Códigos de error de autenticación y autorización de Microsoft Entra

¿Busca información sobre los códigos de error AADSTS que devuelve el servicio de token de seguridad (STS) de Microsoft Entra? Lea este documento para ver las descripciones de los errores AADSTS, sus correcciones y algunas soluciones alternativas.

Nota:

Esta información es preliminar y está sujeta a cambios. ¿Tiene preguntas y no encuentra lo que busca? Abra una incidencia en GitHub o consulte Opciones de ayuda y soporte técnico para desarrolladores para ver otras maneras de obtener ayuda y soporte técnico.

Esta documentación se proporciona como una guía para desarrolladores y administradores, pero nunca la debe usar el cliente por sí solo. Los códigos de error están sujetos a cambio en cualquier momento con el fin de proporcionar mensajes de error más pormenorizados diseñados para ayudar al desarrollador mientras compila su aplicación. Las aplicaciones que tienen dependencia de números de código de error o texto se interrumpirán en el tiempo.

Búsqueda de información actual sobre códigos de error

Los códigos y los mensajes de error están sujetos a cambios. Para disponer de la información más actualizada, eche un vistazo a la página https://login.microsoftonline.com/error, donde encontrará descripciones de errores de AADSTS, correcciones y algunas soluciones recomendadas.

Por ejemplo, si ha recibido el código de error "AADSTS50058", busque "50058" en https://login.microsoftonline.com/error. También puede agregar el número de código de error a la dirección URL: https://login.microsoftonline.com/error?code=50058 para crear un vínculo directo a un error específico.

Manejo de los códigos de error en una aplicación

La especificación OAuth2.0 brinda orientación sobre cómo manejar los errores durante la autenticación con la parte error de la respuesta de error.

A continuación se muestra una respuesta de error de ejemplo:

{
  "error": "invalid_scope",
  "error_description": "AADSTS70011: The provided value for the input parameter 'scope' isn't valid. The scope https://example.contoso.com/activity.read isn't valid.\r\nTrace ID: 0000aaaa-11bb-cccc-dd22-eeeeee333333\r\nCorrelation ID: aaaa0000-bb11-2222-33cc-444444dddddd\r\nTimestamp: 2016-01-09 02:02:12Z",
  "error_codes": [
    70011
  ],
  "timestamp": "2016-01-09 02:02:12Z",
  "trace_id": "0000aaaa-11bb-cccc-dd22-eeeeee333333",
  "correlation_id": "aaaa0000-bb11-2222-33cc-444444dddddd", 
  "error_uri":"https://login.microsoftonline.com/error?code=70011"
}

Parámetro	Descripción
error	Una cadena de código de error que puede utilizarse para clasificar los tipos de errores que se producen y debe usarse para reaccionar ante ellos.
error_description	Un mensaje de error específico que puede ayudar a un desarrollador a identificar la causa de un error de autenticación. No use nunca este campo para reaccionar ante un error en el código.
error_codes	Una lista de los códigos de error específicos de STS que pueden ayudar en los diagnósticos.
timestamp	Devuelve la hora a la que se produjo el error.
trace_id	Un identificador exclusivo para la solicitud que puede ayudar en los diagnósticos.
correlation_id	Un identificador exclusivo para la solicitud que puede ayudar en los diagnósticos entre componentes.
error_uri	Un vínculo a la página de búsqueda de errores con información adicional sobre el error. Esto solo es para uso del desarrollador, no lo presente a los usuarios. Solo preséntelo cuando el sistema de búsqueda de errores tenga información adicional sobre el error (no todos los errores incluyen información adicional).

El campo error tiene varios valores posibles. Revise los vínculos de documentación del protocolo y las especificaciones de OAuth 2.0 para más información sobre errores específicos (por ejemplo, authorization_pending en el flujo de código del dispositivo) y cómo reaccionar a ellos. A continuación se enumeran algunos de los más comunes:

Código de error	Descripción	Acción del cliente
invalid_request	Error de protocolo, como un parámetro obligatorio que falta.	Corrija el error y vuelva a enviar la solicitud.
invalid_grant	Parte del material de autenticación (código de autenticación, token de actualización, token de acceso, desafío PKCE) no es válida, no se puede analizar, falta o no se puede volver a usar.	Pruebe una solicitud nueva al punto de conexión /authorize para obtener un código de autorización nuevo. Considere la posibilidad de revisar y validar el uso de los protocolos de la aplicación.
unauthorized_client	El cliente autenticado no está autorizado para usar este tipo de concesión de autorización.	Esto puede producirse cuando la aplicación cliente no está registrada en Microsoft Entra ID o no está agregada al inquilino de Microsoft Entra del usuario. La aplicación puede solicitar al usuario instrucciones para instalar la aplicación y agregarla a Microsoft Entra ID.
invalid_client	Se produjo un error de autenticación de cliente.	Las credenciales del cliente no son válidas. Para corregirlo, el administrador de la aplicación actualiza las credenciales.
unsupported_grant_type	El servidor de autorización no admite el tipo de concesión de autorización.	Cambie el tipo de concesión de la solicitud. Este tipo de error solo debe producirse durante el desarrollo y detectarse en las pruebas iniciales.
invalid_resource	El recurso de destino no es válido porque no existe, Microsoft Entra ID no lo encuentra o está configurado incorrectamente.	Esto indica que el recurso, si existe, no se ha configurado en el inquilino. La aplicación puede solicitar al usuario instrucciones para instalar la aplicación y agregarla a Microsoft Entra ID. Durante el desarrollo, suele indicar un inquilino de prueba configurado incorrectamente o un error tipográfico en el nombre del ámbito que se solicita.
interaction_required	La solicitud requiere la interacción del usuario. Por ejemplo, se requiere otro paso de autenticación.	Vuelva a intentar la solicitud con el mismo recurso, de manera interactiva, para que el usuario pueda completar los desafíos necesarios.
temporarily_unavailable	De manera temporal, el servidor está demasiado ocupado para atender la solicitud.	Vuelva a intentarlo. La aplicación podría explicar al usuario que su respuesta se retrasó debido a una condición temporal.

Códigos de error AADSTS

Error	Descripción
AADSTS16000	InteractionRequired: la cuenta de usuario "{EmailHidden}" del proveedor de identidades "{idp}" no existe en el inquilino "{tenant}" y no se puede acceder a la aplicación "{appid}"({appName}) en ese inquilino. La cuenta tiene que agregarse primero como un usuario externo en el inquilino. Cierre la sesión y vuelva a iniciarla con otra cuenta de usuario de Microsoft Entra. Este error es bastante común cuando se intenta iniciar sesión en el Centro de administración de Microsoft Entra mediante una cuenta de Microsoft personal y no hay ningún directorio asociado a ella.
AADSTS16001	UserAccountSelectionInvalid: este error aparece si el usuario selecciona un icono que indica que la lógica de selección de sesión se ha rechazado. Cuando se desencadena, este error permite al usuario solucionarlo; para ello, selecciona en una lista de iconos o sesiones, o elige otra cuenta. Este error puede producirse debido a una condición de carrera o a defectos de código.
AADSTS16002	AppSessionSelectionInvalid: no se cumplió el requisito de SID especificado por la aplicación.
AADSTS160021	AppSessionSelectionInvalidSessionNotExist: la aplicación solicitó una sesión de usuario que no existe. Este problema se puede resolver mediante la creación de una nueva cuenta de Azure.
AADSTS16003	SsoUserAccountNotFoundInResourceTenant: indica que el usuario no se ha agregado explícitamente al inquilino.
AADSTS17003	CredentialKeyProvisioningFailed: Microsoft Entra ID no puede aprovisionar la clave de usuario.
AADSTS20001	WsFedSignInResponseError: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema.
AADSTS20012	WsFedMessageInvalid: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema.
AADSTS20033	FedMetadataInvalidTenantName: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema.
AADSTS230109	CachedCredentialNonGWAuthNRequestsNotSupported: el servicio de autenticación de copia de seguridad solo permite solicitudes AuthN desde la puerta de enlace de Microsoft Entra. Este error se devuelve cuando el tráfico tiene como destino el servicio de autenticación de copia de seguridad directamente en lugar de pasar por el proxy inverso.
AADSTS28002	El valor proporcionado para el ámbito del parámetro de entrada "{scope}" no es válido al solicitar un token de acceso. Especifique un ámbito válido.
AADSTS28003	El valor proporcionado para el ámbito del parámetro de entrada no puede estar vacío al solicitar un token de acceso mediante el código de autorización proporcionado. Especifique un ámbito válido.
AADSTS40008	OAuth2IdPUnretryableServerError: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema.
AADSTS40009	OAuth2IdPRefreshTokenRedemptionUserError: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema.
AADSTS40010	OAuth2IdPRetryableServerError: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema.
AADSTS40015	OAuth2IdPAuthCodeRedemptionUserError: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema.
AADSTS50000	TokenIssuanceError: hay un problema con el servicio de inicio de sesión. Abra un vale de soporte para resolver este problema.
AADSTS50001	InvalidResource: el recurso está deshabilitado o no existe. Compruebe el código de la aplicación para asegurarse de que ha especificado la URL exacta del recurso al que está intentando acceder.
AADSTS50002	NotAllowedTenant: no se pudo iniciar sesión debido a un acceso de proxy restringido en el inquilino. Si se trata de su propia directiva de inquilino, puede cambiar la configuración restringida del inquilino para corregir este problema.
AADSTS500011	InvalidResourceServicePrincipalNotFound: la entidad de seguridad del recurso denominada {name} no se encontró en el inquilino denominado {tenant}. Este error puede aparecer pasar si el administrador del inquilino no es el que ha instalado la aplicación o si ningún usuario del inquilino ha dado su consentimiento. Es posible que haya enviado la solicitud de autenticación al inquilino incorrecto. Si espera que la aplicación se instale, es posible que tenga que proporcionar permisos de administrador para agregarla. Consulte con los desarrolladores del recurso y la aplicación para comprender cuál es la configuración adecuada para el inquilino.
AADSTS500014	InvalidResourceServicePrincipalDisabled: la entidad de servicio del recurso '{identifier}' está deshabilitada. Esto indica que una suscripción dentro del inquilino ha expirado o que un administrador de este inquilino ha deshabilitado la entidad de servicio de la aplicación, lo que impide que se emita tokens para ella. Para más información, consulte Deshabilitación del inicio de sesión de usuario para la aplicación.
AADSTS500021	Se denegó el acceso al inquilino "{tenant}". AADSTS500021 indica que la característica de restricción de inquilino está configurada y que el usuario está intentando acceder a un inquilino que no está en la lista de inquilinos permitidos especificados en el encabezado Restrict-Access-To-Tenant. Para obtener más información, consulte Uso de restricciones de inquilino para administrar el acceso a aplicaciones en la nube SaaS.
AADSTS500022	Se denegó el acceso al inquilino "{tenant}". AADSTS500022 indica que la característica de restricción de inquilino está configurada y que el usuario está intentando acceder a un inquilino que no está en la lista de inquilinos permitidos especificados en el encabezado Restrict-Access-To-Tenant. Para obtener más información, consulte Uso de restricciones de inquilino para administrar el acceso a aplicaciones en la nube SaaS.
AADSTS50003	MissingSigningKey: no se pudo iniciar sesión debido a que falta la clave de firma o el certificado. Esto se puede deber a que no había ninguna clave de firma configurada en la aplicación. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS50003. Si siguen los problemas, póngase en contacto con el propietario o el administrador de la aplicación.
AADSTS50005	DevicePolicyError: el usuario intentó iniciar sesión en un dispositivo desde una plataforma que actualmente no se admite en una directiva de acceso condicional.
AADSTS50006	InvalidSignature: no se pudo comprobar la firma debido a una firma no válida.
AADSTS50007	PartnerEncryptionCertificateMissing: no se encontró el certificado de cifrado de asociado de esta aplicación. Abra una incidencia de soporte técnico en Microsoft para solucionar este problema.
AADSTS50008	InvalidSamlToken: la aserción SAML falta o está mal configurada en el token. Póngase en contacto con el proveedor de federación.
AADSTS5000224	NotAllowedTenantBlockedTenantFraud: lo sentimos, este recurso no está disponible. Si ve este mensaje por error, comuníquese con el soporte técnico de Microsoft.
AADSTS5000819	InvalidSamlTokenEmailMissingOrInvalid: la aserción de SAML no es válida. Falta la notificación de dirección de correo electrónico, o bien la existente no coincide con el dominio de un dominio kerberos externo.
AADSTS50010	AudienceUriValidationFailed: se ha producido un error en la validación del identificador URI de audiencia de la aplicación debido a que no se configuraron audiencias de token.
AADSTS50011	InvalidReplyTo: la dirección de respuesta falta, está mal configurada o no coincide con las direcciones de respuesta configuradas para la aplicación. Como resolución, asegura agregar esta dirección de respuesta omitida a la aplicación de Microsoft Entra o hacer que alguien que cuente con los permisos para administrar la aplicación en Active Directory lo haga por usted. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS50011.
AADSTS50012	AuthenticationFailed: se ha producido un error de autenticación por uno de los motivos siguientes: El nombre del titular del certificado de firma no está autorizado. No se encontró una directiva de autoridad de confianza correspondiente al nombre del titular autorizado La cadena de certificados no es válida. El certificado de firma no es válido. La directiva no está configurada en el inquilino La huella digital del certificado de firma no está autorizada. La aserción de cliente contiene una firma no válida.
AADSTS50013	InvalidAssertion: la aserción no es válida debido a varias razones: el emisor del token no coincide con la versión de la API en su intervalo de tiempo válido, la aserción ha expirado o tiene un formato incorrecto, o el token de actualización de la aserción no es un token de actualización principal. Póngase en contacto con el desarrollador de la aplicación.
AADSTS500133	La aserción no está dentro de su intervalo de tiempo válido. Asegúrese de que el token de acceso no ha expirado antes de usarlo para la aserción de usuario o solicite un nuevo token. Hora actual: {curTime}, hora de expiración de la aserción {expTime}. La aserción no es válida debido a varias razones: El emisor de tokens no coincide con la versión de la API dentro de su intervalo de tiempo válido Expired Con formato incorrecto El token de actualización de la aserción no es un token de actualización principal
AADSTS50014	GuestUserInPendingState: la cuenta de usuario no existe en el directorio. Es probable que una aplicación haya elegido el inquilino incorrecto para iniciar sesión y que el usuario que tiene actualmente la sesión iniciada no haya podido hacerlo porque no existía en su inquilino. Si este usuario debería poder iniciar sesión, agréguelo como invitado. Para obtener más información, visite Adición de usuarios B2B.
AADSTS50015	ViralUserLegalAgeConsentRequiredState: el usuario requiere el consentimiento de grupo de edad legal.
AADSTS50017	CertificateValidationFailed: no se pudo realizar la validación de la certificación por alguno de los siguientes motivos: No se pudo encontrar el certificado de emisión en la lista de certificados de confianza No se pudo encontrar el CrlSegment esperado No se pudo encontrar el certificado de emisión en la lista de certificados de confianza El punto de distribución de la diferencia CRL se ha configurado sin el punto de distribución de CRL correspondiente No se pueden recuperar segmentos CRL válidos debido a un problema de tiempo de espera No se puede descargar el CRL Póngase en contacto con el administrador del inquilino.
AADSTS50020	UserUnauthorized: los usuarios no tiene autorización para llamar a este punto de conexión. La cuenta de usuario "{email}" del proveedor de identidades "{idp}" no existe en el inquilino "{tenant}" y no se puede acceder a la aplicación "{appid}"({appName}) en ese inquilino. La cuenta tiene que agregarse primero como un usuario externo en el inquilino. Cierre la sesión y vuelva a iniciarla con otra cuenta de usuario de Microsoft Entra. Si este usuario debe ser miembro del inquilino, se le debe invitar a través del sistema B2B. Para obtener más información, visite AADSTS50020.
AADSTS500208	El dominio no es un dominio de inicio de sesión válido para el tipo de cuenta: esta situación se produce cuando la cuenta del usuario no coincide con el tipo de cuenta esperado para el inquilino determinado. Por ejemplo, si el inquilino está configurado para permitir solo cuentas profesionales o educativas, y el usuario intenta iniciar sesión con una cuenta Microsoft personal, recibirá este error.
AADSTS500212	NotAllowedByOutboundPolicyTenant: el administrador del usuario ha establecido una directiva de acceso saliente que no permite el acceso al inquilino del recurso.
AADSTS500213	NotAllowedByInboundPolicyTenant: la directiva de acceso entre inquilinos del inquilino de recursos no permite que este usuario acceda a este inquilino.
AADSTS50027	InvalidJwtToken: token JWT no válido debido a los siguientes motivos: no contiene la notificación nonce, sub notificación no coincide el identificador de asunto notificación duplicada en las notificaciones de idToken emisor inesperado audiencia inesperada fuera de su intervalo de tiempo válido El formato de token no es adecuado. El token del identificador externo del emisor no pudo comprobar la firma.
AADSTS50029	Identificador URI no válido: el nombre de dominio contiene caracteres no válidos. Póngase en contacto con el administrador del inquilino.
AADSTS50032	WeakRsaKey: indica un intento erróneo del usuario para usar una clave RSA débil.
AADSTS50033	RetryableError: indica un error transitorio no relacionado con las operaciones de base de datos.
AADSTS50034	UserAccountNotFound: para iniciar sesión en esta aplicación, la cuenta debe agregarse al directorio. Este error puede producirse porque el usuario ha escrito mal su nombre de usuario o no está en el inquilino. Es posible que una aplicación haya elegido el inquilino incorrecto para iniciar sesión, y que el usuario que tiene actualmente la sesión iniciada no haya podido hacerlo porque no existía en su inquilino. Si este usuario debería poder iniciar sesión, agréguelo como invitado. Consulte la documentación aquí: Adición de usuarios B2B.
AADSTS50042	UnableToGeneratePairwiseIdentifierWithMissingSalt: falta la sal necesaria para generar un identificador en pares en la entidad de seguridad. Póngase en contacto con el administrador del inquilino.
AADSTS50043	UnableToGeneratePairwiseIdentifierWithMultipleSalts
AADSTS50048	SubjectMismatchesIssuer: el asunto no coincide con la notificación del emisor en la aserción de cliente. Póngase en contacto con el administrador del inquilino.
AADSTS50049	NoSuchInstanceForDiscovery: instancia desconocida o no válida.
AADSTS50050	MalformedDiscoveryRequest: la solicitud no está correctamente formada.
AADSTS50053	Este error puede tener dos motivos diferentes: IdsLocked: la cuenta está bloqueada porque el usuario intentó iniciar sesión demasiadas veces con un identificador de usuario o contraseña incorrectos. El usuario se bloquea debido a intentos repetidos de inicio de sesión. Consulte Corregir riesgos y desbloquear usuarios. O bien, el inicio de sesión se bloqueó porque procedía de una dirección IP con actividad malintencionada. Para determinar qué motivo de error provocó este error, inicie sesión en el Centro de administración de Microsoft Entra como al menos un Administrador de aplicaciones en la nube. Vaya al inquilino de Microsoft Entra y, a continuación, Supervisión y estado ->Registros de inicio de sesión. Busque el usuario de información de inicio de sesión con error con el Código de error de inicio de sesión 50053 y compruebe la Causa de error.
AADSTS50055	InvalidPasswordExpiredPassword: la contraseña ha expirado. La contraseña del usuario ha expirado y, por tanto, el inicio de sesión o la sesión han finalizado. Se les ofrecerá la oportunidad de restablecerla o pueden pedir a un administrador que la restablezca a través de Restablecimiento de la contraseña de un usuario mediante Microsoft Entra ID.
AADSTS50056	Contraseña no válida o nula: la contraseña no existe en el directorio de este usuario. Se debe solicitar al usuario que vuelva a escribir su contraseña.
AADSTS50057	UserDisabled: la cuenta de usuario está deshabilitada. El objeto de usuario de Active Directory que respalda esta cuenta se ha deshabilitado. Un administrador puede volver a habilitar esta cuenta mediante PowerShell.
AADSTS50058	UserInformationNotProvided: la información de sesión no es suficiente para el inicio de sesión único. Esto significa que un usuario no ha iniciado sesión. Este es un error común que se espera cuando un usuario no está autenticado y aún no ha iniciado sesión. Si este error se encuentra en un contexto de inicio de sesión único en el que el usuario ha iniciado sesión anteriormente, significa que la sesión SSO no se encuentra o no es válida. Este error puede devolverse a la aplicación si se especifica prompt=none.
AADSTS50059	MissingTenantRealmAndNoUserInformationProvided: la información de identificación del inquilino no se ha encontrado ni en la solicitud ni está implícita en las credenciales proporcionadas. El usuario puede ponerse en contacto con el administrador del inquilino para ayudar a resolver el problema.
AADSTS50061	SignoutInvalidRequest: no se puede completar el cierre de sesión. La solicitud no era válida.
AADSTS50064	CredentialAuthenticationError: error de validación de credenciales en el nombre de usuario o la contraseña.
AADSTS50068	SignoutInitiatorNotParticipant: error de cierre de sesión. La aplicación que inició el cierre de sesión no participa en la sesión actual.
AADSTS50070	SignoutUnknownSessionIdentifier: error de cierre de sesión. La solicitud de cierre de sesión especificó un identificador de nombre que no coincidía con las sesiones existentes.
AADSTS50071	SignoutMessageExpired: la solicitud de inicio de sesión ha expirado.
AADSTS50072	UserStrongAuthEnrollmentRequiredInterrupt: el usuario debe inscribirse para el segundo factor de autenticación (interactivo).
AADSTS50074	UserStrongAuthClientAuthNRequiredInterrupt: la autenticación segura es obligatoria y el usuario no ha superado el desafío de la autenticación multifactor.
AADSTS50076	UserStrongAuthClientAuthNRequired: debido a un cambio de configuración realizado por el administrador, como una directiva de acceso condicional, aplicación por usuario, o porque se ha trasladado a una nueva ubicación, el usuario debe usar la autenticación multifactor para tener acceso al recurso. Vuelva a intentarlo con una nueva solicitud de autorización para el recurso.
AADSTS50078	UserStrongAuthExpired: la autenticación multifactor presentada ha expirado debido a las directivas configuradas por el administrador. Debe actualizar la autenticación multifactor para acceder a "{resource}".
AADSTS50079	UserStrongAuthEnrollmentRequired: debido a un cambio de configuración realizado por el administrador, como una directiva de acceso condicional, aplicación por usuario, o porque el usuario se ha trasladado a una nueva ubicación, este debe usar la autenticación multifactor. Un usuario administrado debe registrar la información de seguridad para completar la autenticación multifactor o un usuario federado debe obtener la notificación multifactor del proveedor de identidades federado.
AADSTS50085	El token de actualización necesita un inicio de sesión de IDP social. Haga que el usuario intente iniciar sesión de nuevo con el nombre de usuario y la contraseña
AADSTS50086	SasNonRetryableError
AADSTS50087	SasRetryableError: se produjo un error transitorio durante la autenticación segura. Inténtelo de nuevo.
AADSTS50088	Se alcanzó el límite de llamadas MFA de telecomunicaciones. Inténtalo de nuevo al cabo de un rato.
AADSTS50089	Se produjo un error de autenticación debido a la expiración del token de flujo. Previsto: los códigos de autenticación, los tokens de actualización y las sesiones expiran con el tiempo o los revoca el usuario o un administrador. La aplicación solicitará un nuevo inicio de sesión al usuario.
AADSTS50097	DeviceAuthenticationRequired: la autenticación de dispositivo es obligatoria.
AADSTS50099	PKeyAuthInvalidJwtUnauthorized: la firma JWT no es válida.
AADSTS50105	EntitlementGrantsNotFound: el usuario que ha iniciado sesión no está asignado a un rol de la aplicación en la que inició sesión. Asigne el usuario a la aplicación. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS50105.
AADSTS50107	InvalidRealmUri: el objeto solicitado del dominio Kerberos de federación no existe. Póngase en contacto con el administrador del inquilino.
AADSTS50120	ThresholdJwtInvalidJwtFormat: hay un problema con el encabezado JWT. Póngase en contacto con el administrador del inquilino.
AADSTS50124	ClaimsTransformationInvalidInputParameter: la transformación de notificaciones contiene parámetros de entrada no válidos. Póngase en contacto con el administrador del inquilino para actualizar la directiva.
AADSTS501241	Falta la entrada obligatoria "{paramName}" del identificador de transformación "{transformId}". Este error se devuelve mientras Microsoft Entra está intentando compilar una respuesta SAML a la aplicación. La notificación NameID o NameIdentifier son obligatorias en la respuesta SAML y, si Microsoft Entra ID no puede obtener el atributo de origen de la notificación NameID, devuelve este error. Como resolución, asegúrese de que agrega reglas de notificación. Para agregar reglas de notificación, inicie sesión en el Centro de administración de Microsoft Entra como mínimo un Administrador de aplicaciones en la nube y, a continuación, vaya a Aplicaciones de identidad>Aplicaciones>Aplicaciones empresariales. Seleccione la aplicación, seleccione Inicio de sesión único y, en Atributos y notificaciones del usuario, escriba el identificador de usuario único (id. de nombre).
AADSTS50125	PasswordResetRegistrationRequiredInterrupt: el inicio de sesión se interrumpió debido a una entrada de registro de contraseña o restablecimiento de contraseña.
AADSTS50126	InvalidUserNameOrPassword: se ha producido un error al validar las credenciales debido a un nombre de usuario o contraseña no válidos. El usuario no ha especificado las credenciales correctas. Puede esperar que aparezcan algunos de estos errores en los registros debido a errores cometidos por los usuarios.
AADSTS50127	BrokerAppNotInstalled: el usuario necesita instalar una aplicación de agente para acceder a este contenido.
AADSTS50128	Nombre de dominio no válido: No se ha encontrado ninguna información de identificación del inquilino en la solicitud ni implícita en ninguna credencial proporcionada.
AADSTS50129	DeviceIsNotWorkplaceJoined: es obligatorio unirse al área de trabajo para registrar el dispositivo.
AADSTS50131	ConditionalAccessFailed: indica varios errores de acceso condicional tales como mal estado del dispositivo Windows, solicitud bloqueada debido a actividad sospechosa, directiva de acceso o decisiones de directiva de seguridad.
AADSTS50132	SsoArtifactInvalidOrExpired: la sesión no es válida debido a la expiración de la contraseña o a un cambio reciente de contraseña.
AADSTS50133	SsoArtifactRevoked: la sesión no es válida debido a la expiración de la contraseña o a un cambio reciente de contraseña.
AADSTS50134	DeviceFlowAuthorizeWrongDatacenter: centro de datos incorrecto. Para autorizar una solicitud iniciada por una aplicación en el flujo de dispositivo de OAuth 2.0, la entidad encargada de autorizar debe estar en el mismo centro de datos donde reside la solicitud original.
AADSTS50135	PasswordChangeCompromisedPassword: es obligatorio cambiar la contraseña debido al riesgo de la cuenta.
AADSTS50136	RedirectMsaSessionToApp: se ha detectado una única sesión de MSA.
AADSTS50139	SessionMissingMsaOAuth2RefreshToken: la sesión no es válida debido a un token de actualización externo que falta.
AADSTS50140	KmsiInterrupt: este error se ha producido debido a una interrupción en "Mantener la sesión iniciada" cuando el usuario estaba iniciando sesión. Se trata de una parte esperada del flujo de inicio de sesión, donde se pregunta a un usuario si desea mantener la sesión iniciada en el explorador actual para facilitar los posteriores inicios de sesión. Para obtener más información, consulte Las nuevas experiencias de inicio de sesión de Azure AD y "Mantener la sesión iniciada" se están implementando. Abra una incidencia de soporte técnico con el id. de correlación, el id. de solicitud y el código de error para conocer más detalles.
AADSTS50143	Error de coincidencia de sesión: la sesión no es válida porque el inquilino de usuario no coincide con la sugerencia de dominio debido a que el recurso es diferente. Abra un vale de soporte con el identificador de correlación, el de solicitud y el código de error para conocer más detalles.
AADSTS50144	InvalidPasswordExpiredOnPremPassword: la contraseña de Active Directory del usuario ha expirado. Genere una nueva contraseña para el usuario o solicite al usuario que restablezca la contraseña con la herramienta de autoservicio de restablecimiento.
AADSTS50146	MissingCustomSigningKey: es necesario que esta aplicación esté configurada con una clave de firma específica de la aplicación. No tiene configurada ninguna clave, o bien la clave ha expirado o ya no es válida. Póngase en contacto con el propietario de la aplicación.
AADSTS501461	AcceptMappedClaims solo se admite para una audiencia de token que coincida con el GUID de la aplicación o una audiencia dentro de los dominios comprobados del inquilino. Cambie el identificador de recursos o use una clave de firma específica de la aplicación.
AADSTS50147	MissingCodeChallenge: el tamaño del parámetro de desafío de código no es válido.
AADSTS501481	Code_Verifier no coincide con el code_challenge proporcionado en la solicitud de autorización.
AADSTS501491	InvalidCodeChallengeMethodInvalidSize: tamaño no válido del parámetro Code_Challenge.
AADSTS50155	DeviceAuthenticationFailed: error de autenticación del dispositivo para este usuario.
AADSTS50158	ExternalSecurityChallenge: no se cumplió el desafío de seguridad externo.
AADSTS50161	InvalidExternalSecurityChallengeConfiguration: las notificaciones enviadas por el proveedor externo no son suficientes o falta la notificación que se solicitó al proveedor externo.
AADSTS50166	ExternalClaimsProviderThrottled: no se pudo enviar la solicitud al proveedor de notificaciones.
AADSTS50168	ChromeBrowserSsoInterruptRequired: el cliente es capaz de obtener un token de inicio de sesión único mediante la extensión Cuentas de Windows 10, pero no se encontró el token en la solicitud o el token proporcionado ha expirado.
AADSTS50169	InvalidRequestBadRealm: el dominio Kerberos no es un dominio configurado del espacio de nombres de servicio actual.
AADSTS50170	MissingExternalClaimsProviderMapping: falta la asignación de controles externos.
AADSTS50173	FreshTokenNeeded: la concesión proporcionada ha expirado debido a que se ha revocado y se necesita un nuevo token de autenticación. Un administrador o un usuario ha revocado los tokens de este usuario, lo que hace que se produzcan errores en las actualizaciones posteriores del token y sea necesaria una nueva autenticación. Pida al usuario que vuelva a iniciar sesión.
AADSTS50177	ExternalChallengeNotSupportedForPassthroughUsers: no se admite el desafío externo para los usuarios de acceso directo.
AADSTS50178	SessionControlNotSupportedForPassthroughUsers: no se admite el control de sesión para los usuarios de acceso directo.
AADSTS50180	WindowsIntegratedAuthMissing: es obligatoria la autenticación de Windows integrada. Habilite el inquilino para un inicio de sesión único de conexión directa.
AADSTS50187	DeviceInformationNotProvided: el servicio no pudo realizar la autenticación de dispositivos.
AADSTS50192	Solicitud no válida: RawCredentialExpectedNotFound: no se incluyó ninguna credencial en la solicitud de inicio de sesión. Ejemplo: el usuario está realizando la autenticación basada en certificados (CBA) y no se envía ningún certificado (o el proxy quita el certificado del usuario en la solicitud de inicio de sesión).
AADSTS50194	La aplicación "{appId}"({appName}) no está configurada como aplicación multiinquilino. El uso del punto de conexión /common no se admite para las aplicaciones creadas después de "{time}". Use un punto de conexión específico del inquilino o configure la aplicación como multiinquilino.
AADSTS50196	LoopDetected: se ha detectado un bucle de cliente. Compruebe la lógica de la aplicación para asegurarse de que el almacenamiento en caché de tokens está implementado y de que las condiciones de error se controlan correctamente. La aplicación ha realizado demasiadas veces la misma solicitud en un período demasiado corto, lo que indica que se encuentra en un estado defectuoso o que solicita tokens de forma abusiva.
AADSTS50197	ConflictingIdentities: no se encontró el usuario. Intente iniciar sesión de nuevo.
AADSTS50199	CmsiInterrupt: por razones de seguridad, se requiere la confirmación del usuario para esta solicitud. Se muestra la interrupción para todos los redireccionamientos de esquema en los exploradores para dispositivos móviles. No es necesaria ninguna acción. Se le pidió al usuario que confirme que esta aplicación es la aplicación en la que tenía previsto iniciar sesión. Se trata de una característica de seguridad que ayuda a evitar ataques de suplantación de identidad. Esto ocurre porque se ha usado una vista web del sistema para solicitar un token para una aplicación nativa. Para evitar que esto aparezca, el URI de redirección debe formar parte de la siguiente lista segura: http:// https:// chrome-extension:// (solo explorador Chrome de escritorio)
AADSTS51000	RequiredFeatureNotEnabled: la característica está deshabilitada.
AADSTS51001	DomainHintMustbePresent: la sugerencia de dominio debe estar presente con el identificador de seguridad local o UPN local.
AADSTS1000104	XCB2BResourceCloudNotAllowedOnIdentityTenant: no se permite la nube de recursos {resourceCloud} en el inquilino de identidad {identityTenant}. {resourceCloud}: instancia en la nube que posee el recurso. {identityTenant}: es el inquilino en el que se origina la identidad de inicio de sesión.
AADSTS51004	UserAccountNotInDirectory: la cuenta de usuario no existe en el directorio. Es probable que una aplicación haya elegido el inquilino incorrecto para iniciar sesión, y que el usuario que tiene actualmente la sesión iniciada no haya podido hacerlo porque no existía en su inquilino. Si este usuario debería poder iniciar sesión, agréguelo como invitado. Para obtener más información, visite Adición de usuarios B2B.
AADSTS51005	TemporaryRedirect: equivalente al código de estado HTTP 307, que indica que la información solicitada se encuentra en el URI especificado en el encabezado location. Cuando reciba este estado, siga el encabezado location asociado a la respuesta. Si el método de solicitud original era POST, la solicitud redirigida también utilizará el método POST.
AADSTS51006	ForceReauthDueToInsufficientAuth: se necesita la autenticación de Windows integrada. El usuario ha iniciado sesión con un token de sesión al que le falta la notificación de autenticación de Windows integrada. Solicite al usuario que vuelva a iniciar sesión.
AADSTS52004	DelegationDoesNotExistForLinkedIn: el usuario no ha proporcionado consentimiento para acceder a los recursos de LinkedIn.
AADSTS53000	DeviceNotCompliant: la directiva de acceso condicional requiere un dispositivo compatible, y el dispositivo no lo es. El usuario debe inscribir su dispositivo con un proveedor de administración de datos maestros aprobado, como Intune. Para más información, visite Corrección de dispositivos de acceso condicional.
AADSTS53001	DeviceNotDomainJoined: la directiva de acceso condicional requiere un dispositivo unido a un dominio y este no lo está. Haga que el usuario utilice un dispositivo unido a un dominio.
AADSTS53002	ApplicationUsedIsNotAnApprovedApp: la aplicación utilizada no es una aplicación aprobada para el acceso condicional. Para poder acceder, el usuario tiene que usar una de las aplicaciones de la lista de aplicaciones aprobadas.
AADSTS53003	BlockedByConditionalAccess: se ha bloqueado el acceso a las directivas de acceso condicional. La directiva de acceso no admite la emisión de tokens. Si esto es inesperado, consulte la directiva de acceso condicional que se aplica a esta solicitud o comuníquese con el administrador. Para más información, visite Solución de problemas de inicio de sesión con acceso condicional.
AADSTS530035	BlockedBySecurityDefaults: el acceso se ha bloqueado de forma predeterminada de seguridad. Esto se debe a que la solicitud usa la autenticación heredada o se considera no segura por las directivas predeterminadas de seguridad. Para obtener información adicional, visite las directivas de seguridad aplicadas.
AADSTS53004	ProofUpBlockedDueToRisk: el usuario tiene que completar el proceso de registro de la autenticación multifactor antes de acceder a este contenido. El usuario se debe registrar para la autenticación multifactor.
AADSTS53010	ProofUpBlockedDueToSecurityInfoAcr: no se pueden configurar métodos de autenticación multifactor porque la organización requiere que esta información se establezca desde ubicaciones o dispositivos específicos.
AADSTS53011	Usuario bloqueado debido al riesgo en el inquilino principal.
AADSTS530034	DelegatedAdminBlockedDueToSuspiciousActivity: un administrador delegado no pudo acceder al inquilino debido al riesgo de la cuenta en su inquilino principal.
AADSTS54000	MinorUserBlockedLegalAgeGroupRule
AADSTS54005	El código de autorización de OAuth2 ya se canjeó. Vuelva a intentarlo con un nuevo código válido o use un token de actualización existente.
AADSTS65001	DelegationDoesNotExist: el usuario o el administrador no han dado su consentimiento para usar la aplicación con el identificador X. Envíe una solicitud de autorización interactiva para este usuario y recurso.
AADSTS65002	El consentimiento entre la aplicación interna "{applicationId}" y el recurso interno "{resourceId}" debe configurarse mediante la autenticación previa: las aplicaciones operadas por Microsoft y de su propiedad deben obtener la aprobación del propietario de la API antes de solicitar tokens para esa API. Es posible que un desarrollador del inquilino esté intentando reutilizar un identificador de aplicación propiedad de Microsoft. Este error impide suplantar una aplicación de Microsoft para llamar a otras API. Deben pasar a otro identificador de aplicación que registren.
AADSTS65004	UserDeclinedConsent: el usuario no ha dado su consentimiento para acceder a la aplicación. Haga que el usuario intente iniciar sesión de nuevo y dé el consentimiento para acceder a la aplicación
AADSTS65005	MisconfiguredApplication: la lista de acceso a recursos requerida por la aplicación no contiene aplicaciones que el recurso pueda detectar o la aplicación cliente ha solicitado acceso a un recurso que no estaba especificado en su lista de acceso a recursos requerida, o bien el servicio Graph ha devuelto una solicitud errónea o un recurso no encontrado. Si la aplicación admite SAML, es posible que haya configurado la aplicación con el identificador incorrecto (entidad). Para obtener más información, consulte el artículo de solución de problemas de error AADSTS650056.
AADSTS650052	La aplicación necesita acceso a un servicio (\"{name}\") que su organización \"{organization}\" no ha habilitado o al que no se ha suscrito. Póngase en contacto con el administrador de TI para revisar la configuración de las suscripciones de servicio.
AADSTS650054	La aplicación solicitó permisos para acceder a un recurso que se quitó o que ya no está disponible. Asegúrese de que todos los recursos a los que llama la aplicación están presentes en el inquilino en el que está trabajando.
AADSTS650056	Aplicación mal configurada. Esto puede deberse a uno de los siguientes motivos: el cliente no ha enumerado ningún permiso para "{name}" en los permisos solicitados en el registro de aplicación del cliente. O bien el administrador no ha dado su consentimiento en el inquilino. O bien, compruebe también el identificador de la aplicación en la solicitud para asegurarse de que coincide con el identificador de la aplicación cliente configurada. O bien, compruebe el certificado en la solicitud para asegurarse de que es válido. Póngase en contacto con su administrador para corregir la configuración o dar su consentimiento en nombre del inquilino. Identificador de la aplicación cliente: {ID} Póngase en contacto con su administrador para corregir la configuración o dar su consentimiento en nombre del inquilino.
AADSTS650057	Recurso no válido. El cliente ha solicitado el acceso a un recurso, que no se muestra en los permisos solicitados del registro de la aplicación del cliente. Id. de aplicación cliente: {appId}({appName}). Valor de recurso de la solicitud: {resource}. Id. de aplicación del recurso: {resourceAppId}. Lista de recursos válidos del registro de aplicaciones: {regList}.
AADSTS67003	ActorNotValidServiceIdentity
AADSTS70000	InvalidGrant: se ha producido un error de autenticación de cliente. El token de actualización no es válido. El error puede deberse a los siguientes motivos: El encabezado del enlace de token está vacío. El hash del enlace de token no coincide.
AADSTS70001	UnauthorizedClient: la aplicación está deshabilitada. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS70001.
AADSTS700011	UnauthorizedClientAppNotFoundInOrgIdTenant: no se encontró la aplicación con el identificador {appIdentifier} en el directorio. Una aplicación cliente solicitó un token del inquilino, pero la aplicación cliente no existe en el inquilino, por lo que se produjo un error en la llamada.
AADSTS70002	InvalidClient: error al validar las credenciales. El valor de client_secret especificado no coincide con el esperado para este cliente. Corrija el valor de client_secret e inténtelo de nuevo. Para más información, consulte Uso del código de autorización para solicitar un token de acceso.
AADSTS700025	InvalidClientPublicClientWithCredential: el cliente es público, por lo que no se deben presentar "client_assertion" ni "client_secret".
AADSTS700027	Se ha producido un error de validación de firmas en la aserción del cliente. Error del desarrollador: la aplicación está intentando iniciar sesión sin los parámetros de autenticación necesarios o correctos.
AADSTS70003	UnsupportedGrantType: la aplicación ha devuelto un tipo de concesión no admitido.
AADSTS700030	Certificado no válido: el nombre de sujeto del certificado no está autorizado. SubjectNames/SubjectAlternativeNames (hasta 10) en el certificado de token son: {certificateSubjects}.
AADSTS70004	InvalidRedirectUri: la aplicación ha devuelto un URI de redireccionamiento no válido. La dirección de redireccionamiento que ha especificado el cliente no coincide con ninguna de las direcciones configuradas ni con ninguna de las de la lista de direcciones aprobadas de OIDC.
AADSTS70005	UnsupportedResponseType: la aplicación ha devuelto un tipo de respuesta no admitido por alguno de los siguientes motivos: el tipo de respuesta "token" no está habilitado para la aplicación el tipo de respuesta "id_token" requiere el ámbito "OpenID", o contiene un valor de parámetro de OAuth no admitido en el wctx codificado
AADSTS700054	El elemento 'id_token' de response_type no está habilitado para la aplicación. La aplicación solicitó un token de identificador al punto de conexión de autorización, pero no tenía habilitada la concesión implícita del token de identificador. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Administrador de aplicaciones en la nube y, a continuación, vaya aIdentidad>Aplicaciones>Registros de aplicaciones. Seleccione su aplicación y, a continuaciónAutenticación. En Concesión implícita y flujos híbridos, asegúrese de que los Tokens de identificador están seleccionados.
AADSTS70007	UnsupportedResponseMode: la aplicación ha devuelto un valor no admitido de response_mode al solicitar un token.
AADSTS70008	ExpiredOrRevokedGrant: el token de actualización ha expirado debido por inactividad. El token se emitió en XXX y estuvo inactivo durante un período de tiempo.
AADSTS700082	ExpiredOrRevokedGrantInactiveToken: el token de actualización ha expirado debido a la inactividad. El token se emitió el {issueDate} y estuvo inactivo durante {time}. Parte esperada del ciclo de vida del token: el usuario pasó un período de tiempo prolongado sin usar la aplicación, por lo que el token había caducado cuando la aplicación intentó actualizarlo.
AADSTS700084	El token de actualización se ha emitido en una aplicación de página única (SPA) y, por tanto, tiene una duración limitada fija de {tiempo}, que no se puede extender. Ahora ha expirado y la SPA debe enviar una nueva solicitud de inicio de sesión a la página de inicio de sesión. El token se ha emitido el {fechaDeEmisión}.
AADSTS70011	InvalidScope: el ámbito solicitado por la aplicación no es válido.
AADSTS70012	MsaServerError: se ha producido un error de servidor al autenticar un usuario (consumidor) de MSA. Inténtelo de nuevo. Si el error persiste, abra una incidencia de soporte técnico
AADSTS70016	AuthorizationPending: error de flujo de dispositivo de OAuth 2.0. La autorización está pendiente. El dispositivo volverá a intentar sondear la solicitud.
AADSTS70018	BadVerificationCode: el código de verificación no es válido porque el usuario ha escrito un código de usuario incorrecto en el flujo de códigos del dispositivo. No se aprueba la autorización.
AADSTS70019	CodeExpired: el código de verificación ha expirado. Pida al usuario que vuelva a iniciar sesión.
AADSTS70043	BadTokenDueToSignInFrequency: el token de actualización ha expirado o no es válido debido a las comprobaciones de frecuencia de inicio de sesión por acceso condicional. El token se emitió en {issueDate} y la duración máxima permitida para esta solicitud es {time}.
AADSTS75001	BindingSerializationError: se ha producido un error durante el enlace de mensajes de SAML.
AADSTS75003	UnsupportedBindingError: la aplicación ha devuelto un error relacionado con un enlace no admitido (la respuesta del protocolo SAML no se puede enviar a través de enlaces que no sean HTTP POST).
AADSTS75005	Saml2MessageInvalid: Microsoft Entra no admite la solicitud SAML enviada por la aplicación para el inicio de sesión único. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS75005.
AADSTS7500514	No se encontró ningún tipo admitido de respuesta SAML. Los tipos de respuesta admitidos son "Response" (en el espacio de nombres XML "urn:oasis:names:tc:SAML:2.0:protocol") o "Assertion" (en el espacio "urn:oasis:names:tc:SAML:2.0:assertion"). Error de aplicación: el desarrollador controlará este error.
AADSTS750054	SAMLRequest o SAMLResponse deben existir como parámetros de cadena de consulta en la solicitud HTTP para el enlace de redirección SAML. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS750054.
AADSTS75008	RequestDeniedError: se ha rechazado la solicitud de la aplicación ya que la solicitud SAML tenía un destino inesperado.
AADSTS75011	NoMatchedAuthnContextInOutputClaims: el método de autenticación mediante el cual se autenticó el usuario en el servicio no coincide con el método de autenticación solicitado. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS75011.
AADSTS75016	Saml2AuthenticationRequestInvalidNameIDPolicy: la solicitud de autenticación de SAML2 tiene un valor de NameIdPolicy no válido.
AADSTS76021	ApplicationRequiresSignedRequests: la solicitud enviada por el cliente no está firmada, pero la aplicación requiere solicitudes firmadas
AADSTS76026	RequestIssueTimeExpired: IssueTime en una solicitud de autenticación SAML2 ha expirado.
AADSTS80001	OnPremiseStoreIsNotAvailable: el agente de autenticación no puede conectarse a Active Directory. Asegúrese de que los servidores del agente sean miembros del mismo bosque de AD que los usuarios cuyas contraseñas haya que validar y que pueden conectarse a Active Directory.
AADSTS80002	OnPremisePasswordValidatorRequestTimedout: la solicitud de validación de la contraseña ha agotado el tiempo de espera. Asegúrese de que Active Directory está disponible y responde a las solicitudes de los agentes.
AADSTS80005	OnPremisePasswordValidatorUnpredictableWebException: se ha producido un error desconocido al procesar la respuesta del agente de autenticación. Vuelva a intentarlo. Si el error continúa, abra una incidencia de soporte técnico para obtener más información.
AADSTS80007	OnPremisePasswordValidatorErrorOccurredOnPrem: el agente de autenticación no puede validar la contraseña del usuario. Compruebe los registros del agente para más información y asegúrese de que Active Directory está funcionando según lo previsto.
AADSTS80010	OnPremisePasswordValidationEncryptionException: el agente de autenticación no puede descifrar la contraseña.
AADSTS80012	OnPremisePasswordValidationEncryptionException: los usuarios han intentado iniciar sesión fuera de las horas permitidas (esto se especifica en Active Directory).
AADSTS80013	OnPremisePasswordValidationTimeSkew: el intento de autenticación no se pudo completar porque se produjo un sesgo de tiempo entre la máquina en la que se ejecutaba el agente de autenticación y AD. Corrija los problemas de sincronización de tiempo.
AADSTS80014	OnPremisePasswordValidationAuthenticationAgentTimeout: la solicitud de validación ha respondido una vez superado el tiempo máximo transcurrido. Abra una incidencia de soporte técnico con el código de error, el identificador de correlación y la marca de tiempo para conocer más detalles sobre este error.
AADSTS81004	DesktopSsoIdentityInTicketIsNotAuthenticated: error durante el intento de autenticación de Kerberos.
AADSTS81005	DesktopSsoAuthenticationPackageNotSupported: no se admite el paquete de autenticación.
AADSTS81006	DesktopSsoNoAuthorizationHeader: no se encontró ningún encabezado de autorización.
AADSTS81007	DesktopSsoTenantIsNotOptIn: el inquilino no está habilitado para SSO de conexión directa.
AADSTS81009	DesktopSsoAuthorizationHeaderValueWithBadFormat: no se puede validar el vale de Kerberos del usuario.
AADSTS81010	DesktopSsoAuthTokenInvalid: error de SSO de conexión directa porque el vale de Kerberos del usuario ha expirado o no es válido.
AADSTS81011	DesktopSsoLookupUserBySidFailed: no se encuentra el objeto de usuario con la información del vale de Kerberos del usuario.
AADSTS81012	DesktopSsoMismatchBetweenTokenUpnAndChosenUpn: el usuario que intenta iniciar sesión en Microsoft Entra ID es distinto del que inició sesión en el dispositivo.
AADSTS90002	InvalidTenantName: no se encontró el nombre del inquilino en el almacén de datos. Compruebe que tiene el identificador de inquilino correcto. El desarrollador de la aplicación recibirá este error si su aplicación intenta iniciar sesión en un inquilino que no se encuentra. A menudo, esto se debe a que se usó una aplicación entre nubes en la nube incorrecta o el desarrollador intentó iniciar sesión en un inquilino derivado de una dirección de correo electrónico, pero el dominio no está registrado.
AADSTS90004	InvalidRequestFormat: el formato de la solicitud es incorrecto.
AADSTS90005	InvalidRequestWithMultipleRequirements: no se puede completar la solicitud. La solicitud no es válida porque el identificador y la sugerencia de inicio de sesión no pueden usarse juntos.
AADSTS90006	ExternalServerRetryableError: el servicio no está disponible temporalmente.
AADSTS90007	InvalidSessionId: solicitud incorrecta. El identificador de sesión aprobado no se puede analizar.
AADSTS90008	TokenForItselfRequiresGraphPermission: el usuario o administrador no ha dado su consentimiento para usar la aplicación. Como mínimo, la aplicación requiere acceso a Microsoft Entra especificando el permiso de inicio de sesión y lectura del perfil de usuario.
AADSTS90009	TokenForItselfMissingIdenticalAppIdentifier: la aplicación solicita un token por sí misma. Este escenario se admite solamente si el recurso especificado usa el identificador de aplicación basado en GUID.
AADSTS90010	NotSupported: no se puede crear el algoritmo.
AADSTS9001023	The grant type isn't supported over the /common or /consumers endpoints. Use el punto de conexión /organizations o uno específico del inquilino.
AADSTS90012	RequestTimeout: se superó el tiempo de espera de la solicitud.
AADSTS90013	InvalidUserInput: la entrada del usuario no es válida.
AADSTS90014	MissingRequiredField: este código de error puede aparecer en varios casos cuando un campo esperado no está presente en la credencial.
AADSTS900144	El cuerpo de la solicitud debe contener el siguiente parámetro: "{name}". Error del desarrollador: la aplicación está intentando iniciar sesión sin los parámetros de autenticación necesarios o correctos.
AADSTS90015	QueryStringTooLong: la cadena de consulta es demasiado larga.
AADSTS90016	MissingRequiredClaim: el token de acceso no es válido. Falta la notificación necesaria.
AADSTS90019	MissingTenantRealm: Microsoft Entra no pudo determinar el identificador de inquilino en la solicitud.
AADSTS90020	Falta ImmutableID del usuario en la aserción de SAML 1.1. Error del desarrollador: la aplicación está intentando iniciar sesión sin los parámetros de autenticación necesarios o correctos.
AADSTS90022	AuthenticatedInvalidPrincipalNameFormat: el formato de nombre de la entidad de seguridad no es válido o no cumple con el formato name[/host][@realm] esperado. El nombre principal es obligatorio, el host y el dominio kerberos son opcionales y se pueden establecer en null.
AADSTS90023	InvalidRequest: la solicitud de servicio de autenticación no es válida.
AADSTS900236	InvalidRequestSamlPropertyUnsupported: la propiedad de solicitud de la autenticación SAML "{propertyName}" no se admite y no se debe establecer.
AADSTS9002313	InvalidRequest: la solicitud tiene un formato incorrecto o no es válida. -El problema surge porque se ha producido un error con la solicitud en un punto de conexión determinado. Para resolver este problema, se aconseja obtener un seguimiento de Fiddler del error que se produce y buscar si la solicitud tiene un formato correcto.
AADSTS9002332	La aplicación '{principalId}'({principalName}) está configurada para que la usen solo los usuarios de Microsoft Entra. No use el punto de conexión /consumers para atender esta solicitud.
AADSTS90024	RequestBudgetExceededError: se ha producido un error transitorio. Inténtelo de nuevo.
AADSTS90027	No se pueden emitir tokens de esta versión de API en el inquilino de MSA. Póngase en contacto con el proveedor de la aplicación, ya que debe usar la versión 2.0 del protocolo para admitirlo.
AADSTS90033	MsodsServiceUnavailable: Microsoft Online Directory Service (MSODS) no está disponible.
AADSTS90036	MsodsServiceUnretryableFailure: se ha producido un error inesperado y que no permite el reintento desde el servicio WCF hospedado por MSODS. Abra un vale de soporte para más información sobre el error.
AADSTS90038	NationalCloudTenantRedirection: el inquilino "Y" especificado pertenece a la nube nacional "X". La instancia de nube actual "Z" no está federada con "X". Se devuelve un error de redireccionamiento de nube.
AADSTS900384	El token JWT no pudo validar la firma. El contenido real del mensaje es específico del entorno de ejecución; son varias las causas de este error. Consulte el mensaje de excepción devuelto para obtener más detalles.
AADSTS90043	NationalCloudAuthCodeRedirection: la característica está deshabilitada.
AADSTS900432	El cliente confidencial no se admite en una solicitud entre nubes.
AADSTS90051	InvalidNationalCloudId: el identificador de la nube nacional contiene un identificador de la nube no válido.
AADSTS90055	TenantThrottlingError: hay demasiadas solicitudes entrantes. Esta excepción se produce para los inquilinos bloqueados.
AADSTS90056	BadResourceRequest: para canjear el código por un token de acceso, la aplicación debe enviar una solicitud POST al punto de conexión /token. Además, antes de esto, debe proporcionar un código de autorización y enviarlo en la solicitud POST al punto de conexión /token. Consulte este artículo para obtener más información sobre el flujo de los códigos de autorización de OAuth 2.0. Dirija al usuario al punto de conexión /authorize, que devolverá un código de autorización. Al publicar una solicitud para el punto de conexión /token, el usuario obtiene el token de acceso. Compruebe Registros de aplicaciones > Puntos de conexión para confirmar que los dos puntos de conexión se configuraron correctamente.
AADSTS900561	BadResourceRequestInvalidRequest: el punto de conexión solo acepta solicitudes {valid_verbs}. Recibió una solicitud {invalid_verb}. {valid_verbs} representa una lista de verbos HTTP admitidos por el punto de conexión (por ejemplo, POST), {invalid_verb} es un verbo HTTP que se usa en la solicitud actual (por ejemplo, GET). Esto puede deberse a un error del desarrollador o a que los usuarios presionan el botón Atrás en su explorador, lo que desencadena una solicitud incorrecta. Se puede omitir.
AADSTS90072	PassThroughUserMfaError: la cuenta externa con la que el usuario inicia sesión no existe en el inquilino en el que inició sesión; así pues, el usuario no puede satisfacer los requisitos de MFA para el inquilino. Este error también puede producirse si los usuarios se sincronizan pero hay una discrepancia en el atributo ImmutableID (sourceAnchor) entre Active Directory Microsoft Entra ID. La cuenta debe agregarse primero como un usuario externo en el inquilino. Cierre sesión e inicie sesión con una cuenta de usuario de Microsoft Entra diferente. Para obtener más información, visite Configuración de identidades externas.
AADSTS90081	OrgIdWsFederationMessageInvalid: se produjo un error cuando el servicio intentó procesar un mensaje de WS-Federation. El mensaje no es válido.
AADSTS90082	OrgIdWsFederationNotSupported: la directiva de autenticación seleccionada para la solicitud no se admite actualmente.
AADSTS90084	OrgIdWsFederationGuestNotAllowed: las cuentas de invitado no están permitidas para este sitio.
AADSTS90085	OrgIdWsFederationSltRedemptionFailed: el servicio no puede emitir un token porque el objeto de la empresa aún no se ha aprovisionado.
AADSTS90086	OrgIdWsTrustDaTokenExpired: el token DA de usuario ha expirado.
AADSTS90087	OrgIdWsFederationMessageCreationFromUriFailed: se ha producido un error al crear el mensaje de WS-Federation desde el URI.
AADSTS90090	GraphRetryableError: el servicio no está disponible temporalmente.
AADSTS90091	GraphServiceUnreachable
AADSTS90092	GraphNonRetryableError
AADSTS90093	GraphUserUnauthorized: Graph devolvió un código de error de prohibido para la solicitud.
AADSTS90094	AdminConsentRequired: es necesario el consentimiento del administrador.
AADSTS900382	El cliente confidencial no se admite en una solicitud entre nubes.
AADSTS90095	AdminConsentRequiredRequestAccess: en la experiencia de flujo de trabajo de consentimiento del administrador, una interrupción que aparece cuando se le informa al usuario de que necesita pedir consentimiento al administrador.
AADSTS90099	No se ha autorizado la aplicación "{appId}" ({appName}) en el inquilino "{tenant}". Las aplicaciones deben estar autorizadas para acceder al inquilino externo para que los administradores delegados del asociado puedan usarlas. Proporcione consentimiento previo o ejecute la API del Centro de partners correspondiente para autorizar la aplicación.
AADSTS900971	No se proporcionó ninguna dirección de respuesta.
AADSTS90100	InvalidRequestParameter: el parámetro está vacío o no es válido.
AADSTS901002	AADSTS901002: no se admite el parámetro de solicitud "resource".
AADSTS90101	InvalidEmailAddress: los datos proporcionados no son una dirección de correo electrónico válida. El formato de la dirección de correo electrónico debe ser someone@example.com.
AADSTS90102	InvalidUriParameter: el valor debe ser un URI absoluto válido.
AADSTS90107	InvalidXml: la solicitud no es válida. Asegúrese de que sus datos no tienen caracteres no válidos.
AADSTS90112	Se espera que el identificador de aplicación sea un GUID.
AADSTS90114	InvalidExpiryDate: la marca de tiempo de expiración del token masiva dará lugar a la emisión de un token expirado.
AADSTS90117	InvalidRequestInput
AADSTS90119	InvalidUserCode: el código de usuario es NULL o está vacío.
AADSTS90120	InvalidDeviceFlowRequest: ya se autorizó o rechazó la solicitud.
AADSTS90121	InvalidEmptyRequest: solicitud vacía no válida.
AADSTS90123	IdentityProviderAccessDenied: el token no se puede emitir porque el proveedor de emisión de identidad o notificación rechazó la solicitud.
AADSTS90124	V1ResourceV2GlobalEndpointNotSupported: el recurso no se admite a través de los puntos de conexión /common o /consumers. Use /organizations o el punto de conexión específico del inquilino en su lugar.
AADSTS90125	DebugModeEnrollTenantNotFound: el usuario no está en el sistema. Asegúrese de haber escrito el nombre de usuario correctamente.
AADSTS90126	DebugModeEnrollTenantNotInferred: el tipo de usuario no se admite en este punto de conexión. El sistema no puede inferir el inquilino del usuario desde el nombre de usuario.
AADSTS90130	NonConvergedAppV2GlobalEndpointNotSupported: la aplicación no se admite a través de los puntos de conexión /common o /consumers. Use /organizations o el punto de conexión específico del inquilino en su lugar.
AADSTS120000	PasswordChangeIncorrectCurrentPassword
AADSTS120002	PasswordChangeInvalidNewPasswordWeak
AADSTS120003	PasswordChangeInvalidNewPasswordContainsMemberName
AADSTS120004	PasswordChangeOnPremComplexity
AADSTS120005	PasswordChangeOnPremSuccessCloudFail
AADSTS120008	PasswordChangeAsyncJobStateTerminated: se ha producido un error que no permite el reintento.
AADSTS120011	PasswordChangeAsyncUpnInferenceFailed
AADSTS120012	PasswordChangeNeedsToHappenOnPrem
AADSTS120013	PasswordChangeOnPremisesConnectivityFailure
AADSTS120014	PasswordChangeOnPremUserAccountLockedOutOrDisabled
AADSTS120015	PasswordChangeADAdminActionRequired
AADSTS120016	PasswordChangeUserNotFoundBySspr
AADSTS120018	PasswordChangePasswordDoesnotComplyFuzzyPolicy
AADSTS120020	PasswordChangeFailure
AADSTS120021	PartnerServiceSsprInternalServiceError
AADSTS130004	NgcKeyNotFound: la entidad de seguridad de usuario no tiene configurada la clave de identificador de NGC.
AADSTS130005	NgcInvalidSignature: error de firma de clave de NGC comprobada.
AADSTS130006	NgcTransportKeyNotFound: la clave de transporte de NGC no está configurada en el dispositivo.
AADSTS130007	NgcDeviceIsDisabled: el dispositivo está deshabilitado.
AADSTS130008	NgcDeviceIsNotFound: no se encontró el dispositivo al que la clave de NGC hace referencia.
AADSTS135010	KeyNotFound
AADSTS135011	El dispositivo usado durante la autenticación está deshabilitado.
AADSTS140000	InvalidRequestNonce: no se proporciona el valor nonce de la solicitud.
AADSTS140001	InvalidSessionKey: la clave de sesión no es válida.
AADSTS165004	El contenido real del mensaje es específico del entorno de ejecución. Consulte el mensaje de excepción devuelto para obtener más detalles.
AADSTS165900	InvalidApiRequest: solicitud no válida.
AADSTS220450	UnsupportedAndroidWebViewVersion: no se admite la versión de Chrome WebView.
AADSTS220501	InvalidCrlDownload
AADSTS221000	DeviceOnlyTokensNotSupportedByResource: el recurso no está configurado para aceptar tokens solo de dispositivo.
AADSTS240001	BulkAADJTokenUnauthorized: el usuario no tiene autorización para registrar dispositivos en Microsoft Entra ID.
AADSTS240002	RequiredClaimIsMissing: el token de identificador no se puede usar como concesión urn:ietf:params:oauth:grant-type:jwt-bearer.
AADSTS501621	ClaimsTransformationTimeoutRegularExpressionTimeout: el reemplazo de expresiones regulares para la transformación de notificaciones ha agotado el tiempo de espera. Esto indica que es posible que se haya configurado una expresión regular demasiado compleja para esta aplicación. Es posible realizar correctamente un reintento de la solicitud. De lo contrario, póngase en contacto con el administrador para corregir la configuración.
AADSTS530032	BlockedByConditionalAccessOnSecurityPolicy: el administrador del inquilino tiene configurada una directiva de seguridad que bloquea esta solicitud. Compruebe las directivas de seguridad que están definidas en el nivel de inquilino para determinar si la solicitud cumple con los requisitos de las directivas.
AADSTS700016	UnauthorizedClient_DoesNotMatchRequest: no se encontró la aplicación en el directorio o inquilino. Esto puede pasar si el administrador del inquilino no es el que ha instalado el administrador del inquilino o no ha recibido el consentimiento de ningún usuario del inquilino. Puede que haya configurado de forma incorrecta el valor del identificador de la aplicación o que haya enviado la solicitud de autenticación al inquilino incorrecto.
AADSTS700020	InteractionRequired: la concesión de acceso requiere interacción.
AADSTS700022	InvalidMultipleResourcesScope: el valor proporcionado para el ámbito de parámetro de entrada no es válido porque contiene más de un recurso.
AADSTS700023	InvalidResourcelessScope: el valor proporcionado para el ámbito del parámetro de entrada no es válido al solicitar un token de acceso.
AADSTS7000215	Se ha proporcionado un secreto de cliente no válido. Error del desarrollador: la aplicación está intentando iniciar sesión sin los parámetros de autenticación necesarios o correctos.
AADSTS7000218	El cuerpo de la solicitud debe contener el siguiente parámetro: "client_assertion" o "client_secret".
AADSTS7000222	InvalidClientSecretExpiredKeysProvided: las claves secretas de cliente que se proporcionaron expiraron. Cree claves para la aplicación o considere usar credenciales de certificado para mayor seguridad: https://aka.ms/certCreds
AADSTS700229	ForbiddenTokenType: solo se pueden usar tokens de solo aplicación como credenciales de identidad federada para el emisor de Microsoft Entra. Use un token de acceso de solo aplicación (generado durante un flujo de credenciales de cliente) en lugar de un token de acceso delegado por el usuario (que representa una solicitud procedente de un contexto de usuario).
AADSTS700005	InvalidGrantRedeemAgainstWrongTenant: el código de autorización proporcionado está diseñado para usarlo con otro inquilino, por lo que se rechaza. El código de autorización de OAuth2 se debe canjear en el mismo inquilino para el cual se adquirió (/common o /{tenant-ID} según corresponda).
AADSTS1000000	UserNotBoundError: la API de Bind requiere que el usuario de Microsoft Entra también se autentique con un IDP externo, que aún no se ha producido.
AADSTS1000002	BindCompleteInterruptError: el enlace se completó correctamente, pero debe informarse al usuario.
AADSTS100007	Microsoft Entra Regional solo admite la autenticación para MSI O para solicitudes de MSAL mediante SN+I para aplicaciones internas o aplicaciones externas en inquilinos de infraestructura de Microsoft.
AADSTS1000031	No se puede acceder a la aplicación {appDisplayName} en este momento. Póngase en contacto con el administrador.
AADSTS7000112	UnauthorizedClientApplicationDisabled: la aplicación está deshabilitada.
AADSTS7000114	No se permite que la aplicación "appIdentifier" realice llamadas en nombre de aplicación.
AADSTS7500529	El valor "SAMLId-Guid" no es un identificador de SAML válido. Microsoft Entra usa este atributo para rellenar el atributo InResponseTo de la respuesta devuelta. El id. no debe empezar con un número. La estrategia habitual consiste en anteponer una cadena como "id" en la representación de cadena de un GUID. Por ejemplo, id6c1c178c166d486687be4aaf5e482730 es un identificador válido.
AADSTS9002341	V2Error: invalid_grant: el usuario es necesario para permitir el inicio de sesión único (SSO). Este error se produce cuando el usuario no ha concedido los permisos necesarios para que la aplicación realice el inicio de sesión único. El usuario debe redirigirse a la pantalla de consentimiento para conceder los permisos necesarios. Para obtener más información, consulta este anuncio".

Pasos siguientes

• ¿Tiene preguntas y no encuentra lo que busca? Abra una incidencia en GitHub o consulte Opciones de ayuda y soporte técnico para desarrolladores para ver otras maneras de obtener ayuda y soporte técnico.