Codes d’erreur d’authentification et d’autorisation Microsoft Entra

Vous cherchez des informations sur les codes d’erreur AADSTS retournés par le service d’émission de jeton de sécurité de Microsoft Entra (STS) ? Lisez ce document pour rechercher les descriptions des erreurs AADSTS, leurs correctifs ainsi que d’autres solutions de contournement.

Notes

Ces informations sont provisoires et peuvent être modifiées. Vous avez une question ou vous ne trouvez pas ce que vous recherchez ? Créez un problème GitHub ou consultez Options d’aide et de support pour les développeurs pour en savoir plus sur les autres méthodes vous permettant d’obtenir de l’aide et un support.

Cette documentation fournit des conseils aux développeurs et aux administrateurs ; elle ne doit jamais être utilisée par le client lui-même. Les codes d’erreur sont susceptibles d’être modifié à tout moment afin de fournir des messages d’erreur plus granulaires destinés à aider les développeurs lors de la création de leur application. Les applications qui dépendent des numéros de code d’erreur ou de texte seront endommagées au fil du temps.

Rechercher les informations actuelles sur les codes d’erreur

Les codes d’erreur et les messages sont susceptibles d’être modifiés. Pour obtenir les informations les plus récentes, consultez la page https://login.microsoftonline.com/error pour trouver les descriptions des erreurs AADSTS, des correctifs et des solutions suggérées.

Par exemple, si vous avez reçu le code d’erreur « AADSTS50058 », effectuez une recherche dans https://login.microsoftonline.com/error sur « 50058 ». Vous pouvez également établir un lien direct à une erreur spécifique en ajoutant le numéro de code d’erreur à l’URL : https://login.microsoftonline.com/error?code=50058.

Gestion des codes d’erreur dans votre application

La spécification OAuth 2.0 fournit des conseils sur la façon de gérer les erreurs d’authentification en utilisant la portion error de la réponse d’erreur.

Voici un exemple de réponse d’erreur :

{
  "error": "invalid_scope",
  "error_description": "AADSTS70011: The provided value for the input parameter 'scope' isn't valid. The scope https://example.contoso.com/activity.read isn't valid.\r\nTrace ID: 0000aaaa-11bb-cccc-dd33-eeeeee333333\r\nCorrelation ID: aaaa0000-bb11-2222-33cc-444444dddddd\r\nTimestamp: 2016-01-09 02:02:12Z",
  "error_codes": [
    70011
  ],
  "timestamp": "2016-01-09 02:02:12Z",
  "trace_id": "0000aaaa-11bb-cccc-dd33-eeeeee333333",
  "correlation_id": "aaaa0000-bb11-2222-33cc-444444dddddd", 
  "error_uri":"https://login.microsoftonline.com/error?code=70011"
}

Paramètre	Description
error	Chaîne de code d’erreur utilisable pour classer les types d’erreurs se produisant, et à utiliser pour traiter les erreurs.
error_description	Un message d’erreur spécifique qui peut aider un développeur à identifier la cause principale d’une erreur d’authentification. N’utilisez jamais ce champ pour traiter une erreur dans votre code.
error_codes	Liste des codes d’erreur STS spécifiques pouvant être utiles dans les tests de diagnostic.
timestamp	Retourne l’heure à laquelle l’erreur s’est produite.
trace_id	Identifiant unique de la demande pouvant être utile dans les tests de diagnostic.
correlation_id	Identifiant unique de la demande pouvant être utile dans les tests de diagnostic sur les divers composants.
error_uri	Lien vers la page de recherche d’erreur avec des informations supplémentaires sur l’erreur. Il est réservé à l’usage des développeurs. Ne l’affichez pas pour les utilisateurs. Présent uniquement lorsque le système de recherche d’erreur contient des informations supplémentaires sur l’erreur. Des informations supplémentaires ne sont pas disponibles pour toutes les erreurs.

Le champ error a plusieurs valeurs possibles : consultez les liens de documentation sur le protocole et les spécifications OAuth 2.0 pour en savoir plus sur certaines erreurs spécifiques (par exemple, authorization_pending dans le flux de code de l’appareil) et savoir comment les traiter. Certaines erreurs courantes sont répertoriées ici :

Code d'erreur	Description	Action du client
invalid_request	Erreur de protocole, tel qu’un paramètre obligatoire manquant.	Corrigez l’erreur, puis envoyez à nouveau la demande.
invalid_grant	Le matériel d’authentification (code d’authentification, jeton d’actualisation, jeton d’accès, vérification PKCE (Proof Key for Code Exchange)) était en partie non valide, non analysable, manquant ou inutilisable.	Essayez d’envoyer une nouvelle requête au point de terminaison /authorize pour obtenir un nouveau code d’autorisation. Songez à examiner et valider l’utilisation des protocoles par cette application.
unauthorized_client	Le client authentifié n’est pas autorisé à utiliser ce type d’octroi d’autorisation.	Ceci se produit généralement lorsque l’application cliente n’est pas inscrite auprès de Microsoft Entra ID ou n’est pas ajoutée au locataire Microsoft Entra de l’utilisateur. L’application peut proposer à l’utilisateur des instructions pour installer l’application et l’ajouter à Microsoft Entra ID.
invalid_client	Échec d’authentification du client.	Les informations d’identification du client ne sont pas valides. Pour résoudre le problème, l’administrateur de l’application met à jour les informations d’identification.
unsupported_grant_type	Le serveur d’autorisation ne prend pas en charge le type d’octroi d’autorisation.	Modifiez le type d’octroi dans la demande. Ce type d’erreur doit se produire uniquement lors du développement et doit être détecté lors du test initial.
invalid_resource	La ressource cible n’est pas valide car elle n’existe pas, Microsoft Entra ID ne la trouve pas ou elle n’est pas configurée correctement.	Cela indique que la ressource, si elle existe, n’a pas été configurée dans le locataire. L’application peut proposer à l’utilisateur des instructions pour installer l’application et l’ajouter à Microsoft Entra ID. Dans le cadre d’un développement, cela indique généralement qu’un tenant test n’est pas configuré correctement ou que le nom de l’étendue demandée contient une faute de frappe.
interaction_required	La demande nécessite une interaction utilisateur. Par exemple, une autre étape d’authentification est nécessaire.	Relancez la demande avec la même ressource, mais de manière interactive, afin que l’utilisateur puisse effectuer les vérifications demandées.
temporarily_unavailable	Le serveur est temporairement trop occupé pour traiter la demande.	Relancez la requête. L’application cliente peut expliquer à l’utilisateur que sa réponse est reportée en raison d’une condition temporaire.

Codes d’erreur AADSTS

Erreur	Description
AADSTS16000	InteractionRequired : Le compte d’utilisateur « {e-mail_masqué} » du fournisseur d’identité « {idp} » n’existe pas dans le locataire « {locataire} » et ne peut pas accéder à l’application « {ID_application} »({nom_application}) dans ce locataire. Ce compte doit d’abord être ajouté comme utilisateur externe dans le locataire. Déconnectez-vous et reconnectez-vous avec un autre compte d’utilisateur Microsoft Entra. Cette erreur est assez courante quand vous essayez de vous connecter au centre d’administration Microsoft Entra avec un compte Microsoft personnel et qu’aucun annuaire ne lui est associé.
AADSTS16001	UserAccountSelectionInvalid : Cette erreur s’affiche si l’utilisateur sélectionne une vignette qui a été rejetée par la logique de sélection de session. Lorsque cette erreur est déclenchée, elle permet à l’utilisateur de récupérer en faisant un choix à partir d’une liste à jour des vignettes/sessions, ou en choisissant un autre compte. Cette erreur peut se produire en raison d’un défaut du code ou d’une condition de concurrence.
AADSTS16002	AppSessionSelectionInvalid : l’exigence de SID spécifiée par l’application n’a pas été remplie.
AADSTS160021	AppSessionSelectionInvalidSessionNotExist : L’application a demandé une session utilisateur qui n’existe pas. Ce problème peut être résolu en créant un compte Azure.
AADSTS16003	SsoUserAccountNotFoundInResourceTenant : indique que l’utilisateur n’a pas été explicitement ajouté au locataire.
AADSTS17003	CredentialKeyProvisioningFailed : Microsoft Entra ID ne peut pas provisionner la clé utilisateur.
AADSTS20001	WsFedSignInResponseError : il existe un problème avec votre fournisseur d’identité fédérée. Contactez votre IDP pour résoudre ce problème.
AADSTS20012	WsFedMessageInvalid : il existe un problème avec votre fournisseur d’identité fédérée. Contactez votre IDP pour résoudre ce problème.
AADSTS20033	FedMetadataInvalidTenantName : il existe un problème avec votre fournisseur d’identité fédérée. Contactez votre IDP pour résoudre ce problème.
AADSTS230109	CachedCredentialNonGWAuthNRequestsNotSupported—le service d’authentification de sauvegarde autorise uniquement les demandes AuthN à partir de la passerelle Microsoft Entra. Cette erreur est retournée lorsque le trafic cible directement le service d’authentification de sauvegarde au lieu de passer par le proxy inverse.
AADSTS28002	La valeur fournie pour l’étendue du paramètre d’entrée « {scope} » n’est pas valide lors de la demande d’un jeton d’accès. Spécifiez une étendue valide.
AADSTS28003	La valeur fournie pour la portée du paramètre d’entrée ne peut pas être vide lors de la demande d’un jeton d’accès à l’aide du code d’autorisation fourni. Spécifiez une étendue valide.
AADSTS40008	OAuth2IdPUnretryableServerError : il existe un problème avec votre fournisseur d’identité fédérée. Contactez votre IDP pour résoudre ce problème.
AADSTS40009	OAuth2IdPRefreshTokenRedemptionUserError : il existe un problème avec votre fournisseur d’identité fédérée. Contactez votre IDP pour résoudre ce problème.
AADSTS40010	OAuth2IdPRetryableServerError : il existe un problème avec votre fournisseur d’identité fédérée. Contactez votre IDP pour résoudre ce problème.
AADSTS40015	OAuth2IdPAuthCodeRedemptionUserError : il existe un problème avec votre fournisseur d’identité fédérée. Contactez votre IDP pour résoudre ce problème.
AADSTS50000	TokenIssuanceError : il existe un problème avec le service d’inscription. Ouvrez un ticket de support pour résoudre ce problème.
AADSTS50001	InvalidResource : la ressource est désactivée ou n’existe pas. Vérifiez le code de votre application pour vous assurer que vous avez spécifié l’URL de ressource exacte pour la ressource à laquelle vous essayez d’accéder.
AADSTS50002	NotAllowedTenant : la connexion a échoué en raison d’un accès proxy restreint sur le locataire. Si s’agit de votre propre stratégie de locataire, vous pouvez modifier les paramètres de locataire restreints pour résoudre ce problème.
AADSTS500011	InvalidResourceServicePrincipalNotFound : Le principal de ressource nommé {nom} n’a pas été trouvé dans le locataire nommé {locataire}. Ceci peut se produire si l’application n’a pas été installée par l’administrateur du locataire ou acceptée par un utilisateur dans le locataire. Vous avez peut-être envoyé votre demande d’authentification au locataire incorrect. Si vous prévoyez que l'application sera installée, vous devrez peut-être fournir des autorisations d'administrateur pour l'ajouter. Consultez les développeurs de la ressource et de l’application pour comprendre quelle est la configuration appropriée pour votre locataire.
AADSTS500021	L’accès au locataire « {tenant} » est refusé. AADSTS500021 indique que la fonctionnalité de restriction du locataire est configurée et que l’utilisateur tente d’accéder à un locataire qui ne figure pas dans la liste des locataires autorisés spécifiés dans l’en-tête Restrict-Access-To-Tenant. Pour plus d’informations, consultez Utiliser des restrictions liées au locataire pour gérer l’accès aux applications cloud SaaS.
AADSTS500022	L’accès au locataire « {tenant} » est refusé. AADSTS500022 indique que la fonctionnalité de restriction du locataire est configurée et que l’utilisateur tente d’accéder à un locataire qui ne figure pas dans la liste des locataires autorisés spécifiés dans l’en-tête Restrict-Access-To-Tenant. Pour plus d’informations, consultez Utiliser des restrictions liées au locataire pour gérer l’accès aux applications cloud SaaS.
AADSTS50003	MissingSigningKey : la connexion a échoué en raison d’une clé de signature ou d’un certificat manquant. Il n’existe peut-être aucune clé de signature configurée dans l’application. Pour en savoir plus, consultez l’article sur la résolution des problèmes liés à l’erreur AADSTS50003. Si vous rencontrez toujours des problèmes, contactez le propriétaire ou l’administrateur de l’application.
AADSTS50005	DevicePolicyError : L’utilisateur a essayé de se connecter à un appareil à partir d’une plateforme qui n’est actuellement pas prise en charge via la stratégie d’accès conditionnel.
AADSTS50006	InvalidSignature : la vérification de la signature a échoué en raison d’une signature non valide.
AADSTS50007	PartnerEncryptionCertificateMissing : Le certificat de chiffrement partenaire est introuvable pour cette application. Ouvrez un ticket de support auprès de Microsoft pour résoudre ce problème.
AADSTS50008	InvalidSamlToken : l’assertion SAML est manquante ou configurée de façon incorrecte dans le jeton. Contactez votre fournisseur de fédération.
AADSTS5000819	InvalidSamlTokenEmailMissingOrInvalid : l’assertion SAML n’est pas valide. La revendication d’adresse e-mail est manquante ou ne correspond pas au domaine d’un domaine externe.
AADSTS50010	AudienceUriValidationFailed : la validation de l’URI d’audience pour l’application a échoué, car aucune audience de jeton n’a été configurée.
AADSTS50011	InvalidReplyTo : l’adresse de réponse est manquante, configurée de façon incorrecte ou elle ne correspond pas aux adresses de réponse configurées pour l’application. Pour la résolution, veillez à ajouter cette adresse de réponse manquante à l’application Microsoft Entra, ou demandez à quelqu’un qui dispose des autorisations nécessaires pour gérer votre application dans Microsoft Entra de le faire votre place. Pour en savoir plus, consultez l’article sur la résolution des problèmes liés à l’erreur AADSTS50011.
AADSTS50012	AuthenticationFailed : échec de l’authentification pour l’une des raisons suivantes : Le nom du sujet du certificat de signature n’est pas autorisé Aucune stratégie d’une autorité de confiance correspondante n’a été trouvée pour le nom du sujet autorisé La chaîne de certificats n'est pas valide Le certificat de signature n’est pas valide La stratégie n’est pas configurée sur le locataire L’empreinte du certificat de signature n’est pas autorisée L’assertion du client contient une signature non valide
AADSTS50013	InvalidAssertion : L’assertion n’est pas valide pour différentes raisons : l’émetteur du jeton ne correspond pas à la version d’API dans l’intervalle de temps valide -expired -malformed. Le jeton d’actualisation dans l’assertion n’est pas un jeton d’actualisation principal. Contactez le développeur d’application.
AADSTS500133	L’assertion ne se situe pas dans son intervalle de temps valide. Vérifiez que le jeton d’accès n’est pas arrivé à expiration avant de l’utiliser pour l’assertion d’utilisateur ou demandez-en un nouveau. Heure actuelle : {curTime}, heure d’expiration de l’assertion {expTime}. L’assertion n’est pas valide pour plusieurs raisons : L’émetteur du jeton ne correspond pas à la version d’API dans son intervalle de temps valide Expired Malformé Le jeton d’actualisation de l’assertion n’est pas un jeton d’actualisation primaire
AADSTS50014	GuestUserInPendingState : le compte d’utilisateur n’existe pas dans le répertoire. Une application a probablement choisi le mauvais locataire pour se connecter, et l’utilisateur actuellement connecté n’a pas pu le faire, car il n’existait pas dans votre locataire. Si cet utilisateur doit pouvoir se connecter, ajoutez-le en tant qu’invité. Pour plus d’informations, consultez ajouter des utilisateurs B2B.
AADSTS50015	ViralUserLegalAgeConsentRequiredState : l’utilisateur exige le consentement légal d’une tranche d’âge.
AADSTS50017	CertificateValidationFailed : la validation de la certification a échoué pour les raisons suivantes : Le certificat d’émission est introuvable dans la liste de certificats approuvés. L’élément CrlSegment attendu est introuvable. Le certificat d’émission est introuvable dans la liste de certificats approuvés. Le point de distribution CRL delta est configuré sans point de distribution CRL correspondant. Impossible de récupérer les segments CRL valides en raison d’un problème de délai d’expiration Impossible de télécharger la liste CRL. Contactez l’administrateur du locataire.
AADSTS50020	UserUnauthorized : les utilisateurs ne sont pas autorisés à appeler ce point de terminaison. Le compte d’utilisateur '{email}' du fournisseur d’identité '{idp}' n’existe pas dans le locataire '{tenant}' et ne peut donc pas accéder à l’application '{appid}'({appName}) dans ce dernier. Ce compte doit d’abord être ajouté comme utilisateur externe dans le locataire. Déconnectez-vous et reconnectez-vous avec un autre compte d’utilisateur Microsoft Entra. Si cet utilisateur doit être membre du locataire, il doit être invité via le système B2B. Pour plus d’informations, consultez AADSTS50020.
AADSTS500208	Le domaine n’est pas un domaine de connexion valide pour le type de compte. Cette situation se produit lorsque le compte de l’utilisateur ne correspond pas au type de compte attendu pour le tenant donné. Par exemple, si le locataire est configuré pour autoriser uniquement les comptes professionnels ou scolaires et que l’utilisateur tente de se connecter avec un compte Microsoft personnel, il reçoit cette erreur.
AADSTS500212	NotAllowedByOutboundPolicyTenant : l’administrateur de l’utilisateur a défini une stratégie d’accès sortant qui n’autorise pas l’accès au locataire de ressources.
AADSTS500213	NotAllowedByInboundPolicyTenant : la stratégie d’accès inter-locataires de la ressource du locataire ne permet pas à cet utilisateur d’accéder à ce locataire.
AADSTS50027	InvalidJwtToken : jeton JWT non valide pour l’une des raisons suivantes : Aucune (sous-)revendication nonce Non-concordance de l’identificateur du sujet Revendication en double pour idToken Émetteur inattendu Audience inattendue Intervalle de temps non valide Le format de jeton n’est pas approprié Échec du jeton d’ID externe de l’émetteur lors de la vérification de la signature.
AADSTS50029	URI non valide. Le nom du domaine contient des caractères non valides. Contactez l’administrateur du locataire.
AADSTS50032	WeakRsaKey : indique la tentative erronée de l’utilisateur pour utiliser une clé RSA faible.
AADSTS50033	RetryableError : indique une erreur temporaire qui n’est pas liée aux opérations de base de données.
AADSTS50034	UserAccountNotFound : pour se connecter à cette application, le compte doit être ajouté au répertoire. Cette erreur peut se produire car l’utilisateur a mal tapé son nom d’utilisateur ou ne se trouve pas dans le locataire. Une application a peut-être choisi le mauvais locataire auquel se connecter, et l’utilisateur actuellement connecté n’a pas pu le faire car il n’existait pas dans votre locataire. Si cet utilisateur doit pouvoir se connecter, ajoutez-le en tant qu’invité. Consultez la documentation ici : Ajouter des utilisateurs B2B.
AADSTS50042	UnableToGeneratePairwiseIdentifierWithMissingSalt : la valeur salt nécessaire pour générer un identificateur par paire est manquante dans le principe. Contactez l’administrateur du locataire.
AADSTS50043	UnableToGeneratePairwiseIdentifierWithMultipleSalts
AADSTS50048	SubjectMismatchesIssuer : l’objet ne correspond pas à la revendication d’émetteur dans l’assertion du client. Contactez l’administrateur du locataire.
AADSTS50049	NoSuchInstanceForDiscovery : instance inconnue ou non valide.
AADSTS50050	MalformedDiscoveryRequest : le format de la requête est incorrect.
AADSTS50053	Cette erreur peut résulter de deux raisons différentes : Le compte (ID) est verrouillé, car l’utilisateur a essayé de se connecter un trop grand nombre de fois avec un ID d’utilisateur ou un mot de passe incorrect. L’utilisateur est bloqué en raison de tentatives de connexion répétées. Voir Atténuer les risques et débloquer les utilisateurs ; ou La connexion a été bloquée, car elle provient d’une adresse IP présentant des activités malveillantes. Pour déterminer la raison de la défaillance à l’origine de cette erreur, connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins. Accédez à votre locataire Microsoft Entra, puis à Surveillance et intégrité ->Journaux d’activité de connexion. Retrouvez la connexion d’utilisateur ayant échoué avec le code d’erreur 50053, puis vérifiez la raison de la défaillance.
AADSTS50055	InvalidPasswordExpiredPassword : le mot de passe a expiré. Le mot de passe de l’utilisateur a expiré et, par conséquent, sa session a été interrompue. Il aura la possibilité de le réinitialiser ou pourra demander à un administrateur de le réinitialiser via Réinitialiser le mot de passe d’un utilisateur à l’aide de Microsoft Entra ID.
AADSTS50056	Mot de passe est nul ou non valide : le mot de passe pour cet utilisateur n’existe pas dans le répertoire. Il faut demander à l’utilisateur d’entrer à nouveau son mot de passe.
AADSTS50057	UserDisabled : le compte d’utilisateur est désactivé. L’objet utilisateur dans Active Directory qui soutient ce compte a été désactivé. Un administrateur peut réactiver ce compte via PowerShell.
AADSTS50058	UserInformationNotProvided : les informations de session ne sont pas suffisantes pour l’authentification unique. Cela signifie qu’un utilisateur n’est pas connecté. Il s’agit d’une erreur courante qui est attendue lorsqu’un utilisateur n’est pas authentifié et n’est pas encore connecté. Si cette erreur est rencontrée dans un contexte SSO où l’utilisateur s’est déjà connecté, cela signifie que la session SSO est introuvable ou non valide. Cette erreur peut être renvoyée à l’application si prompt=none est spécifié.
AADSTS50059	MissingTenantRealmAndNoUserInformationProvided : Les informations d’identification de locataire sont introuvables dans la requête ou ne peuvent pas être déduites des informations d’identification fournies. L’utilisateur peut contacter l’administrateur du locataire pour qu’il l’aide à résoudre le problème.
AADSTS50061	SignoutInvalidRequest : impossible de terminer la déconnexion. La requête n’était pas valide.
AADSTS50064	CredentialAuthenticationError : la validation des informations d’identification sur le nom d’utilisateur ou le mot de passe a échoué.
AADSTS50068	SignoutInitiatorNotParticipant : la déconnexion a échoué. L’application qui a initié la déconnexion ne participe pas à la session active.
AADSTS50070	SignoutUnknownSessionIdentifier : la déconnexion a échoué. La demande de déconnexion a spécifié un identificateur de nom qui ne correspond à aucune session existante.
AADSTS50071	SignoutMessageExpired : la demande de déconnexion a expiré.
AADSTS50072	UserStrongAuthEnrollmentRequiredInterrupt : l’utilisateur doit s’inscrire pour l’authentification de second facteur (interactif).
AADSTS50074	UserStrongAuthClientAuthNRequiredInterrupt : une authentification renforcée est nécessaire et l’utilisateur n’a pas réussi la vérification de l’authentification multifacteur.
AADSTS50076	UserStrongAuthClientAuthNRequired – En raison d'une modification de configuration effectuée par l'administrateur, telle qu'une stratégie d'accès conditionnel, une application par utilisateur ou parce que vous avez déménagé vers un nouvel emplacement, l'utilisateur doit utiliser l'authentification multi-facteur pour accéder à la ressource. Réessayez avec une nouvelle requête d’autorisation pour la ressource.
AADSTS50078	UserStrongAuthExpired : L’authentification multifacteur présentée a expiré en raison des stratégies configurées par votre administrateur. Vous devez actualiser votre authentification multifacteur pour accéder à « {ressource} ».
AADSTS50079	UserStrongAuthEnrollmentRequired – En raison d'une modification de configuration effectuée par l'administrateur, telle qu'une stratégie d'accès conditionnel, une application par utilisateur ou parce que l'utilisateur a déménagé vers un nouvel emplacement, l'utilisateur doit utiliser l'authentification multi-facteur. Soit un utilisateur géré doit enregistrer les informations de sécurité pour terminer l'authentification multi-facteur, soit un utilisateur fédéré doit obtenir la revendication multi-facteur auprès du fournisseur d'identité fédéré.
AADSTS50085	Le jeton d’actualisation a besoin d’une connexion IDP sociale. Demandez à l’utilisateur d’essayer à nouveau de se connecter avec son nom d’utilisateur et son mot de passe.
AADSTS50086	SasNonRetryableError
AADSTS50087	SasRetryableError : une erreur temporaire s’est produite lors de l’authentification forte. Recommencez.
AADSTS50088	La limite des appels d’authentification multifacteur est atteinte. Réessayez dans quelques minutes.
AADSTS50089	L’authentification a échoué en raison de l’expiration du jeton de flux. Attendu : les codes d’authentification, les jetons d’actualisation et les sessions expirent avec le temps ou sont révoqués par l’utilisateur ou un administrateur. L’application demandera une nouvelle connexion à l’utilisateur.
AADSTS50097	DeviceAuthenticationRequired : l’authentification de l’appareil est requise.
AADSTS50099	PKeyAuthInvalidJwtUnauthorized : la signature JWT n’est pas valide.
AADSTS50105	EntitlementGrantsNotFound : l’utilisateur connecté n’est pas affecté à un rôle pour l’application concernée. Affectez l’utilisateur à l’application. Pour en savoir plus, consultez l’article sur la résolution des problèmes liés à l’erreur AADSTS50105.
AADSTS50107	InvalidRealmUri : l’objet de domaine de fédération requis n’existe pas. Contactez l’administrateur du locataire.
AADSTS50120	ThresholdJwtInvalidJwtFormat : problème avec l’en-tête JWT. Contactez l’administrateur du locataire.
AADSTS50124	ClaimsTransformationInvalidInputParameter : la transformation des revendications contient un paramètre d’entrée non valide. Contactez l’administrateur du locataire pour mettre à jour la stratégie.
AADSTS501241	Entrée obligatoire « {paramName} » manquante dans l’ID de transformation « {transformId} ». Cette erreur est renvoyée lorsque Microsoft Entra tente de générer une réponse SAML à l’application. La revendication NameID ou NameIdentifier est obligatoire dans la réponse SAML, et si Microsoft Entra ID ne parvient pas à obtenir l’attribut source pour la revendication NameID, il retourne cette erreur. En guise de résolution, veillez à ajouter des règles de revendication. Pour ajouter des règles de revendication, connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’administrateur d’applications cloud, puis accédez à Identité>Applications>Applications d’entreprise. Sélectionnez votre application, sélectionnez Authentification unique, puis dans Attributs utilisateur et revendications, entrez l’identificateur d’utilisateur unique (ID de nom).
AADSTS50125	PasswordResetRegistrationRequiredInterrupt : la connexion a été interrompue en raison d’une réinitialisation de mot de passe ou d’une entrée d’inscription de mot de passe.
AADSTS50126	InvalidUserNameOrPassword : erreur de validation des informations d’identification en raison d’un nom d’utilisateur ou d’un mot de passe non valide. L’utilisateur n’a pas entré les informations d’identification appropriées. Vous pouvez vous attendre à voir un certain nombre de ces erreurs dans vos journaux en raison des erreurs des utilisateurs.
AADSTS50127	BrokerAppNotInstalled : l’utilisateur a besoin d’installer une application de répartiteur pour accéder à ce contenu.
AADSTS50128	Nom de domaine non valide. Informations d’identification de locataire introuvables dans la requête ou déduites des informations d’identification fournies.
AADSTS50129	DeviceIsNotWorkplaceJoined : un rattachement à l’espace de travail est nécessaire pour inscrire l’appareil.
AADSTS50131	ConditionalAccessFailed : indique diverses erreurs d’accès conditionnel, comme un état de périphérique Windows incorrect, une requête bloquée en raison d’une activité, d’une stratégie d’accès ou de décisions de stratégie de sécurité suspectes.
AADSTS50132	SsoArtifactInvalidOrExpired : la session n’est pas valide en raison de l’expiration du mot de passe ou de sa modification récente.
AADSTS50133	SsoArtifactRevoked : la session n’est pas valide en raison de l’expiration du mot de passe ou de sa modification récente.
AADSTS50134	DeviceFlowAuthorizeWrongDatacenter : centre de données incorrect. Pour autoriser une demande initiée par une application dans le flux d’appareil OAuth 2.0, la partie qui accorde l’autorisation doit figurer dans le même centre de données que la demande d’origine.
AADSTS50135	PasswordChangeCompromisedPassword : La modification du mot de passe est nécessaire en raison du risque du compte.
AADSTS50136	RedirectMsaSessionToApp : une seule session MSA est détectée.
AADSTS50139	SessionMissingMsaOAuth2RefreshToken : la session n’est pas valide en raison d’un jeton d’actualisation externe manquant.
AADSTS50140	KmsiInterrupt : cette erreur s’est produite suite à l’interruption de la fonction « Maintenir la connexion » lors de la connexion de l’utilisateur. Il s’agit d’une partie attendue du flux de connexion, où il est demandé à l’utilisateur s’il souhaite rester connecté à son navigateur actuel pour faciliter les connexions ultérieures. Pour plus d’informations, consultez Nouvelles expériences de connexion Azure AD et de maintien de la connexion en cours de déploiement. Vous pouvez ouvrir un ticket de support avec l’ID de corrélation, l’ID de requête et le code d’erreur pour obtenir plus de détails.
AADSTS50143	Incompatibilité de session. La session n’est pas valide, car le locataire de l’utilisateur ne correspond pas à l’indicateur de domaine en raison d’une ressource différente. Ouvrez un ticket de support avec l’ID de corrélation, l’ID de requête et le code d’erreur pour obtenir plus de détails.
AADSTS50144	InvalidPasswordExpiredOnPremPassword : Le mot de passe Active Directory de l’utilisateur est arrivé à expiration. Générez un nouveau mot de passe pour l’utilisateur ou demandez à l’utilisateur d’utiliser l’outil de réinitialisation en libre-service pour le réinitialiser.
AADSTS50146	MissingCustomSigningKey : cette application doit être configurée avec une clé de signature spécifique. Elle n’est configurée avec aucune clé, ou la clé a expiré ou n’est pas encore valide. Contactez le propriétaire de l’application.
AADSTS501461	AcceptMappedClaims est uniquement pris en charge pour une audience du jeton correspondant au GUID de l’application ou à une audience au sein des domaines vérifiés du locataire. Modifiez l’identificateur de ressource ou servez-vous d’une clé de signature spécifique à l’application.
AADSTS50147	MissingCodeChallenge : la taille du paramètre de vérification du code n’est pas valide.
AADSTS501481	L’élément Code_Verifier ne correspond pas à l’élément code_challenge fourni dans la requête d’autorisation.
AADSTS501491	InvalidCodeChallengeMethodInvalidSize - Taille non valide du paramètre Code_Challenge.
AADSTS50155	DeviceAuthenticationFailed : l’authentification de l’appareil a échoué pour cet utilisateur.
AADSTS50158	ExternalSecurityChallenge : la vérification de sécurité externe n’a pas abouti.
AADSTS50161	InvalidExternalSecurityChallengeConfiguration : les revendications envoyées par un fournisseur externe ne sont pas suffisantes, ou il manque une revendication demandée à un fournisseur externe.
AADSTS50166	ExternalClaimsProviderThrottled : l’envoi de la requête au fournisseur de revendications a échoué.
AADSTS50168	ChromeBrowserSsoInterruptRequired : le client est capable d’obtenir un jeton d’authentification unique via l’extension des comptes Windows 10, mais le jeton est introuvable dans la requête ou bien le jeton fourni a expiré.
AADSTS50169	InvalidRequestBadRealm : le domaine n’est pas un domaine configuré de l’espace de noms de service actuel.
AADSTS50170	MissingExternalClaimsProviderMapping : le mappage des contrôles externes est manquant.
AADSTS50173	FreshTokenNeeded : l’octroi fourni a expiré en raison de sa révocation et un nouveau jeton d’authentification est nécessaire. Un administrateur ou un utilisateur a révoqué les jetons pour cet utilisateur, ce qui entraîne l’échec des actualisations de jetons suivantes et nécessite une nouvelle authentification. L’utilisateur doit se connecter à nouveau.
AADSTS50177	ExternalChallengeNotSupportedForPassthroughUsers : la vérification externe n’est pas prise en charge pour les utilisateurs de PassThrough.
AADSTS50178	SessionControlNotSupportedForPassthroughUsers : le contrôle de session n’est pas pris en charge pour les utilisateurs de PassThrough.
AADSTS50180	WindowsIntegratedAuthMissing : l’authentification Windows intégrée est nécessaire. Activez le locataire pour l’authentification unique transparente.
AADSTS50187	DeviceInformationNotProvided : le service n’a pas réussi à authentifier l’appareil.
AADSTS50192	Requête non valide – RawCredentialExpectedNotFound – Les informations d’identification n’étaient pas incluses dans la requête de connexion. Exemple : L’utilisateur effectue l’authentification basée sur un certificat et aucun certificat utilisateur n’est envoyé (ou le proxy supprime le certificat dans la demande de connexion).
AADSTS50194	L'application '{appId}'({appName}) n'est pas configurée en tant qu'application mutualisée. L’utilisation du point de terminaison /common n’est pas prise en charge pour les applications créées après « {time} ». Utilisez un point de terminaison spécifique au locataire ou configurez l’application pour qu’elle soit multi-tenant.
AADSTS50196	LoopDetected : une boucle client a été détectée. Vérifiez la logique de l’application pour vous assurer que la mise en cache des jetons est implémentée et que les conditions d’erreur sont gérées correctement. L’application a effectué un trop grand nombre de requêtes sur une période trop brève, indiquant qu’elle est dans un état défectueux ou qu’elle demande trop de jetons.
AADSTS50197	ConflictingIdentities : impossible de trouver l’utilisateur. Réessayez de vous connecter.
AADSTS50199	CmsiInterrupt : pour des raisons de sécurité, une confirmation de l’utilisateur est requise pour cette demande. L’interruption s’affiche pour toutes les redirections du schéma dans les navigateurs mobiles. Aucune action requise. L’utilisateur a été invité à confirmer que cette application est l’application à laquelle il souhaitait se connecter. Il s’agit d’une fonctionnalité de sécurité qui aide à se prémunir des attaques par usurpation d’identité. Cela se produit parce qu’une vue web système a été utilisée pour solliciter un jeton pour une application native. Pour éviter cette invite, l’URI de redirection doit faire partie de la liste approuvée suivante : http:// https:// chrome-extension:// (navigateur Chrome appareil de bureau uniquement)
AADSTS51000	RequiredFeatureNotEnabled : la fonctionnalité est désactivée.
AADSTS51001	DomainHintMustbePresent : l’indicateur de domaine doit être présent avec l’identificateur de sécurité local ou l’UPN local.
AADSTS1000104	XCB2BResourceCloudNotAllowedOnIdentityTenant : le cloud de ressources {resourceCloud} n’est pas autorisé sur le locataire d’identité {identityTenant}. {resourceCloud} : instance cloud propriétaire de la ressource. {identityTenant} : est le locataire à partir duquel l’identité de connexion provient.
AADSTS51004	UserAccountNotInDirectory : le compte d’utilisateur n’existe pas dans le répertoire. Une application a probablement choisi le mauvais locataire pour se connecter, et l’utilisateur actuellement connecté n’a pas pu le faire, car il n’existait pas dans votre locataire. Si cet utilisateur doit pouvoir se connecter, ajoutez-le en tant qu’invité. Pour plus d’informations, consultez Ajouter des utilisateurs B2B.
AADSTS51005	TemporaryRedirect : l’équivalent de l’état HTTP 307, qui indique que les informations demandées se trouvent au niveau de l’URI spécifié dans l’en-tête Location. Lorsque vous recevez cet état, suivez l’en-tête Location associé à la réponse. Lorsque la méthode de requête d’origine est POST, la requête redirigée l’utilise également.
AADSTS51006	ForceReauthDueToInsufficientAuth : l’authentification Windows intégrée est nécessaire. L’utilisateur s’est connecté à l’aide d’un jeton de session ne contenant pas la revendication de l’authentification Windows intégrée. Demandez à l’utilisateur de se connecter à nouveau.
AADSTS52004	DelegationDoesNotExistForLinkedIn : l’utilisateur n’a pas donné son consentement pour l’accès aux ressources de LinkedIn.
AADSTS53000	DeviceNotCompliant : une stratégie d’accès conditionnel nécessite un appareil conforme, or l’appareil n’est pas conforme. L’utilisateur doit inscrire ses appareils auprès d’un fournisseur approuvé de gestion des périphériques mobiles, comme Intune. Pour plus d’informations, consultez Correction de l’appareil d’accès conditionnel.
AADSTS53001	DeviceNotDomainJoined : une stratégie d’accès conditionnel nécessite un appareil de jonction de domaine, or l’appareil n’est pas joint au domaine. Demandez à l’utilisateur d’utiliser un appareil de jonction de domaine.
AADSTS53002	ApplicationUsedIsNotAnApprovedApp : l’application utilisée n’est pas une application approuvée pour l’accès conditionnel. L’utilisateur doit utiliser une des options de la liste des applications approuvées afin d’obtenir l’accès.
AADSTS53003	BlockedByConditionalAccess : l’accès a été bloqué par des stratégies d’accès conditionnel. La stratégie d’accès n’autorise pas l’émission de jeton. Si c’est inattendu, consultez la stratégie d’accès conditionnel qui s’applique à cette requête dans le Portail Azure ou contactez votre administrateur. Pour plus d’informations, consultez résolution des problèmes de connexion avec accès conditionnel.
AADSTS530035	BlockedBySecurityDefaults : l’accès a été bloqué par les paramètres de sécurité par défaut. Cela est dû au fait que la requête utilise l’authentification héritée ou est considérée comme non sécurisée par les stratégies de sécurité par défaut. Pour plus d’informations, consultez les Stratégies de sécurité appliquées.
AADSTS53004	ProofUpBlockedDueToRisk – L'utilisateur doit terminer le processus d'enregistrement d'authentification multi-facteur avant d'accéder à ce contenu. L'utilisateur doit s'inscrire à l'authentification multi-facteur.
AADSTS53010	ProofUpBlockedDueToSecurityInfoAcr – Impossible de configurer les méthodes d'authentification multi-facteur car l'organisation exige que ces informations soient définies à partir d'emplacements ou d'appareils spécifiques.
AADSTS53011	Utilisateur bloqué en raison d’un risque sur le locataire de base.
AADSTS530034	DelegatedAdminBlockedDueToSuspiciousActivity : un administrateur délégué n’a pas pu accéder au locataire en raison du risque de compte dans son locataire de base.
AADSTS54000	MinorUserBlockedLegalAgeGroupRule
AADSTS54005	Le code d’autorisation OAuth2 a déjà été utilisé, réessayez avec un nouveau code valide ou utilisez un jeton d’actualisation existant.
AADSTS65001	DelegationDoesNotExist : L’utilisateur ou l’administrateur n’a pas accepté d’utiliser l’application avec ID X. Envoyez une requête d’autorisation interactive pour cet utilisateur et cette ressource.
AADSTS65002	Le consentement entre l’application du premier tiers '{applicationId}' et la ressource de la première partie '{resourceId}'doit être configuré par le biais de la pré-autorisation. Les applications détenues et gérées par Microsoft doivent obtenir l’approbation du propriétaire de l’API avant toute demande de jetons pour cette API. Un développeur de votre client tente peut-être de réutiliser un ID d’application appartenant à Microsoft. Cette erreur l’empêche d’usurper l’identité d’une application Microsoft pour appeler d’autres API. Il doit passer à une autre ID d’application qu’il inscrit.
AADSTS65004	UserDeclinedConsent : l’utilisateur a refusé de donner son consentement pour accéder à l’application. Demandez à l’utilisateur de réessayer de se connecter et de donner son consentement à l’application.
AADSTS65005	MisconfiguredApplication : La liste d’accès aux ressources requise par l’application ne contient pas d’applications détectables par la ressource, l’application cliente a demandé un accès à la ressource qui n’était pas spécifié dans sa liste d’accès aux ressources requise, ou bien le service Graph a retourné une requête incorrecte ou la ressource est introuvable. Si l'application prend en charge SAML, vous avez peut-être configuré l'application avec le mauvais identifiant (entité). Pour en savoir plus, consultez l’article sur la résolution des problèmes liés à l’erreur AADSTS650056.
AADSTS650052	L’application a besoin d’accéder à un service (\"{name}\") auquel votre organisation \"{organization}\" n’est pas abonnée ou qu’elle n’a pas activé. Contactez votre administrateur informatique pour examiner la configuration de vos abonnements de service.
AADSTS650054	L’application a demandé des autorisations pour accéder à une ressource qui a été supprimée ou qui n’est plus disponible. Assurez-vous que toutes les ressources que l’application appelle sont présentes dans le locataire dans lequel vous travaillez.
AADSTS650056	Application mal configurée. La raison peut être l’une des suivantes : le client n’a listé aucune autorisation pour « {name} » parmi les autorisations demandées dans l’inscription d’application du client. Ou l’administrateur n’a pas donné son consentement dans le locataire. Vous pouvez aussi vérifier l’identificateur d’application dans la requête pour vous assurer qu’il correspond à l’identificateur d’application cliente configuré. Sinon, vérifiez le certificat dans la demande pour vous assurer qu’il est valide. Contactez votre administrateur pour corriger la configuration ou donner le consentement au nom du locataire. ID de l’application cliente : {ID}. Contactez votre administrateur pour corriger la configuration ou donner le consentement au nom du locataire.
AADSTS650057	ressource non valide. Le client a demandé l’accès à une ressource qui n’est pas listée dans les autorisations demandées dans l’inscription d’application du client. ID d’application cliente : {appId} ({appName}). Valeur de la ressource à partir de la demande : {resource}. ID de l’application de la ressource : {resourceAppId}. Liste des ressources valides de l’inscription de l’application : {regList}.
AADSTS67003	ActorNotValidServiceIdentity
AADSTS70000	InvalidGrant : échec d’authentification. Le jeton d’actualisation n'est pas valide. L'erreur peut être due aux raisons suivantes : L’en-tête de liaison de jeton est vide Le hachage de liaison de jeton ne correspond pas
AADSTS70001	UnauthorizedClient : l’application est désactivée. Pour en savoir plus, consultez l’article sur la résolution des problèmes liés à l’erreur AADSTS70001.
AADSTS700011	UnauthorizedClientAppNotFoundInOrgIdTenant : l’application avec l’identificateur {appIdentifier} est introuvable dans le répertoire. Une application cliente a demandé un jeton à votre locataire, mais l’application cliente n’existe pas dans votre locataire, de sorte que l’appel a échoué.
AADSTS70002	InvalidClient : erreur de validation des informations d’identification. La clé secrète client (client_secret) spécifiée ne correspond pas à la valeur attendue pour ce client. Corrigez la clé secrète client, puis réessayez. Pour plus d’informations, consultez Utiliser le code d’autorisation pour demander un jeton d’accès.
AADSTS700025	InvalidClientPublicClientWithCredential : le client est public, donc ni « client_assertion » ni « client_secret » ne doivent être présentés.
AADSTS700027	La validation de la signature a échoué pour l’assertion cliente. Erreur du développeur : l’application tente de se connecter sans les paramètres d’authentification nécessaires ou corrects.
AADSTS70003	UnsupportedGrantType : l’application a retourné un type d’autorisation non pris en charge.
AADSTS700030	Certificat non valide : le nom d’objet du certificat n’est pas autorisé. Les SubjectNames/SubjectAlternativeNames (jusqu’à 10) dans le certificat de jeton sont : {certificateSubjects}.
AADSTS70004	InvalidRedirectUri : l’application a retourné un URI de redirection non valide. L’adresse de redirection spécifiée par le client ne correspond à aucune adresse configurée ni à aucune adresse de la liste d’approbation OIDC.
AADSTS70005	UnsupportedResponseType : l’application a renvoyé un type de réponse non pris en charge pour les raisons suivantes : Le type de réponse « jeton » n’est pas activé pour l’application Le type de réponse « id_token » requiert la portée « OpenID ». La réponse contient une valeur de paramètre OAuth non prise en charge dans l’élément wctx codé.
AADSTS700054	Response_type « id_token » n’est pas activé pour l’application. L’application a demandé un jeton d’ID au point de terminaison d’autorisation, mais n’a pas activé l’octroi implicite de jeton d’ID. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’administrateur d’applications cloud, puis accédez à Identité>Applications>Inscriptions d’applications. Sélectionnez votre application, puis sélectionnez Authentification. Sous Octroi implicite et flux hybrides, vérifiez que l’option Jetons d’ID est sélectionnée.
AADSTS70007	UnsupportedResponseMode : l’application a renvoyé une valeur non prise en charge pour response_mode lors de la requête d’un jeton.
AADSTS70008	ExpiredOrRevokedGrant : le jeton d’actualisation a expiré en raison d’une inactivité. Le jeton a été émis le XXX et il était inactif pendant un certain laps de temps.
AADSTS700082	ExpiredOrRevokedGrantInactiveToken : le jeton d’actualisation a expiré en raison d’une inactivité. Le jeton a été émis le {issueDate} et est resté inactif pendant {time}. Partie attendue du cycle de vie du jeton : l’utilisateur a passé une période prolongée sans utiliser l’application, de sorte que le jeton a expiré lorsque l’application a tenté de l’actualiser.
AADSTS700084	Le jeton d’actualisation ayant été délivré à une application monopage (SPA), il a une durée de vie fixe et limitée de {time}, laquelle ne peut pas être prolongée. Il a entre-temps expiré et une nouvelle demande de connexion doit être envoyée par la SPA à la page de connexion. Le jeton a été délivré le {issueDate}.
AADSTS70011	InvalidScope : la portée demandée par l’application n’est pas valide.
AADSTS70012	MsaServerError : une erreur de serveur s’est produite lors de l’authentification d’un utilisateur de compte de service administré (consommateur). Réessayez. Si le problème persiste, ouvrez un ticket de support.
AADSTS70016	AuthorizationPending : erreur de flux d’appareil d’OAuth 2.0. Une autorisation est en attente. L’appareil va réessayer l’interrogation de la requête.
AADSTS70018	BadVerificationCode : le code de vérification n’est pas valide, car l’utilisateur a saisi un code utilisateur incorrect pour le flux de code d’appareil. L’autorisation n’est pas approuvée.
AADSTS70019	CodeExpired : le code de vérification a expiré. Demandez à l’utilisateur de réessayer de se connecter.
AADSTS70043	BadTokenDueToSignInFrequency : le jeton d’actualisation a expiré ou n’est pas valide en raison des vérifications de la fréquence de connexion par l’accès conditionnel. Le jeton a été émis le {issueDate} et la durée de vie maximale autorisée pour cette demande est {time}.
AADSTS75001	BindingSerializationError : une erreur s’est produite lors de la liaison de message SAML.
AADSTS75003	UnsupportedBindingError : l’application a renvoyé une erreur relative à une liaison non prise en charge (impossible d’envoyer une réponse de protocole SAML via des liaisons autres que HTTP POST).
AADSTS75005	Saml2MessageInvalid : Microsoft Entra ne prend pas en charge les requêtes SAML envoyées par l’application pour l’authentification unique. Pour en savoir plus, consultez l’article sur la résolution des problèmes liés à l’erreur AADSTS75005.
AADSTS7500514	Impossible de trouver un type de réponse SAML pris en charge. Les types de réponse pris en charge sont « Response » (dans l’espace de noms XML « urn:oasis:names:tc:SAML:2.0:protocol ») ou « Assertion » (dans l’espace de noms XML « urn:oasis:names:tc:SAML:2.0:assertion »). Erreur de l’application : le développeur va gérer cette erreur.
AADSTS750054	SAMLRequest ou SAMLResponse doit être présent en tant que paramètres de la chaîne de requête dans la requête HTTP pour la liaison de redirection SAML. Pour en savoir plus, consultez l’article sur la résolution des problèmes liés à l’erreur AADSTS750054.
AADSTS75008	RequestDeniedError : la requête provenant de l’application a été refusée, car la requête SAML avait une destination inattendue.
AADSTS75011	NoMatchedAuthnContextInOutputClaims : la méthode d’authentification de l’utilisateur auprès du service ne correspond pas à la méthode d’authentification demandée. Pour en savoir plus, consultez l’article sur la résolution des problèmes liés à l’erreur AADSTS75011.
AADSTS75016	Saml2AuthenticationRequestInvalidNameIDPolicy : dans la requête d’authentification SAML2, NameIdPolicy n’est pas valide.
AADSTS76021	ApplicationRequiresSignedRequests : La demande envoyée par le client n’est pas signée alors que l’application nécessite des demandes signées
AADSTS76026	RequestIssueTimeExpired : IssueTime dans une requête d’authentification SAML2 a expiré.
AADSTS80001	OnPremiseStoreIsNotAvailable : l’agent d’authentification ne peut pas se connecter à Active Directory. Assurez-vous que les serveurs des agents sont membres de la même forêt Active Directory que les utilisateurs dont les mots de passe doivent être validés, et qu’ils peuvent se connecter à Active Directory.
AADSTS80002	OnPremisePasswordValidatorRequestTimedout : La requête de validation du mot de passe est arrivée à expiration. Vérifiez qu’Active Directory est disponible et répond aux requêtes des agents.
AADSTS80005	OnPremisePasswordValidatorUnpredictableWebException : une erreur inconnue s’est produite lors du traitement de la réponse provenant de l’agent d’authentification. Relancez la requête. Si le problème persiste, ouvrez un ticket de support pour plus d’informations sur l’erreur.
AADSTS80007	OnPremisePasswordValidatorErrorOccurredOnPrem : l’agent d’authentification n’est pas en mesure de valider le mot de passe de l’utilisateur. Consultez les journaux d’activité de l’agent pour plus d’informations, et vérifiez qu’Active Directory fonctionne comme prévu.
AADSTS80010	OnPremisePasswordValidationEncryptionException : l’agent d’authentification n’est pas en mesure de déchiffrer le mot de passe.
AADSTS80012	OnPremisePasswordValidationAccountLogonInvalidHours : les utilisateurs ont essayé de se connecter en dehors des heures autorisées (spécifiées dans Active Directory).
AADSTS80013	OnPremisePasswordValidationTimeSkew : La tentative d’authentification n’a pas abouti en raison du décalage de temps entre l’ordinateur exécutant l’agent d’authentification et Active Directory. Résolvez les problèmes de synchronisation.
AADSTS80014	OnPremisePasswordValidationAuthenticationAgentTimeout - La demande de validation a répondu après que le temps maximum écoulé a été dépassé. Ouvrez un ticket de support avec le code d’erreur, l’ID de corrélation et l’horodatage pour obtenir plus de détails sur cette erreur.
AADSTS81004	DesktopSsoIdentityInTicketIsNotAuthenticated : Échec de la tentative d’authentification Kerberos.
AADSTS81005	DesktopSsoAuthenticationPackageNotSupported : le package d’authentification n’est pas pris en charge.
AADSTS81006	DesktopSsoNoAuthorizationHeader : Aucun en-tête d’autorisation n’a été trouvé.
AADSTS81007	DesktopSsoTenantIsNotOptIn : le locataire n’est pas activé pour l’authentification unique transparente.
AADSTS81009	DesktopSsoAuthorizationHeaderValueWithBadFormat : Impossible de valider le ticket Kerberos de l’utilisateur.
AADSTS81010	DesktopSsoAuthTokenInvalid : l’authentification unique transparente a échoué, car le ticket Kerberos de l’utilisateur est arrivé à expiration ou n’est pas valide.
AADSTS81011	DesktopSsoLookupUserBySidFailed : impossible de trouver l’objet utilisateur à partir des informations contenues dans le ticket Kerberos de l’utilisateur.
AADSTS81012	DesktopSsoMismatchBetweenTokenUpnAndChosenUpn : l’utilisateur qui tente de se connecter à Microsoft Entra ID est différent de l’utilisateur connecté à l’appareil.
AADSTS90002	InvalidTenantName : le nom du locataire n’a pas été trouvé dans le magasin de données. Assurez-vous d’avoir l’ID de locataire correct. Le développeur de l’application reçoit cette erreur si son application tente de se connecter à un locataire que nous ne trouvons pas. Souvent, cela est dû au fait qu’une application intercloud a été utilisée sur le mauvais cloud, ou que le développeur a tenté de se connecter à un locataire dérivé d’une adresse e-mail, mais que le domaine n’est pas inscrit.
AADSTS90004	InvalidRequestFormat : le format de la demande est incorrect.
AADSTS90005	InvalidRequestWithMultipleRequirements : impossible de terminer la demande. La demande n’est pas valide car l’identificateur et l’indicateur de connexion ne peut pas être utilisés conjointement.
AADSTS90006	ExternalServerRetryableError : le service est temporairement indisponible.
AADSTS90007	InvalidSessionId : demande incorrecte. L’ID de la session précédente ne peut pas être analysé.
AADSTS90008	TokenForItselfRequiresGraphPermission : l’utilisateur ou l’administrateur n’a pas accepté d’utiliser l’application. Au minimum, l’application requiert l’accès à Microsoft Entra ID en spécifiant l’autorisation de connexion et de lecture du profil utilisateur.
AADSTS90009	TokenForItselfMissingIdenticalAppIdentifier : l’application demande un jeton pour elle-même. Ce scénario est pris en charge uniquement si la ressource spécifiée utilise l’ID d’application basé sur GUID.
AADSTS90010	NotSupported : impossible de créer l’algorithme.
AADSTS9001023	Le type d’autorisation n’est pas pris en charge sur les points de terminaison /common ou /consumers. Utilisez le point de terminaison /organizations ou propre au locataire.
AADSTS90012	RequestTimeout : la demandé a expiré.
AADSTS90013	InvalidUserInput : l’entrée de l’utilisateur n’est pas valide.
AADSTS90014	MissingRequiredField – ce code d'erreur peut apparaître dans divers cas lorsqu'un champ attendu n'est pas présent dans les informations d'identification.
AADSTS900144	Le corps de la requête doit contenir le paramètre : '{name}'. Erreur du développeur : l’application tente de se connecter sans les paramètres d’authentification nécessaires ou corrects.
AADSTS90015	QueryStringTooLong : la chaîne de la requête est trop longue.
AADSTS90016	MissingRequiredClaim : le jeton d’accès n’est pas valide. La revendication requise est manquante.
AADSTS90019	MissingTenantRealm : Microsoft Entra ID n’a pas pu déterminer l’identificateur de locataire à partir de la requête.
AADSTS90020	L’assertion SAML 1.1 ne contient pas l’ImmutableID de l’utilisateur. Erreur du développeur : l’application tente de se connecter sans les paramètres d’authentification nécessaires ou corrects.
AADSTS90022	AuthenticatedInvalidPrincipalNameFormat : le format du nom du principal n’est pas valide ou ne répond pas au format name[/host][@realm] attendu. Le nom du principal est requis, l’hôte et le domaine sont facultatifs et peuvent être définis sur la valeur Null.
AADSTS90023	InvalidRequest : la demande de service d’authentification n’est pas valide.
AADSTS900236	InvalidRequestSamlPropertyUnsupported : La propriété de requête d’authentification SAML « {nom_propriété} » n’est pas prise en charge et ne doit pas être définie.
AADSTS9002313	InvalidRequest - La requête est non valide ou incorrecte. - Le problème est la conséquence d’une erreur survenue au niveau de la requête à un point de terminaison donné. La suggestion pour corriger ce problème consiste à obtenir une trace Fiddler de l’erreur qui se produit et à vérifier si la requête est correctement mise en forme ou non.
AADSTS9002332	L’application '{principalId}'({principalName}) est configurée pour être utilisée uniquement par des utilisateurs Microsoft Entra. N’utilisez pas le point de terminaison /consumers pour traiter cette demande.
AADSTS90024	RequestBudgetExceededError : une erreur temporaire s’est produite. Réessayez.
AADSTS90027	Nous ne pouvons pas émettre de jetons à partir de cette version d’API sur le locataire MSA. Contactez le fournisseur de l’application, car il doit utiliser la version 2.0 du protocole pour la prendre en charge.
AADSTS90033	MsodsServiceUnavailable : Microsoft Online Directory Service (MSODS) n’est pas disponible.
AADSTS90036	MsodsServiceUnretryableFailure : une erreur inattendue et non renouvelable provenant du service WCF hébergé par MSODS s’est produite. Ouvrez un ticket de support pour plus d’informations sur l’erreur.
AADSTS90038	NationalCloudTenantRedirection : le locataire spécifié « Y » appartient au Cloud National « X ». L’instance de cloud actuelle « Z » n’est pas fédérée avec X. Une erreur de redirection de cloud est retournée.
AADSTS900384	La validation de la signature du jeton JWT a échoué. Le contenu réel du message est spécifique à l'exécution. Il existe diverses causes à cette erreur. Veuillez consulter le message d'exception renvoyé pour plus de détails.
AADSTS90043	NationalCloudAuthCodeRedirection : la fonctionnalité est désactivée.
AADSTS900432	Le client confidentiel n’est pas pris en charge dans une requête intercloud.
AADSTS90051	InvalidNationalCloudId : l’identificateur de cloud national contient un identificateur de cloud non valide.
AADSTS90055	TenantThrottlingError : il y a un trop grand nombre de requêtes entrantes. Cette exception est levée pour les locataires bloqués.
AADSTS90056	BadResourceRequest : pour utiliser le code pour un jeton d’accès, l’application doit envoyer une requête POST au point de terminaison /token. En outre, avant cela, vous devez fournir un code d’autorisation et l’envoyer dans la requête POST au point de terminaison /token. Consultez cet article pour avoir une vue d’ensemble du flux du code d’autorisation OAuth 2.0. Dirigez l’utilisateur vers le point de terminaison /authorize, qui retournera un code d’autorisation. En publiant une requête pour le point de terminaison /token, l’utilisateur obtient le jeton d’accès. Vérifiez Inscriptions d’applications > Points de terminaison pour confirmer que les deux points de terminaison ont été configurés correctement.
AADSTS900561	BadResourceRequestInvalidRequest : le point de terminaison accepte uniquement les demandes {valid_verbs}. Nous avons reçu une demande {invalid_verb}. {valid_verbs} représente une liste de verbes HTTP pris en charge par le point de terminaison (par exemple, POST), {invalid_verb} est un verbe HTTP utilisé dans la requête actuelle (par exemple, GET). Cela peut être dû à une erreur du développeur ou au fait que les utilisateurs appuient sur le bouton Précédent dans leur navigateur, ce qui déclenche une demande incorrecte. Vous pouvez ignorer ce message.
AADSTS90072	PassThroughUserMfaError : le compte externe avec lequel l’utilisateur se connecte n’existe pas sur le locataire auquel il s’était connecté ; par conséquent, l’utilisateur ne peut pas remplir les exigences d’authentification multifacteur pour le locataire. Cette erreur peut également se produire si les utilisateurs sont synchronisés, mais qu’il existe une incompatibilité dans l’attribut ImmutableID (sourceAnchor) entre Active Directory et Microsoft Entra ID. Le compte doit d’abord être ajouté comme utilisateur externe dans le locataire. Déconnectez-vous et connectez-vous avec un autre compte d’utilisateur Microsoft Entra. Pour plus d’informations, consultez Configuration des identités externes.
AADSTS90081	OrgIdWsFederationMessageInvalid : une erreur s’est produite lorsque le service a tenté de traiter un message WS-Federation. Le message n’est pas valide.
AADSTS90082	OrgIdWsFederationNotSupported : la stratégie d’authentification sélectionnée pour la demande n’est pas prise en charge actuellement.
AADSTS90084	OrgIdWsFederationGuestNotAllowed : les comptes invités ne sont pas autorisés pour ce site.
AADSTS90085	OrgIdWsFederationSltRedemptionFailed : le service ne peut pas émettre un jeton car l’objet de l’entreprise n’a pas encore été provisionné.
AADSTS90086	OrgIdWsTrustDaTokenExpired : le jeton DA de l’utilisateur a expiré.
AADSTS90087	OrgIdWsFederationMessageCreationFromUriFailed : une erreur s’est produite lors de la création du message WS-Federation à partir de l’URI.
AADSTS90090	GraphRetryableError : le service est temporairement indisponible.
AADSTS90091	GraphServiceUnreachable
AADSTS90092	GraphNonRetryableError
AADSTS90093	GraphUserUnauthorized : graphique retourné avec un code d’erreur interdit pour la demande.
AADSTS90094	AdminConsentRequired : le consentement de l’administrateur est requis.
AADSTS900382	Le client confidentiel n’est pas pris en charge dans une requête intercloud.
AADSTS90095	AdminConsentRequiredRequestAccess : dans le cadre du flux de travail du consentement de l’administrateur, une interruption s’affiche lorsque l’utilisateur est informé qu’il doit demander son consentement à l’administrateur.
AADSTS90099	L’application « {appId} » ({appName}) n’a pas été autorisée dans le locataire « {tenant} ». Les applications doivent être autorisées à accéder au tenant externe avant de pouvoir être utilisées par les administrateurs délégués partenaires. Fournissez un préconsentement ou exécutez l’API appropriée de l’Espace partenaires pour autoriser l’application.
AADSTS900971	Aucune adresse de réponse n’est fournie.
AADSTS90100	InvalidRequestParameter : le paramètre est vide ou non valide.
AADSTS901002	AADSTS901002 : le paramètre de requête « resource » n’est pas pris en charge.
AADSTS90101	InvalidEmailAddress : les données fournies ne correspondent pas à une adresse e-mail valide. L’adresse e-mail doit être au format someone@example.com.
AADSTS90102	InvalidUriParameter : la valeur doit être un URI absolu valide.
AADSTS90107	InvalidXml : la demande n’est pas valide. Assurez-vous que vos données ne comportent aucun caractère non valide.
AADSTS90114	InvalidExpiryDate : l’horodatage d’expiration du jeton en bloc entraînera l’émission d’un jeton expiré.
AADSTS90117	InvalidRequestInput
AADSTS90119	InvalidUserCode : le code de l’utilisateur est null ou vide.
AADSTS90120	InvalidDeviceFlowRequest : la demande a déjà été autorisée ou refusée.
AADSTS90121	InvalidEmptyRequest : demande vide non valide.
AADSTS90123	IdentityProviderAccessDenied : le jeton ne peut pas être émis car le fournisseur de l’identité ou de l’émission de la revendication a refusé la demande.
AADSTS90124	V1ResourceV2GlobalEndpointNotSupported : la ressource n’est pas prise en charge sur les points de terminaison /common ou /consumers. Utilisez plutôt /organizations ou le point de terminaison propre au locataire.
AADSTS90125	DebugModeEnrollTenantNotFound : utilisateur introuvable dans le système. Assurez-vous que vous avez correctement entré le nom de l’utilisateur.
AADSTS90126	DebugModeEnrollTenantNotInferred : le type d’utilisateur n’est pas pris en charge sur ce point de terminaison. Le système ne peut pas déduire le locataire de l’utilisateur à partir de son nom.
AADSTS90130	NonConvergedAppV2GlobalEndpointNotSupported : l’application n’est pas prise en charge sur les points de terminaison /common ou /consumers. Utilisez plutôt /organizations ou le point de terminaison propre au locataire.
AADSTS120000	PasswordChangeIncorrectCurrentPassword
AADSTS120002	PasswordChangeInvalidNewPasswordWeak
AADSTS120003	PasswordChangeInvalidNewPasswordContainsMemberName
AADSTS120004	PasswordChangeOnPremComplexity
AADSTS120005	PasswordChangeOnPremSuccessCloudFail
AADSTS120008	PasswordChangeAsyncJobStateTerminated : une erreur non renouvelable s’est produite.
AADSTS120011	PasswordChangeAsyncUpnInferenceFailed
AADSTS120012	PasswordChangeNeedsToHappenOnPrem
AADSTS120013	PasswordChangeOnPremisesConnectivityFailure
AADSTS120014	PasswordChangeOnPremUserAccountLockedOutOrDisabled
AADSTS120015	PasswordChangeADAdminActionRequired
AADSTS120016	PasswordChangeUserNotFoundBySspr
AADSTS120018	PasswordChangePasswordDoesnotComplyFuzzyPolicy
AADSTS120020	PasswordChangeFailure
AADSTS120021	PartnerServiceSsprInternalServiceError
AADSTS130004	NgcKeyNotFound : la clé d’identification NGC de l’utilisateur principal n’est pas configurée.
AADSTS130005	NgcInvalidSignature : la vérification de la signature de la clé NGC a échoué.
AADSTS130006	NgcTransportKeyNotFound : la clé de transport NGC n’est pas configurée sur l’appareil.
AADSTS130007	NgcDeviceIsDisabled : l’appareil est désactivé.
AADSTS130008	NgcDeviceIsNotFound : l’appareil référencé par la clé NGC est introuvable.
AADSTS135010	KeyNotFound
AADSTS135011	L’appareil utilisé pendant l’authentification est désactivé.
AADSTS140000	InvalidRequestNonce : aucune valeur à usage unique n’est fournie pour la demande.
AADSTS140001	InvalidSessionKey : la clé de session n’est pas valide.
AADSTS165004	Le contenu du message réel est spécifique au runtime. Consultez le message de l'exception renvoyé pour obtenir plus d'informations.
AADSTS165900	InvalidApiRequest : demande non valide.
AADSTS220450	UnsupportedAndroidWebViewVersion : la version de Chrome WebView n’est pas prise en charge.
AADSTS220501	InvalidCrlDownload
AADSTS221000	DeviceOnlyTokensNotSupportedByResource : la ressource n’est pas configurée pour accepter des jetons d’appareil uniquement.
AADSTS240001	BulkAADJTokenUnauthorized : l’utilisateur n’est pas autorisé à inscrire des appareils dans Microsoft Entra ID.
AADSTS240002	RequiredClaimIsMissing : id_token ne peut pas être utilisé comme octroi urn:ietf:params:oauth:grant-type:jwt-bearer.
AADSTS501621	ClaimsTransformationTimeoutRegularExpressionTimeout : le remplacement des expressions régulières pour la transformation des revendications a expiré. Ce message indique qu’une expression régulière trop complexe a peut-être été configurée pour cette application. Il est possible qu’une nouvelle tentative de la requête aboutisse. Sinon, contactez votre administrateur pour corriger la configuration.
AADSTS530032	BlockedByConditionalAccessOnSecurityPolicy : l’administrateur de locataire a configuré une stratégie de sécurité qui bloque cette requête. Vérifiez les stratégies de sécurité définies au niveau du locataire pour déterminer si votre requête répond aux exigences de la stratégie.
AADSTS700016	UnauthorizedClient_DoesNotMatchRequest : l’application est introuvable dans le répertoire/locataire. Cela peut se produire si l’application n’a pas été installée par l’administrateur du locataire ni acceptée par un utilisateur dans le locataire. Vous avez peut-être configuré de manière incorrecte la valeur d’identificateur de l’application ou envoyé votre requête d’authentification à un locataire incorrect.
AADSTS700020	InteractionRequired : l’octroi d’accès nécessite une interaction.
AADSTS700022	InvalidMultipleResourcesScope : la valeur fournie pour l’étendue du paramètre d’entrée n’est pas valide car elle contient plusieurs ressources.
AADSTS700023	InvalidResourcelessScope : la valeur fournie pour l’étendue du paramètre d’entrée n’est pas valide pour demander un jeton d’accès.
AADSTS7000215	La clé secrète client fournie n’est pas valide. Erreur du développeur : l’application tente de se connecter sans les paramètres d’authentification nécessaires ou corrects.
AADSTS7000218	Le corps de la requête doit contenir le paramètre « client_assertion » ou « client_secret ».
AADSTS7000222	InvalidClientSecretExpiredKeysProvided : les clés secrètes client fournies ont expiré. Visitez le portail Azure pour créer de nouvelles clés pour votre application. Sinon, nous vous recommandons d’utiliser des informations d’identification de certificat pour renforcer la sécurité : https://aka.ms/certCreds
AADSTS700229	ForbiddenTokenType : seuls les jetons d’application uniquement peuvent servir comme informations d’identification d’identité fédérée pour un émetteur Microsoft Entra. Utilisez un jeton d’accès d’application uniquement (généré pendant un flux des informations d’identification du client) plutôt qu’un jeton d’accès délégué par l’utilisateur (représentant une requête provenant d’un contexte utilisateur).
AADSTS700005	InvalidGrantRedeemAgainstWrongTenant : le code d’autorisation fourni est destiné à être utilisé auprès d’un autre locataire et a donc été rejeté. Le code d’autorisation OAuth2 doit être échangé auprès du même locataire pour lequel il a été acquis (/common ou /{tenant-ID}, le cas échéant)
AADSTS1000000	UserNotBoundError : l’API Bind nécessite que l’utilisateur Microsoft Entra s’authentifie également auprès d’un fournisseur d’identité externe, ce qui n’a pas encore été effectué.
AADSTS1000002	BindCompleteInterruptError : la liaison s’est terminée correctement, mais l’utilisateur doit être informé.
AADSTS100007	Les régions Microsoft Entra prennent UNIQUEMENT en charge l’authentification pour les fichiers MSI ou pour les demandes de MSAL à l’aide de SN+I pour les applications 1P ou 3P dans les locataires de l’infrastructure Microsoft.
AADSTS1000031	L’application {appDisplayName} n’est pas accessible pour l’instant. Contactez votre administrateur.
AADSTS7000112	UnauthorizedClientApplicationDisabled : l’application est désactivée.
AADSTS7000114	L’application « appIdentifier » n’est pas autorisée à effectuer des appels au nom de l’application.
AADSTS7500529	La valeur « SAMLId-GUID » n’est pas un ID SAML valide : Microsoft Entra ID utilise cet attribut pour remplir l’attribut InResponseTo de la réponse retournée. L’ID ne doit pas commencer par un nombre. Vous pouvez donc suivre la stratégie courante qui consiste à ajouter une chaîne de type « ID » devant la représentation sous forme de chaîne d’un GUID. Par exemple, id6c1c178c166d486687be4aaf5e482730 est un ID valide.

Étapes suivantes

• Vous avez une question ou vous ne trouvez pas ce que vous recherchez ? Créez un problème GitHub ou consultez Options d’aide et de support pour les développeurs pour en savoir plus sur les autres méthodes vous permettant d’obtenir de l’aide et un support.