Microsoft Entra-Authentifizierungs- und -Autorisierungsfehlercodes

Sie suchen nach mehr Informationen zu den AADSTS-Fehlercodes, die vom Microsoft Entra-Sicherheitstokendienst (STS) zurückgegeben werden? Lesen Sie dieses Dokument, um AADSTS-Fehlerbeschreibungen, Fehlerbehebungen und einige vorgeschlagene Problemumgehungen zu erhalten.

Hinweis

Diese Informationen sind vorläufig und können sich ändern. Haben Sie eine Frage, oder können Sie nicht finden, was Sie suchen? Erstellen Sie ein GitHub-Problem, oder lesen Sie Support- und Hilfeoptionen für Entwickler, um mehr über andere Möglichkeiten zu erfahren, wie Sie Hilfe und Unterstützung erhalten können.

Diese Dokumentation dient als Leitfaden für Entwickler und Administratoren, sollte aber niemals vom Kunden selbst verwendet werden. Fehlercodes können jederzeit geändert werden, um detailliertere Fehlermeldungen zu erhalten, die den Entwickler bei der Erstellung seiner Anwendung unterstützen sollen. Apps, die von Text- oder Fehlercodenummern abhängig sind, funktionieren im Lauf der Zeit nicht mehr.

Nachschlagen aktueller Fehlercodeinformationen

Fehlercodes und Meldungen unterliegen Änderungen. Die aktuellen Informationen finden Sie auf der Seite https://login.microsoftonline.com/error. Sie enthält AADSTS-Fehlerbeschreibungen, -Fehlerbehebungen und einige Vorschläge für Problemumgehungen.

Wenn Sie beispielsweise den Fehlercode „AADSTS50058“ erhalten haben, suchen Sie unter https://login.microsoftonline.com/error nach „50058“. Sie können auch einen direkten Link zu einem bestimmten Fehler einrichten, indem Sie die Nummer des Fehlercodes der URL hinzufügen: https://login.microsoftonline.com/error?code=50058.

Problembehandlung bei Fehlercodes in Ihrer Anwendung

In der OAuth 2.0-Spezifikation finden Sie Anleitungen zum Behandeln von Fehlern während der Authentifizierung mithilfe der error-Angabe in der Fehlerantwort.

Hier ist ein Beispiel für eine Fehlerantwort:

{
  "error": "invalid_scope",
  "error_description": "AADSTS70011: The provided value for the input parameter 'scope' isn't valid. The scope https://example.contoso.com/activity.read isn't valid.\r\nTrace ID: 0000aaaa-11bb-cccc-dd33-eeeeee333333\r\nCorrelation ID: aaaa0000-bb11-2222-33cc-444444dddddd\r\nTimestamp: 2016-01-09 02:02:12Z",
  "error_codes": [
    70011
  ],
  "timestamp": "2016-01-09 02:02:12Z",
  "trace_id": "0000aaaa-11bb-cccc-dd33-eeeeee333333",
  "correlation_id": "aaaa0000-bb11-2222-33cc-444444dddddd", 
  "error_uri":"https://login.microsoftonline.com/error?code=70011"
}

Parameter	Beschreibung
error	Eine Fehlercodezeichenfolge, anhand der die auftretenden Fehlertypen klassifiziert werden können und die verwendet werden sollte, um auf Fehler zu reagieren.
error_description	Eine spezifische Fehlermeldung, mit der Entwickler die Hauptursache eines Authentifizierungsfehlers identifizieren können. Verwenden Sie dieses Feld niemals, um auf einen Fehler in Ihrem Code zu reagieren.
error_codes	Eine Liste der STS-spezifischen Fehlercodes, die bei der Diagnose helfen können.
timestamp	Gibt den Zeitpunkt zurück, zu dem der Fehler aufgetreten ist.
trace_id	Ein eindeutiger Bezeichner für die Anforderung, die bei der Diagnose helfen kann
correlation_id	Ein eindeutiger Bezeichner für die Anforderung, die bei der komponentenübergreifenden Diagnose helfen kann
error_uri	Ein Link zur Fehlersuchseite mit zusätzlichen Informationen über den Fehler. Diese Angabe ist nur für Entwickler bestimmt und darf den Benutzern nicht angezeigt werden. Diese Angabe ist nur vorhanden, wenn das Fehlersuchsystem zusätzliche Informationen über den Fehler enthält. Es werden nicht für alle Fehler zusätzliche Informationen bereitgestellt.

Für das Feld error gibt es mehrere mögliche Werte. Unter den Protokolldokumentationslinks und in den OAuth 2.0-Spezifikationen finden Sie weitere Informationen zu bestimmten Fehlern (z. B. zu authorization_pending im Gerätcodeflow) und dazu, wie Sie darauf reagieren können. Im Folgenden sind einige häufige Fehlercodes aufgeführt:

Fehlercode	Beschreibung	Clientaktion
invalid_request	Protokollfehler, z.B. ein fehlender erforderlicher Parameter.	Korrigieren Sie die Anforderung, und senden Sie sie erneut.
invalid_grant	Einige der Authentifizierungselemente (Authentifizierungscode, Aktualisierungstoken, Zugriffstoken, PKCE-Abfrage) waren ungültig, konnten nicht analysiert werden, fehlen oder sind anderweitig nicht verwendbar	Versuchen Sie, eine neue Anforderung an den /authorize-Endpunkt zu senden, um einen neuen Autorisierungscode zu erhalten. Überprüfen und validieren Sie die Verwendung der Protokolle durch diese App.
unauthorized_client	Der authentifizierte Client ist zur Verwendung dieses Autorisierungsgewährungstyps nicht autorisiert.	Dies tritt in der Regel auf, wenn die Clientanwendung nicht bei Microsoft Entra ID registriert ist oder dem Microsoft Entra-Mandanten der Benutzer*innen nicht hinzugefügt wurde. Die Anwendung kann den Benutzer zum Installieren der Anwendung und zum Hinzufügen zu Microsoft Entra ID auffordern.
invalid_client	Clientauthentifizierung fehlgeschlagen.	Die Client-Anmeldeinformationen sind nicht gültig. Um das Problem zu beheben, aktualisiert die Fachkraft in der IT-Verwaltung für Anwendungen die Anmeldeinformationen.
unsupported_grant_type	Der Autorisierungsserver unterstützt den Autorisierungsgewährungstyp nicht.	Ändern Sie den Gewährungstyp in der Anforderung. Diese Art von Fehler sollte nur während der Entwicklung auftreten und bei den ersten Tests erkannt werden.
invalid_resource	Die Zielressource ist ungültig, da sie entweder nicht vorhanden ist, von Microsoft Entra ID nicht gefunden werden kann oder nicht ordnungsgemäß konfiguriert ist.	Dies zeigt an, dass die Ressource, sofern vorhanden, nicht im Mandanten konfiguriert wurde. Die Anwendung kann den Benutzer zum Installieren der Anwendung und zum Hinzufügen zu Microsoft Entra ID auffordern. Während der Entwicklung deutet dies in der Regel auf einen falsch eingerichteten Testmandanten oder einen Tippfehler im Namen des angeforderten Bereichs hin.
interaction_required	Die Anforderung erfordert eine Benutzerinteraktion. Beispielsweise ist ein zusätzlicher Schritt zur Authentifizierung erforderlich.	Wiederholen Sie die Anforderung mit der gleichen Ressource (interaktiv), damit der Benutzer alle erforderlichen Aufgaben abschließen kann.
temporarily_unavailable	Der Server ist vorübergehend überlastet und kann die Anforderung nicht verarbeiten.	Wiederholen Sie die Anforderung. Die Clientanwendung kann dem Benutzer erklären, dass ihre Antwort aufgrund einer temporären Bedingung verzögert ist.

AADSTS-Fehlercodes

Fehler	BESCHREIBUNG
AADSTS16000	InteractionRequired: Benutzerkonto „{EmailHidden}“ vom Identitätsanbieter „{idp}“ ist im Mandanten „{tenant}'“ nicht vorhanden und kann nicht auf die Anwendung „{appid}“({appName}) in diesem Mandanten zugreifen. Dieses Konto muss zunächst als externer Benutzer im Mandanten hinzugefügt werden. Melden Sie sich ab und anschließend mit einem anderen Microsoft Entra-Benutzerkonto erneut an. Dieser Fehler ist relativ häufig, wenn Sie versuchen, sich mithilfe eines persönlichen Microsoft-Kontos beim Microsoft Entra Admin Center anzumelden und kein Verzeichnis zugeordnet ist.
AADSTS16001	UserAccountSelectionInvalid: Dieser Fehler wird angezeigt, wenn der Benutzer eine Kachel auswählt, die die Logik für die Auswahl der Sitzung abgelehnt hat. Wenn dieser Fehler ausgelöst wird, ermöglicht er dem Benutzer die Wiederherstellung, indem er aus einer aktualisierten Liste von Kacheln/Sitzungen auswählt oder ein anderes Konto auswählt. Dieser Fehler kann aufgrund eines Codedefekts oder einer Racebedingung auftreten.
AADSTS16002	AppSessionSelectionInvalid: Die von der App angegebene SID-Anforderung wurde nicht erfüllt.
AADSTS160021	AppSessionSelectionInvalidSessionNotExist: Die Anwendung hat eine Benutzersitzung angefordert, die nicht vorhanden ist. Dieses Problem kann durch Erstellen eines neuen Azure-Kontos behoben werden.
AADSTS16003	SsoUserAccountNotFoundInResourceTenant: Weist darauf hin, dass der Benutzer nicht explizit zum Mandanten hinzugefügt wurde.
AADSTS17003	CredentialKeyProvisioningFailed: Microsoft Entra ID kann den Benutzerschlüssel nicht bereitstellen.
AADSTS20001	WsFedSignInResponseError: Es besteht ein Problem mit Ihrem Verbundidentitätsanbieter. Wenden Sie sich an Ihren Identitätsanbieter, um das Problem zu beheben.
AADSTS20012	WsFedMessageInvalid: Es besteht ein Problem mit Ihrem Verbundidentitätsanbieter. Wenden Sie sich an Ihren Identitätsanbieter, um das Problem zu beheben.
AADSTS20033	FedMetadataInvalidTenantName: Es besteht ein Problem mit Ihrem Verbundidentitätsanbieter. Wenden Sie sich an Ihren Identitätsanbieter, um das Problem zu beheben.
AADSTS230109	CachedCredentialNonGWAuthNRequestsNotSupported: Der Sicherungsauthentifizierungsdienst lässt nur AuthN-Anforderungen vom Microsoft Entra-Gateway zu. Dieser Fehler erscheint, wenn der Datenverkehr direkt auf den Sicherungsauthentifizierungsdienst ausgerichtet ist, anstatt den Reverseproxy zu durchlaufen.
AADSTS28002	Der angegebene Wert für den Eingabeparameterbereich „{scope}“ ist beim Anfordern eines Zugriffstokens nicht gültig. Geben Sie einen gültigen Bereich an.
AADSTS28003	Der angegebene Wert für den Eingabeparameterbereich darf nicht leer sein, wenn mit dem angegebenen Autorisierungscode ein Zugriffstoken angefordert wird. Geben Sie einen gültigen Bereich an.
AADSTS40008	OAuth2IdPUnretryableServerError: Es besteht ein Problem mit Ihrem Verbundidentitätsanbieter. Wenden Sie sich an Ihren Identitätsanbieter, um das Problem zu beheben.
AADSTS40009	OAuth2IdPRefreshTokenRedemptionUserError: Es besteht ein Problem mit Ihrem Verbundidentitätsanbieter. Wenden Sie sich an Ihren Identitätsanbieter, um das Problem zu beheben.
AADSTS40010	OAuth2IdPRetryableServerError: Es besteht ein Problem mit Ihrem Verbundidentitätsanbieter. Wenden Sie sich an Ihren Identitätsanbieter, um das Problem zu beheben.
AADSTS40015	OAuth2IdPAuthCodeRedemptionUserError: Es besteht ein Problem mit Ihrem Verbundidentitätsanbieter. Wenden Sie sich an Ihren Identitätsanbieter, um das Problem zu beheben.
AADSTS50000	TokenIssuanceError: Es besteht ein Problem mit dem Anmeldedienst. Öffnen Sie ein Supportticket, um dieses Problem zu beheben.
AADSTS50001	InvalidResource: Die Ressource ist deaktiviert oder nicht vorhanden. Überprüfen Sie den Code Ihrer App, um sicherzustellen, dass Sie die genaue Ressourcen-URL für die Ressource angegeben haben, auf die Sie zugreifen möchten.
AADSTS50002	NotAllowedTenant: Fehler bei der Anmeldung aufgrund von eingeschränktem Proxyzugriff auf dem Mandanten. Falls es sich um Ihre eigene Mandantenrichtlinie handelt, können Sie die Einschränkungseinstellungen des Mandanten ändern, um dieses Problem zu beheben.
AADSTS500011	InvalidResourceServicePrincipalNotFound: Der Ressourcenprinzipal „{name}“ wurde im Mandanten „{tenant}“ nicht gefunden. Dieser Fehler kann auftreten, wenn die Anwendung nicht vom Administrator des Mandanten installiert wurde oder wenn sie von den Benutzern des Mandanten keine Zustimmung erhalten hat. Unter Umständen haben Sie Ihre Authentifizierung an den falschen Mandanten gesendet. Wenn Sie erwarten, dass die App installiert wird, müssen Sie möglicherweise Administratorberechtigungen bereitstellen, um sie hinzuzufügen. Wenden Sie sich an die Entwickler der Ressource und Anwendung, um mehr über das richtige Setup für Ihren Mandanten zu erfahren.
AADSTS500021	Der Zugriff auf den Mandanten „{tenant}“ wurde verweigert. AADSTS500021 gibt an, dass das Mandanteneinschränkungsfeature konfiguriert ist und der Benutzer versucht, auf einen Mandanten zuzugreifen, der nicht in der im Header Restrict-Access-To-Tenant angegebenen Liste zulässiger Mandanten enthalten ist. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf SaaS-Cloudanwendungen mithilfe von Mandanteneinschränkungen.
AADSTS500022	Der Zugriff auf den Mandanten „{tenant}“ wurde verweigert. AADSTS500022 gibt an, dass das Mandanteneinschränkungsfeature konfiguriert ist und der Benutzer versucht, auf einen Mandanten zuzugreifen, der nicht in der im Header Restrict-Access-To-Tenant angegebenen Liste zulässiger Mandanten enthalten ist. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf SaaS-Cloudanwendungen mithilfe von Mandanteneinschränkungen.
AADSTS50003	MissingSigningKey: Fehler bei der Anmeldung aufgrund eines fehlenden Signaturschlüssels oder Zertifikats. Der Grund hierfür kann sein, dass in der App kein Signaturschlüssel konfiguriert wurde. Weitere Informationen finden Sie im Artikel zur Behebung von Fehler AADSTS50003. Falls weiterhin Probleme auftreten, können Sie sich an den Besitzer oder Administrator der App wenden.
AADSTS50005	DevicePolicyError: Der Benutzer hat bei der Anmeldung an einem Gerät eine Plattform angegeben, die gemäß der Richtlinie für bedingten Zugriff zurzeit nicht unterstützt wird.
AADSTS50006	InvalidSignature: Fehler bei der Signaturüberprüfung aufgrund einer ungültigen Signatur.
AADSTS50007	PartnerEncryptionCertificateMissing: Das Partnerverschlüsselungszertifikat wurde für diese App nicht gefunden. Öffnen Sie ein Supportticket bei Microsoft, um dieses Problem zu beheben.
AADSTS50008	InvalidSamlToken: Die SAML-Assertion fehlt oder wurde im Token falsch konfiguriert. Wenden Sie sich an Ihren Verbundanbieter.
AADSTS5000819	InvalidSamlTokenEmailMissingOrInvalid – Die SAML-Assertion ist ungültig. Der E-Mail-Adressanspruch fehlt oder stimmt nicht mit der Domain aus einem externen Bereich überein.
AADSTS50010	AudienceUriValidationFailed: Fehler bei der Überprüfung des Benutzergruppen-URI für die App, da keine Tokenzielgruppen konfiguriert wurden.
AADSTS50011	InvalidReplyTo: Die Antwortadresse fehlt, ist falsch konfiguriert oder stimmt nicht mit den für die App konfigurierten Antwortadressen überein. Fügen Sie der Microsoft Entra-Anwendung zur Behebung des Problems diese fehlende Antwortadresse hinzu oder bitten Sie Benutzer, die zum Verwalten Ihrer Anwendung in Microsoft Entra berechtigt sind, dies für Sie zu tun. Weitere Informationen finden Sie im Artikel zur Behebung von Fehler AADSTS50011.
AADSTS50012	AuthenticationFailed: Fehler bei der Authentifizierung aus einem der folgenden Gründe: Der Antragstellername des Signaturzertifikats ist nicht autorisiert. Eine entsprechende Richtlinie zu vertrauenswürdigen Autoritäten wurde für den autorisierten Antragstellernamen nicht gefunden. Die Zertifikatskette ist ungültig. Das Signaturzertifikat ist ungültig. Die Richtlinie ist im Mandanten nicht konfiguriert. Der Fingerabdruck des Signaturzertifikats ist nicht autorisiert. Die Clientassertion enthält eine ungültige Signatur.
AADSTS50013	InvalidAssertion – Die Assertion ist aus verschiedenen Gründen ungültig – Der Aussteller des Tokens stimmt nicht mit der API-Version innerhalb des gültigen Zeitraums überein, ist abgelaufen oder ist falsch formatiert – das Aktualisierungstoken in der Assertion ist kein primäres Aktualisierungstoken. Wenden Sie sich an den App-Entwickler.
AADSTS500133	Assertion befindet sich nicht im gültigen Zeitbereich. Überprüfen Sie, ob das Zugriffstoken abgelaufen ist, bevor Sie es für die Benutzerassertion verwenden oder ein neues Token anfordern. Aktuelle Uhrzeit: {curTime}, Ablaufzeit der Assertion {expTime}. Die Assertion ist aus verschiedenen Gründen ungültig: Der Tokenaussteller stimmt nicht mit der API-Version innerhalb des gültigen Zeitraums überein Abgelaufen Fehlerhaft Aktualisierungstoken in der Assertion ist kein primäres Aktualisierungstoken
AADSTS50014	GuestUserInPendingState: Benutzerkonto ist nicht im Verzeichnis vorhanden. Eine Anwendung hat wahrscheinlich den falschen Mandanten für die Anmeldung ausgewählt, und der aktuell angemeldete Benutzer wurde an der Anmeldung gehindert, da er in Ihrem Mandanten nicht vorhanden war. Wenn sich dieser Benutzer anmelden können soll, fügen Sie ihn als Gast hinzu. Weitere Informationen finden Sie unter Hinzufügen von B2B-Benutzern.
AADSTS50015	ViralUserLegalAgeConsentRequiredState: Für den Benutzer ist ein Nachweis der Volljährigkeit erforderlich.
AADSTS50017	CertificateValidationFailed: Fehler bei der Überprüfung der Zertifizierung aus den folgenden Gründen: Das Ausstellerzertifikat kann in der Liste mit den vertrauenswürdigen Zertifikaten nicht gefunden werden. Das erwartete CrlSegment-Element kann nicht gefunden werden. Das Ausstellerzertifikat kann in der Liste mit den vertrauenswürdigen Zertifikaten nicht gefunden werden. Delta-Zertifikatsperrlisten-Verteilungspunkt wurde ohne entsprechenden Zertifikatsperrlisten-Verteilungspunkt konfiguriert. Aufgrund eines Timeoutfehlers können keine gültigen Zertifikatsperrlisten-Segmente abgerufen werden. Die Zertifikatsperrliste kann nicht heruntergeladen werden. Wenden Sie sich an den Administrator des Mandanten.
AADSTS50020	UserUnauthorized: Benutzer sind nicht autorisiert, diesen Endpunkt aufzurufen. Benutzerkonto „{email}“ vom Identitätsanbieter „{idp}“ ist im Mandanten „{tenant}'“ nicht vorhanden und kann in diesem Mandanten nicht auf die Anwendung „{appid}“ ({appName}) zugreifen. Dieses Konto muss zunächst als externer Benutzer im Mandanten hinzugefügt werden. Melden Sie sich ab und anschließend mit einem anderen Microsoft Entra-Benutzerkonto erneut an. Wenn dieser Benutzer Mitglied des Mandanten sein soll, muss er über das B2B-System eingeladen werden. Weitere Informationen finden Sie unter AADSTS50020.
AADSTS500208	Die Domäne ist keine gültige Anmeldedomäne für den Kontotyp. Diese Situation tritt auf, wenn das Konto des Benutzers nicht mit dem erwarteten Kontotyp für den angegebenen Mandanten übereinstimmt. Wenn der Mandant beispielsweise so konfiguriert ist, dass er nur Geschäfts-, Schul- oder Unikonten zulässt, und der Benutzer versucht, sich mit einem persönlichen Microsoft-Konto anzumelden, erhält er diesen Fehler.
AADSTS500212	NotAllowedByOutboundPolicyTenant: Der Administrator des Benutzers hat eine Richtlinie für ausgehenden Zugriff festgelegt, die den Zugriff auf den Ressourcenmandanten nicht zulässt.
AADSTS500213	NotAllowedByInboundPolicyTenant: Die mandantenübergreifende Zugriffsrichtlinie des Mandanten der Ressource erlaubt diesem Benutzer keinen Zugriff auf diesen Mandanten.
AADSTS50027	InvalidJwtToken: Das JWT-Token ist aus den folgenden Gründen ungültig: Enthält keinen Nonce-Anspruch, untergeordneten Anspruch. Antragstellerbezeichner stimmt nicht überein. Doppelter Anspruch in idToken-Ansprüchen. Unerwarteter Aussteller. Unerwartete Zielgruppe. Liegt nicht innerhalb des gültigen Zeitbereichs Falsches Tokenformat. Fehler bei Signaturüberprüfung für das Token für die externe ID vom Aussteller.
AADSTS50029	Ungültiger URI: Domänenname enthält ungültige Zeichen. Wenden Sie sich an den Administrator des Mandanten.
AADSTS50032	WeakRsaKey: Gibt den fehlerhaften Benutzerversuch an, einen schwachen RSA-Schlüssel zu verwenden.
AADSTS50033	RetryableError: Gibt einen vorübergehenden Fehler an, der nicht im Zusammenhang mit den Datenbankvorgängen steht.
AADSTS50034	UserAccountNotFound: Zum Anmelden bei dieser Anwendung muss das Konto dem Verzeichnis hinzugefügt werden. Dieser Fehler kann auftreten, weil der Benutzer seinen Benutzernamen falsch eingegeben hat oder sich nicht im Mandanten befindet. Eine Anwendung hat unter Umständen den falschen Mandanten für die Anmeldung ausgewählt, und der aktuell angemeldete Benutzer wurde an der Anmeldung gehindert, da er in Ihrem Mandanten nicht vorhanden war. Wenn sich dieser Benutzer anmelden können soll, fügen Sie ihn als Gast hinzu. Weitere Informationen finden Sie in dieser Dokumentation: Hinzufügen von B2B-Benutzern.
AADSTS50042	UnableToGeneratePairwiseIdentifierWithMissingSalt: Der Salt-Wert, der für das Generieren eines paarweisen Bezeichners erforderlich ist, fehlt im Prinzip. Wenden Sie sich an den Administrator des Mandanten.
AADSTS50043	UnableToGeneratePairwiseIdentifierWithMultipleSalts.
AADSTS50048	SubjectMismatchesIssuer: Der Antragsteller stimmt nicht mit dem Ausstelleranspruch in der Clientassertion überein. Wenden Sie sich an den Administrator des Mandanten.
AADSTS50049	NoSuchInstanceForDiscovery: Unbekannte oder ungültige Instanz.
AADSTS50050	MalformedDiscoveryRequest: Die Anforderung ist falsch formatiert.
AADSTS50053	Dieser Fehler kann aus zwei Gründen auftreten: Das Konto (ID) ist gesperrt, weil der Benutzer zu häufig versucht hat, sich mit einer falschen Benutzer-ID bzw. einem falschen Kennwort anzumelden. Der Benutzer wird aufgrund wiederholter Anmeldeversuche blockiert. Weitere Informationen finden Sie unter Behandeln von Risiken und Aufheben der Blockierung von Benutzern. Die Anmeldung wurde blockiert, weil sie von einer IP-Adresse aus erfolgt ist, von der schädliche Aktivitäten ausgehen. Melden Sie sich beim Microsoft Entra Admin Center als Cloudanwendungsadministrator an, um zu ermitteln, was diesen Fehler verursacht hat. Navigieren Sie zu Ihrem Microsoft Entra-Mandanten und dann zu Überwachen und Integrität ->Anmeldeprotokolle. Suchen Sie nach der fehlgeschlagenen Benutzeranmeldung mit dem Anmeldefehlercode 50053, und überprüfen Sie die Fehlerursache.
AADSTS50055	InvalidPasswordExpiredPassword: Das Kennwort ist abgelaufen. Das Kennwort des Benutzers ist abgelaufen. Daher wurde seine Sitzung beendet. Er erhält die Möglichkeit, das Kennwort zurückzusetzen oder einen Administrator zu bitten, es über Zurücksetzen von Benutzerkennwörtern mit Microsoft Entra ID zurückzusetzen.
AADSTS50056	Ungültiges oder fehlendes Kennwort: Das Kennwort ist für diesen Benutzer nicht im Verzeichnis vorhanden. Der Benutzer muss aufgefordert werden, sein Kennwort erneut einzugeben.
AADSTS50057	UserDisabled: Das Benutzerkonto ist deaktiviert. Das Benutzerobjekt in Active Directory, das dieses Konto sichern soll, wurde deaktiviert. Ein*e Administrator*in kann dieses Konto über PowerShell erneut aktivieren.
AADSTS50058	UserInformationNotProvided: Sitzungsinformationen reichen für einmaliges Anmelden nicht aus. Dies bedeutet, dass ein Benutzer nicht angemeldet ist. Dieser Fehler tritt auf, wenn ein Benutzer nicht authentifiziert wurde und sich noch nicht angemeldet hat. Wenn dieser Fehler in einem SSO-Kontext auftritt, in dem sich der Benutzer zuvor angemeldet hat, bedeutet das, dass die SSO-Sitzung entweder nicht gefunden wurde oder ungültig ist. Dieser Fehler kann an die Anwendung zurückgegeben werden, wenn prompt=none angegeben wird.
AADSTS50059	MissingTenantRealmAndNoUserInformationProvided: Es wurden keine Informationen zur Identifizierung des Mandanten in der Anforderung gefunden bzw. nicht über angegebene Anmeldeinformationen impliziert. Der Benutzer kann sich an den Mandantenadministrator wenden, um das Problem zu lösen.
AADSTS50061	SignoutInvalidRequest: Die Abmeldung kann nicht abgeschlossen werden. Die Anforderung war ungültig.
AADSTS50064	CredentialAuthenticationError: Fehler beim Überprüfen der Anmeldeinformationen bezüglich Benutzername und Kennwort.
AADSTS50068	SignoutInitiatorNotParticipant: Fehler beim Abmelden. Die App, die den Abmeldevorgang eingeleitet hat, ist kein Teilnehmer der aktuellen Sitzung.
AADSTS50070	SignoutUnknownSessionIdentifier: Fehler beim Abmelden. In der Abmeldeanforderung wurde ein Namensbezeichner angegeben, der nicht mit der/den vorhandenen Sitzung(en) übereinstimmt.
AADSTS50071	SignoutMessageExpired: Die Abmeldeanforderung ist abgelaufen.
AADSTS50072	UserStrongAuthEnrollmentRequiredInterrupt: Der Benutzer muss sich für zweistufige Authentifizierung (interaktiv) registrieren.
AADSTS50074	UserStrongAuthClientAuthNRequiredInterrupt: Starke Authentifizierung ist erforderlich, und der Benutzer hat die MFA-Überprüfung nicht bestanden.
AADSTS50076	UserStrongAuthClientAuthNRequired: Aufgrund einer Konfigurationsänderung durch Administrator*innen (etwa einer Richtlinie für bedingten Zugriff), der benutzerbasierten Erzwingung oder einer Verschiebung an einen neuen Standort muss der Benutzer oder die Benutzerin für den Zugriff auf die Ressource die Multi-Faktor-Authentifizierung verwenden. Wiederholen Sie den Vorgang mit einer neuen Autorisierungsanforderung für die Ressource.
AADSTS50078	UserStrongAuthExpired: Die Daten zur Multi-Faktor-Authentifizierung (MFA) sind aufgrund von administratorseitig konfigurierten Richtlinien abgelaufen. Sie müssen Ihre MFS-Daten aktualisieren, um auf „{resource}“ zuzugreifen.
AADSTS50079	UserStrongAuthEnrollmentRequired: Aufgrund einer Konfigurationsänderung durch Administrator*innen (etwa einer Richtlinie für bedingten Zugriff), der benutzerbasierten Erzwingung oder einer Verschiebung an einen neuen Standort muss der Benutzer oder die Benutzerin die Multi-Faktor-Authentifizierung verwenden. Entweder muss ein verwalteter Benutzer oder eine verwaltete Benutzerin Sicherheitsinformationen registrieren, um die Multi-Faktor-Authentifizierung abzuschließen, oder ein Verbundbenutzer bzw. eine Verbundbenutzerin muss den Multi-Faktor-Anspruch vom Verbundidentitätsanbieter abrufen.
AADSTS50085	Für Aktualisierungstoken ist eine IdP-Anmeldung per sozialem Netzwerk erforderlich. Bitten Sie Benutzer, sich per Benutzername und Kennwort erneut anzumelden.
AADSTS50086	SasNonRetryableError
AADSTS50087	SasRetryableError: Bei der sicheren Authentifizierung ist ein vorübergehender Fehler aufgetreten. Versuchen Sie es erneut.
AADSTS50088	Grenzwert für telefonische MFA-Aufrufe erreicht. Wiederholen Sie den Vorgang in einigen Minuten.
AADSTS50089	Authentifizierung fehlgeschlagen, da Flowtoken abgelaufen. Erwartet: Authentifizierungscodes, Aktualisierungstoken und Sitzungen laufen im Laufe der Zeit ab oder werden vom Benutzer oder einem Administrator widerrufen. Die App fordert vom Benutzer eine neue Anmeldung an.
AADSTS50097	DeviceAuthenticationRequired: Geräteauthentifizierung ist erforderlich.
AADSTS50099	PKeyAuthInvalidJwtUnauthorized: Die JWT-Signatur ist ungültig.
AADSTS50105	EntitlementGrantsNotFound: Der angemeldete Benutzer ist keiner Rolle für die angemeldete App zugewiesen. Weisen Sie den Benutzer der App zu. Weitere Informationen finden Sie im Artikel zur Behebung von Fehler AADSTS50105.
AADSTS50107	InvalidRealmUri: Das angeforderte Verbundbereichsobjekt ist nicht vorhanden. Wenden Sie sich an den Administrator des Mandanten.
AADSTS50120	ThresholdJwtInvalidJwtFormat: Problem mit JWT-Header. Wenden Sie sich an den Administrator des Mandanten.
AADSTS50124	ClaimsTransformationInvalidInputParameter: Die Anspruchstransformation enthält ungültige Eingabeparameter. Wenden Sie sich an den Administrator des Mandanten, um die Richtlinie zu aktualisieren.
AADSTS501241	Die obligatorische Eingabe „{paramName}“ fehlt in der Transformations-ID „{transformId}“. Dieser Fehler wird zurückgegeben, während Microsoft Entra ID versucht, eine SAML-Antwort für die Anwendung zu erstellen. Der NameID-Anspruch oder NameIdentifier ist in der SAML-Antwort obligatorisch. Wenn Microsoft Entra ID das Quellattribut für den NameID-Anspruch nicht abrufen kann, wird dieser Fehler zurückgegeben. Stellen Sie als Lösung sicher, dass Sie Anspruchsregeln hinzufügen. Um Anspruchsregeln hinzuzufügen, melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an, und navigieren Sie dann zu Identität>Anwendungen>Unternehmensanwendungen. Wählen Sie Ihre Anwendung und dann Einmaliges Anmelden aus, geben Sie dann unter Benutzerattribute und Ansprüche den eindeutigen Benutzerbezeichner (Name-ID) ein.
AADSTS50125	PasswordResetRegistrationRequiredInterrupt: Die Anmeldung wurde aufgrund einer Kennwortzurücksetzung oder eines Kennwortregistrierungseintrags unterbrochen.
AADSTS50126	InvalidUserNameOrPassword: Fehler beim Überprüfen der Anmeldeinformationen aufgrund eines ungültigen Benutzernamens oder Kennworts. Der Benutzer hat nicht die richtigen Anmeldeinformationen eingegeben. Es ist zu erwarten, dass einige dieser Fehler in Ihren Protokollen angezeigt werden, da Benutzer Fehler machen.
AADSTS50127	BrokerAppNotInstalled: Der Benutzer muss für den Zugriff auf diesen Inhalt eine Broker-App installieren.
AADSTS50128	Ungültiger Domänenname: Es wurden keine Informationen zur Identifizierung des Mandanten in der Anforderung gefunden bzw. nicht über angegebene Anmeldeinformationen impliziert.
AADSTS50129	DeviceIsNotWorkplaceJoined: Um das Gerät zu registrieren, ist ein Workplace Join erforderlich.
AADSTS50131	ConditionalAccessFailed: Gibt verschiedene bedingte Zugriffsfehler an, z. B. schlechten Windows-Gerätezustand, aufgrund verdächtiger Aktivitäten blockierte Anforderung, Zugriffsrichtlinie oder Sicherheitsrichtlinienentscheidungen.
AADSTS50132	SsoArtifactInvalidOrExpired: Die Sitzung ist aufgrund von Kennwortablauf oder aktueller Kennwortänderung ungültig.
AADSTS50133	SsoArtifactRevoked: Die Sitzung ist aufgrund von Kennwortablauf oder aktueller Kennwortänderung ungültig.
AADSTS50134	DeviceFlowAuthorizeWrongDatacenter: Falsches Rechenzentrum. Um eine Anforderung zu autorisieren, die von einer App im OAuth 2.0-Geräteflow eingeleitet wurde, muss die autorisierende Seite sich im selben Rechenzentrum befinden wie demjenigen, aus dem die ursprüngliche Anforderung stammt.
AADSTS50135	PasswordChangeCompromisedPassword: Eine Kennwortänderung ist aufgrund des Kontorisikos erforderlich.
AADSTS50136	RedirectMsaSessionToApp: Einzelne MSA-Sitzung erkannt.
AADSTS50139	SessionMissingMsaOAuth2RefreshToken: Die Sitzung ist aufgrund eines fehlenden externen Aktualisierungstokens ungültig.
AADSTS50140	KmsiInterrupt: Dieser Fehler ist aufgetreten, weil beim Anmelden des Benutzers der Interruptvorgang „Angemeldet bleiben“ aufgetreten ist. Dies ist ein erwarteter Teil des Anmeldeflows, bei dem ein Benutzer gefragt wird, ob er in seinem aktuellen Browser angemeldet bleiben möchte, um weitere Anmeldungen zu erleichtern. Weitere Informationen finden Sie unter The new Microsoft Entra sign-in and Keep me signed in experiences rolling out now! (Die neue Microsoft Entra-Anmeldung und die Option „Angemeldet bleiben“ werden eingeführt). Öffnen Sie ein Supportticket mit der Korrelations-ID, Anforderungs-ID und dem Fehlercode, um weitere Details zu erhalten.
AADSTS50143	Sitzungskonflikt: Die Sitzung ist ungültig, da der Benutzermandant aufgrund einer anderen Ressource nicht mit dem Domänenhinweis übereinstimmt. Öffnen Sie ein Supportticket mit der Korrelations-ID, Anforderungs-ID und dem Fehlercode, um weitere Details anzuzeigen.
AADSTS50144	InvalidPasswordExpiredOnPremPassword: Das Active Directory-Kennwort des Benutzers ist abgelaufen. Generieren Sie ein neues Kennwort für den Benutzer, oder lassen Sie den Benutzer das Self-Service-Tool für die Zurücksetzung verwenden, um sein Kennwort zurückzusetzen.
AADSTS50146	MissingCustomSigningKey: Diese App muss mit einem anwendungsspezifischen Signaturschlüssel konfiguriert werden. Entweder ist dies nicht der Fall, oder der Schlüssel ist abgelaufen oder noch nicht gültig. Wenden Sie sich an den Besitzer der Anwendung.
AADSTS501461	AcceptMappedClaims wird nur für eine Tokenzielgruppe unterstützt, die der Anwendungs-GUID oder einer Zielgruppe innerhalb der überprüften Domänen des Mandanten entspricht. Ändern Sie entweder den Ressourcenbezeichner, oder verwenden Sie einen anwendungsspezifischen Signaturschlüssel.
AADSTS50147	MissingCodeChallenge: Die Größe des Codeanforderungsparameters ist ungültig.
AADSTS501481	Der „Code_Verifier“ in der Autorisierungsanforderung stimmt nicht mit dem „code_challenge“-Element überein.
AADSTS501491	InvalidCodeChallengeMethodInvalidSize: Ungültige Größe des Parameters „Code_Challenge“.
AADSTS50155	DeviceAuthenticationFailed: Fehler bei der Geräteauthentifizierung für diesen Benutzer.
AADSTS50158	ExternalSecurityChallenge: Externe Sicherheitsabfrage wurde nicht erfüllt.
AADSTS50161	InvalidExternalSecurityChallengeConfiguration: Vom externen Anbieter gesendete Ansprüche sind nicht ausreichend, oder vom externen Anbieter angeforderter Anspruch fehlt.
AADSTS50166	ExternalClaimsProviderThrottled: Fehler beim Senden der Anforderung an den Anspruchsanbieter.
AADSTS50168	ChromeBrowserSsoInterruptRequired: Der Client ist in der Lage, über die Windows 10-Kontenerweiterung ein SSO-Token abzurufen, aber das Token wurde in der Anforderung nicht gefunden, oder das angegebene Token ist abgelaufen.
AADSTS50169	InvalidRequestBadRealm: Der Bereich ist kein konfigurierter Bereich des aktuellen Dienstnamespace.
AADSTS50170	MissingExternalClaimsProviderMapping: Die externe Steuerelementzuordnung fehlt.
AADSTS50173	FreshTokenNeeded: Die angegebene Zugriffsgewährung ist abgelaufen, da sie widerrufen wurde, und es ist ein aktuelles Authentifizierungstoken erforderlich. Ein Administrator oder Benutzer hat die Token für diesen Benutzer widerrufen. Dadurch sind nachfolgende Tokenaktualisierungen nicht erfolgreich, und es ist eine erneute Authentifizierung erforderlich. Bitten Sie den Benutzer, sich erneut anzumelden.
AADSTS50177	ExternalChallengeNotSupportedForPassthroughUsers: Die externe Überprüfung wird für Passthrough-Benutzer*innen nicht unterstützt.
AADSTS50178	SessionControlNotSupportedForPassthroughUsers: Sitzungssteuerung wird für Passthrough-Benutzer*innen nicht unterstützt.
AADSTS50180	WindowsIntegratedAuthMissing: Integrierte Windows-Authentifizierung ist erforderlich. Aktivieren Sie den Mandanten für das nahtlose einmalige Anmelden.
AADSTS50187	DeviceInformationNotProvided: Der Dienst konnte das Gerät nicht authentifizieren.
AADSTS50192	Ungültige Anforderung – RawCredentialExpectedNotFound – Keine Anmeldeinformationen wurden in die Anmeldeanforderung aufgenommen. Beispiel: Der Benutzer führt die zertifikatbasierte Authentifizierung (CBA) durch, und es wird kein Zertifikat gesendet (oder der Proxy entfernt das Benutzerzertifikat in der Anmeldeanforderung).
AADSTS50194	Die Anwendung „{appId}“({appName}) ist nicht als mehrmandantenfähige Anwendung konfiguriert. Die Verwendung des Endpunkts „/common“ wird für Anwendungen, die nach „{time}“ erstellt wurden, nicht unterstützt. Verwenden Sie einen mandantenspezifischen Endpunkt, oder konfigurieren Sie die Anwendung als mehrmandantenfähige Anwendung.
AADSTS50196	LoopDetected: Eine Clientschleife wurde erkannt. Überprüfen Sie die Logik der App, um sicherzustellen, dass das Zwischenspeichern von Token implementiert ist und dass Fehlerbedingungen ordnungsgemäß behandelt werden. Die App hat zu viele der gleichen Anforderungen in einem zu kurzen Zeitraum ausgeführt. Dies weist darauf hin, dass sie sich in einem fehlerhaften Zustand befindet oder böswillig Token anfordert.
AADSTS50197	ConflictingIdentities: Der Benutzer konnte nicht gefunden werden. Versuchen Sie erneut, sich anzumelden.
AADSTS50199	CmsiInterrupt: Aus Sicherheitsgründen ist für diese Anforderung eine Benutzerbestätigung erforderlich. Für alle Schemaumleitungen in mobilen Browsern wird ein Interrupt angezeigt. Keine weiteren Maßnahmen erforderlich. Der Benutzer oder die Benutzerin wurde aufgefordert zu bestätigen, dass es sich bei dieser App um die Anwendung handelt, bei der er oder sie sich anmelden wollte. Dies ist ein Sicherheitsfeature, mit dem Spoofing-Angriffe verhindert werden können. Dies liegt daran, dass eine Systemwebansicht verwendet wurde, um ein Token für eine native Anwendung anzufordern. Um diese Aufforderung zu vermeiden, sollte der Umleitungs-URI Teil der folgenden sicheren Liste sein: http:// https:// chrome-extension://(nur Chrome-Desktopbrowser)
AADSTS51000	RequiredFeatureNotEnabled: Das Feature ist deaktiviert.
AADSTS51001	DomainHintMustbePresent: Domänenhinweis ist für lokale Sicherheits-ID oder lokalen UPN nicht vorhanden.
AADSTS1000104	XCB2BResourceCloudNotAllowedOnIdentityTenant: Die Ressourcencloud {resourceCloud} ist für den Identitätsmandanten {identityTenant} unzulässig. {resourceCloud}: Cloudinstanz, die die Ressource besitzt {identityTenant}: Mandant, von dem die Anmeldeidentität stammt.
AADSTS51004	UserAccountNotInDirectory: Benutzerkonto ist nicht im Verzeichnis vorhanden. Eine Anwendung hat wahrscheinlich den falschen Mandanten für die Anmeldung ausgewählt, und der aktuell angemeldete Benutzer wurde an der Anmeldung gehindert, da er in Ihrem Mandanten nicht vorhanden war. Wenn sich dieser Benutzer anmelden können soll, fügen Sie ihn als Gast hinzu. Weitere Informationen finden Sie unter Hinzufügen von B2B-Benutzern.
AADSTS51005	TemporaryRedirect: Äquivalent zu HTTP-Status 307. Dies bedeutet, dass die angeforderten Informationen unter dem im Location-Header angegebenen URI vorhanden sind. Wenn Sie diesen Status erhalten, folgen Sie dem Location-Header, der der Antwort zugeordnet ist. Wenn die ursprüngliche Anforderungsmethode POST war, verwendet die umgeleitete Anforderung ebenfalls die POST-Methode.
AADSTS51006	ForceReauthDueToInsufficientAuth: Integrierte Windows-Authentifizierung ist erforderlich. Der Benutzer hat sich mit einem Sitzungstoken angemeldet, in dem der Anspruch der integrierten Windows-Authentifizierung fehlt. Bitten Sie den Benutzer, sich erneut anzumelden.
AADSTS52004	DelegationDoesNotExistForLinkedIn: Der Benutzer hat seine Zustimmung für den Zugriff auf LinkedIn-Ressourcen nicht gegeben.
AADSTS53000	DeviceNotCompliant: Die Richtlinie für bedingten Zugriff erfordert ein konformes Gerät, und das Gerät ist nicht konform. Der Benutzer muss das Gerät mit einem genehmigten MDM-Anbieter (z.B. Intune) registrieren. Weitere Informationen finden Sie unter Beheben von Anmeldeproblemen bei bedingtem Zugriff.
AADSTS53001	DeviceNotDomainJoined: Für die Richtlinie für bedingten Zugriff ist ein in die Domäne eingebundenes Gerät erforderlich, und das Gerät ist nicht in eine Domäne eingebunden. Bitten Sie den Benutzer, ein in die Domäne eingebundenes Gerät zu nutzen.
AADSTS53002	ApplicationUsedIsNotAnApprovedApp: Die verwendete App ist keine genehmigte App für bedingten Zugriff. Der Benutzer muss eine der Apps aus der Liste mit den genehmigten Apps nutzen, um Zugriff zu erhalten.
AADSTS53003	BlockedByConditionalAccess: Zugriff wurde von Richtlinien für bedingten Zugriff blockiert. Die Zugriffsrichtlinie erlaubt nicht die Ausstellung von Token. Wenn dieses Problem unerwartet auftritt, sehen Sie sich die Richtlinie für bedingten Zugriff an, die auf diese Anforderung angewendet wurde, oder wenden Sie sich an Ihren Administrator. Weitere Informationen finden Sie unter Beheben von Anmeldeproblemen bei bedingtem Zugriff.
AADSTS530035	BlockedBySecurityDefaults: Der Zugriff wurde durch Sicherheitsstandards blockiert. Dies liegt daran, dass die Anforderung eine Legacyauthentifizierung verwendet oder aufgrund von Richtlinien für Sicherheitsstandards als unsicher eingestuft wird. Weitere Informationen finden Sie unter Erzwungene Sicherheitsrichtlinien.
AADSTS53004	ProofUpBlockedDueToRisk: Benutzer*innen müssen den Registrierungsprozess für die Multi-Faktor-Authentifizierung durchführen, bevor sie auf diesen Inhalt zugreifen können. Benutzer*innen sollten sich für die Multi-Faktor-Authentifizierung registrieren.
AADSTS53010	ProofUpBlockedDueToSecurityInfoAcr: Methoden für die Multi-Faktor-Authentifizierung können nicht konfiguriert werden, da diese Informationen für die Organisation von bestimmten Standorten oder Geräten aus festgelegt werden müssen.
AADSTS53011	Der Benutzer wurde aufgrund eines Risikos für den Basismandanten blockiert.
AADSTS530034	DelegatedAdminBlockedDueToSuspiciousActivity: Ein delegierter Administrator wurde aufgrund eines Kontorisikos im Basismandanten am Zugriff auf den Mandanten gehindert.
AADSTS54000	MinorUserBlockedLegalAgeGroupRule.
AADSTS54005	Der OAuth2-Autorisierungscode wurde bereits eingelöst. Versuchen Sie es mit einem neuen gültigen Code, oder verwenden Sie ein vorhandenes Aktualisierungstoken.
AADSTS65001	DelegationDoesNotExist: Der Benutzer oder Administrator hat der Verwendung der Anwendung mit ID X nicht zugestimmt. Senden Sie eine interaktive Autorisierungsanforderung für diesen Benutzer und diese Ressource.
AADSTS65002	Die Einwilligung zwischen der Erstanbieteranwendung „{applicationId}“ und der Erstanbieterressource „{resourceId}“ muss per Vorabautorisierung konfiguriert werden. Anwendungen, die sich im Besitz von Microsoft befinden und von Microsoft betrieben werden, müssen die Genehmigung vom API-Besitzer erhalten, bevor Token für die API angefordert werden. Ein Entwickler oder eine Entwicklerin in Ihrem Mandanten versucht möglicherweise, eine App-ID wiederzuverwenden, die sich im Besitz von Microsoft befindet. Mit diesem Fehler wird verhindert, dass Entwickler die Identität einer Microsoft-Anwendung nutzen, um andere APIs aufzurufen. Es muss eine andere App-ID genutzt werden, die registriert ist.
AADSTS65004	UserDeclinedConsent: Der Benutzer hat seine Zustimmung für den Zugriff auf die App abgelehnt. Bitten Sie den Benutzer, die Anmeldung zu wiederholen und die Zustimmung für die App zu erteilen.
AADSTS65005	MisconfiguredApplication: Die für die App erforderliche Liste für den Ressourcenzugriff enthält keine Apps, die von der Ressource ermittelt werden können, die Client-App hat den Zugriff auf eine Ressource angefordert, die nicht in der erforderlichen Liste für den Ressourcenzugriff angegeben ist, oder der Graph-Dienst hat „Fehlerhafte Anforderung“ oder „Ressource nicht gefunden“ zurückgegeben. Wenn die App SAML unterstützt, haben Sie die App möglicherweise mit dem falschen Bezeichner (Entität) konfiguriert. Weitere Informationen finden Sie im Artikel zur Behebung von Fehler AADSTS650056.
AADSTS650052	Die App benötigt Zugriff auf einen Dienst (\"{name}\"), den Ihre Organisation \"{organization}\" nicht abonniert oder aktiviert hat. Wenden Sie sich an Ihren IT-Administrator, damit dieser die Konfiguration Ihrer Dienstabonnements überprüft.
AADSTS650054	Die Anwendung hat nach Berechtigungen für den Zugriff auf eine Ressource gefragt, die entfernt wurde oder nicht mehr verfügbar ist. Stellen Sie sicher, dass alle Ressourcen, die die App aufruft, im Mandanten vorhanden sind, in dem Sie arbeiten.
AADSTS650056	Falsch konfigurierte Anwendung. Dies kann einen der folgenden Gründe haben: Für den Client werden in der Anwendungsregistrierung des Clients in den angeforderten Berechtigungen für „{name}“ keine Berechtigungen aufgeführt. Ebenfalls möglich ist, dass der Administrator auf dem Mandanten nicht eingewilligt hat. Sie sollten auch den Anwendungsbezeichner in der Anforderung überprüfen, um sicherzustellen, dass er mit dem konfigurierten Clientanwendungsbezeichner übereinstimmt. Oder überprüfen Sie das Zertifikat in der Anforderung, um sicherzustellen, dass es gültig ist. Wenden Sie sich an Ihren Administrator, um die Konfiguration zu korrigieren oder im Auftrag des Mandanten einzuwilligen. Client-App-ID: {ID}. Wenden Sie sich an Ihren Administrator, um die Konfiguration zu korrigieren oder im Auftrag des Mandanten einzuwilligen.
AADSTS650057	Invalid resource. Der Client hat Zugriff auf eine Ressource angefordert, die in der Anwendungsregistrierung des Clients nicht unter den angeforderten Berechtigungen aufgeführt ist. Client-App-ID: {appId}({appName}). Ressourcenwert aus Anforderung: {resource}. Ressourcen-App-ID: {resourceAppId}. Liste mit gültigen Ressourcen aus App-Registrierung: {regList}.
AADSTS67003	ActorNotValidServiceIdentity.
AADSTS70000	InvalidGrant: Fehler bei der Authentifizierung. Das Aktualisierungstoken ist ungültig. Der Fehler kann aus den folgenden Gründen auftreten: Der Bindungsheader des Tokens ist leer. Der Tokenbindungshash stimmt nicht überein.
AADSTS70001	UnauthorizedClient: Die Anwendung ist deaktiviert. Weitere Informationen finden Sie im Artikel zur Behebung von Fehler AADSTS70001.
AADSTS700011	UnauthorizedClientAppNotFoundInOrgIdTenant: Die Anwendung mit dem Bezeichner „{appIdentifier}“ wurde im Verzeichnis nicht gefunden. Eine Clientanwendung hat ein Token von Ihrem Mandanten angefordert, aber die Client-App ist nicht in Ihrem Mandanten vorhanden, sodass der Aufruf nicht erfolgreich war.
AADSTS70002	InvalidClient: Fehler beim Überprüfen der Anmeldeinformationen. Der angegebene Wert für „client_secret“ entspricht nicht dem erwarteten Wert für diesen Client. Korrigieren Sie „client_secret“, und versuchen Sie es noch mal. Weitere Informationen finden Sie unter Anfordern eines Zugriffstokens mithilfe des Autorisierungscodes.
AADSTS700025	InvalidClientPublicClientWithCredential: Der Client ist öffentlich, sodass weder „client_assertion“ noch „client_secret“ angezeigt werden sollten.
AADSTS700027	Fehler bei der Signaturüberprüfung für die Client-Assertion. Entwicklerfehler: Die App versucht, sich ohne die erforderlichen oder richtigen Authentifizierungsparameter anzumelden.
AADSTS70003	UnsupportedGrantType: Die App hat einen nicht unterstützten Gewährungstyp zurückgegeben.
AADSTS700030	Ungültiges Zertifikat: Der Antragstellername im Zertifikat ist nicht autorisiert. SubjectNames/SubjectAlternativeNames (bis zu 10) im Tokenzertifikat lauten: {certificateSubjects}.
AADSTS70004	InvalidRedirectUri: Die App hat einen ungültigen Umleitungs-URI zurückgegeben. Die vom Client angegebene Umleitungsadresse stimmt nicht mit den konfigurierten Adressen oder anderen Adressen in der Liste mit den OIDC-Genehmigungen überein.
AADSTS70005	UnsupportedResponseType: Die App hat aus den folgenden Gründen einen nicht unterstützten Antworttyp zurückgegeben: Der Antworttyp „token“ wurde für die App nicht aktiviert. Für den Antworttyp „id_token“ ist der Bereich „OpenID“ erforderlich: - Enthält einen nicht unterstützten OAuth-Parameterwert im codierten wctx-Element.
AADSTS700054	Response_type „id_token“ wurde für die Anwendung nicht aktiviert. Die Anwendung hat ein ID-Token vom Autorisierungsendpunkt angefordert, aber die implizite Gewährung des ID-Tokens war nicht aktiviert. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an, und navigieren Sie dann zu Identität>Anwendungen>App-Registrierungen. Wählen Sie Ihre Anwendung und dann Authentifizierung aus. Stellen Sie unter Implizite Genehmigung und Hybridflows sicher, dass ID-Token ausgewählt ist.
AADSTS70007	UnsupportedResponseMode: Die App hat beim Anfordern eines Tokens den nicht unterstützten Wert response_mode zurückgegeben.
AADSTS70008	ExpiredOrRevokedGrant: Das Aktualisierungstoken ist aufgrund von Inaktivität abgelaufen. Das Token wurde auf XXX ausgestellt und war für einen bestimmten Zeitraum inaktiv.
AADSTS700082	ExpiredOrRevokedGrantInactiveToken: Das Aktualisierungstoken ist aufgrund von Inaktivität abgelaufen. Das Token wurde am {issueDate} ausgestellt und war {time} lang inaktiv. Erwarteter Teil des Tokenlebenszyklus: Der Benutzer hat die Anwendung längere Zeit nicht verwendet, sodass das Token abgelaufen war, als die App versucht hat, es zu aktualisieren.
AADSTS700084	Das Aktualisierungstoken wurde für eine Single-Page-App (SPA) ausgestellt und hat daher eine feste, begrenzte Lebensdauer von {time}, die nicht verlängert werden kann. Sie ist jetzt abgelaufen, und die SPA muss eine neue Anmeldeanforderung an die Anmeldeseite senden. Das Token wurde am {issueDate} ausgestellt.
AADSTS70011	InvalidScope: Der von der App angeforderte Bereich ist ungültig.
AADSTS70012	MsaServerError: Beim Authentifizieren eines MSA-Benutzers (Consumer) ist ein Serverfehler aufgetreten. Versuchen Sie es erneut. Öffnen Sie ein Supportticket, wenn der Fehler weiterhin auftritt.
AADSTS70016	AuthorizationPending: OAuth 2.0-Geräteflussfehler. Die Autorisierung steht aus. Das Gerät wird den Abruf der Anforderung wiederholen.
AADSTS70018	BadVerificationCode: Ungültiger Überprüfungscode, weil der Benutzer den falschen Benutzercode für den Gerätecode-Datenfluss eingegeben hat. Die Autorisierung wird nicht genehmigt.
AADSTS70019	CodeExpired: Der Überprüfungscode ist abgelaufen. Bitten Sie den Benutzer, die Anmeldung erneut durchzuführen.
AADSTS70043	BadTokenDueToSignInFrequency: Das Aktualisierungstoken ist abgelaufen oder ungültig, nachdem von der Richtlinie für bedingten Zugriff eine Überprüfung der Anmeldehäufigkeit durchgeführt wurde. Das Token wurde am {issueDate} ausgestellt, und die maximal zulässige Lebensdauer für diese Anforderung beträgt {time}.
AADSTS75001	BindingSerializationError: Während der SAML-Nachrichtenbindung ist ein Fehler aufgetreten.
AADSTS75003	UnsupportedBindingError: Die Anwendung hat einen Fehler zu einer nicht unterstützten Bindung zurückgegeben (SAML-Protokollantwort kann nicht über andere Bindungen als HTTP POST gesendet werden).
AADSTS75005	Saml2MessageInvalid: Microsoft Entra unterstützt die von der App für SSO gesendete SAML-Anforderung nicht. Weitere Informationen finden Sie im Artikel zur Behebung von Fehler AADSTS75005.
AADSTS7500514	Es wurde kein unterstützter Typ von SAML-Antwort gefunden. Die unterstützten Antworttypen sind „Response“ (im XML-Namespace „urn:oasis:names:tc:SAML:2.0:protocol“) und „Assertion“ (im XML-Namespace „urn:oasis:names:tc:SAML:2.0:assertion“). Anwendungsfehler: Dieser Fehler wird vom Entwickler behoben.
AADSTS750054	„SAMLRequest“ oder „SAMLResponse“ muss als Abfragezeichenfolgenparameter in der HTTP-Anforderung für die SAML-Umleitungsbindung vorhanden sein. Weitere Informationen finden Sie im Artikel zur Behebung von Fehler AADSTS750054.
AADSTS75008	RequestDeniedError: Die Anforderung von der App wurde abgelehnt, da die SAML-Anforderung über ein unerwartetes Ziel verfügt.
AADSTS75011	NoMatchedAuthnContextInOutputClaims: Die Authentifizierungsmethode, mit der sich der Benutzer beim Dienst authentifiziert hat, stimmt nicht mit der angeforderten Authentifizierungsmethode überein. Weitere Informationen finden Sie im Artikel zur Behebung von Fehler AADSTS75011.
AADSTS75016	Saml2AuthenticationRequestInvalidNameIDPolicy: Die SAML2-Authentifizierungsanforderung weist eine ungültige NameIdPolicy auf.
AADSTS76021	ApplicationRequiresSignedRequests – Die vom Client gesendete Anforderung ist nicht signiert, während die Anwendung signierte Anforderungen erfordert
AADSTS76026	RequestIssueTimeExpired: IssueTime in einer SAML2-Authentifizierungsanforderung ist abgelaufen.
AADSTS80001	OnPremiseStoreIsNotAvailable: Der Authentifizierungs-Agent kann keine Verbindung mit Active Directory herstellen. Stellen Sie sicher, dass die Agent-Server Mitglieder derselben AD-Gesamtstruktur wie die Benutzer sind, deren Kennwörter überprüft werden müssen, und dass sie eine Verbindung mit Active Directory herstellen können.
AADSTS80002	OnPremisePasswordValidatorRequestTimedout: Für die Anforderung zur Kennwortüberprüfung ist ein Timeout aufgetreten. Stellen Sie sicher, dass Active Directory verfügbar ist und auf Anforderungen der Agents antwortet.
AADSTS80005	OnPremisePasswordValidatorUnpredictableWebException: Unbekannter Fehler beim Verarbeiten der Antwort vom Authentifizierungs-Agent. Wiederholen Sie die Anforderung. Wenn der Fehler weiterhin auftritt, öffnen Sie ein Supportticket, um weitere Details zum Fehler zu erhalten.
AADSTS80007	OnPremisePasswordValidatorErrorOccurredOnPrem: Der Authentifizierungs-Agent kann das Kennwort des Benutzers nicht überprüfen. Suchen Sie in den Agent-Protokollen nach weiteren Informationen, und überprüfen Sie, ob Active Directory erwartungsgemäß funktioniert.
AADSTS80010	OnPremisePasswordValidationEncryptionException: Der Authentifizierungs-Agent kann das Kennwort nicht entschlüsseln.
AADSTS80012	OnPremisePasswordValidationAccountLogonInvalidHours: Benutzer haben versucht, sich außerhalb der zulässigen Zeiten (in AD angegeben) anzumelden.
AADSTS80013	OnPremisePasswordValidationTimeSkew: Der Authentifizierungsversuch konnte nicht abgeschlossen werden, da zwischen dem Computer, auf dem der Authentifizierungs-Agent ausgeführt wird, und AD eine Zeitabweichung besteht. Beheben Sie die Probleme mit der Zeitsynchronisierung.
AADSTS80014	OnPremisePasswordValidationAuthenticationAgentTimeout: Die Überprüfungsanforderung wurde erst nach Überschreiten der maximal zulässigen Zeit beantwortet. Öffnen Sie ein Supportticket mit dem Fehlercode, der Korrelations-ID und dem Zeitstempel, um weitere Details zu diesem Fehler zu erhalten.
AADSTS81004	DesktopSsoIdentityInTicketIsNotAuthenticated: Fehler beim Kerberos-Authentifizierungsversuch.
AADSTS81005	DesktopSsoAuthenticationPackageNotSupported: Das Authentifizierungspaket wird nicht unterstützt.
AADSTS81006	DesktopSsoNoAuthorizationHeader: Es wurde kein Autorisierungsheader gefunden.
AADSTS81007	DesktopSsoTenantIsNotOptIn: Der Mandant ist nicht für nahtloses SSO aktiviert.
AADSTS81009	DesktopSsoAuthorizationHeaderValueWithBadFormat: Das Kerberos-Ticket des Benutzers kann nicht überprüft werden.
AADSTS81010	DesktopSsoAuthTokenInvalid: Fehler beim nahtlosen einmaligen Anmelden, da das Kerberos-Ticket des Benutzers abgelaufen oder ungültig ist.
AADSTS81011	DesktopSsoLookupUserBySidFailed: Das Benutzerobjekt konnte anhand der Informationen im Kerberos-Ticket des Benutzers nicht gefunden werden.
AADSTS81012	DesktopSsoMismatchBetweenTokenUpnAndChosenUpn: Der/die Benutzer*in, der/die versucht, sich bei Microsoft Entra ID anzumelden, unterscheidet sich von dem/der Benutzer*in, der auf dem Gerät angemeldet ist.
AADSTS90002	InvalidTenantName: Der Mandantenname wurde im Datenspeicher nicht gefunden. Stellen Sie sicher, dass Sie über die richtige Mandanten-ID verfügen. Der Anwendungsentwickler erhält diese Fehlermeldung, wenn seine App versucht, sich bei einem Mandanten anzumelden, der nicht gefunden werden kann. Dies liegt häufig daran, dass eine cloudübergreifende App für die falsche Cloud verwendet wurde oder dass der Entwickler versucht hat, sich bei einem von einer E-Mail-Adresse abgeleiteten Mandanten anzumelden, die Domäne jedoch nicht registriert ist.
AADSTS90004	InvalidRequestFormat: Die Anforderung ist nicht ordnungsgemäß formatiert.
AADSTS90005	InvalidRequestWithMultipleRequirements: Die Anforderung konnte nicht ausgeführt werden. Die Anforderung ist ungültig, da der Bezeichner und der Anmeldehinweis nicht zusammen verwendet werden können.
AADSTS90006	ExternalServerRetryableError: Der Dienst ist vorübergehend nicht verfügbar.
AADSTS90007	InvalidSessionId: Ungültige Anforderung. Die übergebene Sitzungs-ID kann nicht analysiert werden.
AADSTS90008	TokenForItselfRequiresGraphPermission: Der Benutzer oder der Administrator hat der Verwendung der Anwendung nicht zugestimmt. Die Anwendung benötigt mindestens Zugriff auf Microsoft Entra ID, indem die Berechtigung zur Anmeldung und zum Lesen des Benutzerprofils erteilt wird.
AADSTS90009	TokenForItselfMissingIdenticalAppIdentifier: Die Anwendung fordert ein Token für sich selbst an. Dieses Szenario wird nur unterstützt, wenn die angegebene Ressource die GUID-basierte Anwendungs-ID verwendet.
AADSTS90010	NotSupported: Der Algorithmus kann nicht erstellt werden.
AADSTS9001023	The grant type is not supported over the /common or /consumers endpoints. (Der Gewährungstyp wird für den /common- oder /consumers-Endpunkt nicht unterstützt.) Verwenden Sie den /organizations-Endpunkt oder den mandantenspezifischen Endpunkt.
AADSTS90012	RequestTimeout: Timeout bei der Anforderung.
AADSTS90013	InvalidUserInput: Die Benutzereingabe ist ungültig.
AADSTS90014	MissingRequiredField: Dieser Fehlercode wird in verschiedenen Fällen angezeigt, wenn ein erwartetes Feld in den Anmeldeinformationen nicht vorhanden ist.
AADSTS900144	Der Anforderungstext muss den folgenden Parameter enthalten: „{name}“. Entwicklerfehler: Die App versucht, sich ohne die erforderlichen oder richtigen Authentifizierungsparameter anzumelden.
AADSTS90015	QueryStringTooLong: Die Abfragezeichenfolge ist zu lang.
AADSTS90016	MissingRequiredClaim: Das Zugriffstoken ist nicht gültig. Der erforderliche Anspruch fehlt.
AADSTS90019	MissingTenantRealm: Microsoft Entra ID konnte die Mandanten-ID nicht aus der Anforderung ermitteln.
AADSTS90020	Für die SAML 1.1-Assertion fehlt die ImmutableID des Benutzers. Entwicklerfehler: Die App versucht, sich ohne die erforderlichen oder richtigen Authentifizierungsparameter anzumelden.
AADSTS90022	AuthenticatedInvalidPrincipalNameFormat: Das Format des Benutzerprinzipalnamens ist ungültig oder entspricht nicht dem erwarteten Format name[/host][@realm]. Der Prinzipalname ist erforderlich, Host und Bereich sind optional und können auf NULL festgelegt werden.
AADSTS90023	InvalidRequest: Die Authentifizierungsdienstanforderung ist ungültig.
AADSTS900236	InvalidRequestSamlPropertyUnsupported: Die SAML-Authentifizierungsanforderungseigenschaft „{propertyName}“ wird nicht unterstützt und darf nicht festgelegt werden.
AADSTS9002313	InvalidRequest: Anforderung ist falsch formatiert oder ungültig. - Dieses Problem tritt auf, weil bei der Anforderung an einen bestimmten Endpunkt ein Fehler aufgetreten ist. Die empfohlene Vorgehensweise für dieses Problem besteht darin, eine Fiddler-Ablaufverfolgung zum Auftreten des Fehlers zu erhalten und zu ermitteln, ob die Anforderung richtig formatiert ist.
AADSTS9002332	Die Anwendung „{principalId}“({principalName}) ist nur für die Verwendung durch Microsoft Entra-Benutzer*innen konfiguriert. Verwenden Sie nicht den Endpunkt /consumers, um diese Anforderung zu bedienen.
AADSTS90024	RequestBudgetExceededError: Es wurde ein vorübergehender Fehler festgestellt. Versuchen Sie es erneut.
AADSTS90027	Wir können über diese API-Version auf dem MSA-Mandanten keine Token ausstellen. Wenden Sie sich an den Anwendungsanbieter, da dieser Version 2.0 des Protokolls verwenden muss, damit dies unterstützt wird.
AADSTS90033	MsodsServiceUnavailable: Der Microsoft Online Directory Service (MSODS) ist nicht verfügbar.
AADSTS90036	MsodsServiceUnretryableFailure: Unerwarteter, nicht wiederholbarer Fehler vom WCF-Dienst, der vom MSODS gehostet wird. Öffnen Sie ein Supportticket, um weitere Details zum Fehler zu erhalten.
AADSTS90038	NationalCloudTenantRedirection: Der angegebene Mandant „Y“ gehört zur nationalen Cloud „X“. Die aktuelle Cloudinstanz „Z“ bildet keinen Verbund mit „X“. Ein Cloudumleitungsfehler wird zurückgegeben.
AADSTS900384	Fehler bei der Signaturüberprüfung des JWT-Tokens. Der tatsächliche Nachrichteninhalt ist laufzeitspezifisch, und es gibt eine Vielzahl von Ursachen für diesen Fehler. Details finden Sie in der zurückgegebenen Ausnahmemeldung.
AADSTS90043	NationalCloudAuthCodeRedirection: Das Feature ist deaktiviert.
AADSTS900432	Vertrauliche Clients werden in einer cloudübergreifenden Anforderung nicht unterstützt.
AADSTS90051	InvalidNationalCloudId: Der nationale Cloudbezeichner enthält einen ungültigen Cloudbezeichner.
AADSTS90055	TenantThrottlingError: Zu viele eingehende Anforderungen. Diese Ausnahme wird für blockierte Mandanten ausgelöst.
AADSTS90056	BadResourceRequest: Um den Code für ein Zugriffstoken einzulösen, sollte die App eine POST-Anforderung an den /token-Endpunkt senden. Außerdem sollten Sie zuvor einen Autorisierungscode bereitstellen und ihn in der POST-Anforderung an den /token-Endpunkt senden. In diesem Artikel finden Sie einen Überblick über den Fluss des OAuth 2.0-Autorisierungscodes. Sie müssen den Benutzer an den /authorize-Endpunkt weiterleiten, der einen authorization_code zurückgibt. Durch das Senden einer Anforderung an den /token-Endpunkt erhält der Benutzer das Zugriffstoken. Überprüfen Sie App-Registrierungen > Endpunkte, um sicherzustellen, dass die beiden Endpunkte ordnungsgemäß konfiguriert wurden.
AADSTS900561	BadResourceRequestInvalidRequest: Der Endpunkt akzeptiert nur Anforderungen vom Typ „{valid_verbs}“. Eine Anforderung vom Typ „{invalid_verb}“ wurde empfangen. {valid_verbs} stellt eine Liste von HTTP-Verben dar, die vom Endpunkt (z. B. POST) unterstützt werden. {invalid_verb} ist ein HTTP-Verb, das in der aktuellen Anforderung (z. B. GET) verwendet wird. Dies kann auf einen Entwicklerfehler oder darauf zurückzuführen sein, dass Benutzer auf die Schaltfläche „Zurück“ in ihrem Browser klicken und dadurch eine fehlerhafte Anforderung auslösen. Sie können diesen Fehler ignorieren.
AADSTS90072	PassThroughUserMfaError: Das externe Konto, mit dem sich der Benutzer anmeldet, ist nicht im Mandanten für die Anmeldung vorhanden. Aus diesem Grund kann der Benutzer die MFA-Anforderungen für den Mandanten nicht erfüllen. Dieser Fehler kann auch auftreten, wenn die Benutzer*innen synchronisiert werden, aber das Attribut „ImmutableID (sourceAnchor)“ zwischen Active Directory und Microsoft Entra ID nicht übereinstimmt. Das Konto muss zunächst als externer Benutzer im Mandanten hinzugefügt werden. Melden Sie sich ab und anschließend mit einem anderen Microsoft Entra-Benutzerkonto an. Weitere Informationen finden Sie unter Konfigurieren externer Identitäten.
AADSTS90081	OrgIdWsFederationMessageInvalid: Fehler beim Verarbeiten einer WS-Verbundnachricht durch den Dienst. Die Nachricht ist ungültig.
AADSTS90082	OrgIdWsFederationNotSupported: Die ausgewählte Authentifizierungsrichtlinie für die Anforderung wird aktuell nicht unterstützt.
AADSTS90084	OrgIdWsFederationGuestNotAllowed: Gastkonten sind für diesen Standort nicht zugelassen.
AADSTS90085	OrgIdWsFederationSltRedemptionFailed: Der Dienst kann kein Token ausstellen, weil das Unternehmensobjekt noch nicht bereitgestellt wurde.
AADSTS90086	OrgIdWsTrustDaTokenExpired: Das DA-Benutzertoken ist abgelaufen.
AADSTS90087	OrgIdWsFederationMessageCreationFromUriFailed: Fehler beim Erstellen der WS-Verbundnachricht aus dem URI.
AADSTS90090	GraphRetryableError: Der Dienst ist vorübergehend nicht verfügbar.
AADSTS90091	GraphServiceUnreachable.
AADSTS90092	GraphNonRetryableError.
AADSTS90093	GraphUserUnauthorized: Es wurde ein Graph mit einem unzulässigen Fehlercode für die Anforderung zurückgegeben.
AADSTS90094	AdminConsentRequired: Die Zustimmung des Administrators ist erforderlich.
AADSTS900382	Vertrauliche Clients werden in einer cloudübergreifenden Anforderung nicht unterstützt.
AADSTS90095	AdminConsentRequiredRequestAccess- auf der Workflowbenutzeroberfläche wird eine Unterbrechung angezeigt, wenn dem Benutzer mitgeteilt wird, dass er den Administrator um Zustimmung bitten muss.
AADSTS90099	Die Anwendung „{appId}“ ({appName}) wurde im Mandanten „{tenant}“ nicht autorisiert. Anwendungen müssen für den Zugriff auf den externen Mandanten autorisiert werden, bevor die vom Partner delegierten Administratoren sie verwenden können. Erteilen Sie vorab die Zustimmung, oder führen Sie die entsprechende Partner Center-API zum Autorisieren der Anwendung aus.
AADSTS900971	Es wurde keine Antwortadresse angegeben.
AADSTS90100	InvalidRequestParameter: Der Parameter ist leer oder ungültig.
AADSTS901002	AADSTS901002: Der Anforderungsparameter „resource“ wird nicht unterstützt.
AADSTS90101	InvalidEmailAddress: Es wurde keine gültige E-Mail-Adresse angegeben. Die E-Mail-Adresse muss dieses Format aufweisen: someone@example.com.
AADSTS90102	InvalidUriParameter: Der Wert muss ein absoluter URI sein.
AADSTS90107	InvalidXml: Die Anforderung ist ungültig. Stellen Sie sicher, dass Ihre Daten keine ungültigen Zeichen enthalten.
AADSTS90114	InvalidExpiryDate: Der Ablaufzeitstempel für das Massentoken wird dazu führen, dass ein abgelaufenes Token ausgestellt wird.
AADSTS90117	InvalidRequestInput
AADSTS90119	InvalidUserCode: Der Benutzercode ist NULL oder leer.
AADSTS90120	InvalidDeviceFlowRequest: Die Anforderung wurde bereits autorisiert oder abgelehnt.
AADSTS90121	InvalidEmptyRequest: Ungültige, leere Anforderung.
AADSTS90123	IdentityProviderAccessDenied: Das Token kann nicht ausgestellt werden, weil der Identitätsanbieter oder der Anbieter für die Anspruchsausstellung die Anforderung abgelehnt hat.
AADSTS90124	V1ResourceV2GlobalEndpointNotSupported: Die Ressource wird über die Endpunkte /common oder /consumers nicht unterstützt. Verwenden Sie stattdessen /organizations oder den mandantenspezifischen Endpunkt.
AADSTS90125	DebugModeEnrollTenantNotFound: Der Benutzer ist nicht im System vorhanden. Stellen Sie sicher, dass Sie den Benutzernamen richtig eingegeben haben.
AADSTS90126	DebugModeEnrollTenantNotInferred: Der Benutzertyp wird auf diesem Endpunkt nicht unterstützt. Das System konnte den Benutzermandanten nicht aus dem Benutzernamen ableiten.
AADSTS90130	NonConvergedAppV2GlobalEndpointNotSupported: Die Anwendung wird über die Endpunkte /common oder /consumers nicht unterstützt. Verwenden Sie stattdessen /organizations oder den mandantenspezifischen Endpunkt.
AADSTS120000	PasswordChangeIncorrectCurrentPassword
AADSTS120002	PasswordChangeInvalidNewPasswordWeak
AADSTS120003	PasswordChangeInvalidNewPasswordContainsMemberName
AADSTS120004	PasswordChangeOnPremComplexity
AADSTS120005	PasswordChangeOnPremSuccessCloudFail
AADSTS120008	PasswordChangeAsyncJobStateTerminated: Es wurde ein nicht wiederholbarer Fehler festgestellt.
AADSTS120011	PasswordChangeAsyncUpnInferenceFailed
AADSTS120012	PasswordChangeNeedsToHappenOnPrem
AADSTS120013	PasswordChangeOnPremisesConnectivityFailure
AADSTS120014	PasswordChangeOnPremUserAccountLockedOutOrDisabled
AADSTS120015	PasswordChangeADAdminActionRequired
AADSTS120016	PasswordChangeUserNotFoundBySspr
AADSTS120018	PasswordChangePasswordDoesnotComplyFuzzyPolicy
AADSTS120020	PasswordChangeFailure
AADSTS120021	PartnerServiceSsprInternalServiceError
AADSTS130004	NgcKeyNotFound: Für den Benutzerprinzipal wurde der NGC-ID-Schlüssel nicht konfiguriert.
AADSTS130005	NgcInvalidSignature: Fehler beim Überprüfen der NGC-Schlüsselsignatur.
AADSTS130006	NgcTransportKeyNotFound: Der NGC-Transportschlüssel ist nicht auf dem Gerät konfiguriert.
AADSTS130007	NgcDeviceIsDisabled: Das Gerät ist deaktiviert.
AADSTS130008	NgcDeviceIsNotFound: Das durch den NGC-Schlüssel referenzierte Gerät wurde nicht gefunden.
AADSTS135010	KeyNotFound
AADSTS135011	Das während der Authentifizierung verwendete Gerät ist deaktiviert.
AADSTS140000	InvalidRequestNonce: Nonce für Anforderung nicht angegeben.
AADSTS140001	InvalidSessionKey: Der Sitzungsschlüssel ist ungültig.
AADSTS165004	Der tatsächliche Nachrichteninhalt ist laufzeitspezifisch. Sehen Sie sich die Details in der zurückgegebenen Ausnahmemeldung an.
AADSTS165900	InvalidApiRequest: Ungültige Anforderung.
AADSTS220450	UnsupportedAndroidWebViewVersion: Die Chrome WebView-Version wird nicht unterstützt.
AADSTS220501	InvalidCrlDownload
AADSTS221000	DeviceOnlyTokensNotSupportedByResource: Die Ressource ist nicht dafür konfiguriert, reine Gerätetoken zu akzeptieren.
AADSTS240001	BulkAADJTokenUnauthorized: Der/die Benutzer*in ist nicht zum Registrieren von Geräten bei Microsoft Entra ID autorisiert.
AADSTS240002	RequiredClaimIsMissing: Das id_token kann nicht zur Gewährung von urn:ietf:params:oauth:grant-type:jwt-bearer verwendet werden.
AADSTS501621	ClaimsTransformationTimeoutRegularExpressionTimeout – Ersatz für reguläre Ausdrücke für die Anspruchstransformation befindet sich im Timeout. Dies zeigt an, dass ein zu komplexer regulärer Ausdruck für diese Anwendung konfiguriert wurde. Ein Wiederholungsversuch der Anforderung kann erfolgreich sein. Wenden Sie sich andernfalls an Ihren Administrator, um die Konfiguration zu beheben.
AADSTS530032	BlockedByConditionalAccessOnSecurityPolicy: Der Mandantenadministrator hat eine Sicherheitsrichtlinie konfiguriert, die diese Anforderung blockiert. Überprüfen Sie die Sicherheitsrichtlinien, die auf Mandantenebene definiert sind, um festzustellen, ob Ihre Anforderung den Richtlinienanforderungen entspricht.
AADSTS700016	UnauthorizedClient_DoesNotMatchRequest: Die Anwendung wurde nicht im Verzeichnis/Mandanten gefunden. Dies kann auftreten, wenn die Anwendung nicht vom Administrator des Mandanten installiert wurde oder wenn sie von den Benutzern des Mandanten keine Zustimmung erhalten hat. Unter Umständen haben Sie den Bezeichnerwert für die Anwendung falsch konfiguriert oder die Authentifizierungsanforderung an den falschen Mandanten gesendet.
AADSTS700020	InteractionRequired: Die Zugriffsgewährung erfordert eine Interaktion.
AADSTS700022	InvalidMultipleResourcesScope: Der angegebene Wert für den Eingabeparameterbereich ist nicht gültig, weil er mehr als eine Ressource enthält.
AADSTS700023	InvalidResourcelessScope: Der angegebene Wert für den Eingabeparameterbereich ist beim Anfordern eines Zugriffstokens nicht gültig.
AADSTS7000215	Es wurde ein ungültiger geheimer Clientschlüssel bereitgestellt. Entwicklerfehler: Die App versucht, sich ohne die erforderlichen oder richtigen Authentifizierungsparameter anzumelden.
AADSTS7000218	The request body must contain the following parameter: 'client_assertion' or 'client_secret'. (Der Anforderungstext muss den folgenden Parameter enthalten: 'client_assertion' oder 'client_secret'.)
AADSTS7000222	InvalidClientSecretExpiredKeysProvided: Die angegebenen geheimen Clientschlüssel sind abgelaufen. Erstellen Sie neue Schlüssel für Ihre App, oder verwenden Sie Zertifikatanmeldeinformationen, um die Sicherheit zu erhöhen: https://aka.ms/certCreds
AADSTS700229	ForbiddenTokenType: Nur „Nur App“-Token können als Verbundidentitätsanmeldeinformationen für Microsoft Entra-Zertifikataussteller verwendet werden. Verwenden Sie ein „Nur App“-Zugriffstoken (generiert während eines Client-Anmeldeinformationsflows) anstelle eines vom Benutzer delegierten Zugriffstokens (stellt eine Anforderung aus einem Benutzerkontext dar).
AADSTS700005	InvalidGrantRedeemAgainstWrongTenant: Der angegebene Autorisierungscode ist für einen anderen Mandanten bestimmt und wird daher abgelehnt. Der OAuth2-Autorisierungscode muss für denselben Mandanten verwendet werden, für den er bezogen wurde („/common“ oder „/{Mandanten-ID}“).
AADSTS1000000	UserNotBoundError: Die Bindungs-API erfordert, dass sich Microsoft Entra-Benutzer*innen auch bei einem externen Identitätsanbieter authentifizieren, was noch nicht geschehen ist.
AADSTS1000002	BindCompleteInterruptError: Die Bindung wurde erfolgreich abgeschlossen, aber der Benutzer muss informiert werden.
AADSTS100007	Für Microsoft Entra Regional wird die Authentifizierung AUSSCHLIESSLICH entweder für MSIs ODER für Anforderungen aus der MSAL unterstützt, indem SN+I für 1P-Apps oder 3P-Apps auf Microsoft-Infrastrukturmandanten verwendet wird.
AADSTS1000031	Auf die Anwendung „{appDisplayName}“ kann derzeit nicht zugegriffen werden. Wenden Sie sich an den Administrator.
AADSTS7000112	UnauthorizedClientApplicationDisabled: Die Anwendung ist deaktiviert.
AADSTS7000114	Die Anwendung „appIdentifier“ ist nicht berechtigt, Im-Auftrag-von-Aufrufe auszuführen.
AADSTS7500529	Der Wert von „SAMLId-Guid“ ist keine gültige SAML-ID: Microsoft Entra ID verwendet dieses Attribut, um das InResponseTo-Attribut der zurückgegebenen Antwort aufzufüllen. Die ID darf nicht mit einer Zahl beginnen, weshalb dem GUID-String im Allgemeinen eine Zeichenfolge wie etwa „ID“ vorangestellt wird. Beispielsweise ist id6c1c178c166d486687be4aaf5e482730 eine gültige ID.

Nächste Schritte

• Haben Sie eine Frage, oder können Sie nicht finden, was Sie suchen? Erstellen Sie ein GitHub-Problem, oder lesen Sie Support- und Hilfeoptionen für Entwickler, um mehr über andere Möglichkeiten zu erfahren, wie Sie Hilfe und Unterstützung erhalten können.