Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вам нужна информация о кодах ошибок AADSTS, которые возвращаются службой токенов безопасности Microsoft Entra? В этом документе приводятся описания ошибок AADSTS, методы их исправления и некоторые рекомендации по обходным путям.
Примечание.
Эта информация является предварительной и подлежит изменению. У вас есть вопрос или не можете найти нужную информацию? Создайте запрос в GitHub или ознакомьтесь с параметрами поддержки и справки для разработчиков, чтобы узнать о других способах получения справки и поддержки.
Эта документация предназначена для разработчиков и администраторов, но не должна быть ни в коем случае доступна клиенту. Коды ошибок могут быть изменены в любое время для предоставления более детализированных сообщений об ошибках, которые помогут разработчику при создании приложения. Приложения, зависящие от текста или кодов ошибок, со временем перестанут работать.
Просмотр сведений о текущем коде ошибки
Коды ошибок и сообщения могут изменяться. Для получения самых актуальных сведений ознакомьтесь со страницей https://login.microsoftonline.com/error, чтобы найти описания ошибок, исправления и некоторые возможные обходные пути AADSTS.
Например, если получен код ошибки "AADSTS50058", выполните поиск по запросу "50058" в https://login.microsoftonline.com/error. Можно также напрямую связать с определенной ошибкой, добавив номер кода ошибки к URL-адресу: https://login.microsoftonline.com/error?code=50058.
Обработка кодов ошибок в приложении
Спецификация OAuth2.0 содержит рекомендации по обработке ошибок во время проверки подлинности с помощью error части ответа об ошибке.
Ниже приведен пример ответа на ошибку:
{
"error": "invalid_scope",
"error_description": "AADSTS70011: The provided value for the input parameter 'scope' isn't valid. The scope https://example.contoso.com/activity.read isn't valid.\r\nTrace ID: 0000aaaa-11bb-cccc-dd22-eeeeee333333\r\nCorrelation ID: aaaa0000-bb11-2222-33cc-444444dddddd\r\nTimestamp: 2016-01-09 02:02:12Z",
"error_codes": [
70011
],
"timestamp": "2016-01-09 02:02:12Z",
"trace_id": "0000aaaa-11bb-cccc-dd22-eeeeee333333",
"correlation_id": "aaaa0000-bb11-2222-33cc-444444dddddd",
"error_uri":"https://login.microsoftonline.com/error?code=70011"
}
| Параметр | Описание |
|---|---|
error |
Строка кода ошибки, которую нужно использовать для классификации типов возникающих ошибок и реагирования на них. |
error_description |
Конкретное сообщение об ошибке, с помощью которого разработчик может определить причину возникновения ошибки проверки подлинности. Никогда не используйте это поле для реагирования на ошибку в коде. |
error_codes |
Список кодов ошибок, специфичных для STS, которые могут помочь при диагностике. |
timestamp |
Возвращает время, в течение которого произошла ошибка. |
trace_id |
Уникальный идентификатор для запроса, который может помочь при диагностике. |
correlation_id |
Уникальный идентификатор для запроса, который может помочь при диагностике нескольких компонентов. |
error_uri |
Ссылка на страницу поиска ошибок с дополнительными сведениями об ошибке. Это только для использования разработчиком, не предоставляйте его пользователям. Предоставляется только в том случае, если в системе поиска ошибок содержатся дополнительные сведения об ошибке — не вся ошибка содержит дополнительные сведения. |
Поле error содержит несколько возможных значений: просмотрите ссылки документации по протоколу и спецификации OAuth 2.0, чтобы узнать больше об определенных ошибках (например, authorization_pending) и о том, как реагировать на них. Некоторые из наиболее распространенных перечислены здесь:
| Код ошибки | Описание | Действие клиента |
|---|---|---|
invalid_request |
Ошибка протокола, например отсутствует обязательный параметр. | Исправьте запрос и отправьте его повторно. |
invalid_grant |
Некоторые материалы для проверки подлинности (код проверки подлинности, маркер обновления, маркер доступа, запрос PKCE) были недопустимыми, недоступными для анализа, отсутствующими или непригодными для использования другим способом. | Попробуйте новый запрос к конечной точке /authorize, чтобы получить новый код авторизации. Рассмотрите возможность просмотра и проверки использования протоколов приложением. |
unauthorized_client |
У клиента, прошедшего проверку подлинности, нет прав на использование этого типа авторизации. | Обычно это происходит, когда клиентское приложение не зарегистрировано в идентификаторе Microsoft Entra или не добавляется в клиент Microsoft Entra пользователя. Приложение может предложить пользователю инструкцию по установке приложения и его добавлению в идентификатор Microsoft Entra. |
invalid_client |
Сбой проверки подлинности клиента. | Неверные учетные данные клиента. Чтобы устранить эту проблему, администратор приложения обновляет учетные данные. |
unsupported_grant_type |
Сервер авторизации не поддерживает тип предоставления авторизации. | Измените тип предоставления в запросе. Ошибка этого типа должна происходить только во время разработки, и ее должны обнаружить при первоначальном тестировании. |
invalid_resource |
Целевой ресурс недопустим, так как он не существует, идентификатор Microsoft Entra id не может найти его или неправильно настроен. | Это означает, что ресурс, если он существует, не настроен в клиенте. Приложение может предложить пользователю инструкцию по установке приложения и его добавлению в идентификатор Microsoft Entra. Во время разработки это обычно указывает на неправильно настроенный тестовый клиент или опечатку в имени запрашиваемой области. |
interaction_required |
Для запроса требуется взаимодействие с пользователем. К примеру, требуется другой шаг проверки подлинности. | Повторите запрос с тем же ресурсом в интерактивном порядке, чтобы пользователь мог выполнить все необходимые требования. |
temporarily_unavailable |
Сервер временно занят и не может обработать запрос. | Повторите запрос. Из клиентского приложения может поступить сообщение о том, что его ответ задерживается из-за временного состояния. |
Коды ошибок AADSTS
| Ошибка | Описание |
|---|---|
| AADSTS16000 | InteractionRequired — учетная запись пользователя "{EmailHidden}" от поставщика удостоверений "{idp}" не существует в клиенте "{tenant}" и не может получить доступ к приложению "{appid}" ({appName}) в данном клиенте. Эта учетная запись должна быть добавлена в качестве внешнего пользователя в клиенте. Выйдите и войдите еще раз с помощью другой учетной записи пользователя Microsoft Entra. Эта ошибка довольно распространена при попытке входа в Центр администрирования Microsoft Entra с помощью личной учетной записи Майкрософт и без каталога, связанного с ним. |
| AADSTS16001 | UserAccountSelectionInvalid — эта ошибка возникает, если пользователь выбирает плитку, которую логика выбора сеанса отклоняет. Когда возникает эта ошибка, пользователю предоставляется возможность выбрать плитку или сеанс из обновленного списка либо выбрать другую учетную запись. Эта ошибка может возникнуть из-за дефекта кода или состояния гонки. |
| AADSTS16002 | AppSessionSelectionInvalid — требование SID, указанное приложением, не было выполнено. |
| AADSTS160021 | AppSessionSelectionInvalidSessionNotExist — приложение запросило сессию пользователя, которой не существует. Эту проблему можно устранить, создав новую учетную запись Azure. |
| AADSTS16003 | SsoUserAccountNotFoundInResourceTenant - пользователь не был специально добавлен в арендатора. |
| AADSTS17003 | CredentialKeyProvisioningFailed — Microsoft Entra ID не может сформировать ключ учетных данных пользователя. |
| AADSTS20001 | WsFedSignInResponseError — есть проблема с вашим федеративным поставщиком удостоверений. Обратитесь к своему поставщику удостоверений (IDP), чтобы решить эту проблему. |
| AADSTS20012 | WsFedMessageInvalid — возникла проблема с федеративным поставщиком идентификации. Обратитесь к своему поставщику удостоверений (IDP), чтобы решить эту проблему. |
| AADSTS20033 | FedMetadataInvalidTenantName — возникла проблема с вашим федеративным поставщиком удостоверений. Обратитесь к своему поставщику удостоверений (IDP), чтобы решить эту проблему. |
| AADSTS230109 | CachedCredentialNonGWAuthNRequestsNotSupported — служба резервного копирования поддерживает только запросы AuthN из шлюза Microsoft Entra. Эта ошибка возникает, когда трафик направляется непосредственно к резервной службе аутентификации, минуя обратный прокси-сервер. |
| AADSTS28002 | Указано недопустимое значение области входного параметра '{scope}' при запросе токена доступа. Укажите допустимую область. |
| AADSTS28003 | Предоставленное значение для области входного параметра не может быть пустым при запросе токена доступа с использованием предоставленного кода авторизации. Укажите допустимую область. |
| AADSTS399284 | InboundIdTokenIssuerInvalid — входной токен идентификатора, полученный в федерации, имеет недопустимого эмитента. Либо он пуст, либо не соответствует идентификатору области. |
| AADSTS40008 | OAuth2IdPUnretryableServerError — возникла проблема с вашим федеративным удостоверяющим центром. Обратитесь к своему поставщику удостоверений (IDP), чтобы решить эту проблему. |
| AADSTS40009 | OAuth2IdPRefreshTokenRedemptionUserError — возникла проблема с вашим федеративным поставщиком идентификации. Обратитесь к своему поставщику удостоверений (IDP), чтобы решить эту проблему. |
| AADSTS40010 | OAuth2IdPRetryableServerError — проблема с вашим федеральным поставщиком удостоверяющей информации. Обратитесь к своему поставщику удостоверений (IDP), чтобы решить эту проблему. |
| AADSTS40015 | OAuth2IdPAuthCodeRedemptionUserError — возникла проблема с вашим федеративным поставщиком удостоверений. Обратитесь к своему поставщику удостоверений (IDP), чтобы решить эту проблему. |
| AADSTS50000 | TokenIssuanceError — возникла проблема со службой входа. Откройте запрос в службу поддержки , чтобы устранить эту проблему. |
| AADSTS50001 | InvalidResource — запрошенный ресурс отключен или не существует. Проверьте код приложения и убедитесь, что вы указали правильный URL-адрес ресурса, к которому пытаетесь получить доступ. |
| AADSTS50002 | NotAllowedTenant: не удалось войти из-за ограниченного доступа через прокси на tenant. Если это ваша собственная политика клиента, вы можете устранить проблему, изменив параметры ограниченного доступа к клиенту. |
| AADSTS500011 | InvalidResourceServicePrincipalNotFound — ресурс-принципал с именем {name} не найден в арендаторе с именем {tenant}. Это может произойти, если приложение не установлено администратором арендатора или если любой пользователь в аренде не дал согласие на это. Возможно, вы отправили запрос на проверку подлинности в неверного арендатора. Если вы ожидаете, что приложение будет установлено, может потребоваться предоставить администратору разрешения для его добавления. Ознакомьтесь с разработчиками ресурса и приложения, чтобы понять, что такое правильная настройка для вашего клиента. |
| AADSTS500014 | ОшибкаInvalidResourceServicePrincipalDisabled — служебный принципал для ресурса "{идентификатор}" отключён. Это указывает на то, что подписка в клиенте истекла, или что администратор этого клиента отключил учетную запись службы приложения, что предотвращает выдачу токенов для него. Дополнительные сведения см. в разделе "Отключить вход пользователя для приложения". |
| AADSTS500021 | Доступ к клиенту "{tenant}" запрещен. AADSTS500021 указывает, что функция ограничения арендатора настроена и пользователь пытается получить доступ к арендатору, который не входит в список разрешенных арендаторов, указанных в заголовке Restrict-Access-To-Tenant. Дополнительные сведения см. в разделе "Использование ограничений клиента для управления доступом к облачным приложениям SaaS". |
| AADSTS500022 | Доступ к клиенту "{tenant}" запрещен. AADSTS500022 указывает, что функция ограничения арендатора настроена и пользователь пытается получить доступ к арендатору, который не входит в список разрешенных арендаторов, указанных в заголовке Restrict-Access-To-Tenant. Дополнительные сведения см. в разделе "Использование ограничений клиента для управления доступом к облачным приложениям SaaS". |
| AADSTS50003 | MissingSigningKey: не удалось войти из-за отсутствия ключа или сертификата для подписи. Возможно, в приложении не настроен ключ подписывания. Чтобы узнать больше, см. статью об устранении неполадок ошибки AADSTS50003. Если проблемы не удалось решить, обратитесь к владельцу или администратору приложения. |
| AADSTS50005 | DevicePolicyError — пользователь пытался войти на устройство с платформы, не поддерживаемой в настоящее время с помощью политики условного доступа. |
| AADSTS50006 | InvalidSignature: не удалось проверить подпись по причине ее недействительности. |
| AADSTS50007 | PartnerEncryptionCertificateMissing — сертификат шифрования партнера не найден для этого приложения. Откройте запрос в службу поддержки в Майкрософт, чтобы решить проблему. |
| AADSTS50008 | InvalidSamlToken — в токене отсутствует или неправильно настроена декларация SAML. Обратитесь к федеративному поставщику. |
| AADSTS5000224 | NotAllowedTenantBlockedTenantFraud. К сожалению, этот ресурс недоступен. Если вы видите это сообщение по ошибке, обратитесь в службу поддержки Майкрософт. |
| AADSTS5000819 | InvalidSamlTokenEmailMissingOrInvalid — утверждение SAML недействительно. Заявка на адрес электронной почты отсутствует или не соответствует домену из внешней сферы. |
| AADSTS50010 | AudienceUriValidationFailed — проверка URI аудитории для приложения не была выполнена, так как ни одна аудитория для токенов не была настроена. |
| AADSTS50011 | InvalidReplyTo — обратный адрес отсутствует, неправильно настроен или не соответствует обратным адресам, настроенным для приложения. В качестве решения добавьте этот отсутствующий адрес ответа в приложение Microsoft Entra или попросите кого-то, у кого есть разрешения на управление вашим приложением, сделать это за вас. Чтобы узнать больше, см. статью об устранении неполадок по ошибке AADSTS50011. |
| AADSTS50012 | AuthenticationFailed — сбой проверки подлинности по одной из следующих причин:
|
| AADSTS50013 | InvalidAssertion. Утверждение недопустимо по различным причинам. Издатель токена не соответствует версии API в рамках допустимого временного диапазона - срок действия истёк - искажен. Маркер обновления в утверждении не является основным маркером обновления. Обратитесь к разработчику приложений. |
| AADSTS500133 | Утверждение выходит за пределы допустимого временного диапазона. Убедитесь, что маркер доступа не истек, прежде чем использовать его для утверждения пользователя или запросить новый маркер. Текущее время: {curTime}, время истечения срока действия утверждения {expTime}. Утверждение недопустимо из-за различных причин:
|
| AADSTS50014 | GuestUserInPendingState — учетная запись пользователя не существует в каталоге. Скорее всего, приложение выбрало неправильного арендатора для входа, и пользователь, вошедший в систему, не смог это сделать, так как его не существовало у вашего арендатора. Если этот пользователь сможет войти в систему, добавьте их в качестве гостя. Дополнительные сведения см. в разделе "Добавление пользователей B2B". |
| AADSTS50015 | ViralUserLegalAgeConsentRequiredState: требуется согласие пользователя, достигшего совершеннолетия. |
| AADSTS50017 | CertificateValidationFailed — сбой проверки сертификации по одной из следующих причин:
|
| AADSTS500141 | Активация пользователя завершена, но запрос не был инициирован целевым приложением. |
| AADSTS5001256 | Не удалось пройти аутентификацию у внешнего поставщика из-за недействительного id_token. Сведения о сбое: {details} |
| AADSTS50020 | UserUnauthorized — пользователи не имеют разрешения для вызова этой конечной точки. Учетная запись пользователя "{email}" от поставщика удостоверений "{idp}" не существует в клиенте "{tenant}" и не может получить доступ к приложению "{appid}" ({appName}) в этом клиенте. Эта учетная запись должна быть добавлена в качестве внешнего пользователя в клиенте. Выйдите и войдите еще раз с помощью другой учетной записи пользователя Microsoft Entra. Если этот пользователь должен быть членом клиента, он должен быть приглашен через систему B2B. Для получения дополнительной информации посетите AADSTS50020. |
| AADSTS500207 | Тип учетной записи не может использоваться для ресурса, к которым вы пытаетесь получить доступ. |
| AADSTS500208 | Домен не является допустимым доменом входа для типа учетной записи. Эта ситуация возникает, когда учетная запись пользователя не соответствует ожидаемому типу учетной записи для данного клиента. Например, если клиент настроен на разрешение только рабочих или учебных учетных записей, а пользователь пытается войти с помощью личной учетной записи Майкрософт, он получит эту ошибку. |
| AADSTS500212 | NotAllowedByOutboundPolicyTenant — администратор пользователя установил политику исходящего доступа, которая не позволяет получить доступ к арендодателю ресурса. |
| AADSTS500213 | NotAllowedByInboundPolicyTenant — политика межарендаторского доступа арендатора ресурса не позволяет этому пользователю получить доступ к данному арендатору. |
| AADSTS50027 | InvalidJwtToken: недопустимый токен JWT по следующим причинам:
|
| AADSTS50029 | Недопустимый URI — доменное имя содержит недопустимые символы. Обратитесь к администратору клиента. |
| AADSTS50032 | WeakRsaKey — обозначает ошибочную попытку пользователя использовать слабый ключ RSA. |
| AADSTS50033 | RetryableError — обозначает временную ошибку, которая не связана с операциями базы данных. |
| AADSTS50034 | UserAccountNotFound — чтобы войти в приложение, учетная запись должна быть добавлена в каталог. Эта ошибка может возникать, так как пользователь неправильно ввел имя пользователя или не входит в арендатора. Возможно, приложение выбрало неправильного арендатора для входа в учетную запись, и текущий вошедший в систему пользователь не смог это сделать, поскольку он отсутствует у вашего арендатора. Если этот пользователь должен иметь возможность войти в систему, добавьте их в качестве гостя. Смотрите документацию здесь: Добавление пользователей B2B. |
| AADSTS50042 | UnableToGeneratePairwiseIdentifierWithMissingSalt — случайные данные, необходимые для создания парного идентификатора, отсутствует в принципе. Обратитесь к администратору клиента. |
| AADSTS50043 | Невозможно сгенерировать парный идентификатор с несколькими солями. |
| AADSTS50048 | SubjectMismatchesIssuer — субъект не соответствует заявлению эмитента в утверждении клиента. Обратитесь к администратору клиента. |
| AADSTS50049 | NoSuchInstanceForDiscovery — неизвестный или некорректный экземпляр. |
| AADSTS50050 | MalformedDiscoveryRequest: неправильный формат запроса. |
| AADSTS50053 | Эта ошибка может привести к двум разным причинам:
Чтобы определить, какая причина сбоя вызвала эту ошибку, войдите в Центр администрирования Microsoft Entra как минимум в роли администратора облачных приложений. Перейдите к клиенту Microsoft Entra, а затем Мониторинг и работоспособность>Журналы входа в систему. Найдите неудачный вход пользователя с кодом ошибки входа 50053 и проверьте причину сбоя. |
| AADSTS50055 | InvalidPasswordExpiredPassword — истек срок действия пароля. Срок действия пароля пользователя истек, поэтому действие его имени для входа или сеанса было прекращено. Им будет предложена возможность сбросить пароль самостоятельно, или можно попросить администратора сбросить его через сброс пароля пользователя с помощью Microsoft Entra ID. |
| AADSTS50056 | Недопустимый или пустой пароль: в каталоге нет пароля для этого пользователя. Пользователю нужно предложить ввести пароль еще раз. |
| AADSTS50057 | UserDisabled — учетная запись пользователя отключена. Объект-пользователь в Active Directory, используемый для этой учетной записи, отключен. Администратор может повторно включить эту учетную запись с помощью PowerShell |
| AADSTS50058 | UserInformationNotProvided — информации о сеансе недостаточно для выполнения единого входа. Это означает, что пользователь не вошёл в систему. Это распространенная ошибка, которая ожидается, когда пользователь не прошел проверку подлинности и еще не выполнил вход.
Если эта ошибка обнаружена в контексте единого входа, в котором пользователь ранее выполнил вход, это означает, что сеанс единого входа не найден или недопустим. Эта ошибка может быть возвращена приложению, если указано prompt=none. |
| AADSTS50059 | MissingTenantRealmAndNoUserInformationProvided. Идентификационная информация арендатора не найдена ни в запросе, ни не подразумевалась указанными учетными данными. Пользователь может обратиться к администратору арендатора для решения проблемы. |
| AADSTS50061 | SignoutInvalidRequest — не удалось завершить выход из системы. Запрос оказался недопустимым. |
| AADSTS50064 | CredentialAuthenticationError: сбой проверки учетных данных пользователя или пароля. |
| AADSTS50068 | SignoutInitiatorNotParticipant — выход не выполнен. Приложение, инициирующее выход, не является участником в текущем сеансе. |
| AADSTS50070 | SignoutUnknownSessionIdentifier — не удалось выйти из системы. В запросе на выход задается идентификатор имени, который не соответствует существующим сеансам. |
| AADSTS50071 | SignoutMessageExpired: срок действия запроса на выход истек. |
| AADSTS50072 | UserStrongAuthEnrollmentRequiredInterrupt — пользователь должен зарегистрироваться для двухфакторной (интерактивной) проверки подлинности. |
| AADSTS50074 | UserStrongAuthClientAuthNRequiredInterrupt — требуется строгая проверка подлинности, но пользователь не прошел проверку с использованием многофакторной аутентификации. |
| AADSTS50076 | UserStrongAuthClientAuthNRequired . Из-за изменений конфигурации, внесённых администратором, таких как политика условного доступа, применение для каждого пользователя, или из-за переезда в новое местоположение, пользователь должен использовать многофакторную проверку подлинности для доступа к ресурсу. Создайте новый запрос авторизации для доступа к ресурсу. |
| AADSTS50078 | UserStrongAuthExpired— срок действия многофакторной проверки подлинности истек из-за политик, настроенных администратором. Чтобы получить доступ к {resource}, необходимо обновить многофакторную проверку подлинности. |
| AADSTS50079 | UserStrongAuthEnrollmentRequired . Из-за изменений конфигурации, внесенных администратором, например политикой условного доступа, принудительного применения для каждого пользователя или из-за того, что пользователь переехал в новое расположение, пользователь должен использовать многофакторную проверку подлинности. Для завершения многофакторной проверки подлинности управляемому пользователю необходимо зарегистрировать информацию безопасности, в то время как федеративному пользователю нужно получить многофакторное утверждение от федеративного поставщика удостоверений. |
| AADSTS50085 | Для маркера обновления требуется имя входа IDP для социальных сетей. Пользователям следует выполнить повторную попытку входа с помощью имени пользователя и пароля. |
| AADSTS50086 | Ошибка SasNonRetryable (Невозможно повторить) |
| AADSTS50087 | SasRetryableError — во время строгой проверки подлинности произошла временная ошибка. Повторите попытку. |
| AADSTS50088 | Достигнут лимит на количество звонков многофакторной аутентификации в телекоммуникациях. Повторите попытку через несколько минут. |
| AADSTS50089 | Ошибка аутентификации из-за истечения срока действия токена потока. Ожидаемая ситуация — срок действия кодов проверки подлинности, маркеров обновления и сеансов истекает с течением времени либо их отменяет пользователь или администратор. Приложение запросит новое имя входа у пользователя. |
| AADSTS50097 | DeviceAuthenticationRequired — требуется проверка подлинности устройства. |
| AADSTS50098 | Текст JWT должен содержать "{field}". |
| AADSTS50099 | PKeyAuthInvalidJwtUnauthorized — недопустимая подпись JWT. |
| AADSTS50100 | Произошла ошибка при преобразовании требований для токена. |
| AADSTS50101 | Для субъекта "{principalId}" указан преобразователь неизвестных утверждений "{name}". |
| AADSTS50102 | Не удалось загрузить CustomClaimsTransformer "{type}" для субъекта "{principalId}". |
| AADSTS50103 | Произошла ошибка при преобразовании утверждений для токена: {errorMessage} |
| AADSTS50105 | EntitlementGrantsNotFound — выполнившему вход пользователю не назначена роль для приложения, в которое выполнен вход. Привяжите пользователя к приложению. Чтобы узнать больше, см. статью по устранению ошибки AADSTS50105. |
| AADSTS50107 | Запрошенный объект области федерации "{name}" не существует. Ошибка приложения — запрос на вход был неправильно сформирован и его невозможно сопоставить с существующей конечной точкой проверки подлинности или экземпляром. |
| AADSTS50108 | Не удалось получить конфигурацию преобразования утверждений. |
| AADSTS50109 | Преобразование заявок не предусмотрено в конфигурации. |
| AADSTS50111 | Было запрошено применить преобразование неизвестного утверждения. |
| AADSTS50117 | Не удалось десериализировать политику, указанную в параметре claim запроса. |
| AADSTS50120 | Неизвестный тип учетных данных, проблема с заголовком JWT. Обратитесь к администратору клиента. |
| AADSTS50123 | Был указан неизвестный метод преобразования утверждений '{method}' для субъекта '{principalId}'. |
| AADSTS50124 | Некорректное регулярное выражение, настроенное для преобразования утверждений в этом приложении. Обратитесь к администратору клиента, чтобы исправить конфигурацию сопоставления утверждений. См. статью "Настройка утверждений токена SAML" |
| AADSTS501241 | Обязательный входной параметр "{paramName}" отсутствует в идентификаторе преобразования "{transformId}". Эта ошибка возвращается, когда идентификатор Microsoft Entra пытается создать ответ SAML на приложение. Утверждение NameID или NameIdentifier является обязательным в ответе SAML, и если Microsoft Entra ID не удалось получить исходный атрибут для утверждения NameID, то возвращается эта ошибка. В качестве разрешения убедитесь, что вы добавляете правила утверждений. Чтобы добавить правила утверждений, войдите в Центр администрирования Microsoft Entra как по крайней мере администратор облачных приложений, а затем перейдите в Entra ID и выберите >приложения для предприятий. Выберите приложение, выберите единый вход , а затем в разделе "Атрибуты пользователя" и "Утверждения " введите уникальный идентификатор пользователя (идентификатор имени). |
| AADSTS50125 | PasswordResetRegistrationRequiredInterrupt: вход был прерван из-за сброса пароля или необходимости регистрации нового пароля. |
| AADSTS50126 | InvalidUserNameOrPassword — ошибка при проверке учетных данных из-за недействительного имени пользователя или пароля. Пользователь ввел неправильные учетные данные. Ожидается, что в журналах отображается некоторое количество этих ошибок из-за ошибок пользователей. |
| AADSTS50127 | BrokerAppNotInstalled — пользователю нужно установить приложение брокера для получения доступа к этому содержимому. |
| AADSTS50128 | Недопустимое доменное имя — не найдены сведения, идентифицирующие арендатора, ни в запросе, ни в подразумеваемых любом предоставленных учетных данных. |
| AADSTS50129 | DeviceIsNotWorkplaceJoined — для регистрации устройства требуется подключение к рабочему месту. |
| AADSTS50130 | Значения утверждений "{value}" не могут интерпретироваться как известные методы проверки подлинности. |
| AADSTS50131 | ConditionalAccessFailed — обозначает различные ошибки условного доступа, например неверное состояние устройства Windows, блокировку запроса из-за подозрительной активности, решений политики доступа или политики безопасности. |
| AADSTS50132 | SsoArtifactInvalidOrExpired — сеанс не является допустимым из-за истечения срока действия пароля или недавней смены пароля. |
| AADSTS50133 | SsoArtifactRevoked — сеанс не является допустимым из-за истечения срока действия пароля или недавней смены пароля. |
| AADSTS50134 | DeviceFlowAuthorizeWrongDatacenter - Неправильный центр обработки данных. Чтобы дать разрешение на запрос, инициированный приложением в процессе устройства OAuth 2.0, авторизующая сторона должна находиться в том же центре обработки данных, где и исходный запрос. |
| AADSTS50135 | PasswordChangeCompromisedPassword — требуется смена пароля из-за риска для учетной записи. |
| AADSTS50136 | RedirectMsaSessionToApp — обнаружен один сеанс MSA. |
| AADSTS50137 | Пароль необходимо изменить из-за правила политики безопасности. |
| AADSTS50138 | Неверная рабочая среда ключа шифрования. |
| AADSTS50139 | SessionMissingMsaOAuth2RefreshToken: сеанс является недействительным из-за отсутствия внешнего токена обновления. |
| AADSTS50140 | KmsiInterrupt — эта ошибка произошла из-за сбоя функции "Оставаться в системе" при входе пользователя. Это ожидаемая часть потока входа, где пользователя спрашивают, хочет ли он остаться в системе в текущем браузере, чтобы упростить последующие входы. Дополнительные сведения см. в статье "Новые возможности входа в Microsoft Entra" и "Сохранение входа в систему", которые появляются сейчас. Чтобы получить дополнительные сведения, можно открыть запрос в службу поддержки с идентификатором корреляции, идентификатором запроса и кодом ошибки. |
| AADSTS50141 | Защищенный ключ не предназначен для пользователя, прошедшего проверку подлинности. |
| AADSTS50142 | Изменение пароля необходимо из-за политики условного доступа. |
| AADSTS50143 | Несоответствие сеанса — сеанс недействителен, так как учетная запись арендатора пользователя не соответствует указанию домена из-за разных ресурсов. Чтобы получить дополнительные сведения, откройте запрос в службу поддержки с идентификатором корреляции, идентификатором запроса и кодом ошибки. |
| AADSTS50144 | InvalidPasswordExpiredOnPremPassword — истек срок действия пароля Active Directory для пользователя. Создайте для этого пользователя новый пароль или попросите его применить средство самостоятельного сброса пароля. |
| AADSTS50147 | Недопустимый размер параметра задачи кода. Обратитесь к владельцу приложения, чтобы исправить использование параметров PKCE. |
| AADSTS50148 | Code_verifier не соответствует code_challenge, указанному в запросе авторизации для PKCE. Обратитесь к владельцу приложения, чтобы исправить использование параметров PKCE. |
| AADSTS50146 | MissingCustomSigningKey — в приложении требуется настроить ключ подписи, специфичный для приложения. Либо он не сконфигурирован, либо ключ истек или еще не действителен. Обратитесь к владельцу приложения. |
| AADSTS501461 | AcceptMappedClaims поддерживается только для целевой аудитории токена, которая соответствует GUID приложения или находится в проверенных доменах арендатора. Измените идентификатор ресурса или используйте ключ подписи для конкретного приложения. |
| AADSTS50147 | MissingCodeChallenge — недопустимый размер параметра code challenge. |
| AADSTS501481 | Значение Code_Verifier не соответствует значению Code_Challenge, указанному в запросе на авторизацию. |
| AADSTS50149 | Недопустимый параметр Code_Challenge_method. |
| AADSTS501491 | InvalidCodeChallengeMethodInvalidSize — недопустимый размер параметра Code_Challenge. |
| AADSTS50150 | Указанные учетные данные не имеют допустимых сведений об утверждении согласия пользователя. |
| AADSTS50155 | DeviceAuthenticationFailed — проверка подлинности устройства для этого пользователя завершилась сбоем. |
| AADSTS50156 | Токены устройств не поддерживаются для ресурса V2. |
| AADSTS50157 | Перенаправление пользователей, необходимое для маршрутизации. |
| AADSTS50158 | Внешняя проблема безопасности не решена. Пользователь будет перенаправлен на другую страницу или поставщик проверки подлинности для удовлетворения дополнительных проблем проверки подлинности. Пользователь должен удовлетворять дополнительные требования перед завершением проверки подлинности и перенаправляться на другую страницу (например, условия использования или сторонний поставщик MFA). Сам по себе этот код не указывает на ошибку ваших пользователей при входе в систему. Журналы авторизации могут указывать на то, что это испытание успешно пройдено или завершилось ошибкой. |
| AADSTS50159 | Требования, отправленные внешним поставщиком, не являются достаточными. |
| AADSTS50160 | Предпочтителен другой целевой арендатор. |
| AADSTS50161 | Не удалось проверить URL-адрес авторизации внешнего поставщика утверждений. |
| AADSTS50162 | Время ожидания преобразования утверждений истекло. Это означает, что для этого приложения может быть настроено слишком много преобразований или слишком сложные преобразования. Повтор запроса может завершиться успешно. В противном случае обратитесь к администратору, чтобы исправить конфигурацию. |
| AADSTS50163 | Замена регулярных выражений для преобразования утверждений привела к утверждению, которое превышает ограничение размера. Обратитесь к администратору, чтобы исправить конфигурацию. |
| AADSTS50164 | Предоставленный маркер доступа не был выдан для назначения, для которого он используется. Ожидается маркер с назначением "{name}". |
| AADSTS50165 | Алгоритм шифрования маркеров "{алгоритм}", запрошенный приложением, не поддерживается для этого типа маркера. Это означает, что приложение неправильно настроено. |
| AADSTS50166 | Сбой запроса к внешней конечной точке OIDC. |
| AADSTS50167 | Недопустимый ключ "pop_jwk". |
| AADSTS50168 | Клиент может использовать расширение учетных записей Windows 10 для выполнения SSO, но SSO токен не был найден в запросе или срок действия токена истек. Запрос был прерван для извлечения токена единого входа. |
| AADSTS50169 | InvalidRequestBadRealm — область не является частью конфигурации текущего пространства имен службы. |
| AADSTS50170 | MissingExternalClaimsProviderMapping: отсутствует сопоставление внешних элементов управления. |
| AADSTS50171 | Данная аудитория может использоваться только в Mutual-TLS вызовах токена. |
| AADSTS50172 | Внешний поставщик требований {provider} не одобрен. |
| AADSTS50173 | Предоставленное предоставление истекло из-за его отмены, требуется новый маркер проверки подлинности. Возможно, пользователь изменил или сбросил пароль. Грант был выдан на "{authTime}", а дата TokensValidFrom (до наступления которой маркеры не действительны) для этого пользователя составляет "{validDate}". Дополнительные сведения см. в статье по устранению неполадок ошибки AADSTS50173. |
| AADSTS50176 | Отсутствует определение внешнего элемента управления: {controlId}. |
| AADSTS50177 | ExternalChallengeNotSupportedForPassthroughUsers — внешний вызов не поддерживается для пользователей с режимом пасс-сквозного доступа. |
| AADSTS50178 | SessionControlNotSupportedForPassthroughUsers — управление сеансом для пользователей, работающих в пасcтроенном режиме, не поддерживается. |
| AADSTS50180 | WindowsIntegratedAuthMissing — требуется интегрированная проверка подлинности Windows. Включите в организации бесшовное SSO. |
| AADSTS50187 | DeviceInformationNotProvided: служба не смогла выполнить проверку подлинности устройства. |
| AADSTS50192 | Недопустимый запрос — RawCredentialExpectedNotFound — учетные данные не были включены в запрос на вход. Пример: пользователь выполняет проверку подлинности на основе сертификатов (CBA) и сертификат не отправляется (или прокси-сервер удаляет) сертификат пользователя в запросе на вход. |
| AADSTS50194 | Приложение "{appId}"({appName}) не настроено в качестве мультитенантного приложения. Использование конечной точки /common не поддерживается для таких приложений, созданных после {time}. Используйте конечную точку для конкретного клиента или настройте приложение для мультитенантного использования. |
| AADSTS50196 | LoopDetected — обнаружен клиентский цикл. Проверьте логику приложения, чтобы убедиться в том, что кэширование токенов реализовано и что ошибки обрабатываются правильно. Приложение сделало слишком много одинаковых запросов за слишком короткий период, что означает, что оно находится в состоянии сбоя или слишком активно запрашивает токены. |
| AADSTS50197 | ConflictingIdentities — не удалось найти пользователя. Повторите попытку входа. |
| AADSTS50199 | CmsiInterrupt — по соображениям безопасности для этого запроса требуется подтверждение пользователя. Прерывание показывается для всех схематических перенаправлений в мобильных браузерах. Действия не требуется. Пользователю было предложено подтвердить, что это приложение, в которое они намерены войти. Это функция безопасности, которая помогает предотвратить атаки спуфингов. Это происходит потому что системное веб-представление использовалось для запроса токена для нативного приложения. Чтобы избежать этого запроса, URI перенаправления должен быть частью следующего безопасного списка: http:// https:// chrome-extension:// (только браузер Chrome для настольных систем) |
| AADSTS51000 | RequiredFeatureNotEnabled: компонент отключен. |
| AADSTS51001 | DomainHintMustbePresent — должна быть указана подсказка домена с локальным идентификатором безопасности или локальным UPN. |
| AADSTS1000104 | XCB2BResourceCloudNotAllowedOnIdentityTenant — ресурсное облако {resourceCloud} не разрешено для арендаторa удостоверений {identityTenant}. {resourceCloud} — облачный экземпляр, которому принадлежит данный ресурс. {identityTenant} — это арендатор, из которого происходит исходная идентификация для входа. |
| AADSTS51004 | UserAccountNotInDirectory — учетная запись пользователя не существует в каталоге. Скорее всего, приложение выбрало неправильного арендатора для входа, и текущий вошедший в систему пользователь не смог войти, поскольку он не существовал в вашем арендаторе. Если этот пользователь должен иметь возможность войти в систему, добавьте их в качестве гостя. Дополнительные сведения см. в разделе "Добавление пользователей B2B". |
| AADSTS51005 | TemporaryRedirect — этот эквивалент HTTP-состояния 307 обозначает, что запрашиваемые данные расположены в URI, указанном в заголовке location. Получив этот статус, следуйте по адресу, указанному в заголовке location ответа. Если для исходного запроса использовался метод POST, перенаправляемый запрос также должен использовать метод POST. |
| AADSTS51006 | ForceReauthDueToInsufficientAuth — требуется интегрированная проверка подлинности Windows. Пользователь вошел с токеном сеанса, в котором отсутствует утверждение для интегрированной Windows-аутентификации. Попросите пользователя повторить попытку входа. |
| AADSTS52004 | Отсутствие делегирования для LinkedIn — пользователь не дал согласия на доступ к ресурсам LinkedIn. |
| AADSTS53000 | DeviceNotCompliant — политики условного доступа требуют наличия соответствующего устройства, а это устройство не соответствует требованиям. Пользователю нужно зарегистрировать свое устройство у утвержденного поставщика MDM, например Intune. Дополнительные сведения см. в статье об исправлении устройства условного доступа. |
| AADSTS53001 | DeviceNotDomainJoined — политика условного доступа требует наличия присоединенного к домену устройства, а это устройство не присоединено к домену. Потребуйте, чтобы пользователь использовал присоединенное к домену устройство. |
| AADSTS53002 | Приложение, которое используется, не является одобренным для условного доступа. Чтобы получить доступ, нужно использовать приложение, входящее в список утвержденных. |
| AADSTS53003 | BlockedByConditionalAccess — доступ заблокирован политиками условного доступа. Политика доступа не разрешает выдачу маркеров. Если это непредвиденное, ознакомьтесь с политикой условного доступа, применяемой к этому запросу, или обратитесь к администратору. Дополнительные сведения см. в статье об устранении неполадок входа с помощью условного доступа. |
| AADSTS530035 | BlockedBySecurityDefaults — доступ заблокирован по умолчанию. Это связано с запросом с использованием устаревшей проверки подлинности или считается небезопасным согласно политикам безопасности по умолчанию. Для получения дополнительной информации обратитесь к принятым политикам безопасности. |
| AADSTS53004 | ProofUpBlockedDueToRisk — пользователю необходимо завершить процесс регистрации многофакторной проверки подлинности перед доступом к этому содержимому. Пользователь должен зарегистрироваться для многофакторной аутентификации. |
| AADSTS53010 | ProofUpBlockedDueToSecurityInfoAcr — не удается настроить методы многофакторной аутентификации, так как организация требует, чтобы эта информация была задана из определенных местоположений или устройств. |
| AADSTS53011 | Пользователь заблокирован из-за риска для домашнего арендатора. |
| AADSTS530034 | Делегированный администратор был заблокирован в доступе к арендатору из-за риска учетной записи в своем домашнем арендаторе. |
| AADSTS54000 | ПравилоБлокировкиНесовершеннолетнегоПользователяДляВозрастнойГруппы |
| AADSTS54005 | Код авторизации OAuth2 уже был активирован, повторите попытку с новым допустимым кодом или используйте существующий маркер обновления. |
| AADSTS65001 | ОшибкаОтсутствияДелегирования — пользователь или администратор не дали согласие на использование приложения с идентификатором X. Отправьте интерактивный запрос на авторизацию для этого пользователя и ресурса. |
| AADSTS65002 | Согласие между собственным приложением "{applicationId}" и собственным ресурсом "{resourceId}" должно реализовываться путем предварительной авторизации. Приложения, которыми владеет и которые обслуживает корпорация Майкрософт, должны получить утверждение от владельца API, прежде чем запрашивать маркеры для этого API. Разработчик в клиенте может пытаться повторно использовать идентификатор приложения, принадлежащий корпорации Майкрософт. Эта ошибка предотвращает подделку приложения Майкрософт для вызова других API. Они должны перейти на другой идентификатор приложения, который они регистрируют. |
| AADSTS65004 | UserDeclinedConsent — пользователь отказался предоставить согласие на доступ к приложению. Пользователю нужно повторить попытку входа и дать согласие на доступ к приложению. |
| AADSTS65005 | MisconfiguredApplication. Список доступа к ресурсам, требуемый приложением, не содержит приложений, доступных для ресурса, или клиентское приложение запросило доступ к ресурсу, который не был указан в его списке доступа к необходимым ресурсам, или служба Graph вернула ошибку запроса или ресурс не найден. Если приложение поддерживает SAML, возможно, вы настроили приложение с неправильным идентификатором (сущность). Дополнительные сведения см. в статье по устранению неполадок ошибок AADSTS650056. |
| AADSTS650052 | Приложению требуется доступ к службе (\"{name}\") , на которую ваша организация \"{organization}\" не подписана или включена. Обратитесь к вашему ИТ-админу для просмотра конфигурации подписок на службу. |
| AADSTS650054 | Приложение запросило разрешения на доступ к ресурсу, который был удален или больше не доступен. Убедитесь, что все ресурсы, которые вызывает приложение, находятся в арендаторе, где вы работаете. |
| AADSTS650056 | Неправильно настроенное приложение. Это может быть вызвано одной из следующих причин: клиент не предоставил разрешения для "{name}" в запрошенных разрешениях при регистрации клиентского приложения. Или администратор не дал согласие в рамках арендатора. Либо проверьте идентификатор приложения в запросе и убедитесь, что он соответствует настроенному идентификатору клиентского приложения. Или же проверьте сертификат в запросе, чтобы убедиться, что он действителен. Обратитесь к администратору, чтобы исправить конфигурацию или согласие от имени клиента. Идентификатор клиентского приложения: {ID}. Обратитесь к администратору, чтобы исправить конфигурацию или согласие от имени клиента. |
| AADSTS650057 | Недопустимый ресурс Клиент запросил доступ к ресурсу, который не указан в запрошенных разрешениях при регистрации клиентского приложения. Идентификатор клиентского приложения: {appId}({appName}). Значение ресурса из запроса: {resource}. Идентификатор приложения ресурса: {resourceAppId}. Список допустимых ресурсов из регистрации приложения: {regList}. |
| AADSTS67003 | НедействительныйИдентификаторУслугиАктора |
| AADSTS70000 | ОшибкаInvalidGrant — аутентификация не удалась. Токен обновления недействителен. Ошибка может быть вызвана следующими причинами:
|
| AADSTS70001 | UnauthorizedClient — приложение отключено. Дополнительные сведения см. в статье об устранении неполадок для ошибки AADSTS70001. |
| AADSTS700011 | UnauthorizedClientAppNotFoundInOrgIdTenant — Приложение с идентификатором {appIdentifier} не найдено в каталоге. Клиентское приложение запрашивает маркер от клиента, но клиентское приложение не существует в вашем клиенте, поэтому вызов завершился ошибкой. |
| AADSTS70002 | InvalidClient — ошибка при проверке учетных данных. Указанное значение client_secret не соответствует ожидаемому значению для этого клиента. Исправьте значение client_secret и повторите попытку. Для получения дополнительной информации см. Использование кода авторизации для запроса токена доступа. |
| AADSTS700025 | InvalidClientPublicClientWithCredential — клиент является общедоступным, поэтому не следует представлять ни "client_assertion", ни "client_secret". |
| AADSTS700027 | Сбой проверки подписи на утверждение клиента. Ошибка разработчика — приложение пытается выполнить вход без необходимых или правильных параметров проверки подлинности. |
| AADSTS70003 | UnsupportedGrantType — приложение вернуло неподдерживаемый тип гранта. |
| AADSTS700030 | Недопустимый сертификат — имя субъекта в сертификате не авторизовано. SubjectNames/SubjectAlternativeNames (до 10) в сертификате токена: {certificateSubjects}. |
| AADSTS70004 | InvalidRedirectUri — приложение вернуло недопустимый URI перенаправления. Адрес перенаправления, указанный с помощью клиента, не соответствует ни одному настроенному адресу или же не совпадает ни с одним из адресов в списке адресов, утвержденных OIDC. |
| AADSTS70005 | UnsupportedResponseType — приложение вернуло неподдерживаемый тип ответа по следующим причинам:
|
| AADSTS700054 | Параметр response_type 'id_token' не включен для приложения. Приложение запросило токен идентификатора с конечной точки авторизации, но не было включено неявное разрешение для получения токена идентификатора. Войдите в Центр администрирования Microsoft Entra как минимум под учетной записью администратора облачных приложений, а затем перейдите к Entra ID>Регистрация приложений. Выберите приложение и выберите проверку подлинности. В разделе «Неявное предоставление и гибридные потоки» убедитесь, что выбран идентификационный токен. |
| AADSTS70007 | UnsupportedResponseMode — приложение вернуло неподдерживаемое значение response_mode при запросе токена. |
| AADSTS70008 | ExpiredOrRevokedGrant — срок действия токена обновления истек из-за отсутствия активности. Токен был выдан на XXX и был неактивен в течение определенного времени. |
| AADSTS700082 | ExpiredOrRevokedGrantInactiveToken — токен обновления истек из-за неактивности. Токен был выдан {issueDate} и был неактивен в течение {time}. Ожидаемая часть жизненного цикла маркера — пользователь долгое время не пользовался приложением, поэтому срок действия маркера стал недействительным, когда приложение попыталось его обновить. |
| AADSTS700084 | Токен обновления был выдан одностраничному приложению (SPA), поэтому он имеет фиксированное, ограниченное время существования {time}, которое нельзя продлить. Срок действия истек, и на страницу входа одностраничное приложение должно отправить новый запрос на вход. Дата выдачи маркера: {issueDate}. |
| AADSTS70011 | InvalidScope — область, запрашиваемая приложением, недопустима. |
| AADSTS70012 | MsaServerError — при проверке подлинности пользователя (объекта-получателя) MSA произошла ошибка сервера. Повторите попытку. Если проблема не решается, создайте запрос в службу поддержки. |
| AADSTS70016 | AuthorizationPending — ошибка OAuth 2.0 в процессе Device Flow. Авторизация ожидается. Устройство попытается повторно опросить запрос. |
| AADSTS70018 | BadVerificationCode — неверный код проверки, потому что пользователь ввел неправильный код пользователя для потока кода устройства. Авторизация не утверждена. |
| AADSTS70019 | CodeExpired — истек срок действия кода проверки. Попросите пользователя выполнить вход еще раз. |
| AADSTS70043 | BadTokenDueToSignInFrequency — маркер обновления истек или недействителен из-за проверки частоты входа средствами условного доступа. Маркер был выдан {issueDate}, и максимальная допустимая продолжительность для данного запроса — {time}. |
| AADSTS75001 | BindingSerializationError — ошибка в процессе привязки сообщений SAML. |
| AADSTS75003 | UnsupportedBindingError — приложение вернуло сообщение об ошибке, которая связана с неподдерживаемой привязкой (ответ протокола SAML невозможно отправить с помощью привязок, отличных от HTTP POST). |
| AADSTS75005 | Saml2MessageInvalid — Microsoft Entra не поддерживает запрос SAML, отправленный приложением для единого входа (SSO). Дополнительные сведения смотрите в статье об устранении неполадок по поводу ошибки AADSTS75005. |
| AADSTS7500514 | Поддерживаемый тип ответа SAML не найден. Поддерживаются следующие типы ответов: "Response" (в пространстве имен XML 'urn:oasis:names:tc:SAML:2.0:protocol') или "Assertion" (в пространстве имен XML 'urn:oasis:names:tc:SAML:2.0:assertion'). Ошибка приложения — разработчик будет реагировать на эту ошибку. |
| AADSTS750054 | Чтобы выполнить привязку перенаправления SAML, в параметрах строки запроса HTTP должен быть указан параметр SAMLRequest или SAMLResponse. Чтобы узнать больше, см. статью об устранении неполадок для ошибки AADSTS750054. |
| AADSTS75008 | RequestDeniedError — запрос от приложения отклонен, так как назначение запроса SAML отличается от ожидаемого. |
| AADSTS75011 | NoMatchedAuthnContextInOutputClaims — метод аутентификации, с помощью которого пользователь прошёл проверку в сервисе, не соответствует запрошенному методу аутентификации. Дополнительные сведения см. статью об устранении неполадок для ошибки AADSTS75011. |
| AADSTS75016 | Saml2AuthenticationRequestInvalidNameIDPolicy — запрос аутентификации SAML2 имеет недопустимую политику NameIdPolicy. |
| AADSTS76021 | ApplicationRequiresSignedRequests— запрос, отправленный клиентом, не подписан, пока приложению требуются подписанные запросы. |
| AADSTS76026 | RequestIssueTimeExpired — «IssueTime» в запросе аутентификации SAML2 истек. |
| AADSTS80001 | OnPremiseStoreIsNotAvailable — агенту проверки подлинности не удалось подключиться к Active Directory. Убедитесь, что серверы агентов являются членами того же леса AD, что и пользователи, чьи пароли должны быть проверены, и что они могут подключаться к Active Directory. |
| AADSTS80002 | OnPremisePasswordValidatorRequestTimedout — истекло время ожидания запроса на проверку пароля. Убедитесь, что Active Directory доступен и отвечает на запросы от агентов. |
| AADSTS80005 | OnPremisePasswordValidatorUnpredictableWebException — неизвестная ошибка при обработке ответа от агента проверки подлинности. Повторите запрос. Если ошибка продолжает возникать, откройте запрос в службу поддержки, чтобы получить дополнительные сведения. |
| AADSTS80007 | OnPremisePasswordValidatorErrorOccurredOnPrem — агенту проверки подлинности не удалось проверить пароль пользователя. Найдите дополнительные сведения в журналах агентов и убедитесь, что Active Directory работает должным образом. |
| AADSTS80010 | OnPremisePasswordValidationEncryptionException — агенту проверки подлинности не удалось расшифровать пароль. |
| AADSTS80012 | OnPremisePasswordValidationAccountLogonInvalidHours — пользователи пытались войти в систему вне допустимого периода времени (который указан в AD). |
| AADSTS80013 | OnPremisePasswordValidationTimeSkew — попытка проверки подлинности не может быть завершена из-за временных отклонений между компьютером, на котором выполняется агент проверки подлинности и AD. Устраните проблемы с синхронизацией времени. |
| AADSTS80014 | OnPremisePasswordValidationAuthenticationAgentTimeout — ответ на запрос проверки был получен после превышения максимального времени. Откройте запрос в службу поддержки с кодом ошибки, идентификатором корреляции и меткой времени, чтобы получить дополнительные сведения об этой ошибке. |
| AADSTS81004 | DesktopSsoIdentityInTicketIsNotAuthenticated — сбой при попытке проверки подлинности Kerberos. |
| AADSTS81005 | DesktopSsoAuthenticationPackageNotSupported — пакет проверки подлинности не поддерживается. |
| AADSTS81006 | DesktopSsoNoAuthorizationHeader — не найден заголовок авторизации. |
| AADSTS81007 | DesktopSsoTenantIsNotOptIn — для арендатора не активирована функция Seamless SSO. |
| AADSTS81009 | DesktopSsoAuthorizationHeaderValueWithBadFormat — не удалось проверить токен Kerberos пользователя. |
| AADSTS81010 | DesktopSsoAuthTokenInvalid — не удалось выполнить бесшовную единую аутентификацию, так как срок действия билета Kerberos пользователя истек или этот билет недействителен. |
| AADSTS81011 | DesktopSsoLookupUserBySidFailed — не удалось найти объект пользователя на основе данных в Kerberos-билете пользователя. |
| AADSTS81012 | DesktopSsoMismatchBetweenTokenUpnAndChosenUpn — пользователь, пытающийся войти в Microsoft Entra ID, не совпадает с пользователем, вошедшим на устройство. |
| AADSTS90002 | InvalidTenantName — имя клиента не найдено в хранилище данных. Убедитесь, что идентификатор клиента указан правильно. Разработчик приложений получит эту ошибку, если их приложение пытается войти в клиент, который мы не можем найти. Зачастую это связано с тем, что межоблачное приложение использовалось в неправильном облаке или разработчик пытался войти в клиент, производный от адреса электронной почты, но домен не зарегистрирован. |
| AADSTS90004 | InvalidRequestFormat — неправильный формат запроса. |
| AADSTS90005 | Некорректный запрос с несколькими требованиями – не удалось выполнить запрос. Запрос является недопустимым, так как идентификатор и маркер входа нельзя использовать вместе. |
| AADSTS90006 | ExternalServerRetryableError: служба временно недоступна. |
| AADSTS90007 | InvalidSessionId: неверный запрос. Не удается проанализировать переданный идентификатор сеанса. |
| AADSTS90008 | TokenForItselfRequiresGraphPermission: пользователь или администратор не согласились на использование приложения. По крайней мере, приложению требуется доступ к идентификатору Microsoft Entra, указав разрешение на вход и чтение профиля пользователя. |
| AADSTS90009 | TokenForItselfMissingIdenticalAppIdentifier: приложение запрашивает токен для себя. Этот сценарий поддерживается, только если указанный ресурс использует идентификатор приложения на основе GUID. |
| AADSTS90010 | NotSupported: не удается создать алгоритм. |
| AADSTS9001023 | Тип предоставленного разрешения не поддерживается в конечных точках /common и /consumers. Пожалуйста, используйте конечную точку /organizations или конечную точку, специфичную для арендатора. |
| AADSTS90012 | RequestTimeout: время ожидания запроса истекло. |
| AADSTS90013 | InvalidUserInput — пользователь ввел недопустимые данные. |
| AADSTS90014 | MissingRequiredField — этот код ошибки может отображаться в различных случаях, когда ожидаемое поле отсутствует в учетных данных. |
| AADSTS900144 | Текст запроса должен содержать следующий параметр: {name}. Ошибка разработчика — приложение пытается выполнить вход без необходимых или правильных параметров проверки подлинности. |
| AADSTS90015 | QueryStringTooLong: слишком длинная строка запроса. |
| AADSTS90016 | MissingRequiredClaim - маркер доступа недействителен. Отсутствует обязательная претензия. |
| AADSTS90019 | MissingTenantRealm — Microsoft Entra ID не удалось определить идентификатор арендатора из запроса. |
| AADSTS90020 | В утверждении SAML 1.1 отсутствует ImmutableID пользователя. Ошибка разработчика — приложение пытается выполнить вход без необходимых или правильных параметров проверки подлинности. |
| AADSTS90022 | AuthenticatedInvalidPrincipalNameFormat — недопустимый формат имени объекта или не соответствует ожидаемому формату name[/host][@realm]. Основное имя является обязательным, узел и область являются необязательными и могут быть установлены в null. |
| AADSTS90023 | InvalidRequest — запрос на аутентификацию недействителен. |
| AADSTS900236 | InvalidRequestSamlPropertyUnsupported. Свойство запроса проверки подлинности SAML "{propertyName}" не поддерживается и не должно быть задано. |
| AADSTS9002313 | InvalidRequest — запрос имеет неправильный формат или является недопустимым. - Проблема возникает, так как с запросом к определенной конечной точке возникла ошибка. Предложение для решения этой проблемы заключается в том, чтобы получить трассировку fiddler об ошибке и проверить, правильно ли отформатирован запрос. |
| AADSTS9002332 | Приложение "{principalId}"({principalName}) настроено только для пользователей Microsoft Entra. Пожалуйста, не используйте конечную точку /consumers для выполнения этого запроса. |
| AADSTS90024 | RequestBudgetExceededError: произошла временная ошибка. Повторите попытку. |
| AADSTS90027 | Не удалось выдать токены из этой версии API в тенанте MSA. Обратитесь к поставщику приложения, так как для поддержки этой возможности должен использоваться протокол версии 2.0. |
| AADSTS90033 | MsodsServiceUnavailable — служба каталогов Microsoft Online (MSODS) недоступна. |
| AADSTS90036 | MsodsServiceUnretryableFailure: произошла непредвиденная, неповторяемая ошибка службы WCF, размещенной в MSODS. Откройте запрос в службу поддержки , чтобы получить дополнительные сведения об ошибке. |
| AADSTS90038 | NationalCloudTenantRedirection — указанный клиент "Y" принадлежит национальному облаку "X". Текущий экземпляр облака "Z" не осуществляет федерацию с "X". Возвращается ошибка перенаправления облака. |
| AADSTS900384 | Сбой проверки подписи токена JWT. Фактическое содержимое сообщения зависит от среды выполнения, существует множество причин для этой ошибки. Дополнительные сведения см. в сообщении о возвращенном исключении. |
| AADSTS90043 | NationalCloudAuthCodeRedirection: компонент отключен. |
| AADSTS900432 | Конфиденциальный клиент не поддерживается в кросс-облачном запросе. |
| AADSTS90051 | InvalidNationalCloudId: идентификатор облака для одной страны содержит недопустимый идентификатор облака. |
| AADSTS90055 | TenantThrottlingError — слишком много входящих запросов. Такое исключение создается для заблокированных клиентов. |
| AADSTS90056 | BadResourceRequest — чтобы обменять код на токен доступа, приложение должно отправить запрос POST на эндпоинт /token. Кроме того, перед этим следует предоставить код авторизации и отправить его в запросе POST на конечную точку /token. Дополнительные сведения о потоке кода авторизации OAuth 2.0 см. в этой статье. Направьте пользователя на конечную точку /authorize, которая вернет код авторизации. По запросу на конечную точку /token пользователь получает токен доступа. Проверьте конечные > точки регистрации приложений , чтобы убедиться, что две конечные точки настроены правильно. |
| AADSTS900561 | BadResourceRequestInvalidRequest — конечная точка принимает только запросы {valid_verbs}. Получен запрос {invalid_verb}. {valid_verbs} представляет список http-команд, поддерживаемых конечной точкой (например, POST), {invalid_verb} — это HTTP-команда, используемая в текущем запросе (например, GET). Это может быть вызвано ошибкой разработчика или из-за того, что пользователи нажимают кнопку "Назад" в браузере, запуская неправильный запрос. Его можно игнорировать. |
| AADSTS90072 | PassThroughUserMfaError: внешняя учетная запись, с которой входит пользователь, отсутствует у арендатора, в который вошел пользователь. Поэтому последний не может пройти MFA у данного арендатора. Эта ошибка также может возникать, если пользователи синхронизированы, но в атрибуте ImmutableID (sourceAnchor) между Active Directory и Идентификатором Microsoft Entra имеется несоответствие. Учетную запись сначала нужно добавить в клиент в качестве внешнего пользователя. Выйдите и войдите с помощью другой учетной записи пользователя Microsoft Entra. Дополнительные сведения см. в настройке внешних идентификаций. |
| AADSTS90081 | OrgIdWsFederationMessageInvalid: произошла ошибка при попытке службы обработать сообщение WS-Federation. Сообщение недействительно. |
| AADSTS90082 | OrgIdWsFederationNotSupported — выбранная для запроса политика аутентификации в данный момент не поддерживается. |
| AADSTS90084 | OrgIdWsFederationGuestNotAllowed: гостевые учетные записи запрещены на этом сайте. |
| AADSTS90085 | OrgIdWsFederationSltRedemptionFailed: Служба не может выдать токен, так как объект компании еще не подготовлен. |
| AADSTS90086 | OrgIdWsTrustDaTokenExpired: срок действия токена DA пользователя истек. |
| AADSTS90087 | OrgIdWsFederationMessageCreationFromUriFailed: произошла ошибка во время создания сообщения WS-Federation из URI. |
| AADSTS90090 | GraphRetryableError: служба временно недоступна. |
| AADSTS90091 | ГрафическийСервисНедоступен |
| AADSTS90092 | Ошибка в графе, которую нельзя повторить |
| AADSTS90093 | GraphUserUnauthorized — возвращается граф с кодом ошибки "Запрещено" для полученного запроса. |
| AADSTS90094 | AdminConsentRequired: требуется согласие администратора. |
| AADSTS900382 | Конфиденциальный клиент не поддерживается в кросс-облачном запросе. |
| AADSTS90095 | AdminConsentRequiredRequestAccess — это прерывание в рабочем процессе для получения согласия администратора. Оно появляется, когда пользователь получает сообщение о том, что он должен запросить согласие у администратора. |
| AADSTS90099 | Приложению "{appId}" ({appName}) не было предоставлено разрешение в тенанте "{tenant}". Приложения должны быть авторизованы для доступа к внешнему клиенту, прежде чем делегированные администраторы партнеров смогут использовать их. Предоставьте предварительное согласие или выполните соответствующий API Центра партнеров для авторизации приложения. |
| AADSTS900971 | Не указан адрес ответа. |
| AADSTS90100 | InvalidRequestParameter: пустой или недопустимый параметр. |
| AADSTS901002 | AADSTS901002: параметр запроса resource не поддерживается. |
| AADSTS90101 | InvalidEmailAddress: указан недопустимый адрес электронной почты. Адрес электронной почты должен иметь формат someone@example.com. |
| AADSTS90102 | InvalidUriParameter: значение должно быть допустимым абсолютным URI. |
| AADSTS90107 | InvalidXml — запрос недействителен. Убедитесь, что данные не содержат недопустимые символы. |
| AADSTS90112 | Ожидается, что идентификатор приложения будет GUID. |
| AADSTS90114 | InvalidExpiryDate: Метка времени истечения срока действия массовых токенов приведет к выдаче уже просроченных токенов. |
| AADSTS90117 | НеверныйВводЗапроса |
| AADSTS90119 | InvalidUserCode: код пользователя имеет значение NULL или пуст. |
| AADSTS90120 | InvalidDeviceFlowRequest: запрос уже авторизован или отклонен. |
| AADSTS90121 | InvalidEmptyRequest: недопустимый пустой запрос. |
| AADSTS90123 | IdentityProviderAccessDenied: токен не может быть выдан, потому что поставщик удостоверений отклонил запрос. |
| AADSTS90124 | V1ResourceV2GlobalEndpointNotSupported — ресурс не поддерживается на конечных точках /common и /consumers. Используйте конечную точку /organizations или специфическую для арендатора конечную точку вместо нее. |
| AADSTS90125 | DebugModeEnrollTenantNotFound: пользователя нет в системе. Убедитесь, что вы правильно ввели имя пользователя. |
| AADSTS90126 | DebugModeEnrollTenantNotInferred — тип пользователя не поддерживается на этой конечной точке. Система не может определить клиента пользователя через его имя пользователя. |
| AADSTS90130 | NonConvergedAppV2GlobalEndpointNotSupported — приложение не поддерживается на конечных точках /common или /consumers. Используйте конечную точку /organizations или специфическую для арендатора конечную точку вместо нее. |
| AADSTS120000 | Неверный текущий пароль при изменении пароля |
| AADSTS120002 | Смена пароля неудачна: новый пароль слабый |
| AADSTS120003 | Неверный новый пароль: содержит имя пользователя |
| AADSTS120004 | Сложность изменения пароля в локальной системе |
| AADSTS120005 | Изменение пароля на локальном сервере прошло успешно, сбой в облаке. |
| AADSTS120008 | PasswordChangeAsyncJobStateTerminated: произошла неповторяемая ошибка. |
| AADSTS120011 | Сбой при изменении пароля: не удалось определить UPN асинхронно. |
| AADSTS120012 | Изменение пароля должно произойти на месте |
| AADSTS120013 | Ошибка подключения при изменении пароля на локальном сервере |
| AADSTS120014 | Изменение пароля не выполнено. Учетная запись пользователя локальной сети заблокирована или отключена. |
| AADSTS120015 | Требуется действие администратора для изменения пароля в AD |
| AADSTS120016 | ПользовательСменыПароляНеНайденЧерезSspr |
| AADSTS120018 | Пароль не соответствует гибкой политике изменения паролей |
| AADSTS120020 | СбойИзмененияПароля |
| AADSTS120021 | Ошибка внутреннего сервиса PartnerServiceSspr |
| AADSTS130004 | NgcKeyNotFound: для учётной записи пользователя не настроен идентификационный ключ NGC. |
| AADSTS130005 | NgcInvalidSignature: не удалось проверить подпись ключа NGC. |
| AADSTS130006 | NgcTransportKeyNotFound: транспортный ключ NGC не сконфигурирован на устройстве. |
| AADSTS130007 | NgcDeviceIsDisabled: устройство отключено. |
| AADSTS130008 | NgcDeviceIsNotFound: устройство, на которое ссылается ключ NGC, не найдено. |
| AADSTS135010 | КлючНеНайден |
| AADSTS135011 | Устройство, используемое при проверке подлинности, отключено. |
| AADSTS140000 | InvalidRequestNonce — ключ nonce запроса не указан. |
| AADSTS140001 | InvalidSessionKey — сеансовый ключ не является допустимым. |
| AADSTS165004 | Фактическое содержимое сообщения зависит от среды выполнения. Подробные сведения см. в возвращенном сообщении об исключении. |
| AADSTS165900 | InvalidApiRequest: недопустимый запрос. |
| AADSTS220450 | UnsupportedAndroidWebViewVersion — версия Chrome WebView не поддерживается. |
| AADSTS220501 | Недопустимая загрузка CRL |
| AADSTS221000 | DeviceOnlyTokensNotSupportedByResource — ресурс не настроен на принятие токенов, предназначенных только для устройств. |
| AADSTS240001 | BulkAADJTokenUnauthorized. Пользователь не имеет права регистрировать устройства в Microsoft Entra ID. |
| AADSTS240002 | RequiredClaimIsMissing: id_token нельзя использовать в качестве параметра предоставления доступа urn:ietf:params:oauth:grant-type:jwt-bearer. |
| AADSTS501621 | ClaimsTransformationTimeoutRegularExpressionTimeout — время ожидания замены регулярных выражений для преобразования утверждений истекло. Это означает, что для этого приложения может быть настроено слишком сложное регулярное выражение. Повтор запроса может завершиться успешно. В противном случае обратитесь к администратору, чтобы исправить конфигурацию. |
| AADSTS530032 | BlockedByConditionalAccessOnSecurityPolicy — администратор клиента настроил политику безопасности, которая блокирует этот запрос. Проверьте политики безопасности, определенные на уровне клиента, чтобы узнать, соответствует ли запрос требованиям политики. |
| AADSTS700016 | UnauthorizedClient_DoesNotMatchRequest — приложение не найдено в каталоге или арендаторе. Это может произойти, если приложение не было установлено администратором арендатора или если ни один пользователь в арендаторе не предоставил на него согласие. Вы могли неверно настроить значение идентификатора для приложения или отправили запрос на аутентификацию не в тот клиент. |
| AADSTS700020 | InteractionRequired: для предоставления доступа требуется действие. |
| AADSTS700022 | InvalidMultipleResourcesScope: указано недопустимое значение области входных параметров, так как оно содержит более одного ресурса. |
| AADSTS700023 | InvalidResourcelessScope — предоставленное значение для параметра 'scope' недопустимо при запросе токена доступа. |
| AADSTS7000215 | Предоставлен недействительный секретный ключ клиента. Ошибка разработчика — приложение пытается выполнить вход без необходимых или правильных параметров проверки подлинности. |
| AADSTS7000218 | Текст запроса должен содержать следующий параметр: "client_assertion" или "client_secret". |
| AADSTS7000222 | InvalidClientSecretExpiredKeysProvided — срок действия предоставленных секретных ключей клиента истек. Создайте новые ключи для приложения или рассмотрите возможность использования учетных данных сертификата для дополнительной безопасности: https://aka.ms/certCreds |
| AADSTS700229 | ForbiddenTokenType. Только токены для приложений можно использовать в качестве федеративных удостоверений для издателя Microsoft Entra. Используйте маркер доступа только для приложений (созданный во время потока учетных данных клиента) вместо маркера доступа, делегированного пользователем (представляющего запрос, поступающий из контекста пользователя). |
| AADSTS700005 | InvalidGrantRedeemAgainstWrongTenant — предоставленный код авторизации предназначен для использования с другим арендатором, поэтому он был отклонён. Код авторизации OAuth2 должен быть погашен для того же арендатора, для которого он был получен (например, /common или /{tenant-ID}). |
| AADSTS1000000 | UserNotBoundError — API привязки требует, чтобы пользователь Microsoft Entra также прошел аутентификацию через внешнего IDP, что еще не произошло. |
| AADSTS1000002 | BindCompleteInterruptError: привязка выполнена успешно, но необходимо сообщить об этом пользователю. |
| AADSTS100007 | Microsoft Entra Regional ТОЛЬКО поддерживает аутентификацию ИЛИ для MSIs ИЛИ для запросов из MSAL с помощью SN+I для 1P-приложений или 3P-приложений в арендаторах инфраструктуры Майкрософт. |
| AADSTS1000031 | Сейчас приложение {appDisplayName} недоступно. Обратитесь к администратору. |
| AADSTS7000112 | Приложение отключено из-за отсутствия авторизации клиента. |
| AADSTS7000114 | Приложению 'appIdentifier' запрещено выполнять запросы от имени приложения. |
| AADSTS7500529 | Значение SAMLId-Guid не является допустимым идентификатором SAML. Идентификатор Microsoft Entra использует этот атрибут для заполнения атрибута InResponseTo возвращаемого ответа. Идентификатор не должен начинаться с цифры, поэтому общая стратегия предусматривает добавление такой строки, как ID, в начало строкового представления GUID. Например, id6c1c178c166d486687be4aaf5e482730 — это действительный идентификатор. |
| AADSTS9002341 | V2Error: invalid_grant — пользователю требуется разрешить единый вход(SSO). Эта ошибка возникает, когда пользователь не предоставил приложению необходимые разрешения для выполнения единого входа. Пользователь должен быть перенаправлен на экран согласия, чтобы предоставить необходимые разрешения. Дополнительные сведения см. в этом объявлении . |
| AADSTS901011 | Сообщение об ошибке "NoEmailAddressCollectedFromExternalOidcIDP" — адрес электронной почты не получен от внешнего поставщика удостоверений OpenID Connect (OIDC). Обычно это происходит, когда пользователь выбирает скрыть мою электронную почту при регистрации. |
| AADSTS901012 | EmailAddressCollectedFromExternalOidcIDPNotVerified — от поставщика удостоверений личности не был получен ни один проверенный адрес электронной почты. Адрес электронной почты не подтверждён в токене идентификатора от внешнего поставщика идентификации OIDC. |
| AADSTS901014 | NoExternalIdentifierCollectedFromExternalOidcIDP — внешний идентификатор не существует в ID-токене от внешнего поставщика удостоверений OIDC. |
| AADSTS650059 | Приложение не настроено для использования в клиенте. Значение AzureADMyOrg , заданное для свойства signInAudience приложения, ограничивает его использование в клиенте. |
Следующие шаги
- У вас есть вопрос или не можете найти нужную информацию? Создайте запрос в GitHub или ознакомьтесь с параметрами поддержки и справки для разработчиков, чтобы узнать о других способах получения справки и поддержки.