Codici errore di autenticazione e autorizzazione di Microsoft Entra

Si cercano informazioni sui codici errore AADSTS restituiti dal servizio token di sicurezza di Microsoft Entra (STS)? consultare questo documento per trovare le descrizioni degli errori AADSTS, le correzioni e alcune soluzioni alternative consigliate.

Nota

Queste informazioni sono provvisorie e soggette a modifiche. In caso di domande o se non è possibile trovare le informazioni necessarie, creare un problema in GitHub oppure fare riferimento alle opzioni di supporto e assistenza per sviluppatori per informazioni su come ottenere supporto.

Questa documentazione viene fornita per le linee guida per sviluppatori e amministratori, ma non deve mai essere usata dal client stesso. I codici di errore sono soggetti a modifiche in qualsiasi momento per fornire messaggi di errore più granulari destinati allo sviluppatore durante la compilazione dell'applicazione. Le app che dipendono dal testo o dai numeri di codice di errore verranno suddivise nel tempo.

Cercare le informazioni sul codice errore corrente

I codici di errore e i messaggi sono soggetti a modifiche. Per le informazioni più aggiornate, vedere la pagina https://login.microsoftonline.com/error per trovare descrizioni degli errori AADSTS, correzioni e alcune soluzioni alternative suggerite.

Ad esempio, se è stato ricevuto il codice di errore "AADSTS50058", eseguire una ricerca in https://login.microsoftonline.com/error di "50058". È anche possibile collegarsi direttamente a un errore specifico aggiungendo il numero di codice di errore all'URL: https://login.microsoftonline.com/error?code=50058.

Gestione dei codici di errore nell'applicazione

La specifica OAuth2.0 fornisce indicazioni su come gestire gli errori durante l'autenticazione usando la parte error della risposta di errore.

Di seguito è riportata una risposta di errore di esempio:

{
  "error": "invalid_scope",
  "error_description": "AADSTS70011: The provided value for the input parameter 'scope' isn't valid. The scope https://example.contoso.com/activity.read isn't valid.\r\nTrace ID: 0000aaaa-11bb-cccc-dd22-eeeeee333333\r\nCorrelation ID: aaaa0000-bb11-2222-33cc-444444dddddd\r\nTimestamp: 2016-01-09 02:02:12Z",
  "error_codes": [
    70011
  ],
  "timestamp": "2016-01-09 02:02:12Z",
  "trace_id": "0000aaaa-11bb-cccc-dd22-eeeeee333333",
  "correlation_id": "aaaa0000-bb11-2222-33cc-444444dddddd", 
  "error_uri":"https://login.microsoftonline.com/error?code=70011"
}

Parametro	Descrizione
error	Una stringa di codice di errore che può essere usata per classificare i tipi di errori che si verificano e che deve essere usata per risolverli.
error_description	Messaggio di errore specifico che consente a uno sviluppatore di identificare la causa principale di un errore di autenticazione. Non usare mai questo campo per reagire a un errore nel codice.
error_codes	Elenco dei codici di errore specifici del servizio token di sicurezza utile per la diagnostica.
timestamp	Restituisce l'ora in cui si è verificato l'errore.
trace_id	Identificatore univoco per la richiesta utile per la diagnostica.
correlation_id	Identificatore univoco per la richiesta utile per la diagnostica tra i componenti.
error_uri	Collegamento alla pagina di ricerca degli errori con informazioni aggiuntive sull'errore. Questo è solo per l'utilizzo dello sviluppatore, non presentarlo agli utenti. Presente solo quando il sistema di ricerca degli errori contiene informazioni aggiuntive sull'errore, non tutte le informazioni aggiuntive sull'errore.

Il campo error ha diversi valori possibili: esaminare i collegamenti alla documentazione del protocollo e le specifiche di OAuth 2.0 per altre informazioni sugli errori specifici (ad esempio authorization_pending nel flusso di codice dispositivo) e su come risolverli. Di seguito sono elencate alcune configurazioni comuni:

Codice di errore	Descrizione	Azione client
invalid_request	Errore del protocollo, ad esempio un parametro obbligatorio mancante.	Correggere e inviare di nuovo la richiesta.
invalid_grant	Alcuni materiali di autenticazione (codice di autenticazione, token di aggiornamento, token di accesso, richiesta PKCE) non validi, non verificabili, mancanti o altrimenti inutilizzabili	Tentare una nuova richiesta all'endpoint /authorize per ottenere un nuovo codice di autorizzazione. Valutare la possibilità di esaminare e convalidare l'uso dei protocolli dell'app.
unauthorized_client	Il client autenticato non è autorizzato a usare questo tipo di concessione dell'autorizzazione.	Questo errore si verifica di solito quando l'applicazione client non è registrata in Microsoft Entra ID o non viene aggiunta al tenant di Microsoft Entra dell'utente. L'applicazione può chiedere all'utente di installare l'applicazione e di aggiungerla a Microsoft Entra ID.
invalid_client	Autenticazione client non riuscita.	Credenziali del client non valide. Per risolvere il problema, l'amministratore di applicazioni aggiorna le credenziali.
unsupported_grant_type	Il server di autorizzazione non supporta il tipo di concessione dell'autorizzazione.	Modificare il tipo di concessione nella richiesta. Questo tipo di errore dovrebbe verificarsi solo durante lo sviluppo ed essere rilevato durante il test iniziale.
invalid_resource	La risorsa di destinazione non è valida perché non esiste, Microsoft Entra ID non è in grado di trovarlo o è configurato in modo non corretto.	Indica che la risorsa, se presente, non è stata configurata nel tenant. L'applicazione può chiedere all'utente di installare l'applicazione e di aggiungerla a Microsoft Entra ID. Durante lo sviluppo, questo indica in genere un tenant di test configurato in modo non corretto o un errore di digitazione nel nome dell'ambito richiesto.
interaction_required	La richiesta richiede l'interazione dell'utente. Ad esempio è necessario un altro passaggio di autenticazione.	Ripetere la richiesta con la stessa risorsa in modo interattivo, in modo che l'utente possa completare eventuali richieste.
temporarily_unavailable	Il server è temporaneamente troppo occupato per gestire la richiesta.	ripetere la richiesta. L'applicazione client può comunicare all'utente che la risposta è stata ritardata a causa di una condizione temporanea.

Codici di errore AADSTS

Errore	Descrizione
AADSTS16000	InteractionRequired: l'account utente '{EmailHidden}' dal provider di identità '{idp}' non esiste nel tenant '{tenant}' e non può accedere all'applicazione '{appid}'({appName}) in tale tenant. Questo account deve essere prima aggiunto come utente esterno nel tenant. Disconnettersi e accedere di nuovo con un account utente Microsoft Entra diverso. Questo errore è piuttosto comune quando si tenta di accedere all'Interfaccia di amministrazione di Microsoft Entra usando l'account Microsoft personale e nessuna directory associata.
AADSTS16001	UserAccountSelectionInvalid: questo errore viene visualizzato se l'utente seleziona un riquadro che è stato rifiutato dalla logica di selezione della sessione. Se attivato, questo errore permette all'utente di rimediare effettuando la selezione in un elenco aggiornato di riquadri/sessioni o scegliendo un altro account. Questo errore può essere dovuto a un problema del codice o a una race condition.
AADSTS16002	AppSessionSelectionInvalid: il requisito relativo al SID specificato dall'app non è stato soddisfatto.
AADSTS160021	AppSessionSelectionInvalidSessionNotExist: l'applicazione ha richiesto una sessione utente che non esiste. Questo problema può essere risolto creando un nuovo account Azure.
AADSTS16003	SsoUserAccountNotFoundInResourceTenant: indica che l'utente non è ancora stato aggiunto in modo esplicito al tenant.
AADSTS17003	CredentialKeyProvisioningFailed: Microsoft Entra ID non può effettuare il provisioning della chiave utente.
AADSTS20001	WsFedSignInResponseError: si è verificato un problema relativo al provider di identità federato. Contattare l'IDP per risolvere il problema.
AADSTS20012	WsFedMessageInvalid: si è verificato un problema relativo al provider di identità federato. Contattare l'IDP per risolvere il problema.
AADSTS20033	FedMetadataInvalidTenantName: si è verificato un problema relativo al provider di identità federato. Contattare l'IDP per risolvere il problema.
AADSTS230109	CachedCredentialNonGWAuthNRequestsNotSupported: il servizio di autenticazione di backup consente solo le richieste di autenticazione da Microsoft Entra Gateway. Questo errore viene restituito quando il traffico è destinato direttamente al servizio di autenticazione di backup anziché passare attraverso il proxy inverso.
AADSTS28002	Il valore specificato per l'ambito del parametro di input '{scope}' non è valido quando si richiede un token di accesso. Specificare un ambito valido.
AADSTS28003	Il valore specificato per l'ambito del parametro di input non può essere vuoto quando si richiede un token di accesso usando il codice di autorizzazione fornito. Specificare un ambito valido.
AADSTS40008	OAuth2IdPUnretryableServerError: si è verificato un problema relativo al provider di identità federato. Contattare l'IDP per risolvere il problema.
AADSTS40009	OAuth2IdPRefreshTokenRedemptionUserError: si è verificato un problema relativo al provider di identità federato. Contattare l'IDP per risolvere il problema.
AADSTS40010	OAuth2IdPRetryableServerError: si è verificato un problema relativo al provider di identità federato. Contattare l'IDP per risolvere il problema.
AADSTS40015	OAuth2IdPAuthCodeRedemptionUserError: si è verificato un problema relativo al provider di identità federato. Contattare l'IDP per risolvere il problema.
AADSTS50000	TokenIssuanceError: si è verificato un problema relativo al servizio di accesso. Aprire un ticket di supporto per risolvere il problema.
AADSTS50001	InvalidResource: la risorsa è disabilitata o non esiste. Controllare il codice dell'app per verificare di avere specificato l'URL della risorsa esatta cui si sta tentando di accedere.
AADSTS50002	NotAllowedTenant: accesso non riuscito a causa di limitazioni di accesso al proxy nel tenant. Se questo errore è dovuto ai propri criteri per il tenant, è possibile modificare le impostazioni di limitazione per il tenant per correggerlo.
AADSTS500011	InvalidResourceServicePrincipalNotFound: l'entità risorsa denominata {name} non è stata trovata nel tenant denominato {tenant}. Questo può verificarsi se l'applicazione non è stata installata dall'amministratore del tenant o non ha ottenuto il consenso da uno degli utenti nel tenant. La richiesta di autenticazione potrebbe essere stata inviata al tenant sbagliato. Se si prevede che l'app venga installata, potrebbe essere necessario fornire autorizzazioni di amministratore per aggiungerla. Rivolgersi agli sviluppatori della risorsa e dell'applicazione per comprendere qual è la configurazione corretta per il tenant.
AADSTS500014	InvalidResourceServicePrincipalDisabled: l'entità servizio per la risorsa '{identifier}' è disabilitata. Ciò indica che una sottoscrizione all'interno del tenant è scaduta o che un amministratore per questo tenant ha disabilitato l'entità servizio dell'applicazione, impedendo l'emissione di token. Per altre informazioni, vedere Disabilitare l'accesso utente per l'applicazione.
AADSTS500021	L'accesso al tenant '{tenant}' viene negato. AADSTS500021 indica che la funzionalità di restrizione del tenant è configurata e che l'utente sta tentando di accedere a un tenant non incluso nell'elenco dei tenant consentiti specificati nell'intestazione Restrict-Access-To-Tenant. Per altre informazioni vedere Usare le restrizioni del tenant per gestire l'accesso alle applicazioni cloud SaaS.
AADSTS500022	L'accesso al tenant '{tenant}' viene negato. AADSTS500022 indica che la funzionalità di restrizione del tenant è configurata e che l'utente sta tentando di accedere a un tenant non incluso nell'elenco dei tenant consentiti specificati nell'intestazione Restrict-Access-To-Tenant. Per altre informazioni vedere Usare le restrizioni del tenant per gestire l'accesso alle applicazioni cloud SaaS.
AADSTS50003	MissingSigningKey: accesso non riuscito a causa di una chiave o un certificato di firma mancante. Questo errore può essere dovuto al fatto che non è stata configurata alcuna chiave di firma nell'app. Per altre informazioni vedere l'articolo sulla risoluzione dei problemi relativi all'errore AADSTS50003. Se il problema persiste, contattare il proprietario o l'amministratore dell'app.
AADSTS50005	DevicePolicyError: l'utente ha tentato di accedere a un dispositivo da una piattaforma attualmente non supportata tramite criteri di Accesso condizionale.
AADSTS50006	InvalidSignature: la verifica della firma non è riuscita a causa di una firma non valida.
AADSTS50007	PartnerEncryptionCertificateMissing: non è stato trovato il certificato di crittografia del partner per l'app. Aprire un ticket di supporto presso Microsoft per richiedere la risoluzione del problema.
AADSTS50008	InvalidSamlToken: l'asserzione SAML non è presente o non è configurata correttamente nel token. Contattare il provider di federazione.
AADSTS5000224	NotAllowedTenantBlockedTenantFraud: questa risorsa non è disponibile. Se viene visualizzato questo messaggio per errore, contattare il supporto tecnico Microsoft.
AADSTS5000819	InvalidSamlTokenEmailMissingOrInvalid - Asserzione SAML non valida. L'attestazione dell'indirizzo di posta elettronica è mancante o non corrisponde al dominio da un'area di autenticazione esterna.
AADSTS50010	AudienceUriValidationFailed: la convalida dell'URI destinatario per l'app non è riuscita perché non è stato configurato alcun destinatario del token.
AADSTS50011	InvalidReplyTo: l'indirizzo di risposta è mancante, non è configurato correttamente o non corrisponde agli indirizzi di risposta configurati per l'app. Come risoluzione si accerta di aggiungere questo indirizzo di risposta mancante all'applicazione Microsoft Entra o di avere qualcuno con le autorizzazioni per gestire l'applicazione in Microsoft Entra ID per conto dell'utente. Per altre informazioni, vedere l'articolo sulla risoluzione dei problemi relativi all'errore AADSTS50011.
AADSTS50012	AuthenticationFailed: l'autenticazione non è riuscita per uno dei motivi seguenti: Il nome soggetto del certificato di firma non è autorizzato Non sono stati trovati criteri di autorità attendibile corrispondenti per il nome soggetto autorizzato La catena di certificati non è valida Il certificato di firma non è valido Non sono configurati criteri nel tenant L'identificazione personale del certificato di firma non è autorizzata l'asserzione client contiene una firma non valida
AADSTS50013	InvalidAssertion: l'asserzione non è valida per vari motivi: - L'emittente del token non corrisponde alla versione API nell'intervallo di tempo valido - È scaduta - Ha un formato non valido - Il token di aggiornamento nell'asserzione non è un token di aggiornamento primario. Contattare lo sviluppatore dell'app.
AADSTS500133	L'asserzione non rientra nell'intervallo di tempo valido. Assicurarsi che il token di accesso non sia scaduto prima di usarlo per l'asserzione utente o richiedere un nuovo token. Ora corrente: {curTime}, ora di scadenza dell'asserzione {expTime}. L'asserzione non è valida per più motivi: L'autorità emittente del token non corrisponde alla versione dell'API entro l'intervallo di tempo valido Scaduto Non valido Il token di aggiornamento nell'asserzione non è un token di aggiornamento primario
AADSTS50014	GuestUserInPendingState: l'account utente non esiste nella directory. Un'applicazione ha probabilmente scelto il tenant errato per accedere e l'utente attualmente connesso non è riuscito a farlo perché non esisteva nel tenant. Se l'utente deve essere in grado di eseguire l'accesso, aggiungerlo come guest. Per altre informazioni vedere Aggiungere utenti B2B.
AADSTS50015	ViralUserLegalAgeConsentRequiredState: l'utente richiede il consenso legale per fascia di età.
AADSTS50017	CertificateValidationFailed: la convalida della certificazione non è riuscita a causa dei motivi seguenti: Non è possibile trovare la certificazione nell'elenco di certificati attendibili Non è possibile trovare l'elemento CrlSegment previsto Non è possibile trovare la certificazione nell'elenco di certificati attendibili È configurato un punto di distribuzione CRL differenziale senza un punto di distribuzione CRL corrispondente Non è possibile recuperare segmenti CRL validi a causa di un problema di timeout Non è possibile scaricare il documento CRL Contattare l'amministratore del tenant.
AADSTS50020	UserUnauthorized: gli utenti non sono autorizzati a chiamare questo endpoint. L'account utente '{email}' dal provider di identità '{idp}' non esiste nel tenant '{tenant}' e non può accedere all'applicazione '{appid}'({appName}) in tale tenant. Questo account deve essere prima aggiunto come utente esterno nel tenant. Disconnettersi e accedere di nuovo con un account utente Microsoft Entra diverso. Se l'utente deve essere membro del tenant, deve essere invitato tramite il sistema B2B. Per altre informazioni visitare AADSTS50020.
AADSTS500208	Il dominio non è un dominio di accesso valido per il tipo di account: questa situazione si verifica quando l'account dell'utente non corrisponde al tipo di account previsto per il tenant specificato. Ad esempio se il tenant è configurato per consentire l'accesso solo agli account aziendali o dell'istituto di istruzione e l'utente tenta di accedere con un account Microsoft personale, riceverà questo errore.
AADSTS500212	NotAllowedByOutboundPolicyTenant: l'amministratore dell'utente ha impostato un criterio di accesso in uscita che non consente l'accesso al tenant della risorsa.
AADSTS500213	NotAllowedByInboundPolicyTenant: i criteri di accesso tra tenant delle risorse non consentono a questo utente di accedere a questo tenant.
AADSTS50027	InvalidJwtToken: token JWT non valido a causa dei motivi seguenti: Non contiene un'attestazione nonce o un'attestazione secondaria L'identificatore soggetto non corrisponde Attestazione duplicata nelle attestazioni idToken Autorità di certificazione imprevista Destinatari imprevisti Al di fuori dell'intervallo di tempo valido il formato del token non è appropriato Il token ID esterno dell'autorità di certificazione non ha superato la verifica della firma
AADSTS50029	URI non valido. Il nome di dominio contiene caratteri non validi. Contattare l'amministratore del tenant.
AADSTS50032	WeakRsaKey: indica il tentativo errato dell'utente di usare una chiave RSA vulnerabile.
AADSTS50033	RetryableError: indica un errore temporaneo non correlato alle operazioni del database.
AADSTS50034	UserAccountNotFound: per accedere all'applicazione, l'account deve essere aggiunto alla directory. Questo errore può verificarsi perché l'utente ha digitato erroneamente il proprio nome utente o non si trova nel tenant. Un'applicazione potrebbe aver scelto il tenant errato per accedere e l'utente attualmente connesso non è riuscito a farlo perché non esisteva nel tenant. Se l'utente deve essere in grado di eseguire l'accesso, aggiungerlo come guest. Vedere la documentazione qui: Aggiungere utenti B2B.
AADSTS50042	UnableToGeneratePairwiseIdentifierWithMissingSalt: il valore salt richiesto per generare un identificatore pairwise non è presente nell'entità di sicurezza. Contattare l'amministratore del tenant.
AADSTS50043	UnableToGeneratePairwiseIdentifierWithMultipleSalts
AADSTS50048	SubjectMismatchesIssuer: il soggetto non corrisponde all'attestazione dell'autorità di certificazione nell'asserzione client. Contattare l'amministratore del tenant.
AADSTS50049	NoSuchInstanceForDiscovery: istanza sconosciuta o non valida.
AADSTS50050	MalformedDiscoveryRequest: la richiesta ha un formato non valido.
AADSTS50053	Questo errore può derivare da due motivi diversi: IdsLocked: l'account è bloccato perché l'utente ha tentato di accedere troppe volte con un ID utente e/o una password non corretti. L'utente viene bloccato a causa di tentativi di accesso ripetuti. Vedere Rimediare ai rischi e sbloccare gli utenti. Oppure l'accesso è stato bloccato perché proveniva da un indirizzo IP con attività dannosa. Per stabilire il motivo di tale errore, accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud. Passare al tenant di Microsoft Entra, quindi Monitoraggio e integrità ->Log di accesso. Trovare l'accesso utente non riuscito con Codice di errore di accesso 50053 e verificare il Motivo dell'errore.
AADSTS50055	InvalidPasswordExpiredPassword: la password è scaduta. La password dell'utente è scaduta e pertanto l'account di accesso o la sessione è stata terminata. Verrà offerta l'opportunità di reimpostarla o chiedere a un amministratore di reimpostarla tramite Reimpostare la password di un utente usando Microsoft Entra ID.
AADSTS50056	Password non valida o Null: la password non esiste nella directory per l'utente. All'utente deve essere richiesto di immettere nuovamente la password.
AADSTS50057	UserDisabled: l'account utente è disabilitato. L'oggetto utente in Active Directory che esegue il backup di questo account è stato disabilitato. Un amministratore può riabilitare questo account tramite PowerShell
AADSTS50058	UserInformationNotProvided: le informazioni sulla sessione non sono sufficienti per l'accesso Single Sign-On. Ciò significa che un utente non ha eseguito l'accesso. Si tratta di un errore comune che si verifica in genere quando un utente non è autenticato e non ha ancora effettuato l'accesso. Se questo errore viene visualizzato in un contesto SSO in cui l'utente ha precedentemente effettuato l'accesso, significa che la sessione SSO non è stata trovata o non è valida. Questo errore può essere restituito all'applicazione se è specificato prompt=none.
AADSTS50059	MissingTenantRealmAndNoUserInformationProvided: non sono state trovate informazioni di identificazione del tenant nella richiesta né sono state incluse in modo implicito nelle credenziali fornite. L'utente può contattare l'amministratore del tenant per ottenere informazioni per la risoluzione del problema.
AADSTS50061	SignoutInvalidRequest: impossibile completare la disconnessione. La richiesta non è valida.
AADSTS50064	CredentialAuthenticationError: la convalida delle credenziali per nome utente e password non è riuscita.
AADSTS50068	SignoutInitiatorNotParticipant: la disconnessione non è riuscita. L'app che ha avviato la disconnessione non partecipa alla sessione corrente.
AADSTS50070	SignoutUnknownSessionIdentifier: la disconnessione non è riuscita. La richiesta di disconnessione ha specificato un identificatore del nome che non soddisfa le sessioni esistenti.
AADSTS50071	SignoutMessageExpired: la richiesta di disconnessione è scaduta.
AADSTS50072	UserStrongAuthEnrollmentRequiredInterrupt: l'utente deve registrarsi per l'autenticazione a due fattori (interattiva).
AADSTS50074	UserStrongAuthClientAuthNRequiredInterrupt: è necessaria l'autenticazione avanzata e l'utente non ha superato la verifica MFA.
AADSTS50076	UserStrongAuthClientAuthNRequired: a causa di una modifica della configurazione apportata dall'amministratore, ad esempio un criterio di accesso condizionale, l'applicazione di criteri per utente o perché è stato spostato in una nuova posizione, l'utente deve usare l'autenticazione a più fattori per accedere alla risorsa. Riprovare con una nuova richiesta di autorizzazione per la risorsa.
AADSTS50078	UserStrongAuthExpired: l'autenticazione a più fattori presentata è scaduta a causa dei criteri configurati dall'amministratore. È necessario aggiornare l'autenticazione a più fattori per accedere a '{resource}'.
AADSTS50079	UserStrongAuthEnrollmentRequired: a causa di una modifica della configurazione apportata dall'amministratore, ad esempio criteri di accesso condizionale, imposizione per utente o perché l'utente si è spostato in una nuova posizione, l'utente deve usare l'autenticazione a più fattori. Un utente gestito deve registrare le informazioni di sicurezza per completare l'autenticazione a più fattori oppure un utente federato deve ottenere l'attestazione a più fattori dal provider di identità federato.
AADSTS50085	Il token di aggiornamento richiede un accesso IDP social. Chiedere all'utente di provare a eseguire di nuovo l'accesso con nome utente e password.
AADSTS50086	SasNonRetryableError
AADSTS50087	SasRetryableError: si è verificato un errore temporaneo durante l'autenticazione avanzata. Riprova.
AADSTS50088	È stato raggiunto il limite per le chiamate di autenticazione a più fattori per telecomunicazioni. Riprovare tra alcuni minuti.
AADSTS50089	L'autenticazione non è riuscita a causa della scadenza del token di flusso. Comportamento previsto: codici di autenticazione, token di aggiornamento e sessioni scadono nel tempo o vengono revocati dall'utente o da un amministratore. L'app richiederà un nuovo account di accesso all'utente.
AADSTS50097	DeviceAuthenticationRequired: l'autenticazione del dispositivo è obbligatoria.
AADSTS50099	PKeyAuthInvalidJwtUnauthorized: la firma del token JWT non è valida.
AADSTS50105	EntitlementGrantsNotFound: all'utente che ha eseguito l'accesso non è assegnato alcun ruolo per l'app connessa. Assegnare l'utente all'app. Per altre informazioni vedere l'articolo sulla risoluzione dei problemi relativi all'errore AADSTS50105.
AADSTS50107	InvalidRealmUri: l'oggetto dell'area di autenticazione della federazione richiesto non esiste. Contattare l'amministratore del tenant.
AADSTS50120	ThresholdJwtInvalidJwtFormat: problema relativo all'intestazione JWT. Contattare l'amministratore del tenant.
AADSTS50124	ClaimsTransformationInvalidInputParameter: la trasformazione delle attestazioni contiene un parametro di input non valido. Contattare l'amministratore del tenant per aggiornare i criteri.
AADSTS501241	Input obbligatorio '{paramName}' mancante dall'ID trasformazione '{transformId}'. Questo errore viene restituito mentre Microsoft Entra ID sta tentando di compilare una risposta SAML all'applicazione. L'attestazione NameID o NameIdentifier è obbligatoria nella risposta SAML e se Microsoft Entra ID non è riuscito a ottenere l'attributo di origine per l'attestazione NameID, restituisce questo errore. Come soluzione, assicurarsi di aggiungere regole attestazioni. Per aggiungere regole di attestazione, accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come un Amministratore applicazione cloud, quindi passare ad Identità>Applicazioni>Applicazioni aziendali. Selezionare l'applicazione, selezionare Single Sign-On, quindi in Attributi utente e attestazioni immettere l'identificatore utente univoco (ID nome).
AADSTS50125	PasswordResetRegistrationRequiredInterrupt: l'accesso è stato interrotto a causa della reimpostazione della password o di una voce di registrazione password.
AADSTS50126	InvalidUserNameOrPassword: errore durante la convalida delle credenziali a causa di un nome utente e/o di una password non validi. L'utente non ha immesso le credenziali corrette. Si prevede di visualizzare alcuni di questi errori nei log a causa di errori degli utenti.
AADSTS50127	BrokerAppNotInstalled: l'utente deve installare un'app broker per ottenere l'accesso a questo contenuto.
AADSTS50128	Nome di dominio non valido. Non sono state trovate informazioni di identificazione del tenant nella richiesta o incluse in modo implicito nelle credenziali fornite.
AADSTS50129	DeviceIsNotWorkplaceJoined: per registrare il dispositivo, è necessaria l'aggiunta alla rete aziendale.
AADSTS50131	ConditionalAccessFailed: indica diversi errori di accesso condizionale, ad esempio a causa di uno stato del dispositivo Windows non valido, di una richiesta bloccata a causa di un'attività sospetta o di decisioni relative a criteri di accesso o criteri di sicurezza.
AADSTS50132	SsoArtifactInvalidOrExpired: la sessione non è valida perché la password è scaduta o è stata modificata di recente.
AADSTS50133	SsoArtifactRevoked: la sessione non è valida perché la password è scaduta o è stata modificata di recente.
AADSTS50134	DeviceFlowAuthorizeWrongDatacenter: data center non corretto. Per autorizzare una richiesta avviata da un'app nel flusso del dispositivo OAuth 2.0, la parte responsabile dell'autorizzazione deve trovarsi nello stesso data center in cui si trova la richiesta originale.
AADSTS50135	PasswordChangeCompromisedPassword: è necessario modificare la password a causa di rischi per l'account.
AADSTS50136	RedirectMsaSessionToApp: è stata rilevata una singola sessione dell'account del servizio gestito.
AADSTS50139	SessionMissingMsaOAuth2RefreshToken: la sessione è non valida a causa di un token di aggiornamento esterno mancante.
AADSTS50140	KmsiInterrupt: questo errore si è verificato a causa di un interrupt del comando "Mantieni l'accesso" durante l'accesso dell'utente. Si tratta di una parte prevista del flusso di accesso, in cui viene chiesto a un utente se desidera rimanere connesso al browser corrente per semplificare gli accessi successivi. Per altre informazioni vedere Le nuove esperienze di accesso a Microsoft Entra e "Mantieni l'accesso" implementate ora!. È possibile aprire un ticket di supporto con ID di correlazione, ID richiesta e codice di errore per ottenere altri dettagli.
AADSTS50143	Mancata corrispondenza di sessione: la sessione non è valida perché il tenant dell'utente non corrisponde all'hint di dominio a causa di una risorsa diversa. Aprire un ticket di supporto con ID di correlazione, ID richiesta e codice di errore per ottenere altri dettagli.
AADSTS50144	InvalidPasswordExpiredOnPremPassword: la password di Active Directory dell'utente è scaduta. Generare una nuova password per l'utente o chiedere all'utente di usare lo strumento di reimpostazione self-service per reimpostare la password.
AADSTS50146	MissingCustomSigningKey: questa app deve essere configurata con una chiave di firma specifica dell'app. O non è configurata con tale chiave oppure la chiave è scaduta o non è ancora valida. Contattare il proprietario dell'applicazione.
AADSTS501461	AcceptMappedClaims è supportato solo per un gruppo di destinatari di token corrispondente al GUID dell'applicazione o a un gruppo di destinatari all'interno dei domini verificati del tenant. Modificare l'identificatore della risorsa o usare una chiave di firma specifica dell'applicazione.
AADSTS50147	MissingCodeChallenge: la dimensione del parametro della richiesta di verifica del codice non è valida.
AADSTS501481	Il valore specificato per Code_Verifier non corrisponde al valore di code_challenge fornito nella richiesta di autorizzazione.
AADSTS501491	InvalidCodeChallengeMethodInvalidSize: dimensioni non valide del parametro Code_Challenge.
AADSTS50155	DeviceAuthenticationFailed: l'autenticazione del dispositivo non è riuscita per questo utente.
AADSTS50158	ExternalSecurityChallenge: la richiesta di sicurezza esterna non è stata soddisfatta.
AADSTS50161	InvalidExternalSecurityChallengeConfiguration: le attestazioni inviate dal provider esterno non sono sufficienti oppure manca un'attestazione richiesta al provider esterno.
AADSTS50166	ExternalClaimsProviderThrottled: non è stato possibile inviare la richiesta al provider di attestazioni.
AADSTS50168	ChromeBrowserSsoInterruptRequired: il client è in grado di ottenere un token SSO tramite l'estensione per gli account Windows 10, ma il token non è stato trovato nella richiesta o il token specificato è scaduto.
AADSTS50169	InvalidRequestBadRealm: l'area di autenticazione non è un'area di autenticazione configurata dello spazio dei nomi del servizio corrente.
AADSTS50170	MissingExternalClaimsProviderMapping: il mapping dei controlli esterni è mancante.
AADSTS50173	FreshTokenNeeded: la concessione fornita è scaduta a causa della revoca ed è necessario un nuovo token di autenticazione. Un amministratore o un utente ha revocato i token per questo utente, causando l'esito negativo degli aggiornamenti del token successivi e la richiesta di riautenticazione. Chiedere di nuovo all'utente di accedere.
AADSTS50177	ExternalChallengeNotSupportedForPassthroughUsers: la richiesta di verifica esterna non è supportata per gli utenti pass-through.
AADSTS50178	SessionControlNotSupportedForPassthroughUsers: il controllo della sessione non è supportato per gli utenti pass-through.
AADSTS50180	WindowsIntegratedAuthMissing: è necessaria l'autenticazione integrata di Windows. Abilitare il tenant per Seamless SSO.
AADSTS50187	DeviceInformationNotProvided: il servizio non è stato in grado di eseguire l'autenticazione del dispositivo.
AADSTS50192	Richiesta non valida - RawCredentialExpectedNotFound - Nessuna credenziale è stata inclusa nella richiesta di accesso. Esempio: l'utente esegue l'autenticazione basata su certificati (CBA) e a nessun certificato viene inviato (o il proxy lo rimuove) il certificato dell'utente nella richiesta di accesso.
AADSTS50194	L'applicazione '{appId}'({appName}) non è configurata come applicazione multi-tenant. L'utilizzo dell'endpoint /common non è supportato per tali applicazioni create dopo '{time}'. Usare un endpoint specifico del tenant o configurare l'applicazione come multi-tenant.
AADSTS50196	LoopDetected: è stato rilevato un ciclo client. Controllare la logica dell'app per assicurarsi che la memorizzazione nella cache dei token sia implementata e che le condizioni di errore vengano gestite correttamente. L'app ha effettuato un numero eccessivo della stessa richiesta in un periodo troppo breve, il che indica che si trova in uno stato difettoso o che richiede illegittimamente dei token.
AADSTS50197	ConflictingIdentities: non è stato possibile trovare l'utente. Provare a eseguire di nuovo l'accesso.
AADSTS50199	CmsiInterrupt: per motivi di sicurezza è necessaria la conferma dell'utente per questa richiesta. L'interrupt viene visualizzato per tutti i reindirizzamenti dello schema nei browser per dispositivi mobili. Nessuna azione richiesta. All'utente è stato chiesto di confermare che l'app è l'applicazione a cui ha intenzione di accedere. Si tratta di una funzionalità di sicurezza che consente di evitare attacchi di spoofing. Ciò si verifica perché è stata usata una visualizzazione Web di sistema per richiedere un token per un'applicazione nativa. Per evitare questo prompt, l'URI di reindirizzamento deve far parte dell'elenco sicuro seguente: http:// https:// chrome-extension:// (solo browser Chrome desktop)
AADSTS51000	RequiredFeatureNotEnabled: la funzionalità è disabilitata.
AADSTS51001	DomainHintMustbePresent: deve essere presente il suggerimento di dominio con l'ID di sicurezza locale o l'UPN locale.
AADSTS1000104	XCB2BResourceCloudNotAllowedOnIdentityTenant - Il cloud delle risorse {resourceCloud} non è consentito nel tenant di identità {identityTenant}. {resourceCloud} - Istanza cloud proprietaria della risorsa. {identityTenant} : è il tenant da cui proviene l'identità di accesso.
AADSTS51004	UserAccountNotInDirectory: l'account utente non è presente nella directory. Un'applicazione ha probabilmente scelto il tenant errato per accedere e all'utente attualmente connesso è stato impedito di farlo perché non era presente nel tenant. Se l'utente deve eseguire l'accesso, aggiungerlo come guest. Per altre informazioni vedere Aggiungere utenti B2B.
AADSTS51005	TemporaryRedirect: equivale allo stato HTTP 307, che indica che le informazioni richieste si trovano nell'URI specificato nell'intestazione location. Quando viene restituito questo stato, seguire l'intestazione location associata alla risposta. Quando il metodo di richiesta originale è POST, anche la richiesta reindirizzata userà il metodo POST.
AADSTS51006	ForceReauthDueToInsufficientAuth: è necessaria l'autenticazione integrata di Windows. L'utente ha eseguito l'accesso con un token di sessione in cui manca l'attestazione di autenticazione integrata di Windows. Chiedere all'utente di ripetere l'accesso.
AADSTS52004	DelegationDoesNotExistForLinkedIn: l'utente non ha fornito il proprio consenso per l'accesso a risorse di LinkedIn.
AADSTS53000	DeviceNotCompliant: i Criteri di accesso condizionale richiedono un dispositivo conforme, ma il dispositivo non è conforme. L'utente deve registrare il dispositivo con un provider MDM approvato, come Intune. Per altre informazioni vedere Correzione del dispositivo per l'accesso condizionale.
AADSTS53001	DeviceNotDomainJoined: i Criteri di accesso condizionale richiede un dispositivo aggiunto al dominio, ma il dispositivo non è aggiunto al dominio. Chiedere all'utente di usare un dispositivo aggiunto al dominio.
AADSTS53002	ApplicationUsedIsNotAnApprovedApp: l'app usata non è un'app approvata per l'accesso condizionale. L'utente deve usare una delle app incluse nell'elenco delle app approvate per l'uso per ottenere l'accesso.
AADSTS53003	BlockedByConditionalAccess: l'accesso è stato bloccato da Criteri di accesso condizionale. Il criterio di accesso non permette il rilascio di token. In caso di problemi imprevisti, vedere i criteri di accesso condizionale applicati a questa richiesta o contattare l'amministratore. Per altre informazioni vedere Risoluzione dei problemi di accesso con l'accesso condizionale.
AADSTS530035	BlockedBySecurityDefaults: l'accesso è stato bloccato dalle impostazioni predefinite per la sicurezza. Ciò è dovuto alla richiesta che usa l'autenticazione legacy o viene considerata non sicura dai criteri di sicurezza predefiniti. Per altre informazioni visitare i criteri di sicurezza applicati.
AADSTS53004	ProofUpBlockedDueToRisk: l'utente deve completare il processo di registrazione dell'autenticazione a più fattori prima di accedere al contenuto. L'utente deve eseguire la registrazione per l'autenticazione a più fattori.
AADSTS53010	ProofUpBlockedDueToSecurityInfoAcr: non è possibile configurare metodi di autenticazione a più fattori perché l'organizzazione richiede che queste informazioni siano impostate da posizioni o dispositivi specifici.
AADSTS53011	Utente bloccato a causa del rischio nel tenant principale.
AADSTS530034	DelegatedAdminBlockedDueToSuspiciousActivity: un amministratore delegato non è riuscito ad accedere al tenant a causa del rischio dell'account nel tenant principale.
AADSTS54000	MinorUserBlockedLegalAgeGroupRule
AADSTS54005	Codice di autorizzazione OAuth2 già riscattato, riprovare con un nuovo codice valido o usare un token di aggiornamento esistente.
AADSTS65001	DelegationDoesNotExist: l'utente o l'amministratore non ha acconsentito all'uso dell'applicazione con ID X. Inviare una richiesta di autorizzazione interattiva per questo utente e questa risorsa.
AADSTS65002	Il consenso tra l'applicazione di prima parte '{applicationId}' e la risorsa di prima parte '{resourceId}' deve essere configurato tramite la preautenticazione. Le applicazioni di proprietà e gestite da Microsoft devono ottenere l'approvazione dal proprietario dell'API prima di richiedere token per tale API. Uno sviluppatore nel tenant potrebbe tentare di riutilizzare un ID app di proprietà di Microsoft. Questo errore impedisce loro di rappresentare un'applicazione Microsoft per chiamare altre API. Devono passare a un altro ID app registrato.
AADSTS65004	UserDeclinedConsent: l'utente ha rifiutato il consenso per l'accesso all'app. Chiedere all'utente di riprovare ad accedere e fornire il consenso per l'app.
AADSTS65005	MisconfiguredApplication: l'elenco di accesso alle risorse necessarie per l'applicazione non contiene app individuabili dalla risorsa, l'app client ha richiesto l'accesso a una risorsa non specificata nell'elenco di accesso alle risorse necessarie oppure il servizio Graph ha restituito una risposta di richiesta non valida o di risorsa non trovata. Se l'app supporta SAML, potrebbe essere stata configurata con l'identificatore errato (entità). Per altre informazioni, vedere l'articolo sulla risoluzione dei problemi relativi all'errore AADSTS650056.
AADSTS650052	L'app deve accedere a un servizio (\"{name}\") a cui l'organizzazione \"{organization}\" non ha eseguito la sottoscrizione o l'abilitazione. Contattare l'amministratore IT per verificare la configurazione delle sottoscrizioni del servizio.
AADSTS650054	L'applicazione ha richiesto le autorizzazioni per accedere a una risorsa che è stata rimossa o non è più disponibile. Assicurarsi che tutte le risorse chiamate dall'app siano presenti nel tenant in cui si sta operando.
AADSTS650056	Misconfigured application (Applicazione non configurata correttamente). L'inconveniente potrebbe essere causato da uno dei motivi seguenti: il client non ha elencato alcuna autorizzazione per "{nome}" nelle autorizzazioni richieste nella registrazione dell'applicazione del client. Oppure, l'amministratore non ha fornito il consenso nel tenant. In alternativa, controllare l'identificatore dell'applicazione nella richiesta per assicurarsi che corrisponda all'identificatore dell'applicazione client configurato. In alternativa, controllare il certificato nella richiesta per assicurarsi che sia valido. Contattare l'amministratore per correggere la configurazione o il consenso per conto del tenant. ID app del client: {ID}. Contattare l'amministratore per correggere la configurazione o il consenso per conto del tenant.
AADSTS650057	La risorsa non è valida. Il client ha richiesto l'accesso a una risorsa che non è elencata nelle autorizzazioni richieste nella registrazione dell'applicazione del client. ID app client: {appId}({appName}). Valore della risorsa dalla richiesta: {resource}. ID app risorsa: {resourceAppId}. Elenco di risorse valide dalla registrazione dell'app: {regList}.
AADSTS67003	ActorNotValidServiceIdentity
AADSTS70000	InvalidGrant: autenticazione non riuscita. Il token di aggiornamento non è valido. Errore potrebbe essere dovuto dai motivi seguenti: L'intestazione di associazione di token è vuota L'hash di associazione di token non corrisponde
AADSTS70001	UnauthorizedClient: l'applicazione è disabilitata. Per altre informazioni vedere l'articolo sulla risoluzione dei problemi relativi all'errore AADSTS70001.
AADSTS700011	UnauthorizedClientAppNotFoundInOrgIdTenant - L'applicazione con identificatore {appIdentifier} non è stata trovata nella directory. Un'applicazione client ha richiesto un token dal tenant, ma l'app client non esiste nel tenant, quindi la chiamata non è riuscita.
AADSTS70002	InvalidClient: errore di convalida delle credenziali. Il valore di client_secret specificato non corrisponde al valore previsto per questo client. Correggere il valore di client_secret e riprovare. Per altre informazioni, vedere Usare un codice di autorizzazione per richiedere un token di accesso.
AADSTS700025	InvalidClientPublicClientWithCredential: il client è pubblico, quindi non devono essere presentati 'client_assertion' né 'client_secret'.
AADSTS700027	La convalida della firma dell'asserzione client non è riuscita. Errore dello sviluppatore: l'app sta tentando di accedere senza i parametri di autenticazione necessari o corretti.
AADSTS70003	UnsupportedGrantType: l'app ha restituito un tipo di concessione non supportato.
AADSTS700030	Certificato non valido: il nome soggetto nel certificato non è autorizzato. SubjectNames/SubjectAlternativeNames (fino a 10) nel certificato del token sono: {certificateSubjects}.
AADSTS70004	InvalidRedirectUri: l'app ha restituito un URI di reindirizzamento non valido. L'indirizzo di reindirizzamento specificato dal client non corrisponde ad alcun indirizzo configurato o ad alcun indirizzo nell'elenco OIDC approvato.
AADSTS70005	UnsupportedResponseType: l'app ha restituito un tipo di risposta non supportato a causa dei motivi seguenti: Il tipo di risposta "token" non è abilitato per l'app Il tipo di risposta "id_token"' richiede l'ambito "OpenID" o contiene un valore di parametro OAuth non supportato nell'elemento wctx codificato
AADSTS700054	Response_type 'id_token' non è abilitato per l'applicazione. L'applicazione ha richiesto un token ID dall'endpoint di autorizzazione, ma non ha abilitato la concessione implicita del token ID. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come un Amministratore applicazione cloud, quindi passare a Identità>Applicazioni>Registrazioni app. Selezionare l'applicazione e quindi selezionare Autenticazione. In Concessione implicita e flussi ibridi verificare che token ID sia selezionato.
AADSTS70007	UnsupportedResponseMode: l'app ha restituito un valore non supportato per response_mode durante la richiesta di un token.
AADSTS70008	ExpiredOrRevokedGrant: il token di aggiornamento è scaduto a causa di inattività. Il token è stato rilasciato in data XXX ed è rimasto inattivo per un certo periodo di tempo.
AADSTS700082	ExpiredOrRevokedGrantInactiveToken: il token di aggiornamento è scaduto a causa di inattività. Il token è stato rilasciato in {issueDate} ed è stato inattivo per {time}. Parte prevista del ciclo di vita del token: è trascorso un prolungato periodo di tempo senza che l'utente usasse l'applicazione, quindi il token è scaduto quando l'app ha tentato di aggiornarlo.
AADSTS700084	Il token di aggiornamento è stato rilasciato a un'app a pagina singola e pertanto ha una durata fissa e limitata di {time}, che non può essere estesa. È scaduto e una nuova richiesta di accesso deve essere inviata dall'applicazione a pagina di accesso. Il token è stato rilasciato in {issueDate}.
AADSTS70011	InvalidScope: l'ambito richiesto dall'app non è valido.
AADSTS70012	MsaServerError: si è verificato un errore del server durante l'autenticazione di un utente (consumer) dell'account del servizio gestito. Riprovare. Se il problema persiste, aprire un ticket di supporto.
AADSTS70016	AuthorizationPending: errore del flusso del dispositivo OAuth 2.0. L'autorizzazione è in sospeso. Il dispositivo ritenterà il polling della richiesta.
AADSTS70018	BadVerificationCode: codice di verifica non valido a causa di un errore di digitazione del codice per il flusso del codice del dispositivo da parte dell'utente. L'autorizzazione non è approvata.
AADSTS70019	CodeExpired: il codice di verifica è scaduto. Chiedere all'utente di ripetere l'accesso.
AADSTS70043	BadTokenDueToSignInFrequency - il token di aggiornamento è scaduto o non è valido a causa dei controlli relativi alla frequenza di accesso tramite l'Accesso condizionale. Il token è stato rilasciato in {issueDate} e la durata massima consentita per questa richiesta è {time}.
AADSTS75001	BindingSerializationError: si è verificato un errore durante l'associazione di messaggi SAML.
AADSTS75003	UnsupportedBindingError: l'app ha restituito un errore relativo a un'associazione non supportata (la risposta del protocollo SAML non può essere inviata tramite associazioni diverse da HTTP POST).
AADSTS75005	Saml2MessageInvalid: Microsoft Entra non supporta la richiesta di SAML inviata dall'app per SSO. Per altre informazioni vedere l'articolo sulla risoluzione dei problemi relativi all'errore AADSTS75005.
AADSTS7500514	Non è stato trovato un tipo supportato di risposta SAML. I tipi di risposta supportati sono 'Response' (nello spazio dei nomi XML 'urn:oasis:names:tc:SAML:2.0:protocol') o 'Assertion' (nello spazio dei nomi XML 'urn:oasis:names:tc:SAML:2.0:assertion'). Errore dell'applicazione: lo sviluppatore gestirà questo errore.
AADSTS750054	SAMLRequest o SAMLResponse devono essere presenti come parametri di stringa di query nella richiesta HTTP per il binding di reindirizzamento SAML. Per altre informazioni vedere l'articolo sulla risoluzione dei problemi relativi all'errore AADSTS750054.
AADSTS75008	RequestDeniedError: la richiesta inviata dall'app è stata negata perché la richiesta SAML contiene una destinazione imprevista.
AADSTS75011	NoMatchedAuthnContextInOutputClaims: il metodo di autenticazione usato dall'utente per il servizio non corrisponde al metodo di autenticazione richiesto. Per altre informazioni vedere l'articolo sulla risoluzione dei problemi relativi all'errore AADSTS75011.
AADSTS75016	Saml2AuthenticationRequestInvalidNameIDPolicy: la richiesta di autenticazione SAML2 contiene un elemento NameIdPolicy non valido.
AADSTS76021	ApplicationRequiresSignedRequests: la richiesta inviata dal client non è firmata mentre l'applicazione richiede richieste firmate
AADSTS76026	RequestIssueTimeExpired: IssueTime in una richiesta di autenticazione SAML2 è scaduta.
AADSTS80001	OnPremiseStoreIsNotAvailable: l'agente di autenticazione non è in grado di connettersi ad Active Directory. Verificare che i server degli agenti siano membri della stessa foresta AD degli utenti le cui password devono essere convalidate e che siano in grado di connettersi ad Active Directory.
AADSTS80002	OnPremisePasswordValidatorRequestTimedout: si è verificato il timeout della richiesta di convalida della password. Verificare che Active Directory sia disponibile e risponda alle richieste degli agenti.
AADSTS80005	OnPremisePasswordValidatorUnpredictableWebException: si è verificato un errore sconosciuto durante l'elaborazione della risposta dall'agente di autenticazione. ripetere la richiesta. Se il problema persiste, aprire un ticket di supporto per ottenere altri dettagli sull'errore.
AADSTS80007	OnPremisePasswordValidatorErrorOccurredOnPrem: l'agente di autenticazione non riesce a convalidare la password dell'utente. Controllare i log dell'agente per altre informazioni e verificare che Active Directory funzioni come previsto.
AADSTS80010	OnPremisePasswordValidationEncryptionException: l'agente di autenticazione non riesce a decrittografare la password.
AADSTS80012	OnPremisePasswordValidationAccountLogonInvalidHours: gli utenti hanno tentato di eseguire l'accesso al di fuori delle ore consentite (specificate in Active Directory).
AADSTS80013	OnPremisePasswordValidationTimeSkew: non è stato possibile completare il tentativo di autenticazione a causa di uno sfasamento dell'ora tra il computer che esegue l'agente di autenticazione e Active Directory. Correggere i problemi di sincronizzazione dell'ora.
AADSTS80014	OnPremisePasswordValidationAuthenticationAgentTimeout: la richiesta di convalida ha risposto dopo il superamento del tempo massimo trascorso. Apri un ticket di supporto con codice errore, ID di correlazione e timestamp per ottenere altri dettagli su questo errore.
AADSTS81004	DesktopSsoIdentityInTicketIsNotAuthenticated: un tentativo di autenticazione Kerberos non è riuscito.
AADSTS81005	DesktopSsoAuthenticationPackageNotSupported: il pacchetto di autenticazione non è supportato.
AADSTS81006	DesktopSsoNoAuthorizationHeader: non è stata trovata alcuna intestazione dell'autorizzazione.
AADSTS81007	DesktopSsoTenantIsNotOptIn: il tenant non è abilitato per Seamless SSO.
AADSTS81009	DesktopSsoAuthorizationHeaderValueWithBadFormat: non è stato possibile convalidare il ticket Kerberos dell'utente.
AADSTS81010	DesktopSsoAuthTokenInvalid: l'accesso Seamless SSO non è riuscito perché il ticket Kerberos dell'utente è scaduto o non è valido.
AADSTS81011	DesktopSsoLookupUserBySidFailed: non è stato possibile trovare l'oggetto utente in base alle informazioni contenute nel ticket Kerberos dell'utente.
AADSTS81012	DesktopSsoMismatchBetweenTokenUpnAndChosenUpn: l'utente che sta tentando di accedere a Microsoft Entra ID è diverso dall'utente che ha effettuato l'accesso al dispositivo.
AADSTS90002	InvalidTenantName: il nome del tenant non è stato trovato nell'archivio dati. Verificare di avere l'ID tenant corretto. Lo sviluppatore dell'applicazione riceverà questo errore se l'app tenta di accedere a un tenant che non è possibile trovare. Spesso, ciò è dovuto al fatto che un'app cross-cloud è stata usata nel cloud sbagliato o lo sviluppatore ha tentato di accedere a un tenant derivato da un indirizzo di posta elettronica, ma il dominio non è registrato.
AADSTS90004	InvalidRequestFormat: la richiesta non ha un formato corretto.
AADSTS90005	InvalidRequestWithMultipleRequirements: non è possibile completare la richiesta. La richiesta non è valida perché l'identificatore e l'hint di accesso non possono essere usati insieme.
AADSTS90006	ExternalServerRetryableError: il servizio è temporaneamente non disponibile.
AADSTS90007	InvalidSessionId: richiesta non valida. L'ID sessione passato non può essere analizzato.
AADSTS90008	TokenForItselfRequiresGraphPermission: l'utente o l'amministratore non ha acconsentito all'uso dell'applicazione. Come minimo, l'applicazione richiede l'accesso a Microsoft Entra ID, specificando l'autorizzazione di accesso e di lettura del profilo utente.
AADSTS90009	TokenForItselfMissingIdenticalAppIdentifier: l'applicazione richiede un token per se stessa. Questo scenario è supportato solo se la risorsa specificata usa l'ID applicazione basato su GUID.
AADSTS90010	NotSupported: non è possibile creare l'algoritmo.
AADSTS9001023	il tipo di concessione non è supportato tramite gli endpoint /common o /consumers. Usare /organizations o l'endpoint specifico del tenant.
AADSTS90012	RequestTimeout: la richiesta è scaduta.
AADSTS90013	InvalidUserInput: l'input dell'utente non è valido.
AADSTS90014	MissingRequiredField: questo codice di errore può essere restituito in diversi casi quando un campo previsto non è presente nelle credenziali.
AADSTS900144	Il corpo della richiesta deve contenere il parametro seguente: '{name}'. Errore dello sviluppatore: l'app sta tentando di accedere senza i parametri di autenticazione necessari o corretti.
AADSTS90015	QueryStringTooLong: la stringa di query è troppo lunga.
AADSTS90016	MissingRequiredClaim: il token di accesso non è valido. L'attestazione necessaria è mancante.
AADSTS90019	MissingTenantRealm: Microsoft Entra ID non è riuscito a determinare l'identificatore del tenant dalla richiesta.
AADSTS90020	L'asserzione SAML 1.1 manca immutableID dell'utente. Errore dello sviluppatore: l'app sta tentando di accedere senza i parametri di autenticazione necessari o corretti.
AADSTS90022	AuthenticatedInvalidPrincipalNameFormat: il nome dell'entità ha un formato non valido o non soddisfa il formato name[/host][@realm] previsto. Il nome dell'entità è obbligatorio, l'host e l'area di autenticazione sono facoltativi e possono essere impostati su null.
AADSTS90023	InvalidRequest: la richiesta di servizio di autenticazione non è valida.
AADSTS900236	InvalidRequestSamlPropertyUnsupported: la proprietà della richiesta di autenticazione SAML '{propertyName}' non è supportata e non deve essere impostata.
AADSTS9002313	InvalidRequest: la richiesta non è valida o non è valida. - Il problema si verifica perché si è verificato un problema con la richiesta a un determinato endpoint. Il suggerimento per la risoluzione di questo problema consiste nell'ottenere una traccia fiddler dell'errore che si è verificato e cercare di verificare se la richiesta è formattata correttamente o meno.
AADSTS9002332	L'applicazione '{principalId}'({principalName}) è configurata solo per l'uso da parte degli utenti di Microsoft Entra. Non usare l'endpoint /consumer per gestire questa richiesta.
AADSTS90024	RequestBudgetExceededError: si è verificato un errore temporaneo. Riprovare.
AADSTS90027	Non è possibile emettere token da questa versione dell'API nel tenant MSA. Contattare il fornitore dell'applicazione perché deve usare la versione 2.0 del protocollo per supportarlo.
AADSTS90033	MsodsServiceUnavailable: Microsoft Online Directory Service (MSODS) non è disponibile.
AADSTS90036	MsodsServiceUnretryableFailure: si è verificato un errore imprevisto irreversibile relativo al servizio WCF ospitato da MSODS. Aprire un ticket di supporto per ottenere altri dettagli sull'errore.
AADSTS90038	NationalCloudTenantRedirection: il tenant specificato "Y" appartiene al cloud nazionale "X". L'istanza cloud "Z" corrente non è federata con "X". Viene restituito un errore di reindirizzamento al cloud.
AADSTS900384	Convalida della firma del token JWT non riuscita. Il contenuto effettivo del messaggio è specifico del runtime, esistono diverse cause per questo errore. Per informazioni dettagliate, vedere il messaggio di eccezione restituito.
AADSTS90043	NationalCloudAuthCodeRedirection: la funzionalità è disabilitata.
AADSTS900432	Il client riservato non è supportato nella richiesta Cross Cloud.
AADSTS90051	InvalidNationalCloudId: l'identificatore del cloud nazionale contiene un identificatore del cloud non valido.
AADSTS90055	TenantThrottlingError: sono presenti troppe richieste in ingresso. Questa eccezione viene generata per i tenant bloccati.
AADSTS90056	BadResourceRequest: per riscattare il codice per un token di accesso, l'app deve inviare una richiesta POST all'endpoint /token. Prima di questa operazione, inoltre, è necessario fornire un codice di autorizzazione e inviarlo nella richiesta POST all'endpoint /token. Fare riferimento a questo articolo per una panoramica del flusso del codice di autorizzazione OAuth 2.0. Reindirizzare l'utente all'endpoint /authorize, che restituirà un elemento authorization_code. Inviando una richiesta all'endpoint /token, l'utente ottiene il token di accesso. Controllare Registrazioni app > Endpoint per verificare che i due endpoint siano stati configurati correttamente.
AADSTS900561	BadResourceRequestInvalidRequest: l'endpoint accetta solo le richieste {valid_verbs}. È stata ricevuta una richiesta {invalid_verb}. {valid_verbs} rappresenta un elenco di verbi HTTP supportati dall'endpoint (ad esempio POST), {invalid_verb} è un verbo HTTP usato nella richiesta corrente, ad esempio GET. Ciò può essere dovuto a un errore dello sviluppatore o a causa di utenti che premono il pulsante Indietro nel browser, attivando una richiesta non valida. Può essere ignorata.
AADSTS90072	PassThroughUserMfaError: l'account esterno usato dall'utente per accedere non esiste nel tenant in cui l'utente ha effettuato l'accesso. Di conseguenza, l'utente non può soddisfare i requisiti di MFA per il tenant. Questo errore può verificarsi anche se gli utenti sono sincronizzati, ma esiste una mancata corrispondenza nell'attributo ImmutableID (sourceAnchor) tra Active Directory e Microsoft Entra ID. L'account deve essere prima di tutto aggiunto come utente esterno nel tenant. Disconnettersi e accedere con un account utente Microsoft Entra diverso. Per altre informazioni vedere Configurazione di identità esterne.
AADSTS90081	OrgIdWsFederationMessageInvalid: si è verificato un errore quando il servizio ha tentato di elaborare un messaggio WS-Federation. Il messaggio non è valido.
AADSTS90082	OrgIdWsFederationNotSupported: il criterio di autenticazione selezionato per la richiesta non è attualmente supportato.
AADSTS90084	OrgIdWsFederationGuestNotAllowed: gli account guest non sono consentiti per questo sito.
AADSTS90085	OrgIdWsFederationSltRedemptionFailed: il servizio non è in grado di rilasciare un token perché non è stato ancora effettuato il provisioning dell'oggetto aziendale.
AADSTS90086	OrgIdWsTrustDaTokenExpired: il token DA dell'utente è scaduto.
AADSTS90087	OrgIdWsFederationMessageCreationFromUriFailed: si è verificato un errore durante la creazione del messaggio WS-Federation dall'URI.
AADSTS90090	GraphRetryableError: il servizio è temporaneamente non disponibile.
AADSTS90091	GraphServiceUnreachable
AADSTS90092	GraphNonRetryableError
AADSTS90093	GraphUserUnauthorized: Graph ha restituito un codice di errore di richiesta non consentita.
AADSTS90094	AdminConsentRequired: è necessario il consenso dell'amministratore.
AADSTS900382	Il client riservato non è supportato nella richiesta Cross Cloud.
AADSTS90095	AdminConsentRequiredRequestAccess: nell'esperienza del flusso di lavoro di consenso amministratore viene visualizzato un interrupt quando all'utente viene richiesto di chiedere il consenso dell'amministratore.
AADSTS90099	L'applicazione '{appId}' ({appName}) non è stata autorizzata nel tenant '{tenant}'. Le applicazioni devono essere autorizzate ad accedere al tenant esterno prima che gli amministratori delegati del partner possano usarle. Fornire il pre-consenso o eseguire l'API appropriata del Centro per i partner per autorizzare l'applicazione.
AADSTS900971	Nessun indirizzo di risposta specificato.
AADSTS90100	InvalidRequestParameter: il parametro è vuoto o non valido.
AADSTS901002	AADSTS901002: il parametro di richiesta 'resource' non è supportato.
AADSTS90101	InvalidEmailAddress: i dati forniti non sono un indirizzo di posta elettronica valido. L'indirizzo di posta elettronica deve avere questo formato: someone@example.com.
AADSTS90102	InvalidUriParameter: il valore deve essere un URI assoluto valido.
AADSTS90107	InvalidXml: la richiesta non è valida. Assicurarsi che i dati non contengano caratteri non validi.
AADSTS90112	L'identificatore dell'applicazione deve essere un GUID.
AADSTS90114	InvalidExpiryDate: il timestamp di scadenza del token di massa causerà il rilascio di un token scaduto.
AADSTS90117	InvalidRequestInput
AADSTS90119	InvalidUserCode: il codice utente è null o vuoto.
AADSTS90120	InvalidDeviceFlowRequest: la richiesta è stata già autorizzata o rifiutata.
AADSTS90121	InvalidEmptyRequest: richiesta vuota non valida.
AADSTS90123	IdentityProviderAccessDenied: il token non può essere rilasciato perché il provider di rilascio di attestazioni o identità ha rifiutato la richiesta.
AADSTS90124	V1ResourceV2GlobalEndpointNotSupported: la risorsa non è supportata negli endpoint /common o /consumers. Usare invece /organizations o l'endpoint specifico del tenant.
AADSTS90125	DebugModeEnrollTenantNotFound: l'utente non è presente nel sistema. Assicurarsi di aver immesso correttamente il nome utente.
AADSTS90126	DebugModeEnrollTenantNotInferred: il tipo di utente non è supportato in questo endpoint. Il sistema non può dedurre il tenant dell'utente dal nome utente.
AADSTS90130	NonConvergedAppV2GlobalEndpointNotSupported: l'applicazione non è supportata negli endpoint /common o /consumers. Usare invece /organizations o l'endpoint specifico del tenant.
AADSTS120000	PasswordChangeIncorrectCurrentPassword
AADSTS120002	PasswordChangeInvalidNewPasswordWeak
AADSTS120003	PasswordChangeInvalidNewPasswordContainsMemberName
AADSTS120004	PasswordChangeOnPremComplexity
AADSTS120005	PasswordChangeOnPremSuccessCloudFail
AADSTS120008	PasswordChangeAsyncJobStateTerminated: si è verificato un errore irreversibile.
AADSTS120011	PasswordChangeAsyncUpnInferenceFailed
AADSTS120012	PasswordChangeNeedsToHappenOnPrem
AADSTS120013	PasswordChangeOnPremisesConnectivityFailure
AADSTS120014	PasswordChangeOnPremUserAccountLockedOutOrDisabled
AADSTS120015	PasswordChangeADAdminActionRequired
AADSTS120016	PasswordChangeUserNotFoundBySspr
AADSTS120018	PasswordChangePasswordDoesnotComplyFuzzyPolicy
AADSTS120020	PasswordChangeFailure
AADSTS120021	PartnerServiceSsprInternalServiceError
AADSTS130004	NgcKeyNotFound: per l'entità utente non è configurata la chiave ID NGC.
AADSTS130005	NgcInvalidSignature: la verifica della firma della chiave NGC non è riuscita.
AADSTS130006	NgcTransportKeyNotFound: la chiave di trasporto NGC non è configurata nel dispositivo.
AADSTS130007	NgcDeviceIsDisabled: il dispositivo è disabilitato.
AADSTS130008	NgcDeviceIsNotFound: il dispositivo cui fa riferimento la chiave NGC non è stato trovato.
AADSTS135010	KeyNotFound
AADSTS135011	Il dispositivo usato durante l'autenticazione è disabilitato.
AADSTS140000	InvalidRequestNonce: non è stata fornita la chiave nonce della richiesta.
AADSTS140001	InvalidSessionKey: la chiave della sessione non è valida.
AADSTS165004	Il contenuto effettivo del messaggio è specifico del runtime. Per informazioni dettagliate, vedere il messaggio di eccezione restituito.
AADSTS165900	InvalidApiRequest: richiesta non valida.
AADSTS220450	UnsupportedAndroidWebViewVersion: la versione di WebView per Chrome non è supportata.
AADSTS220501	InvalidCrlDownload
AADSTS221000	DeviceOnlyTokensNotSupportedByResource: la risorsa non è configurata per accettare token solo dispositivo.
AADSTS240001	BulkAADJTokenUnauthorized: l'utente non è autorizzato a registrare i dispositivi in Microsoft Entra ID.
AADSTS240002	RequiredClaimIsMissing: non è possibile usare id_token come concessione urn:ietf:params:oauth:grant-type:jwt-bearer.
AADSTS501621	ClaimsTransformationTimeoutRegularExpressionTimeout: timeout della sostituzione di espressioni regolari per la trasformazione delle attestazioni. Ciò indica che per questa applicazione potrebbe essere stata configurata un'espressione regolare troppo complessa. È possibile che un nuovo tentativo della richiesta abbia esito positivo. In caso contrario, contattare l'amministratore per correggere la configurazione.
AADSTS530032	BlockedByConditionalAccessOnSecurityPolicy: l'amministratore del tenant ha configurato un criterio di sicurezza che blocca questa richiesta. Verificare i criteri di sicurezza definiti a livello di tenant per determinare se la richiesta soddisfa i requisiti dei criteri.
AADSTS700016	UnauthorizedClient_DoesNotMatchRequest: l'applicazione non è stata trovata nella directory o nel tenant. Questa situazione può verificarsi se l'applicazione non è stata installata dall'amministratore del tenant o non è consentita da uno degli utenti nel tenant. È possibile che il valore dell'identificatore per l'applicazione sia stato configurato in modo errato o che la richiesta di autenticazione sia stata inviata al tenant sbagliato.
AADSTS700020	InteractionRequired: la concessione dell'accesso richiede l'interazione.
AADSTS700022	InvalidMultipleResourcesScope: il valore specificato per l'ambito del parametro di input non è valido perché contiene più di una risorsa.
AADSTS700023	InvalidResourcelessScope: il valore specificato per l'ambito del parametro di input non è valido quando è necessario un token di accesso.
AADSTS7000215	Viene fornito un segreto client non valido. Errore dello sviluppatore: l'app sta tentando di accedere senza i parametri di autenticazione necessari o corretti.
AADSTS7000218	Il corpo della richiesta deve contenere il parametro seguente: ‘client_assertion' o 'client_secret'.
AADSTS7000222	InvalidClientSecretExpiredKeysProvided: le chiavi del segreto client specificate sono scadute. Creare nuove chiavi per l'app o prendere in considerazione l'uso delle credenziali di certificato per una maggiore sicurezza: https://aka.ms/certCreds
AADSTS700229	ForbiddenTokenType: solo i token solo app possono essere usati come credenziali di identità federata per l'autorità emittente di Microsoft Entra. Usare un token di accesso solo app (generato durante un flusso di credenziali client) anziché un token di accesso delegato dall'utente (che rappresenta una richiesta proveniente da un contesto utente).
AADSTS700005	InvalidGrantRedeemAgainstWlationTenant: il codice di autorizzazione fornito è destinato all'uso per altri tenant, quindi viene rifiutato. Il codice di autorizzazione OAuth2 deve essere riscattato per lo stesso tenant per il quale è stato acquisito (/common o /{tenant-ID} in base alle esigenze)
AADSTS1000000	UserNotBoundError: l'API di associazione richiede che l'utente di Microsoft Entra esegua l'autenticazione anche con un provider di identità esterno e questa autenticazione non è stata ancora eseguita.
AADSTS1000002	BindCompleteInterruptError: l'associazione è stata completata correttamente, ma l'utente deve essere informato.
AADSTS100007	Microsoft Entra Regional supporta SOLO l'autenticazione per MSI OPPURE per le richieste da MSAL tramite SN+I per app 1P o app 3P nei tenant dell'infrastruttura Microsoft.
AADSTS1000031	Impossibile accedere all'applicazione {appDisplayName} al momento. Contattare l'amministratore.
AADSTS7000112	UnauthorizedClientApplicationDisabled: l'applicazione è disabilitata.
AADSTS7000114	L'applicazione 'appIdentifier' non è autorizzata a effettuare chiamate OBO dell'applicazione.
AADSTS7500529	Il valore 'SAMLId-Guid' non è un ID SAML valido: Microsoft Entra ID usa questo attributo per popolare l'attributo InResponseTo della risposta restituita. L'ID non deve iniziare con un numero, quindi una strategia comune consiste nell'anteporre una stringa come "ID" alla rappresentazione di stringa di un GUID. Ad esempio, id6c1c178c166d486687be4aaf5e482730 è un ID valido.
AADSTS9002341	V2Error: invalid_grant - l'utente deve consentire l'accesso Single Sign-On (SSO). Questo errore si verifica quando l'utente non ha concesso le autorizzazioni necessarie affinché l'applicazione possa eseguire l'accesso SSO. L'utente deve essere reindirizzato alla schermata di consenso per concedere le autorizzazioni necessarie. Per altre informazioni fare riferimento a questo annuncio.

Passaggi successivi

• In caso di domande o se non è possibile trovare le informazioni necessarie, creare un problema in GitHub oppure fare riferimento alle opzioni di supporto e assistenza per sviluppatori per informazioni su come ottenere supporto.