Kódy chyb autorizace a ověřování Microsoft Entra

Hledáte informace o kódech chyb AADSTS vrácených službou tokenů zabezpečení (STS) služby Microsoft Entra? V tomto dokumentu najdete popisy chyb AADSTS, jejich opravy a některá doporučovaná alternativní řešení.

Poznámka:

Tyto informace jsou předběžné a můžou se změnit. Máte dotaz nebo nemůžete najít, co hledáte? Vytvořte problém Na GitHubu nebo si projděte možnosti podpory a nápovědy pro vývojáře, abyste se dozvěděli o dalších způsobech, jak získat nápovědu a podporu.

Tato dokumentace se poskytuje pro pokyny pro vývojáře a správce, ale klient by ho nikdy neměl používat. Kódy chyb se můžou kdykoli změnit, aby poskytovaly podrobnější chybové zprávy, které mají vývojářům pomoct při vytváření aplikace. Aplikace, které zabírají závislost na textových nebo chybových číslech kódu, se v průběhu času přeruší.

Vyhledání informace o aktuálním kódu chyby

Kódy chyb a zprávy se mohou změnit. Nejnovější informace najdete na stránce https://login.microsoftonline.com/error, kde najdete popisy chyb AADSTS, opravy a některá navrhovaná alternativní řešení.

Pokud jste například obdrželi kód chyby "AADSTS50058", vyhledejte https://login.microsoftonline.com/error "50058". Můžete také odkazovat přímo na konkrétní chybu přidáním čísla kódu chyby do adresy URL: https://login.microsoftonline.com/error?code=50058.

Zpracování kódů chyb v aplikaci

Specifikace OAuth2.0 obsahuje pokyny k zpracování chyb při ověřování pomocí error části odpovědi na chybu.

Tady je ukázková chybová odpověď:

{
  "error": "invalid_scope",
  "error_description": "AADSTS70011: The provided value for the input parameter 'scope' isn't valid. The scope https://example.contoso.com/activity.read isn't valid.\r\nTrace ID: 0000aaaa-11bb-cccc-dd22-eeeeee333333\r\nCorrelation ID: aaaa0000-bb11-2222-33cc-444444dddddd\r\nTimestamp: 2016-01-09 02:02:12Z",
  "error_codes": [
    70011
  ],
  "timestamp": "2016-01-09 02:02:12Z",
  "trace_id": "0000aaaa-11bb-cccc-dd22-eeeeee333333",
  "correlation_id": "aaaa0000-bb11-2222-33cc-444444dddddd", 
  "error_uri":"https://login.microsoftonline.com/error?code=70011"
}

Parametr	Popis
error	Řetězec kódu chyby, který lze použít ke klasifikaci typů chyb, ke kterým dochází, a měl by být použit k reakci na chyby.
error_description	Konkrétní chybová zpráva, která může vývojáři pomoct identifikovat původní příčinu chyby ověřování. Toto pole nikdy nepoužívejte k reakci na chybu v kódu.
error_codes	Seznam kódů chyb specifických pro stS, které můžou pomoct s diagnostikou.
timestamp	Vrátí se čas, kdy došlo k chybě.
trace_id	Jedinečný identifikátor požadavku, který může pomoct s diagnostikou.
correlation_id	Jedinečný identifikátor požadavku, který může pomoct s diagnostikou napříč komponentami.
error_uri	Odkaz na stránku vyhledávání chyb s dalšími informacemi o chybě. To platí jenom pro využití pro vývojáře, nechovejte je uživatelům. K dispozici pouze v případě, že systém vyhledávání chyb obsahuje další informace o chybě – ne všechny chyby obsahují další informace.

Pole error má několik možných hodnot – projděte si odkazy na dokumentaci protokolu a specifikace OAuth 2.0, kde najdete další informace o konkrétních chybách (například v authorization_pending kódu zařízení) a o tom, jak na ně reagovat. Tady jsou uvedené některé běžné:

Kód chyby	Popis	Akce klienta
invalid_request	Chyba protokolu, například chybějící požadovaný parametr.	Opravte požadavek a odešlete ho znovu.
invalid_grant	Některé ověřovací materiály (ověřovací kód, obnovovací token, přístupový token, výzva PKCE) byly neplatné, neoddělitelné, chybějící nebo jinak nepoužitelné.	Zkuste do koncového /authorize bodu zadat nový požadavek, abyste získali nový autorizační kód. Zvažte kontrolu a ověření používání protokolů aplikace.
unauthorized_client	Ověřený klient nemá oprávnění k použití tohoto typu udělení autorizace.	K tomu obvykle dochází v případě, že klientská aplikace není zaregistrovaná v Microsoft Entra ID nebo není přidána do tenanta Microsoft Entra uživatele. Aplikace může vyzvat uživatele s pokyny k instalaci aplikace a jeho přidání do Microsoft Entra ID.
invalid_client	Ověření klienta se nezdařilo.	Přihlašovací údaje klienta nejsou platné. Tento problém vyřešíte tak, že správce aplikace aktualizuje přihlašovací údaje.
unsupported_grant_type	Autorizační server nepodporuje typ udělení autorizace.	Změňte typ grantu v žádosti. K tomuto typu chyby by mělo dojít pouze během vývoje a být zjištěn během počátečního testování.
invalid_resource	Cílový prostředek je neplatný, protože neexistuje, id Microsoft Entra ho nemůže najít nebo není správně nakonfigurované.	To znamená, že prostředek, pokud existuje, nebyl v tenantovi nakonfigurován. Aplikace může vyzvat uživatele s pokyny k instalaci aplikace a jeho přidání do Microsoft Entra ID. Během vývoje to obvykle značí nesprávně nastaveného testovacího tenanta nebo překlep v názvu požadovaného oboru.
interaction_required	Požadavek vyžaduje interakci uživatele. Vyžaduje se například další krok ověřování.	Zkuste požadavek opakovat interaktivně se stejným prostředkem, aby uživatel mohl dokončit všechny požadované výzvy.
temporarily_unavailable	Server je dočasně příliš zaneprázdněný pro zpracování požadavku.	Zkuste požadavek zopakovat. Klientská aplikace může uživateli vysvětlit, že jeho odpověď je zpožděná kvůli dočasné podmínce.

Kódy chyb AADSTS

Chyba	Popis
AADSTS16000	InteractionRequired – Uživatelský účet {EmailHidden} od zprostředkovatele identity {idp} v tenantovi {tenant} neexistuje a nemá přístup k aplikaci {appid}({appName}) v tomto tenantovi. Tento účet je potřeba nejdřív přidat jako externího uživatele v tenantovi. Odhlaste se a znovu se přihlaste pomocí jiného uživatelského účtu Microsoft Entra. Tato chyba je poměrně běžná, když se pokusíte přihlásit k Centru pro správu Microsoft Entra pomocí osobního účtu Microsoft a není k němu přidružený žádný adresář.
AADSTS16001	UserAccountSelectionInvalid – Tato chyba se zobrazí, pokud uživatel vybere dlaždici, u které relace vybere logiku výběru. Při aktivaci tato chyba uživateli umožňuje obnovit výběrem aktualizovaného seznamu dlaždic nebo relací nebo výběrem jiného účtu. K této chybě může dojít kvůli chybě kódu nebo konfliktu časování.
AADSTS16002	AppSessionSelectionInvalid – Požadavek identifikátoru SID zadaný aplikací nebyl splněn.
AADSTS160021	AppSessionSelectionInvalidSessionNotExist – aplikace požadovala uživatelskou relaci, která neexistuje. Tento problém můžete vyřešit vytvořením nového účtu Azure.
AADSTS16003	SsoUserAccountNotFoundInResourceTenant – označuje, že uživatel nebyl explicitně přidán do tenanta.
AADSTS17003	CredentialKeyProvisioningFailed – ID Microsoft Entra nemůže zřídit uživatelský klíč.
AADSTS20001	WsFedSignInResponseError – Došlo k problému s vaším federovaným zprostředkovatelem identity. Pokud chcete tento problém vyřešit, obraťte se na svůj distribuční bod vydávání (IDP).
AADSTS20012	WsFedMessageInvalid – Došlo k problému s vaším federovaným zprostředkovatelem identity. Pokud chcete tento problém vyřešit, obraťte se na svůj distribuční bod vydávání (IDP).
AADSTS20033	FedMetadataInvalidTenantName – Došlo k problému s vaším federovaným zprostředkovatelem identity. Pokud chcete tento problém vyřešit, obraťte se na svůj distribuční bod vydávání (IDP).
AADSTS230109	CachedCredentialNonGWAuthNRequestsNotSupported – Služba Backup Auth Service povoluje pouze požadavky AuthN ze služby Microsoft Entra Gateway. Tato chyba se vrátí, když provoz cílí na službu ověřování zálohování přímo místo procházení reverzního proxy serveru.
AADSTS28002	Zadaná hodnota pro obor vstupního parametru {scope} není platná při vyžádání přístupového tokenu. Zadejte platný obor.
AADSTS28003	Zadaná hodnota pro obor vstupního parametru nemůže být prázdná při vyžádání přístupového tokenu pomocí poskytnutého autorizačního kódu. Zadejte platný obor.
AADSTS399284	InboundIdTokenIssuerInvalid – příchozí token ID přijatý v federaci má neplatný vystavitel. Buď je prázdný, nebo neodpovídá identifikátoru sféry.
AADSTS40008	OAuth2IdPUnretryableServerError – Došlo k problému s vaším federovaným zprostředkovatelem identity. Pokud chcete tento problém vyřešit, obraťte se na svůj distribuční bod vydávání (IDP).
AADSTS40009	OAuth2IdPRefreshTokenRedemptionUserError – Došlo k problému s vaším federovaným zprostředkovatelem identity. Pokud chcete tento problém vyřešit, obraťte se na svůj distribuční bod vydávání (IDP).
AADSTS40010	OAuth2IdPRetryableServerError – Došlo k problému s vaším federovaným zprostředkovatelem identity. Pokud chcete tento problém vyřešit, obraťte se na svůj distribuční bod vydávání (IDP).
AADSTS40015	OAuth2IdPAuthCodeRedemptionUserError – Došlo k problému s vaším federovaným zprostředkovatelem identity. Pokud chcete tento problém vyřešit, obraťte se na svůj distribuční bod vydávání (IDP).
AADSTS50000	TokenIssuanceError – Došlo k problému s přihlašovací službou. Pokud chcete tento problém vyřešit, otevřete požadavek na podporu.
AADSTS50001	InvalidResource – Prostředek je zakázaný nebo neexistuje. Zkontrolujte kód aplikace a ujistěte se, že jste zadali přesnou adresu URL prostředku pro prostředek, ke kterému se pokoušíte získat přístup.
AADSTS50002	NotAllowedTenant – Přihlášení selhalo kvůli omezenému přístupu proxy serveru v tenantovi. Pokud se jedná o vaše vlastní zásady tenanta, můžete tento problém vyřešit změnou nastavení zakázaného tenanta.
AADSTS500011	InvalidResourceServicePrincipalNotFound – Objekt zabezpečení prostředku s názvem {name} nebyl v tenantovi s názvem {tenant} nalezen. K této chybě může dojít v případě, že aplikaci nenainstaloval správce tenanta nebo ji neodsouhlasil žádný uživatel v tenantovi. Možná jste odeslali žádost o ověření do nesprávného tenanta. Pokud očekáváte, že se aplikace nainstaluje, budete možná muset poskytnout oprávnění správce, abyste ji mohli přidat. Obraťte se na vývojáře prostředku a aplikace a zjistěte, co je správné nastavení pro vašeho tenanta.
AADSTS500014	InvalidResourceServicePrincipalDisabled – Instanční objekt pro prostředek {identifier} je zakázaný. To znamená, že předplatné v rámci tenanta vypršelo nebo že správce pro tohoto tenanta zakázal instanční objekt aplikace, což brání v vystavování tokenů. Další informace najdete v tématu Zakázání přihlašování uživatelů pro aplikaci.
AADSTS500021	Přístup k tenantovi {tenant} je odepřen. AADSTS500021 indikuje, že je nakonfigurovaná funkce omezení tenanta a že se uživatel pokouší získat přístup k tenantovi, který není v seznamu povolených tenantů zadaných v hlavičce Restrict-Access-To-Tenant. Další informace najdete v tématu Použití omezení tenanta ke správě přístupu ke cloudovým aplikacím SaaS.
AADSTS500022	Přístup k tenantovi {tenant} je odepřen. AADSTS500022 označuje, že je nakonfigurovaná funkce omezení tenanta a že se uživatel pokouší získat přístup k tenantovi, který není v seznamu povolených tenantů zadaných v hlavičce Restrict-Access-To-Tenant. Další informace najdete v tématu Použití omezení tenanta ke správě přístupu ke cloudovým aplikacím SaaS.
AADSTS50003	MissingSigningKey – Přihlášení selhalo kvůli chybějícímu podpisovém klíči nebo certifikátu. Důvodem může být to, že v aplikaci nebyl nakonfigurovaný žádný podpisový klíč. Další informace najdete v článku o řešení potíží s chybou AADSTS50003. Pokud se vám stále zobrazují problémy, obraťte se na vlastníka aplikace nebo správce aplikace.
AADSTS50005	DevicePolicyError – Uživatel se pokusil přihlásit k zařízení z platformy, která se v současné době nepodporuje prostřednictvím zásad podmíněného přístupu.
AADSTS50006	InvalidSignature – Ověření podpisu selhalo kvůli neplatnému podpisu.
AADSTS50007	PartnerEncryptionCertificateMissing – Pro tuto aplikaci se nenašel šifrovací certifikát partnera. Pokud chcete tento postup vyřešit, otevřete lístek podpory u Microsoftu.
AADSTS50008	InvalidSamlToken – Kontrolní výraz SAML v tokenu chybí nebo je chybně nakonfigurovaný. Obraťte se na svého federačního zprostředkovatele.
AADSTS5000224	NotAllowedTenantBlockedTenantFraud – Je nám líto, ale tento prostředek není k dispozici. Pokud se vám tato zpráva zobrazuje omylem, kontaktujte prosím podporu Microsoftu.
AADSTS5000819	InvalidSamlTokenEmailMissingOrInvalid – Kontrolní výraz SAML je neplatný. Deklarace e-mailové adresy chybí nebo neodpovídá doméně z externí sféry.
AADSTS50010	AudienceUriValidationFailed – Ověření identifikátoru URI cílové skupiny pro aplikaci selhalo, protože nebyly nakonfigurovány žádné cílové skupiny tokenů.
AADSTS50011	InvalidReplyTo – Adresa odpovědi chybí, je chybně nakonfigurovaná nebo neodpovídá adresám odpovědí nakonfigurovaným pro aplikaci. Řešení zajistí, že tuto chybějící adresu odpovědi přidáte do aplikace Microsoft Entra nebo budete mít někoho s oprávněními ke správě vaší aplikace v Microsoft Entra IF to za vás. Další informace najdete v článku o řešení potíží s chybou AADSTS50011.
AADSTS50012	Ověřování se nezdařilo – Ověřování se nezdařilo z jednoho z následujících důvodů: Název subjektu podpisového certifikátu není autorizovaný. Pro název autorizovaného subjektu nebyla nalezena odpovídající zásada důvěryhodné autority. Řetěz certifikátů není platný. Podpisový certifikát není platný. Zásady nejsou nakonfigurované v tenantovi. Kryptografický otisk podpisového certifikátu není autorizovaný. Kontrolní výraz klienta obsahuje neplatný podpis.
AADSTS50013	InvalidAssertion – Kontrolní výraz je neplatný z různých důvodů – Vystavitel tokenu neodpovídá verzi rozhraní API v platném časovém rozsahu -expired -malformed - Obnovovací token v kontrolním výrazu není primárním obnovovacím tokenem. Obraťte se na vývojáře aplikací.
AADSTS500133	Kontrolní výraz není v platném časovém rozsahu. Než ho použijete pro kontrolní výraz uživatele, ujistěte se, že platnost přístupového tokenu nevypršela, nebo požádejte o nový token. Aktuální čas: {curTime}, čas vypršení platnosti kontrolního výrazu {expTime}. Kontrolní výraz je neplatný z různých důvodů: Vystavitel tokenu neodpovídá verzi rozhraní API v platném časovém rozsahu. Platnost vypršela Znetvořený Obnovovací token v kontrolním výrazu není primárním obnovovacím tokenem.
AADSTS50014	GuestUserInPendingState – uživatelský účet v adresáři neexistuje. Aplikace pravděpodobně zvolila nesprávného tenanta pro přihlášení a aktuálně přihlášený uživatel ho nemohl provést, protože ve vašem tenantovi neexistuje. Pokud by se tento uživatel měl přihlásit, přidejte ho jako hosta. Další informace najdete v tématu Přidání uživatelů B2B.
AADSTS50015	ViralUserLegalAgeConsentRequiredState – Uživatel vyžaduje souhlas se zákonnou věkovou skupinou.
AADSTS50017	CertificateValidationFailed – Ověření certifikace se nezdařilo, důvody z následujících důvodů: Na seznamu důvěryhodných certifikátů nebylo možné najít certifikát vystavitele. Nepodařilo se najít očekávaný CrlSegment. Na seznamu důvěryhodných certifikátů nebylo možné najít certifikát vystavitele. Distribuční bod rozdílového seznamu CRL je nakonfigurovaný bez odpovídajícího distribučního bodu CRL. Kvůli problému s vypršením časového limitu se nepodařilo načíst platné segmenty seznamu CRL CRL nejde stáhnout. Obraťte se na správce tenanta.
AADSTS50020	UserUnauthorized – Uživatelé nemají oprávnění volat tento koncový bod. Uživatelský účet {email} od zprostředkovatele identity {idp} v tenantovi {tenant} neexistuje a nemůže získat přístup k aplikaci {appid} ({appName}) v tomto tenantovi. Tento účet je potřeba nejdřív přidat jako externího uživatele v tenantovi. Odhlaste se a znovu se přihlaste pomocí jiného uživatelského účtu Microsoft Entra. Pokud by tento uživatel měl být členem tenanta, měl by být pozván prostřednictvím systému B2B. Další informace najdete v AADSTS50020.
AADSTS500208	Doména není platná přihlašovací doména pro typ účtu – K této situaci dochází v případě, že účet uživatele neodpovídá očekávanému typu účtu pro daného tenanta. Pokud je například tenant nakonfigurovaný tak, aby umožňoval pouze pracovní nebo školní účty a uživatel se pokusí přihlásit pomocí osobního účtu Microsoft, zobrazí se tato chyba.
AADSTS500212	NotAllowedByOutboundPolicyTenant – Správce uživatele nastavil zásady odchozího přístupu, které nepovoluje přístup k tenantovi prostředků.
AADSTS500213	NotAllowedByInboundPolicyTenant – Zásady přístupu tenanta prostředků mezi tenanty neumožňují tomuto uživateli přístup k tomuto tenantovi.
AADSTS50027	InvalidJwtToken – Neplatný token JWT z následujících důvodů: Neobsahuje deklaraci identity hodnoty nonce nebo subjektu. Identifikátor subjektu se neshoduje. Deklarace identity idTokenu má duplicitní deklaraci identity. Neočekávaný vystavitel Neočekávaná cílová skupina není v platném časovém rozsahu. Formát tokenu není správný U externího ID tokenu od vystavitele se nezdařilo ověření podpisu.
AADSTS50029	Neplatný identifikátor URI – název domény obsahuje neplatné znaky. Obraťte se na správce tenanta.
AADSTS50032	WeakRsaKey – označuje chybný pokus uživatele o použití slabého klíče RSA.
AADSTS50033	Opakovatelná chyba – označuje přechodnou chybu nesouvisející s databázovými operacemi.
AADSTS50034	UserAccountNotFound – Pokud se chcete přihlásit k této aplikaci, musí se účet přidat do adresáře. K této chybě může dojít, protože uživatel nesprávně zadal své uživatelské jméno nebo není v tenantovi. Aplikace možná zvolila nesprávného tenanta, ke kterému se má přihlásit, a aktuálně přihlášený uživatel to neudělal, protože ve vašem tenantovi neexistuje. Pokud by se tento uživatel měl přihlásit, přidejte ho jako hosta. Podívejte se na dokumentaci zde: Přidejte uživatele B2B.
AADSTS50042	UnableToGeneratePairwiseIdentifierWithMissingSalt – v zásadě chybí sůl potřebná k vygenerování párového identifikátoru. Obraťte se na správce tenanta.
AADSTS50043	Nelze NaGenerovatatePairwiseIdentifierWithMultipleSalts
AADSTS50048	SubjectMismatchesIssuer – Neshoda vystavitele v klientském kontrolním výrazu. Obraťte se na správce tenanta.
AADSTS50049	NoSuchInstanceForDiscovery – Neznámá nebo neplatná instance.
AADSTS50050	MalformedDiscoveryRequest – požadavek je poškozený.
AADSTS50053	Tato chyba může mít dva různé důvody: IdsLocked – Účet je uzamčený, protože se uživatel pokusil přihlásit příliš mnohokrát s nesprávným ID uživatele nebo heslem. Uživatel je zablokovaný kvůli opakovaným pokusům o přihlášení. Viz Náprava rizik a odblokování uživatelů. Nebo se přihlášení zablokovalo, protože pochází z IP adresy se zlými aktivitami. Pokud chcete zjistit, který důvod selhání způsobil tuto chybu, přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací. Přejděte do svého tenanta Microsoft Entra a pak do protokolů monitorování a stavu -> přihlášení. Vyhledejte neúspěšné přihlášení uživatele s kódem chyby přihlášení 50053 a zkontrolujte důvod selhání.
AADSTS50055	InvalidPasswordExpiredPassword – Platnost hesla vypršela. Platnost hesla uživatele vypršela, a proto jeho přihlášení nebo relace skončila. Bude jim nabídnuta možnost ho resetovat nebo může požádat správce, aby ho resetuje prostřednictvím resetování hesla uživatele pomocí Microsoft Entra ID.
AADSTS50056	Neplatné nebo nulové heslo: heslo neexistuje v adresáři tohoto uživatele. Uživatel by měl být požádán, aby znovu zadal heslo.
AADSTS50057	UserDisabled – Uživatelský účet je zakázaný. Objekt uživatele ve službě Active Directory, který tento účet zálohuje, byl zakázán. Správce může tento účet znovu povolit prostřednictvím PowerShellu.
AADSTS50058	UserInformationNotProvided – Informace o relaci nestačí pro jednotné přihlašování. To znamená, že uživatel není přihlášený. Jedná se o běžnou chybu, která se očekává, když je uživatel neověřený a ještě se nepřihlásil. Pokud k této chybě dojde v kontextu jednotného přihlašování, kde se uživatel přihlásil dříve, znamená to, že relace jednotného přihlašování nebyla nalezena nebo je neplatná. Tato chyba se může vrátit do aplikace, pokud je zadána výzva =none.
AADSTS50059	MissingTenantRealmAndNoUserInformationProvided – Informace o identifikaci tenanta nebyly nalezeny v požadavku nebo odvozené ze zadaných přihlašovacích údajů. Uživatel může požádat správce tenanta, aby vám pomohl problém vyřešit.
AADSTS50061	SignoutInvalidRequest – Nelze dokončit odhlášení. Požadavek byl neplatný.
AADSTS50064	CredentialAuthenticationError – Ověření přihlašovacích údajů u uživatelského jména nebo hesla se nezdařilo.
AADSTS50068	SignoutInitiatorNotParticipant – Odhlášení se nezdařilo. Aplikace, která iniciovala odhlášení, není účastníkem aktuální relace.
AADSTS50070	SignoutUnknownSessionIdentifier – Odhlášení se nezdařilo. Žádost o odhlášení zadala identifikátor názvu, který neodpovídá existujícím relacím.
AADSTS50071	SignoutMessageExpired – Vypršela platnost požadavku na odhlášení.
AADSTS50072	UserStrongAuthEnrollmentRequiredInterrupt – Uživatel se musí zaregistrovat pro druhéfaktorové ověřování (interaktivní).
AADSTS50074	UserStrongAuthClientAuthNRequiredInterrupt – Vyžaduje se silné ověřování a uživatel neprošel výzvou MFA.
AADSTS50076	UserStrongAuthClientAuthNRequired – kvůli změně konfigurace provedené správcem, jako jsou zásady podmíněného přístupu, vynucení pro jednotlivé uživatele nebo přesunutí do nového umístění, musí uživatel pro přístup k prostředku použít vícefaktorové ověřování. Zkuste to znovu s novou žádostí o autorizaci prostředku.
AADSTS50078	UserStrongAuthExpired – Platnost prezentovaného vícefaktorového ověřování vypršela kvůli zásadám nakonfigurovaným správcem. Pokud chcete získat přístup k {resource}, musíte aktualizovat vícefaktorové ověřování.
AADSTS50079	UserStrongAuthEnrollmentRequired – kvůli změně konfigurace provedené správcem, jako jsou zásady podmíněného přístupu, vynucení pro jednotlivé uživatele nebo kvůli tomu, že se uživatel přesunul do nového umístění, musí uživatel používat vícefaktorové ověřování. Aby bylo možné dokončit vícefaktorové ověřování, musí spravovaný uživatel zaregistrovat bezpečnostní údaje nebo federovaný uživatel musí získat vícefaktorovou deklaraci identity od zprostředkovatele federované identity.
AADSTS50085	Obnovovací token vyžaduje přihlášení prostřednictvím distribučního bodu vydávání (IDP) sociální sítě. Požádejte uživatele, aby se zkusil pomocí uživatelského jména a hesla přihlásit znovu.
AADSTS50086	SasNonRetryableError
AADSTS50087	SasRetryableError – Během silného ověřování došlo k přechodné chybě. Zkuste to prosím znovu.
AADSTS50088	Dosáhli jsme limitu pro volání MFA pro telekomumenty. Zkuste to prosím znovu za pár minut.
AADSTS50089	Ověření selhalo kvůli vypršení platnosti tokenu toku. Očekává se – ověřovací kódy, obnovovací tokeny a relace vyprší v průběhu času nebo jsou odvolané uživatelem nebo správcem. Aplikace požádá uživatele o nové přihlášení.
AADSTS50097	DeviceAuthenticationRequired – Vyžaduje se ověřování zařízení.
AADSTS50099	PKeyAuthInvalidJwtUnauthorized – Podpis JWT je neplatný.
AADSTS50105	EntitlementGrantsNotFound – Přihlášený uživatel není přiřazený k roli pro přihlášenou aplikaci. Přiřaďte uživateli aplikaci. Další informace najdete v článku o řešení potíží s chybou AADSTS50105.
AADSTS50107	InvalidRealmUri – Požadovaný objekt sféry federace neexistuje. Obraťte se na správce tenanta.
AADSTS50120	ThresholdJwtInvalidJwtFormat – Problém s hlavičkou JWT Obraťte se na správce tenanta.
AADSTS50124	ClaimsTransformationInvalidInputParameter – Transformace deklarací identity obsahuje neplatný vstupní parametr. Obraťte se na správce klienta, aby aktualizovat zásady.
AADSTS501241	V ID transformace {transformId} chybí povinný vstup {paramName}. Tato chyba se vrátí, když se Microsoft Entra ID pokouší sestavit odpověď SAML na aplikaci. Deklarace identity NameID nebo NameIdentifier je povinná v odpovědi SAML a pokud se id Microsoft Entra nepodařilo získat atribut zdroje pro deklaraci nameID, vrátí tuto chybu. Jako řešení se ujistěte, že přidáváte pravidla deklarací identity. Pokud chcete přidat pravidla deklarací identity, přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací a pak přejděte do > Vyberte aplikaci, vyberte jednotné přihlašování a potom v atributech uživatele a deklarací identity zadejte jedinečný identifikátor uživatele (ID jména).
AADSTS50125	PasswordResetRegistrationRequiredInterrupt – Přihlášení se přerušilo kvůli resetování hesla nebo registraci hesla.
AADSTS50126	InvalidUserNameOrPassword – Chyba při ověřování přihlašovacích údajů kvůli neplatnému uživatelskému jménu nebo heslu Uživatel nezadal správné přihlašovací údaje. Očekáváme, že se v protokolech zobrazí určitý počet těchto chyb kvůli chybám uživatelů.
AADSTS50127	BrokerAppNotInstalled – Uživatel musí nainstalovat zprostředkovanou aplikaci, aby získal přístup k tomuto obsahu.
AADSTS50128	Neplatný název domény – Žádné informace o identifikaci tenanta nebyly nalezeny v požadavku nebo odvozené všemi zadanými přihlašovacími údaji.
AADSTS50129	DeviceIsNotWorkplaceJoined – Připojení k pracovišti se vyžaduje k registraci zařízení.
AADSTS50131	ConditionalAccessFailed – Označuje různé chyby podmíněného přístupu, jako je chybný stav zařízení s Windows, požadavek zablokovaný kvůli podezřelé aktivitě, zásadám přístupu nebo rozhodnutím o zásadách zabezpečení.
AADSTS50132	SsoArtifactInvalidOrExpired – relace není platná kvůli vypršení platnosti hesla nebo nedávné změně hesla.
AADSTS50133	SsoArtifactRevolat – relace není platná kvůli vypršení platnosti hesla nebo nedávné změně hesla.
AADSTS50134	DeviceFlowAuthorizeWrongDatacenter – Nesprávné datové centrum Pokud chcete autorizovat žádost, kterou aplikace iniciovala v toku zařízení OAuth 2.0, musí být strana autorizace ve stejném datacentru, kde se nachází původní požadavek.
AADSTS50135	PasswordChangeCompromisedPassword – Změna hesla se vyžaduje kvůli riziku účtu.
AADSTS50136	RedirectMsaSessionToApp – Byla zjištěna jedna relace MSA.
AADSTS50139	SessionMissingMsaOAuth2RefreshToken – relace je neplatná kvůli chybějícímu externímu obnovovacímu tokenu.
AADSTS50140	KmsiInterrupt – K této chybě došlo kvůli přerušení "Zůstat přihlášeni" při přihlašování uživatele. Jedná se o očekávanou část toku přihlášení, kde se uživateli zobrazí dotaz, jestli chce zůstat přihlášený ke svému aktuálnímu prohlížeči, aby usnadnil další přihlášení. Další informace najdete v nových prostředích microsoft Entra pro přihlášení a možnost "Zůstat přihlášeni". Pokud chcete získat další podrobnosti, můžete otevřít lístek podpory s ID korelace, ID požadavku a kódem chyby.
AADSTS50143	Neshoda relací – Relace je neplatná, protože tenant uživatele neodpovídá nápovědě k doméně kvůli jinému prostředku. Více informací získáte, když otevřete požadavek na podporu a odešlete ID korelace, ID požadavku a kód chyby.
AADSTS50144	InvalidPasswordExpiredOnPremPassword – Platnost hesla služby Active Directory uživatele vypršela. Vygenerujte nové heslo pro uživatele nebo požádejte uživatele, aby k resetování hesla použil nástroj pro samoobslužné resetování.
AADSTS50146	MissingCustomSigningKey – Tato aplikace musí být nakonfigurovaná pomocí podpisového klíče specifického pro aplikaci. Buď není nakonfigurovaný s jedním, nebo vypršela platnost klíče nebo ještě není platný. Obraťte se na vlastníka aplikace.
AADSTS501461	AcceptMappedClaims se podporuje jenom pro cílovou skupinu tokenů odpovídající identifikátoru GUID aplikace nebo cílové skupině v rámci ověřených domén tenanta. Buď změňte identifikátor prostředku, nebo použijte podpisový klíč specifický pro aplikaci.
AADSTS50147	MissingCodeChallenge – velikost parametru výzvy kódu není platná.
AADSTS501481	Code_Verifier neodpovídá code_challenge zadané v žádosti o autorizaci.
AADSTS501491	InvalidCodeChallengeMethodInvalidSize – Neplatná velikost parametru Code_Challenge.
AADSTS50155	DeviceAuthenticationFailed – Ověřování zařízení pro tohoto uživatele se nezdařilo.
AADSTS50158	ExternalSecurityChallenge – Externí bezpečnostní výzva nebyla splněna.
AADSTS50161	InvalidExternalSecurityChallengeConfiguration – Deklarace identity odeslané externím poskytovatelem nestačí nebo chybí požadovaná deklarace identity externímu zprostředkovateli.
AADSTS50166	ExternalClaimsProviderThrottled – Nepodařilo se odeslat požadavek zprostředkovateli deklarací identity.
AADSTS50168	ChromeBrowserSsoInterruptRequired – Klient může získat token jednotného přihlašování prostřednictvím rozšíření Účty Windows 10, ale token nebyl v požadavku nalezen nebo vypršela platnost zadaného tokenu.
AADSTS50169	InvalidRequestBadRealm – sféra není nakonfigurovanou sférou aktuálního oboru názvů služby.
AADSTS50170	MissingExternalClaimsProviderMapping – Chybí mapování externích ovládacích prvků.
AADSTS50173	FreshTokenNeeded – Poskytnutá udělení vypršela kvůli odvolání a vyžaduje se nový ověřovací token. Správce nebo uživatel odvolali tokeny pro tohoto uživatele, což způsobilo selhání následných aktualizací tokenů a vyžadování opětovného ověření. Požádejte uživatele, aby se znovu přihlásil.
AADSTS50177	ExternalChallengeNotSupportedForPassthroughUsers – Externí výzva není pro uživatele předávacích dat podporovaná.
AADSTS50178	SessionControlNotSupportedForPassthroughUsers – Řízení relací není podporováno pro uživatele předávacích dat.
AADSTS50180	WindowsIntegratedAuthMissing – Vyžaduje se integrované ověřování systému Windows. Povolte tenantovi bezproblémové jednotné přihlašování.
AADSTS50187	DeviceInformationNotProvided – službě se nepodařilo provést ověření zařízení.
AADSTS50192	Neplatný požadavek – RawCredentialExpectedNotFound – v žádosti o přihlášení nebyly zahrnuty žádné přihlašovací údaje. Příklad: Uživatel provádí ověřování na základě certifikátů (CBA) a v žádosti o přihlášení se neodesílají žádný certifikát (nebo proxy server) certifikát uživatele.
AADSTS50194	Aplikace {appId}({appName}) není nakonfigurovaná jako víceklientová aplikace. Použití /společného koncového bodu není podporováno pro takové aplikace vytvořené po {time}. Použijte koncový bod specifický pro tenanta nebo nakonfigurujte aplikaci tak, aby byla víceklientní.
AADSTS50196	LoopDetected – Byla zjištěna smyčka klienta. Zkontrolujte logiku aplikace a ujistěte se, že je implementované ukládání tokenů do mezipaměti a že se správně zpracovávají chybové stavy. Aplikace v příliš krátké době provedla příliš mnoho stejných požadavků, což znamená, že je v chybném stavu nebo že zneužívající žádosti o tokeny.
AADSTS50197	Konfliktní identity – Uživatel nebyl nalezen. Zkuste se přihlásit znovu.
AADSTS50199	CmsiInterrupt – z bezpečnostních důvodů je pro tuto žádost vyžadováno potvrzení uživatele. Přerušení se zobrazí pro všechna přesměrování schématu v mobilních prohlížečích. Nevyžaduje se žádná akce. Uživateli se zobrazí výzva k potvrzení, že se jedná o aplikaci, ke které se chtěl přihlásit. Jedná se o funkci zabezpečení, která pomáhá předejít útokům na falšování identity. K tomu dochází, protože systémové webové zobrazení bylo použito k vyžádání tokenu pro nativní aplikaci. Aby se této výzvě zabránilo, měl by být identifikátor URI přesměrování součástí následujícího seznamu bezpečných adres: http:// https:// chrome-extension:// (jenom prohlížeč Chrome pro stolní počítače)
AADSTS51000	RequiredFeatureNotEnabled – funkce je zakázaná.
AADSTS51001	DomainHintMustbePresent – Nápovědu k doméně musí být k dispozici místní identifikátor zabezpečení nebo místní hlavní název uživatele (UPN).
AADSTS1000104	XCB2BResourceCloudNotAllowedOnIdentityTenant – Cloud prostředků {resourceCloud} není u tenanta identity {identityTenant} povolený. {resourceCloud} – cloudová instance, která prostředek vlastní. {identityTenant} – je tenant, ze kterého pochází přihlašovací identita.
AADSTS51004	UserAccountNotInDirectory – Uživatelský účet v adresáři neexistuje. Aplikace pravděpodobně zvolila nesprávného tenanta pro přihlášení a aktuálně přihlášený uživatel ho nemohl provést, protože ve vašem tenantovi neexistuje. Pokud by se tento uživatel měl přihlásit, přidejte ho jako hosta. Další informace najdete v tématu Přidání uživatelů B2B.
AADSTS51005	TemporaryRedirect – ekvivalent stavu HTTP 307, který indikuje, že požadované informace se nacházejí v identifikátoru URI zadaném v hlavičce umístění. Když se zobrazí tento stav, postupujte podle hlavičky umístění přidružené k odpovědi. Pokud byla původní metoda požadavku POST, přesměrovaný požadavek použije také metodu POST.
AADSTS51006	ForceReauthDueToInsufficientAuth – Vyžaduje se integrované ověřování systému Windows. Uživatel přihlášený pomocí tokenu relace, u kterého chybí integrovaná deklarace identity ověřování systému Windows. Požádejte uživatele, aby se znovu přihlásil.
AADSTS52004	DelegationDoesNotExistForLinkedIn – Uživatel neposkytl souhlas pro přístup k prostředkům LinkedIn.
AADSTS53000	DeviceNotCompliant – Zásady podmíněného přístupu vyžadují vyhovující zařízení a zařízení nevyhovuje předpisům. Uživatel musí své zařízení zaregistrovat u schváleného zprostředkovatele správy mobilních zařízení, jako je Intune. Další informace najdete v tématu Náprava zařízení s podmíněným přístupem.
AADSTS53001	DeviceNotDomainJoined – Zásady podmíněného přístupu vyžadují zařízení připojené k doméně a zařízení není připojené k doméně. Požádejte uživatele, aby používal zařízení připojené k doméně.
AADSTS53002	ApplicationUsedIsNotAnApprovedApp – Použitá aplikace není schválenou aplikací pro podmíněný přístup. Aby uživatel mohl získat přístup, musí použít jednu z aplikací ze seznamu schválených aplikací.
AADSTS53003	BlockedByConditionalAccess – Zásady podmíněného přístupu zablokovaly přístup. Zásady přístupu neumožňují vystavování tokenů. Pokud je to neočekávané, podívejte se na zásady podmíněného přístupu, které se použily na tuto žádost, nebo se obraťte na správce. Další informace najdete v tématu řešení potíží s přihlášením pomocí podmíněného přístupu.
AADSTS530035	BlockedBySecurityDefaults – Ve výchozím nastavení zabezpečení byl přístup zablokován. Důvodem je to, že požadavek používá starší ověřování nebo považuje za nebezpečné ve výchozím nastavení zásady zabezpečení. Další informace najdete vynucované zásady zabezpečení.
AADSTS53004	ProofUpBlockedDueToRisk – Uživatel musí před přístupem k tomuto obsahu dokončit proces registrace vícefaktorového ověřování. Uživatel by se měl zaregistrovat pro vícefaktorové ověřování.
AADSTS53010	ProofUpBlockedDueToSecurityInfoAcr – Nejde nakonfigurovat vícefaktorové metody ověřování, protože organizace vyžaduje nastavení těchto informací z konkrétních umístění nebo zařízení.
AADSTS53011	Uživatel se zablokoval kvůli riziku na domovském tenantovi.
AADSTS530034	DelegatedAdminBlockedDueToSuspiciousActivity – Delegovaný správce se zablokoval v přístupu k tenantovi kvůli riziku účtu ve svém domovském tenantovi.
AADSTS54000	MinorUserBlockedLegalAgeGroupRule
AADSTS54005	Autorizační kód OAuth2 byl již uplatněn, zkuste to znovu s novým platným kódem nebo použijte existující obnovovací token.
AADSTS65001	DelegationDoesNotExist – Uživatel nebo správce neschválili souhlas s používáním aplikace s ID X. Odešlete interaktivní žádost o autorizaci pro tohoto uživatele a prostředek.
AADSTS65002	Souhlas mezi aplikací první strany {applicationId} a prostředkem první strany {resourceId} musí být nakonfigurovaný prostřednictvím předběžného ověření – aplikace vlastněné a provozované Microsoftem musí před vyžádáním tokenů pro toto rozhraní API získat schválení od vlastníka rozhraní API. Vývojář ve vašem tenantovi se může pokoušet znovu použít ID aplikace vlastněné Microsoftem. Tato chyba jim brání v zosobnění aplikace Microsoftu za účelem volání jiných rozhraní API. Musí přejít na jiné ID aplikace, které zaregistrují.
AADSTS65004	UserDeclinedConsent – Uživatel odmítl souhlas s přístupem k aplikaci. Požádejte uživatele, aby se zkusil znovu přihlásit a udělil aplikaci souhlas.
AADSTS65005	Chybně nakonfigurovaná aplikace – Požadovaný seznam přístupu k prostředkům neobsahuje aplikace zjistitelné prostředkem nebo klientská aplikace požadovala přístup k prostředku, který nebyl zadán v požadovaném seznamu přístupu k prostředkům nebo služba Graph vrátila chybný požadavek nebo prostředek nebyl nalezen. Pokud aplikace podporuje SAML, možná jste aplikaci nakonfigurovali s nesprávným identifikátorem (entitou). Další informace najdete v článku o řešení potíží s chybou AADSTS650056.
AADSTS650052	Aplikace potřebuje přístup ke službě (\"{name}\") , ke které se vaše organizace \"{organization}\" nepřihlásila k odběru ani nepovolila. Požádejte správce IT, aby zkontroloval konfiguraci vašich předplatných služeb.
AADSTS650054	Aplikace požádala o oprávnění pro přístup k prostředku, který byl odebrán nebo již není k dispozici. Ujistěte se, že všechny prostředky, na kterých aplikace volá, jsou přítomné v tenantovi, ve kterém pracujete.
AADSTS650056	Chybně nakonfigurovaná aplikace Důvodem může být jedna z těchto věcí: Klient nemá v požadovaném oprávnění v registraci aplikace klienta uvedená žádná oprávnění pro {name}. Nebo správce nesouhlasil v tenantovi. Případně zkontrolujte identifikátor aplikace v požadavku a ujistěte se, že odpovídá nakonfigurovanému identifikátoru klientské aplikace. Případně zkontrolujte certifikát v žádosti a ujistěte se, že je platný. Obraťte se na správce a požádejte ho o opravu konfigurace nebo vyjádření souhlasu jménem tenanta. ID klientské aplikace: {ID}. Obraťte se na správce a požádejte ho o opravu konfigurace nebo vyjádření souhlasu jménem tenanta.
AADSTS650057	Neplatný prostředek. Klient požádal o přístup k prostředku, který není uvedený v požadovaných oprávněních v registraci aplikace klienta. ID klientské aplikace: {appId}({appName}). Hodnota zdroje z požadavku: {resource}. ID aplikace prostředku: {resourceAppId}. Seznam platných prostředků z registrace aplikace: {regList}.
AADSTS67003	ActorNotValidServiceIdentity
AADSTS70000	InvalidGrant – Ověřování se nezdařilo. Obnovovací token není platný. Příčinou chyby můžou být následující důvody: Hlavička vazby tokenu je prázdná. Hodnota hash vazby tokenu se neshoduje
AADSTS70001	UnauthorizedClient – Aplikace je zakázaná. Další informace najdete v článku o řešení potíží s chybou AADSTS70001.
AADSTS700011	UnauthorizedClientAppNotFoundInOrgIdTenant – Aplikace s identifikátorem {appIdentifier} nebyla v adresáři nalezena. Klientská aplikace požádala o token z vašeho tenanta, ale klientská aplikace v tenantovi neexistuje, takže volání selhalo.
AADSTS70002	InvalidClient – Chyba při ověřování přihlašovacích údajů Zadaná client_secret neodpovídá očekávané hodnotě tohoto klienta. Opravte client_secret a zkuste to znovu. Další informace najdete v tématu Použití autorizačního kódu k vyžádání přístupového tokenu.
AADSTS700025	InvalidClientPublicClientWithCredential – Klient je veřejný, takže by se nemělo zobrazovat client_assertion ani client_secret.
AADSTS700027	Ověření podpisu klientského kontrolního výrazu se nezdařilo. Chyba vývojáře – aplikace se pokouší přihlásit bez potřebných nebo správných ověřovacích parametrů.
AADSTS70003	NepodporovanýGrantType – Aplikace vrátila nepodporovaný typ udělení.
AADSTS700030	Neplatný certifikát – název subjektu v certifikátu není autorizovaný. SubjectNames/SubjectAlternativeNames (až 10) v certifikátu tokenu jsou: {certificateSubjects}.
AADSTS70004	InvalidRedirectUri – Aplikace vrátila neplatný identifikátor URI přesměrování. Adresa přesměrování specifikovaná klientem neodpovídá žádné nakonfigurované adrese ani žádné adrese na seznamu schválených adres OIDC.
AADSTS70005	UnsupportedResponseType – Aplikace vrátila nepodporovaný typ odpovědi z následujících důvodů: Pro aplikaci není povolený typ odpovědi token. Typ odpovědi „id_token“ vyžaduje rozsah „OpenID“ – v parametru wctx obsahuje nepodporovanou hodnotu parametru OAuth.
AADSTS700054	Response_type pro aplikaci není povolená možnost id_token. Aplikace požadovala token ID z autorizačního koncového bodu, ale nepovolila implicitní udělení tokenu ID. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací a pak přejděte na >. Vyberte aplikaci a pak vyberte Ověřování. V části Implicitní udělení a hybridní toky se ujistěte, že jsou vybrané tokeny ID.
AADSTS70007	UnsupportedResponseMode – Aplikace vrátila nepodporovanou hodnotu response_mode při vyžádání tokenu.
AADSTS70008	ExpiredOrRevokedGrant – Platnost obnovovacího tokenu vypršela kvůli nečinnosti. Token byl vydán na XXX a byl neaktivní po určitou dobu.
AADSTS700082	ExpiredOrRevokedGrantInactiveToken – Platnost obnovovacího tokenu vypršela kvůli nečinnosti. Token byl vydán dne {issueDate} a byl neaktivní pro {time}. Očekávaná část životního cyklu tokenu – uživatel šel delší dobu bez použití aplikace, takže platnost tokenu vypršela, když se aplikace pokusila aktualizovat.
AADSTS700084	Obnovovací token byl vydán pro jednostránkovou aplikaci (SPA), a proto má pevnou omezenou životnost {time}, která se nedá rozšířit. Platnost vypršela a služba SPA na přihlašovací stránku musí odeslat novou žádost o přihlášení. Token byl vydán dne {issueDate}.
AADSTS70011	InvalidScope – Obor požadovaný aplikací je neplatný.
AADSTS70012	MsaServerError – Při ověřování uživatele MSA (příjemce) došlo k chybě serveru. Zkuste to ještě jednou. Pokud k chybě dochází opakovaně, otevřete požadavek na podporu.
AADSTS70016	AuthorizationPending – Chyba toku zařízení OAuth 2.0 Autorizace čeká na vyřízení. Zařízení se bude znovu dotazovat na žádost.
AADSTS70018	BadVerificationCode – Neplatný ověřovací kód kvůli zadání nesprávného uživatelského kódu pro tok kódu zařízení Autorizace není schválena.
AADSTS70019	CodeExpired – Platnost ověřovacího kódu vypršela. Nechejte uživatele opakovat přihlášení.
AADSTS70043	BadTokenDueToSignInFrequency – Platnost obnovovacího tokenu vypršela nebo je neplatná kvůli kontrolám frekvence přihlašování pomocí podmíněného přístupu. Token byl vydán dne {issueDate} a maximální povolená životnost pro tento požadavek je {time}.
AADSTS75001	BindingSerializationError – během vazby zprávy SAML došlo k chybě.
AADSTS75003	UnsupportedBindingError – Aplikace vrátila chybu související s nepodporovanou vazbou (odpověď protokolu SAML se nedá odeslat prostřednictvím jiných vazeb než HTTP POST).
AADSTS75005	Saml2MessageInvalid – Microsoft Entra nepodporuje požadavek SAML odeslaný aplikací pro jednotné přihlašování. Další informace najdete v článku o řešení potíží s chybou AADSTS75005.
AADSTS7500514	Nebyl nalezen podporovaný typ odpovědi SAML. Podporované typy odpovědí jsou Response (v oboru názvů XML urn:oasis:names:tc:SAML:2.0:protocol) nebo Assertion (v oboru názvů XML urn:oasis:names:tc:SAML:2.0:assertion). Chyba aplikace – vývojář tuto chybu zpracuje.
AADSTS750054	Pro vazbu SAML Redirect musí požadavek HTTP jako parametry řetězce dotazu obsahovat SAMLRequest nebo SAMLResponse. Další informace najdete v článku o řešení potíží s chybou AADSTS750054.
AADSTS75008	RequestDeniedError – Požadavek z aplikace byl odepřen, protože požadavek SAML měl neočekávaný cíl.
AADSTS75011	NoMatchedAuthnContextInOutputClaims – metoda ověřování, kterou uživatel ověřil ve službě, neodpovídá požadované metodě ověřování. Další informace najdete v článku o řešení potíží s chybou AADSTS75011.
AADSTS75016	Saml2AuthenticationRequestInvalidNameIDPolicy – Požadavek na ověření SAML2 má neplatnou hodnotu NameIdPolicy.
AADSTS76021	ApplicationRequiresSignedRequests – Požadavek odeslaný klientem není podepsaný, zatímco aplikace vyžaduje podepsané požadavky.
AADSTS76026	RequestIssueTimeExpired – IssueTime v požadavku na ověření SAML2 vypršela.
AADSTS80001	OnPremiseStoreIsNotAvailable – Ověřovací agent se nemůže připojit ke službě Active Directory. Ujistěte se, že jsou servery agentů členy stejné doménové struktury AD jako uživatelé, jejichž hesla je potřeba ověřit, a že se můžou připojit ke službě Active Directory.
AADSTS80002	OnPremisePasswordValidatorRequestTimedout – Vypršel časový limit požadavku na ověření hesla. Ujistěte se, že je služba Active Directory dostupná a odpovídá na požadavky z agentů.
AADSTS80005	OnPremisePasswordValidatorUnpredictableWebException – při zpracování odpovědi z ověřovacího agenta došlo k neznámé chybě. Zkuste požadavek zopakovat. Pokud se to nepodaří, otevřete lístek podpory a získejte další podrobnosti o chybě.
AADSTS80007	OnPremisePasswordValidatorErrorOccurredOnPrem – Ověřovací agent nemůže ověřit heslo uživatele. Zkontrolujte v protokolech agenta další informace a ověřte, že služba Active Directory funguje podle očekávání.
AADSTS80010	OnPremisePasswordValidationEncryptionException – Ověřovací agent nemůže dešifrovat heslo.
AADSTS80012	OnPremisePasswordValidationAccountLogonInvalidHours – uživatelé se pokusili přihlásit mimo povolené hodiny (to je zadané v AD).
AADSTS80013	OnPremisePasswordValidationTimeSkew – Pokus o ověření se nepodařilo dokončit kvůli časové nerovnoměrné distribuci mezi počítačem, na kterém běží ověřovací agent a AD. Opravte problémy se synchronizací času.
AADSTS80014	OnPremisePasswordValidationAuthenticationAgentTimeout – žádost o ověření odpověděla po překročení maximálního uplynulého času. Otevřete lístek podpory s kódem chyby, ID korelace a časovým razítkem, abyste získali další podrobnosti o této chybě.
AADSTS81004	DesktopSsoIdentityInTicketIsNotAuthenticated – Pokus o ověření protokolu Kerberos se nezdařil.
AADSTS81005	DesktopSsoAuthenticationPackageNotSupported – Ověřovací balíček se nepodporuje.
AADSTS81006	DesktopSsoNoAuthorizationHeader – Nebyla nalezena žádná autorizační hlavička.
AADSTS81007	DesktopSsoTenantIsNotOptIn – Tenant není povolený pro bezproblémové jednotné přihlašování.
AADSTS81009	DesktopSsoAuthorizationHeaderValueWithBadFormat – Nejde ověřit lístek Kerberos uživatele.
AADSTS81010	DesktopSsoAuthTokenInvalid – Bezproblémové jednotné přihlašování selhalo, protože vypršela platnost lístku Kerberos uživatele nebo je neplatný.
AADSTS81011	DesktopSsolookupUserBySidFailed – Nelze najít objekt uživatele na základě informací v lístku Kerberos uživatele.
AADSTS81012	DesktopSsoMismatchBetweenTokenUpnAndChosenUpn – uživatel, který se pokouší přihlásit k ID Microsoft Entra, se liší od uživatele přihlášeného k zařízení.
AADSTS90002	InvalidTenantName – Název tenanta nebyl v úložišti dat nalezen. Zkontrolujte, jestli máte správné ID tenanta. Vývojář aplikace obdrží tuto chybu, pokud se aplikace pokusí přihlásit k tenantovi, kterého nemůžeme najít. Často se jedná o to, že se v nesprávném cloudu použila multicloudová aplikace nebo se vývojář pokusil přihlásit k tenantovi odvozeného z e-mailové adresy, ale doména není zaregistrovaná.
AADSTS90004	InvalidRequestFormat – Požadavek není správně naformátovaný.
AADSTS90005	InvalidRequestWithMultipleRequirements – Požadavek nelze dokončit. Požadavek není platný, protože identifikátor a nápovědu pro přihlášení nelze použít společně.
AADSTS90006	ExternalServerRetryableError – Služba je dočasně nedostupná.
AADSTS90007	InvalidSessionId – Chybný požadavek. PŘEDané ID relace se nedá analyzovat.
AADSTS90008	TokenForItselfRequiresGraphPermission – Uživatel nebo správce nepovolil souhlas s používáním aplikace. Minimálně aplikace vyžaduje přístup k ID Microsoft Entra zadáním oprávnění k přihlášení a čtení profilu uživatele.
AADSTS90009	TokenForItselfMissingIdenticalAppIdentifier – aplikace požaduje token pro sebe. Tento scénář se podporuje jenom v případě, že zadaný prostředek používá ID aplikace založené na guid.
AADSTS90010	Nepodporováno – Algoritmus nelze vytvořit.
AADSTS9001023	Typ udělení se nepodporuje u koncových bodů /common nebo /consumers. Použijte koncový bod /organizations nebo koncový bod specifický pro tenanta.
AADSTS90012	RequestTimeout – Požadovaný časový limit vypršel.
AADSTS90013	InvalidUserInput – Vstup od uživatele není platný.
AADSTS90014	MissingRequiredField – Tento kód chyby se může objevit v různých případech, když v přihlašovacích údajích není uvedené očekávané pole.
AADSTS900144	Tělo požadavku musí obsahovat následující parametr: {name}. Chyba vývojáře – aplikace se pokouší přihlásit bez potřebných nebo správných ověřovacích parametrů.
AADSTS90015	QueryStringTooLong – řetězec dotazu je příliš dlouhý.
AADSTS90016	MissingRequiredClaim – Přístupový token není platný. Požadovaná deklarace identity chybí.
AADSTS90019	MissingTenantRealm – ID Microsoft Entra nebylo možné určit identifikátor tenanta z požadavku.
AADSTS90020	Kontrolní výraz SAML 1.1 chybí ImmutableID uživatele. Chyba vývojáře – aplikace se pokouší přihlásit bez potřebných nebo správných ověřovacích parametrů.
AADSTS90022	AuthenticatedInvalidPrincipalNameFormat – Formát hlavního názvu není platný nebo nesplňuje očekávaný name[/host][@realm] formát. Hlavní název je povinný, hostitel a sféra jsou volitelné a dají se nastavit na hodnotu null.
AADSTS90023	InvalidRequest – Požadavek ověřovací služby není platný.
AADSTS900236	InvalidRequestSamlPropertyUnsupported – vlastnost žádosti o ověření SAML {propertyName} není podporovaná a nesmí být nastavená.
AADSTS9002313	InvalidRequest – Požadavek je poškozený nebo neplatný. – K problému dochází, protože došlo k nějaké chybě s požadavkem na určitý koncový bod. Návrhem tohoto problému je získat trasování chyby fiddleru a zjistit, jestli je požadavek správně naformátovaný nebo ne.
AADSTS9002332	Aplikace {principalId}({principalName}) je nakonfigurována pouze pro použití uživateli Microsoft Entra. K poskytování této žádosti nepoužívejte koncový bod /consumers.
AADSTS90024	RequestBudgetExceededError – Došlo k přechodné chybě. Zkuste to ještě jednou.
AADSTS90027	V tenantovi MSA nemůžeme vydávat tokeny z této verze rozhraní API. Obraťte se na dodavatele aplikace, protože k jeho podpoře musí použít verzi 2.0 protokolu.
AADSTS90033	MsodsServiceUnavailable – Služba Microsoft Online Directory Service (MSODS) není dostupná.
AADSTS90036	MsodsServiceUnretryableFailure – došlo k neočekávané, neopakovatelné chybě ze služby WCF hostované službou MSODS. Pokud chcete získat o této chybě více informací, otevřete lístek podpory.
AADSTS90038	NationalCloudTenantRedirection – zadaný tenant Y patří do národního cloudu X. Aktuální cloudová instance Z se nefederuje s X. Vrátí se chyba přesměrování cloudu.
AADSTS900384	Ověření tokenu JWT selhalo. Skutečný obsah zprávy je specifický pro modul runtime, existuje celá řada příčin této chyby. Podrobnosti najdete v vrácené zprávě o výjimce.
AADSTS90043	NationalCloudAuthCodeRedirection – funkce je zakázaná.
AADSTS900432	Důvěrného klienta se v žádosti mezi cloudy nepodporuje.
AADSTS90051	InvalidNationalCloudId – Identifikátor národního cloudu obsahuje neplatný identifikátor cloudu.
AADSTS90055	TenantThrottlingError – Existuje příliš mnoho příchozích požadavků. Tato výjimka se vyvolá pro blokované tenanty.
AADSTS90056	BadResourceRequest – Pokud chcete uplatnit kód pro přístupový token, měla by aplikace odeslat požadavek POST do koncového /token bodu. Před tím byste také měli zadat autorizační kód a odeslat ho v požadavku POST do koncového /token bodu. Přehled toku autorizačního kódu OAuth 2.0 najdete v tomto článku. Nasměrujte uživatele na /authorize koncový bod, který vrátí authorization_code. Odesláním požadavku do koncového /token bodu získá uživatel přístupový token. Zkontrolujte Registrace aplikací > koncových bodů a ověřte, že jsou oba koncové body správně nakonfigurované.
AADSTS900561	BadResourceRequestInvalidRequest – koncový bod přijímá pouze požadavky {valid_verbs}. Obdržel(a) žádost {invalid_verb}. {valid_verbs} představuje seznam příkazů HTTP podporovaných koncovým bodem (například POST), {invalid_verb} je příkaz HTTP použitý v aktuálním požadavku (například GET). Příčinou může být chyba vývojáře nebo to, že uživatelé v prohlížeči stiskli tlačítko Zpět a aktivovali chybný požadavek. Dá se ignorovat.
AADSTS90072	PassThroughUserMfaError – externí účet, pomocí kterého se uživatel přihlašuje, neexistuje v tenantovi, ke kterému se přihlásil; aby uživatel nemohl splnit požadavky vícefaktorového ověřování pro tenanta. K této chybě může dojít také v případě, že jsou uživatelé synchronizovaní, ale v atributu ImmutableID (sourceAnchor) mezi Active Directory a ID Microsoft Entra došlo k neshodě. Nejprve je potřeba účet přidat jako externího uživatele v tenantovi. Odhlaste se a přihlaste se pomocí jiného uživatelského účtu Microsoft Entra. Další informace najdete v tématu Konfigurace externích identit.
AADSTS90081	OrgIdWsFederationMessageInvalid – Při pokusu služby o zpracování zprávy WS-Federation došlo k chybě. Zpráva není platná.
AADSTS90082	OrgIdWsFederationNotSupported – Vybraná zásada ověřování pro požadavek se v současné době nepodporuje.
AADSTS90084	OrgIdWsFederationGuestNotAllowed – Účty hostů nejsou pro tento web povolené.
AADSTS90085	OrgIdWsFederationSltRedemptionFailed – Služba nemůže vydat token, protože objekt společnosti ještě nebyl zřízen.
AADSTS90086	OrgIdWsTrustDaTokenExpired – Platnost tokenu DA uživatele vypršela.
AADSTS90087	OrgIdWsFederationMessageCreationFromUriFailed – Při vytváření zprávy WS-Federation z identifikátoru URI došlo k chybě.
AADSTS90090	GraphRetryableError – Služba je dočasně nedostupná.
AADSTS90091	GraphServiceUnreachable
AADSTS90092	GraphNonRetryableError
AADSTS90093	GraphUserUnauthorized – Graf vrácený kódem chyby Zakázáno pro požadavek.
AADSTS90094	AdminConsentRequired – Vyžaduje se souhlas správce.
AADSTS900382	Důvěrného klienta se v žádosti mezi cloudy nepodporuje.
AADSTS90095	AdminConsentRequiredRequestAccess – v prostředí pracovního postupu souhlasu správce se zobrazí přerušení, které se zobrazí, když se uživateli řekne, že musí požádat správce o souhlas.
AADSTS90099	Aplikace {appId} ({appName}) nebyla v tenantovi {tenant} autorizovaná. Aplikace musí mít oprávnění pro přístup k externímu tenantovi, aby je mohli používat delegovaní správci partnera. Poskytněte předběžné souhlas nebo spusťte příslušné rozhraní API Partnerského centra pro autorizaci aplikace.
AADSTS900971	Nebyla k dispozici žádná adresa odpovědi.
AADSTS90100	InvalidRequestParameter – Parametr je prázdný nebo neplatný.
AADSTS901002	AADSTS901002: Parametr požadavku resource není podporovaný.
AADSTS90101	InvalidEmailAddress – Zadaná data nejsou platná e-mailová adresa. E-mailová adresa musí být ve formátu someone@example.com.
AADSTS90102	InvalidUriParameter – Hodnota musí být platným absolutním identifikátorem URI.
AADSTS90107	InvalidXml – Požadavek není platný. Ujistěte se, že data nemají neplatné znaky.
AADSTS90112	Očekává se, že identifikátor aplikace bude identifikátor GUID.
AADSTS90114	InvalidExpiryDate – Časové razítko vypršení platnosti hromadného tokenu způsobí vystavení tokenu s vypršenou platností.
AADSTS90117	InvalidRequestInput
AADSTS90119	InvalidUserCode – Kód uživatele má hodnotu null nebo je prázdný.
AADSTS90120	InvalidDeviceFlowRequest – Žádost již byla autorizována nebo odmítnuta.
AADSTS90121	InvalidEmptyRequest – neplatný prázdný požadavek.
AADSTS90123	IdentityProviderAccessDenied – Token nejde vystavit, protože identita nebo zprostředkovatel vystavování deklarací identity zamítl požadavek.
AADSTS90124	V1ResourceV2GlobalEndpointNotSupported – prostředek není podporován prostřednictvím /common koncových bodů ani /consumers koncových bodů. /organizations Místo toho použijte koncový bod specifický pro tenanta.
AADSTS90125	DebugModeEnrollTenantNotFound – uživatel není v systému. Ujistěte se, že jste uživatelské jméno zadali správně.
AADSTS90126	DebugModeEnrollTenantNotInferred – Tento koncový bod nepodporuje typ uživatele. Systém nemůže odvodit tenanta uživatele z uživatelského jména.
AADSTS90130	NonConvergedAppV2GlobalEndpointNotSupported – Aplikace není podporována prostřednictvím /common koncových bodů ani /consumers koncových bodů. /organizations Místo toho použijte koncový bod specifický pro tenanta.
AADSTS120000	PasswordChangeIncorrectCurrentPassword
AADSTS120002	PasswordChangeInvalidNewPasswordWeak
AADSTS120003	PasswordChangeInvalidNewPasswordContainsMemberName
AADSTS120004	PasswordChangeOnPremComplexity
AADSTS120005	PasswordChangeOnPremSuccessCloudFail
AADSTS120008	PasswordChangeAsyncJobStateTerminated – Došlo k neopakovatelné chybě.
AADSTS120011	PasswordChangeAsyncUpnInferenceFailed
AADSTS120012	PasswordChangeNeedsToHappenOnPrem
AADSTS120013	PasswordChangeOnPremisesConnectivityFailure
AADSTS120014	PasswordChangeOnPremUserAccountLockedOutOrDisabled
AADSTS120015	PasswordChangeADAdminActionRequired
AADSTS120016	PasswordChangeUserNotFoundBySspr
AADSTS120018	PasswordChangePasswordDoesnotComplyFuzzyPolicy
AADSTS120020	PasswordChangeFailure
AADSTS120021	PartnerServiceSsprInternalServiceError
AADSTS130004	IdentityKeyNotFound – Instanční objekt uživatele nemá nakonfigurovaný klíč ID ID SERVERU.
AADSTS130005	SoftwareInvalidSignature – Podpis klíče JSTE OVĚŘILI, že se nezdařilo.
AADSTS130006	UdpTransportKeyNotFound – Na zařízení není nakonfigurovaný transportní klíč UDP.
AADSTS130007	IdentityDeviceIsDisabled – Zařízení je zakázané.
AADSTS130008	IdentityDeviceIsNotFound – zařízení, na které odkazuje klíčLUŠ, nebylo nalezeno.
AADSTS135010	KeyNotFound
AADSTS135011	Zařízení používané během ověřování je zakázáno.
AADSTS140000	InvalidRequestNonce – Požadavek není zadaný.
AADSTS140001	InvalidSessionKey – klíč relace není platný.
AADSTS165004	Skutečný obsah zprávy je specifický pro modul runtime. Podrobnosti najdete v vrácené zprávě o výjimce.
AADSTS165900	InvalidApiRequest – Neplatný požadavek.
AADSTS220450	Nepodporovaná verzeAndroidWebViewVersion – Verze Chrome WebView není podporovaná.
AADSTS220501	InvalidCrlDownload
AADSTS221000	DeviceOnlyTokensNotSupportedByResource – Prostředek není nakonfigurovaný tak, aby přijímal tokeny jen pro zařízení.
AADSTS240001	BulkAADJTokenUnauthorized – Uživatel nemá oprávnění registrovat zařízení v Microsoft Entra ID.
AADSTS240002	RequiredClaimIsMissing – id_token nelze použít jako urn:ietf:params:oauth:grant-type:jwt-bearer grant.
AADSTS501621	ClaimsTransformationTimeoutRegularExpressionTimeout – vypršel časový limit nahrazení regulárního výrazu pro transformaci deklarací. To značí, že pro tuto aplikaci je možná nakonfigurovaný příliš složitý regulární výraz. Opakování požadavku může proběhnout úspěšně. V opačném případě se obraťte na správce a požádejte ho o opravu konfigurace.
AADSTS530032	BlockedByConditionalAccessOnSecurityPolicy – Správce tenanta nakonfiguroval zásady zabezpečení, které blokují tento požadavek. Zkontrolujte zásady zabezpečení definované na úrovni tenanta a zjistěte, jestli váš požadavek splňuje požadavky zásad.
AADSTS700016	UnauthorizedClient_DoesNotMatchRequest – Aplikace se v adresáři nebo tenantovi nenašla. K tomu může dojít v případě, že aplikace nebyla nainstalována správcem tenanta nebo nebyla odsouhlasena žádným uživatelem v tenantovi. Možná jste špatně nakonfigurovali hodnotu identifikátoru aplikace nebo jste odeslali požadavek na ověření do nesprávného tenanta.
AADSTS700020	InteractionRequired – Udělení přístupu vyžaduje interakci.
AADSTS700022	InvalidMultipleResourcesScope – Zadaná hodnota pro obor vstupního parametru není platná, protože obsahuje více prostředků.
AADSTS700023	InvalidResourcelessScope – zadaná hodnota pro obor vstupního parametru není platná při vyžádání přístupového tokenu.
AADSTS7000215	Je zadaný neplatný tajný klíč klienta. Chyba vývojáře – aplikace se pokouší přihlásit bez potřebných nebo správných ověřovacích parametrů.
AADSTS7000218	Tělo požadavku musí obsahovat následující parametr: "client_assertion" nebo "client_secret".
AADSTS7000222	InvalidClientSecretExpiredKeysProvided – Zadané tajné klíče klienta vypršela. Vytvořte nové klíče pro vaši aplikaci nebo zvažte použití přihlašovacích údajů certifikátu pro přidání zabezpečení: https://aka.ms/certCreds
AADSTS700229	ZakázánoTokenType – Jako přihlašovací údaje federované identity pro vystavitele Microsoft Entra je možné použít pouze tokeny jen pro aplikace. Místo přístupového tokenu delegovaného uživatelem (představující požadavek přicházející z kontextu uživatele) použijte přístupový token jen pro aplikaci (vygenerovaný během toku přihlašovacích údajů klienta).
AADSTS700005	InvalidGrantRedeemAgainstWrongTenant – Zadaný autorizační kód je určen k použití v jiném tenantovi, a proto odmítnut. Autorizační kód OAuth2 musí být uplatněn proti stejnému tenantovi, pro něhož byl získán (/common nebo /{ID_tenanta}).
AADSTS1000000	UserNotBoundError – Rozhraní Bind API vyžaduje, aby se uživatel Microsoft Entra také ověřil pomocí externího ZDP, ke kterému ještě nedošlo.
AADSTS1000002	BindCompleteInterruptError – Vazba byla úspěšně dokončena, ale uživatel musí být informován.
AADSTS100007	Microsoft Entra Regional ONLY podporuje ověřování pro MSI nebo pro žádosti z MSAL pomocí SN+I pro aplikace 1P nebo 3P v tenantech infrastruktury Microsoftu.
AADSTS1000031	Aplikace {appDisplayName} není v tuto chvíli přístupná. Obraťte se na správce.
AADSTS7000112	UnauthorizedClientApplicationDisabled – Aplikace je zakázaná.
AADSTS7000114	Aplikace appIdentifier nemůže provádět volání jménem aplikace.
AADSTS7500529	Hodnota SAMLId-Guid není platné ID SAML – Microsoft Entra ID používá tento atribut k naplnění atributu InResponseTo vrácené odpovědi. ID nesmí začínat číslem, takže běžnou strategií je předvytvádění řetězce, jako je "ID" na řetězcovou reprezentaci identifikátoru GUID. Například id6c1c178c166d486687be4aaf5e482730 je platné ID.
AADSTS9002341	V2Error: invalid_grant Uživatel musí povolit jednotné přihlašování (SSO). K této chybě dochází v případě, že uživatel neudělil potřebná oprávnění k provedení jednotného přihlašování aplikace. Uživatel by měl být přesměrován na obrazovku souhlasu, aby udělil potřebná oprávnění. Další informace najdete v tomto oznámení ."
AADSTS901011	NoEmailAddressCollectedFromExternalOidcIDP – Z externího zprostředkovatele identity OpenID Connect (OIDC) nebyla získána žádná e-mailová adresa. K tomu obvykle dochází, když uživatel vybere Skrýt můj e-mail při registraci.
AADSTS901012	EmailAddressCollectedFromExternalOidcIDPNotVerified – od zprostředkovatele identity nebyla získána žádná ověřená e-mailová adresa. E-mailová adresa není ověřena v tokenu ID z externího zprostředkovatele identity OIDC.
AADSTS901014	NoExternalIdentifierCollectedFromExternalOidcIDP – Externí identifikátor v tokenu ID z externího zprostředkovatele identity OIDC neexistuje.

Další kroky

• Máte dotaz nebo nemůžete najít, co hledáte? Vytvořte problém Na GitHubu nebo si projděte možnosti podpory a nápovědy pro vývojáře, abyste se dozvěděli o dalších způsobech, jak získat nápovědu a podporu.