInvalid — Microsoft Entra не поддерживает запрос SAML, отправленный приложением для единого входа (SSO). Дополнительные сведения см. в статье об устранении неполадок AADSTS75005.
AADSTS7500514 Поддерживаемый тип ответа SAML не найден. Поддерживаются следующие типы ответов: "Response" (в пространстве имен XML 'urn:oasis:names:tc:SAML:2.0:protocol') или "Assertion" (в пространстве имен XML 'urn:oasis:names:tc:SAML:2.0:assertion'). Ошибка приложения — разработчик будет реагировать на эту ошибку.
AADSTS750054 Чтобы выполнить привязку перенаправления SAML, в параметрах строки запроса HTTP должен быть указан параметр SAMLRequest или SAMLResponse. Дополнительные сведения см. в статье об устранении неполадок AADSTS750054.
AADSTS75008 RequestDeniedError — запрос от приложения отклонен, так как назначение запроса SAML отличается от ожидаемого.
AADSTS75011 NoMatchedAuthnContextInOutputClaims — метод аутентификации, с помощью которого пользователь прошёл проверку в сервисе, не соответствует запрошенному методу аутентификации. Дополнительные сведения см. в статье об устранении неполадок AADSTS75011.
AADSTS75016 Saml2AuthenticationRequestInvalidNameIDPolicy — запрос проверки подлинности SAML2 имеет недопустимое значение NameIdPolicy.
AADSTS76021 ApplicationRequiresSignedRequests— запрос, отправленный клиентом, не подписан, пока приложению требуются подписанные запросы.
AADSTS76026 RequestIssueTimeExpired — «IssueTime» в запросе аутентификации SAML2 истек.
AADSTS80001 OnPremiseStoreIsNotAvailable — агенту проверки подлинности не удалось подключиться к Active Directory. Убедитесь, что серверы агентов являются членами того же леса AD, что и пользователи, чьи пароли должны быть проверены, и что они могут подключаться к Active Directory.
AADSTS80002 OnPremisePasswordValidatorRequestTimedout — истекло время ожидания запроса на проверку пароля. Убедитесь, что Active Directory доступен и отвечает на запросы от агентов.
AADSTS80005 OnPremisePasswordValidatorUnpredictableWebException — неизвестная ошибка при обработке ответа от агента проверки подлинности. Повторите запрос. Если ошибку не удалось устранить, отправьте запрос в службу поддержки, чтобы получить дополнительные сведения об этой ошибке.
AADSTS80007 OnPremisePasswordValidatorErrorOccurredOnPrem — агенту проверки подлинности не удалось проверить пароль пользователя. Найдите дополнительные сведения в журналах агентов и убедитесь, что Active Directory работает должным образом.
AADSTS80010 OnPremisePasswordValidationEncryptionException — агенту проверки подлинности не удалось расшифровать пароль.
AADSTS80012 OnPremisePasswordValidationAccountLogonInvalidHours — пользователи пытались войти в систему вне допустимого диапазона времени (который указан в AD).
AADSTS80013 OnPremisePasswordValidationTimeSkew — попытка проверки подлинности не может быть завершена из-за временных отклонений между компьютером, на котором выполняется агент проверки подлинности и AD. Устраните проблемы с синхронизацией времени.
AADSTS80014 OnPremisePasswordValidationAuthenticationAgentTimeout — ответ на запрос проверки был получен после превышения максимального времени. Откройте запрос в службу поддержки с кодом ошибки, идентификатором корреляции и меткой времени, чтобы получить дополнительные сведения об этой ошибке.
AADSTS81004 DesktopSsoIdentityInTicketIsNotAuthenticated — сбой при попытке проверки подлинности Kerberos.
AADSTS81005 DesktopSsoAuthenticationPackageNotSupported — пакет проверки подлинности не поддерживается.
AADSTS81006 DesktopSsoNoAuthorizationHeader — не найден заголовок авторизации.
AADSTS81007 DesktopSsoTenantIsNotOptIn — для арендатора не активирована функция Seamless SSO.
AADSTS81009 DesktopSsoAuthorizationHeaderValueWithBadFormat — не удалось проверить токен Kerberos пользователя.
AADSTS81010 DesktopSsoAuthTokenInvalid — не удалось выполнить бесшовную единую аутентификацию, так как срок действия билета Kerberos пользователя истек или этот билет недействителен.
AADSTS81011 DesktopSsoLookupUserBySidFailed — не удалось найти объект пользователя на основе сведений в билете Kerberos пользователя.
AADSTS81012 DesktopSsoMismatchBetweenTokenUpnAndChosenUpn — пользователь, пытающийся войти в Microsoft Entra ID, не совпадает с пользователем, вошедшим на устройство.
AADSTS90002 InvalidTenantName — имя клиента не найдено в хранилище данных. Убедитесь, что идентификатор клиента указан правильно. Разработчик приложений получит эту ошибку, если приложение пытается войти в клиент, который не удается найти. Зачастую это связано с тем, что межоблачное приложение использовалось в неправильном облаке или разработчик пытался войти в клиент, производный от адреса электронной почты, но домен не зарегистрирован.
AADSTS90004 InvalidRequestFormat — неправильный формат запроса.
AADSTS90005 Некорректный запрос с несколькими требованиями – не удалось выполнить запрос. Запрос является недопустимым, так как идентификатор и маркер входа нельзя использовать вместе.
AADSTS90006 ExternalServerRetryableError: служба временно недоступна.
AADSTS90007 InvalidSessionId: неверный запрос. Не удается проанализировать переданный идентификатор сеанса.
AADSTS90008 TokenForItselfRequiresGraphPermission: пользователь или администратор не согласились на использование приложения. По крайней мере, приложению требуется доступ к идентификатору Microsoft Entra, указав разрешение на вход и чтение профиля пользователя.
AADSTS90009 TokenForItselfMissingIdenticalAppIdentifier: приложение запрашивает токен для себя. Этот сценарий поддерживается, только если указанный ресурс использует идентификатор приложения на основе GUID.
AADSTS90010 NotSupported: не удается создать алгоритм.
AADSTS9001023 Тип предоставленного разрешения не поддерживается в конечных точках /common и /consumers. Используйте конечную точку /organizations или специальную конечную точку для арендатора.
AADSTS90012 RequestTimeout: время ожидания запроса истекло.
AADSTS90013 InvalidUserInput — пользователь ввел недопустимые данные.
AADSTS90014 MissingRequiredField — этот код ошибки может отображаться в различных случаях, когда ожидаемое поле отсутствует в учетных данных.
AADSTS900144 Текст запроса должен содержать следующий параметр: {name}. Ошибка разработчика — приложение пытается выполнить вход без необходимых или правильных параметров проверки подлинности.
AADSTS90015 QueryStringTooLong: слишком длинная строка запроса.
AADSTS90016 MissingRequiredClaim - маркер доступа недействителен. Отсутствует обязательная претензия.
AADSTS90019 MissingTenantRealm — Microsoft Entra ID не удалось определить идентификатор арендатора из запроса.
AADSTS90020 В утверждении SAML 1.1 отсутствует ImmutableID пользователя. Ошибка разработчика — приложение пытается выполнить вход без необходимых или правильных параметров проверки подлинности.
AADSTS90022 AuthenticatedInvalidPrincipalNameFormat — недопустимый формат имени объекта или не соответствует ожидаемому формату name[/host][@realm]. Основное имя является обязательным, узел и область являются необязательными и могут быть установлены в null.
AADSTS90023 InvalidRequest — запрос на аутентификацию недействителен.
AADSTS900236 InvalidRequestSamlPropertyUnsupported. Свойство запроса проверки подлинности SAML "{propertyName}" не поддерживается и не должно быть задано.
AADSTS9002313 InvalidRequest — запрос имеет неправильный формат или является недопустимым. - Проблема возникает, так как с запросом к определенной конечной точке возникла ошибка. Предложение для решения этой проблемы заключается в том, чтобы получить трассировку fiddler об ошибке и проверить, правильно ли отформатирован запрос.
AADSTS9002332 Приложение "{principalId}"({principalName}) настроено только для пользователей Microsoft Entra. Не используйте конечную точку /consumers для обслуживания этого запроса.
AADSTS90024 RequestBudgetExceededError: произошла временная ошибка. Повторите попытку.
AADSTS90027 Не удалось выдать токены из этой версии API в тенанте MSA. Обратитесь к поставщику приложения, так как для поддержки этой возможности должен использоваться протокол версии 2.0.
AADSTS90033 MsodsServiceUnavailable — служба каталогов Microsoft Online (MSODS) недоступна.
AADSTS90036 MsodsServiceUnretryableFailure: произошла непредвиденная, неповторяемая ошибка службы WCF, размещенной в MSODS. Чтобы получить дополнительные сведения об ошибке, отправьте запрос в службу поддержки.
AADSTS90038 NationalCloudTenantRedirection — указанный клиент "Y" принадлежит национальному облаку "X". Текущий экземпляр облака "Z" не осуществляет федерацию с "X". Возвращается ошибка перенаправления облака.
AADSTS900384 Сбой проверки подписи токена JWT. Фактическое содержимое сообщения зависит от среды выполнения, существует множество причин для этой ошибки. Дополнительные сведения см. в сообщении о возвращенном исключении.
AADSTS90043 NationalCloudAuthCodeRedirection: компонент отключен.
AADSTS900432 Конфиденциальный клиент не поддерживается в кросс-облачном запросе.
AADSTS90051 InvalidNationalCloudId: идентификатор облака для одной страны содержит недопустимый идентификатор облака.
AADSTS90055 TenantThrottlingError — слишком много входящих запросов. Такое исключение создается для заблокированных клиентов.
AADSTS90056 BadResourceRequest — чтобы обменять код на токен доступа, приложение должно отправить запрос POST на эндпоинт /token. Кроме того, перед этим следует предоставить код авторизации и отправить его в запросе POST на конечную точку /token. Дополнительные сведения о потоке кода авторизации OAuth 2.0 см. в этой статье. Направьте пользователя на конечную точку /authorize, которая вернет код авторизации. По запросу на конечную точку /token пользователь получает токен доступа. Проверьте Регистрация приложений > конечных точек, чтобы убедиться, что две конечные точки настроены правильно.
AADSTS900561 BadResourceRequestInvalidRequest — конечная точка принимает только запросы {valid_verbs}. Получен запрос {invalid_verb}. {valid_verbs} представляет список http-команд, поддерживаемых конечной точкой (например, POST), {invalid_verb} — это HTTP-команда, используемая в текущем запросе (например, GET). Это может быть вызвано ошибкой разработчика или из-за того, что пользователи нажимают кнопку "Назад" в браузере, запуская неправильный запрос. Его можно игнорировать.
AADSTS90072 PassThroughUserMfaError: внешняя учетная запись, с которой входит пользователь, отсутствует у арендатора, в который вошел пользователь. Поэтому последний не может пройти MFA у данного арендатора. Эта ошибка также может возникать, если пользователи синхронизированы, но в атрибуте ImmutableID (sourceAnchor) между Active Directory и Идентификатором Microsoft Entra имеется несоответствие. Учетную запись сначала нужно добавить в клиент в качестве внешнего пользователя. Выйдите и войдите с помощью другой учетной записи пользователя Microsoft Entra. Для получения дополнительной информации, пожалуйста, посетите настройку внешних удостоверений.
AADSTS90081 OrgIdWsFederationMessageInvalid: произошла ошибка при попытке службы обработать сообщение WS-Federation. Сообщение недействительно.
AADSTS90082 OrgIdWsFederationNotSupported — выбранная для запроса политика аутентификации в данный момент не поддерживается.
AADSTS90084 OrgIdWsFederationGuestNotAllowed: гостевые учетные записи запрещены на этом сайте.
AADSTS90085 OrgIdWsFederationSltRedemptionFailed: Служба не может выдать токен, так как объект компании еще не подготовлен.
AADSTS90086 OrgIdWsTrustDaTokenExpired: истек срок действия маркера пользователя DA.
AADSTS90087 OrgIdWsFederationMessageCreationFromUriFailed: при создании сообщения WS-Federation из URI произошла ошибка.
AADSTS90090 GraphRetryableError: служба временно недоступна.
AADSTS90091 ГрафическийСервисНедоступен
AADSTS90092 Ошибка в графе, которую нельзя повторить
AADSTS90093 GraphUserUnauthorized — возвращается граф с кодом ошибки "Запрещено" для полученного запроса.
AADSTS90094 AdminConsentRequired: требуется согласие администратора.
AADSTS900382 Конфиденциальный клиент не поддерживается в запросах Cross Cloud.
AADSTS90095 AdminConsentRequiredRequestAccess — это прерывание в рабочем процессе для получения согласия администратора. Оно появляется, когда пользователь получает сообщение о том, что он должен запросить согласие у администратора.
AADSTS90099 Приложению "{appId}" ({appName}) не было предоставлено разрешение в тенанте "{tenant}". Приложения должны быть авторизованы для доступа к внешнему клиенту, прежде чем делегированные администраторы партнеров смогут использовать их. Предоставьте предварительное согласие или выполните соответствующий API Центра партнеров для авторизации приложения.
AADSTS900971 Не указан адрес ответа.
AADSTS90100 InvalidRequestParameter: пустой или недопустимый параметр.
AADSTS901002 AADSTS901002: параметр запроса resource не поддерживается.
AADSTS90101 InvalidEmailAddress: указан недопустимый адрес электронной почты. Адрес электронной почты должен иметь формат someone@example.com.
AADSTS90102 InvalidUriParameter: значение должно быть допустимым абсолютным URI.
AADSTS90107 InvalidXml — запрос недействителен. Убедитесь, что данные не содержат недопустимые символы.
AADSTS90112 Ожидается, что идентификатор приложения будет GUID.
AADSTS90114 InvalidExpiryDate: Метка времени истечения срока действия массовых токенов приведет к выдаче уже просроченных токенов.
AADSTS90117 НеверныйВводЗапроса
AADSTS90119 InvalidUserCode: код пользователя имеет значение NULL или пуст.
AADSTS90120 InvalidDeviceFlowRequest: запрос уже авторизован или отклонен.
AADSTS90121 InvalidEmptyRequest: недопустимый пустой запрос.
AADSTS90123 IdentityProviderAccessDenied: токен не может быть выдан, потому что поставщик удостоверений отклонил запрос.
AADSTS90124 V1ResourceV2GlobalEndpointNotSupported — ресурс не поддерживается на конечных точках /common и /consumers. Используйте конечную точку /organizations или специфическую для арендатора конечную точку вместо нее.
AADSTS90125 DebugModeEnrollTenantNotFound: пользователя нет в системе. Убедитесь, что вы правильно ввели имя пользователя.
AADSTS90126 DebugModeEnrollTenantNotInferred — тип пользователя не поддерживается на этой конечной точке. Система не может определить клиента пользователя через его имя пользователя.
AADSTS90130 NonConvergedAppV2GlobalEndpointNotSupported — приложение не поддерживается на конечных точках /common или /consumers. Используйте конечную точку /organizations или специальную конечную точку для клиента.
AADSTS120000 Неверный текущий пароль при изменении пароля
AADSTS120002 Смена пароля неудачна: новый пароль слабый
AADSTS120003 Неверный новый пароль: содержит имя пользователя
AADSTS120004 Сложность изменения пароля в локальной системе
AADSTS120005 Изменение пароля на локальном сервере прошло успешно, сбой в облаке.
AADSTS120008 PasswordChangeAsyncJobStateTerminated: произошла неповторяемая ошибка.
AADSTS120011 Сбой при изменении пароля: не удалось определить UPN асинхронно.
AADSTS120012 Изменение пароля должно произойти на месте
AADSTS120013 Ошибка подключения при изменении пароля на локальном сервере
AADSTS120014 Изменение пароля не выполнено. Учетная запись пользователя локальной сети заблокирована или отключена.
AADSTS120015 Требуется действие администратора для изменения пароля в AD
AADSTS120016 ПользовательСменыПароляНеНайденЧерезSspr
AADSTS120018 Пароль не соответствует гибкой политике изменения паролей
AADSTS120020 СбойИзмененияПароля
AADSTS120021 PartnerServiceSsprInternalServiceError
AADSTS130004 NgcKeyNotFound: для учётной записи пользователя не настроен идентификационный ключ NGC.
AADSTS130005 NgcInvalidSignature: не удалось проверить подпись ключа NGC.
AADSTS130006 NgcTransportKeyNotFound: транспортный ключ NGC не сконфигурирован на устройстве.
AADSTS130007 NgcDeviceIsDisabled: устройство отключено.
AADSTS130008 NgcDeviceIsNotFound: устройство, на которое ссылается ключ NGC, не найдено.
AADSTS135010 КлючНеНайден
AADSTS135011 Устройство, используемое при проверке подлинности, отключено.
AADSTS140000 InvalidRequestNonce — ключ nonce запроса не указан.
AADSTS140001 InvalidSessionKey — сеансовый ключ не является допустимым.
AADSTS165004 Фактическое содержимое сообщения зависит от среды выполнения. Подробные сведения см. в возвращенном сообщении об исключении.
AADSTS165900 InvalidApiRequest: недопустимый запрос.
AADSTS220450 UnsupportedAndroidWebViewVersion — версия Chrome WebView не поддерживается.
AADSTS220501 Недопустимая загрузка CRL
AADSTS221000 DeviceOnlyTokensNotSupportedByResource — ресурс не настроен на принятие токенов, предназначенных только для устройств.
AADSTS240001 BulkAADJTokenUnauthorized. Пользователь не имеет права регистрировать устройства в Microsoft Entra ID.
AADSTS240002 RequiredClaimIsMissing: id_token нельзя использовать в качестве параметра предоставления доступа urn:ietf:params:oauth:grant-type:jwt-bearer.
AADSTS501621 ClaimsTransformationTimeoutRegularExpressionTimeout — время ожидания замены регулярных выражений для преобразования утверждений истекло. Это означает, что для этого приложения может быть настроено слишком сложное регулярное выражение. Повтор запроса может завершиться успешно. В противном случае обратитесь к администратору, чтобы исправить конфигурацию.
AADSTS530032 BlockedByConditionalAccessOnSecurityPolicy — администратор клиента настроил политику безопасности, которая блокирует этот запрос. Проверьте политики безопасности, определенные на уровне клиента, чтобы узнать, соответствует ли запрос требованиям политики.
AADSTS700016 UnauthorizedClient_DoesNotMatchRequest — приложение не найдено в каталоге или арендаторе. Это может произойти, если приложение не было установлено администратором арендатора или если ни один пользователь в арендаторе не предоставил на него согласие. Вы могли неверно настроить значение идентификатора для приложения или отправили запрос на аутентификацию не в тот клиент.
AADSTS700020 InteractionRequired: для предоставления доступа требуется действие.
AADSTS700022 InvalidMultipleResourcesScope: указано недопустимое значение области входных параметров, так как оно содержит более одного ресурса.
AADSTS700023 InvalidResourcelessScope — предоставленное значение для параметра 'scope' недопустимо при запросе токена доступа.
AADSTS7000215 Предоставлен недействительный секретный ключ клиента. Ошибка разработчика — приложение пытается выполнить вход без необходимых или правильных параметров проверки подлинности.
AADSTS7000218 Текст запроса должен содержать следующий параметр: "client_assertion" или "client_secret".
AADSTS7000222 InvalidClientSecretExpiredKeysProvided — срок действия предоставленных секретных ключей клиента истек. Создайте новые ключи для приложения или рассмотрите возможность использования учетных данных сертификата для дополнительной безопасности: https://aka.ms/certCreds
AADSTS700229 ForbiddenTokenType. Только токены для приложений можно использовать в качестве федеративных удостоверений для издателя Microsoft Entra. Используйте маркер доступа только для приложений (созданный во время потока учетных данных клиента) вместо маркера доступа, делегированного пользователем (представляющего запрос, поступающий из контекста пользователя).
AADSTS700005 InvalidGrantRedeemAgainstWrongTenant — предоставленный код авторизации предназначен для использования с другим клиентом, поэтому он отклоняется. Код авторизации OAuth2 должен быть погашен для того же арендатора, для которого он был получен (например, /common или /{tenant-ID}).
AADSTS1000000 UserNotBoundError — API привязки требует, чтобы пользователь Microsoft Entra также прошел аутентификацию через внешнего IDP, что еще не произошло.
AADSTS1000002 BindCompleteInterruptError: привязка выполнена успешно, но необходимо сообщить об этом пользователю.
AADSTS100007 Microsoft Entra Regional ONLY поддерживает проверку подлинности для MSIs OR для запросов из MSAL с помощью SN+I для приложений 1P или 3P в клиентах инфраструктуры Майкрософт.
AADSTS1000031 Сейчас приложение {appDisplayName} недоступно. Обратитесь к администратору.
AADSTS7000112 UnauthorizedClientApplicationDisabled — приложение отключено.
AADSTS7000114 Приложению 'appIdentifier' запрещено выполнять запросы от имени приложения.
AADSTS7500529 Значение SAMLId-Guid не является допустимым идентификатором SAML. Идентификатор Microsoft Entra использует этот атрибут для заполнения атрибута InResponseTo возвращаемого ответа. Идентификатор не должен начинаться с цифры, поэтому общая стратегия предусматривает добавление такой строки, как ID, в начало строкового представления GUID. Например, id6c1c178c166d486687be4aaf5e482730 — это действительный идентификатор.
AADSTS9002341 V2Error: invalid_grant — пользователю требуется разрешить единый вход(SSO). Эта ошибка возникает, когда пользователь не предоставил приложению необходимые разрешения для выполнения единого входа. Пользователь должен быть перенаправлен на экран согласия, чтобы предоставить необходимые разрешения. Дополнительные сведения см. в этом объявлении .
AADSTS901011 Сообщение об ошибке "NoEmailAddressCollectedFromExternalOidcIDP" — адрес электронной почты не получен от внешнего поставщика удостоверений OpenID Connect (OIDC). Обычно это происходит, когда пользователь выбирает скрыть мою электронную почту при регистрации.
AADSTS901012 EmailAddressCollectedFromExternalOidcIDPNotVerified — от поставщика удостоверений личности не был получен ни один проверенный адрес электронной почты. Адрес электронной почты не подтверждён в токене идентификатора от внешнего поставщика идентификации OIDC.
AADSTS901014 NoExternalIdentifierCollectedFromExternalOidcIDP — внешний идентификатор не существует в ID-токене от внешнего поставщика удостоверений OIDC.

Следующие шаги