Kódy chyb autorizace a ověřování Microsoft Entra

Hledáte informace o kódech chyb AADSTS vrácených službou tokenů zabezpečení (STS) služby Microsoft Entra? V tomto dokumentu najdete popisy chyb AADSTS, jejich opravy a některá doporučovaná alternativní řešení.

Poznámka:

Tyto informace jsou předběžné a můžou se změnit. Máte dotaz nebo nemůžete najít, co hledáte? Vytvořte problém Na GitHubu nebo si projděte možnosti podpory a nápovědy pro vývojáře, abyste se dozvěděli o dalších způsobech, jak získat nápovědu a podporu.

Tato dokumentace se poskytuje pro pokyny pro vývojáře a správce, ale klient by ho nikdy neměl používat. Kódy chyb se můžou kdykoli změnit, aby poskytovaly podrobnější chybové zprávy, které mají vývojářům pomoct při vytváření aplikace. Aplikace, které jsou závislé na textu nebo čísel chybových kódů, se v průběhu času přeruší.

Vyhledání informace o aktuálním kódu chyby

Kódy chyb a zprávy se mohou změnit. Nejnovější informace najdete na stránce https://login.microsoftonline.com/error, kde najdete popisy chyb AADSTS, opravy a některá navrhovaná alternativní řešení.

Pokud jste například obdrželi kód chyby "AADSTS50058", vyhledejte https://login.microsoftonline.com/error "50058". Můžete také odkazovat přímo na konkrétní chybu přidáním čísla kódu chyby do adresy URL: https://login.microsoftonline.com/error?code=50058.

Zpracování kódů chyb v aplikaci

Specifikace OAuth2.0 obsahuje pokyny k zpracování chyb při ověřování pomocí error části odpovědi na chybu.

Tady je ukázková chybová odpověď:

{
  "error": "invalid_scope",
  "error_description": "AADSTS70011: The provided value for the input parameter 'scope' isn't valid. The scope https://example.contoso.com/activity.read isn't valid.\r\nTrace ID: 0000aaaa-11bb-cccc-dd22-eeeeee333333\r\nCorrelation ID: aaaa0000-bb11-2222-33cc-444444dddddd\r\nTimestamp: 2016-01-09 02:02:12Z",
  "error_codes": [
    70011
  ],
  "timestamp": "2016-01-09 02:02:12Z",
  "trace_id": "0000aaaa-11bb-cccc-dd22-eeeeee333333",
  "correlation_id": "aaaa0000-bb11-2222-33cc-444444dddddd", 
  "error_uri":"https://login.microsoftonline.com/error?code=70011"
}

Parametr	Popis
error	Řetězec kódu chyby, který lze použít ke klasifikaci typů chyb, ke kterým dochází, a měl by být použit k reakci na chyby.
error_description	Konkrétní chybová zpráva, která může vývojáři pomoct identifikovat původní příčinu chyby ověřování. Toto pole nikdy nepoužívejte k reakci na chybu v kódu.
error_codes	Seznam kódů chyb specifických pro stS, které můžou pomoct s diagnostikou.
timestamp	Vrátí se čas, kdy došlo k chybě.
trace_id	Jedinečný identifikátor požadavku, který může pomoct s diagnostikou.
correlation_id	Jedinečný identifikátor požadavku, který může pomoct s diagnostikou napříč komponentami.
error_uri	Odkaz na stránku vyhledávání chyb s dalšími informacemi o chybě. To platí jenom pro využití pro vývojáře, nechovejte je uživatelům. K dispozici pouze v případě, že systém vyhledávání chyb obsahuje další informace o chybě – ne všechny chyby obsahují další informace.

Pole error má několik možných hodnot – projděte si odkazy na dokumentaci protokolu a specifikace OAuth 2.0, kde najdete další informace o konkrétních chybách (například v authorization_pending kódu zařízení) a o tom, jak na ně reagovat. Tady jsou uvedené některé běžné:

Kód chyby	Popis	Akce klienta
invalid_request	Chyba protokolu, například chybějící požadovaný parametr.	Opravte požadavek a odešlete ho znovu.
invalid_grant	Některé ověřovací materiály (ověřovací kód, obnovovací token, přístupový token, výzva PKCE) byly neplatné, neoddělitelné, chybějící nebo jinak nepoužitelné.	Zkuste do koncového /authorize bodu zadat nový požadavek, abyste získali nový autorizační kód. Zvažte kontrolu a ověření používání protokolů aplikace.
unauthorized_client	Ověřený klient nemá oprávnění k použití tohoto typu udělení autorizace.	K tomu obvykle dochází v případě, že klientská aplikace není zaregistrovaná v Microsoft Entra ID nebo není přidána do tenanta Microsoft Entra uživatele. Aplikace může vyzvat uživatele s pokyny k instalaci aplikace a jeho přidání do Microsoft Entra ID.
invalid_client	Ověření klienta se nezdařilo.	Přihlašovací údaje klienta nejsou platné. Tento problém vyřešíte tak, že správce aplikace aktualizuje přihlašovací údaje.
unsupported_grant_type	Autorizační server nepodporuje typ udělení autorizace.	Změňte typ grantu v žádosti. K tomuto typu chyby by mělo dojít pouze během vývoje a být zjištěn během počátečního testování.
invalid_resource	Cílový prostředek je neplatný, protože neexistuje, id Microsoft Entra ho nemůže najít nebo není správně nakonfigurované.	To znamená, že prostředek, pokud existuje, nebyl u tenanta nakonfigurován. Aplikace může vyzvat uživatele s pokyny k instalaci aplikace a jeho přidání do Microsoft Entra ID. Během vývoje to obvykle značí nesprávně nastaveného testovacího tenanta nebo překlep v názvu požadovaného oboru.
interaction_required	Požadavek vyžaduje interakci uživatele. Vyžaduje se například další krok ověřování.	Zkuste požadavek opakovat interaktivně se stejným prostředkem, aby uživatel mohl dokončit všechny požadované výzvy.
temporarily_unavailable	Server je dočasně příliš zaneprázdněný pro zpracování požadavku.	Zkuste požadavek zopakovat. Klientská aplikace může uživateli vysvětlit, že jeho odpověď je zpožděná kvůli dočasné podmínce.

Kódy chyb AADSTS

Chyba	Popis
AADSTS16000	InteractionRequired – Uživatelský účet {EmailHidden} od zprostředkovatele identity {idp} v tenantovi {tenant} neexistuje a nemá přístup k aplikaci {appid}({appName}) v tomto tenantovi. Tento účet je potřeba nejdřív přidat jako externího uživatele v tenantovi. Odhlaste se a znovu se přihlaste pomocí jiného uživatelského účtu Microsoft Entra. Tato chyba je poměrně běžná, když se pokusíte přihlásit k Centru pro správu Microsoft Entra pomocí osobního účtu Microsoft a není k němu přidružený žádný adresář.
AADSTS16001	UserAccountSelectionInvalid – Tato chyba se zobrazí, pokud uživatel vybere dlaždici, kterou logika výběru relace zamítla. Po spuštění umožní tato chyba uživateli obnovit se výběrem ze zaktualizovaného seznamu dlaždic či relací, nebo volbou jiného účtu. K této chybě může dojít kvůli chybě kódu nebo závodní podmínky.
AADSTS16002	AppSessionSelectionInvalid – Požadavek identifikátoru SID zadaný aplikací nebyl splněn.
AADSTS160021	AppSessionSelectionInvalidSessionNotExist – aplikace požadovala uživatelskou relaci, která neexistuje. Tento problém můžete vyřešit vytvořením nového účtu Azure.
AADSTS16003	SsoUserAccountNotFoundInResourceTenant – označuje, že uživatel nebyl explicitně přidán do tenanta.
AADSTS17003	CredentialKeyProvisioningFailed – ID Microsoft Entra nemůže zřídit uživatelský klíč.
AADSTS20001	WsFedSignInResponseError – Došlo k problému s vaším federovaným zprostředkovatelem identity. Obraťte se na svého poskytovatele identity (IDP) a vyřešte tento problém.
AADSTS20012	WsFedMessageInvalid – Došlo k problému s vaším federovaným zprostředkovatelem identity. Pro vyřešení tohoto problému se obraťte na svého poskytovatele identity (IDP).
AADSTS20033	FedMetadataInvalidTenantName – Došlo k problému s vaším federovaným Identity Providerem. Obraťte se na svého poskytovatele identit (IDP), aby tento problém vyřešil.
AADSTS230109	CachedCredentialNonGWAuthNRequestsNotSupported – Služba Backup Auth Service povoluje pouze požadavky AuthN z Microsoft Entra Gateway. Tato chyba se vrátí, když provoz cílí na záložní ověřovací službu přímo, namísto použití reverzního proxy serveru.
AADSTS28002	Zadaná hodnota pro obor vstupního parametru {scope} není platná při vyžádání přístupového tokenu. Zadejte platný obor.
AADSTS28003	Zadaná hodnota pro obor vstupního parametru nemůže být prázdná při vyžádání přístupového tokenu pomocí poskytnutého autorizačního kódu. Zadejte platný obor.
AADSTS399284	InboundIdTokenIssuerInvalid – příchozí token ID přijatý v rámci federace má neplatného vystavitele. Buď je prázdný, nebo neodpovídá identifikátoru sféry.
AADSTS40008	OAuth2IdPUnretryableServerError – Došlo k problému s vaším federovaným zprostředkovatelem identity. Obraťte se na svého IDP, abyste tento problém vyřešili.
AADSTS40009	OAuth2IdPRefreshTokenRedemptionUserError – Došlo k problému s vaším federovaným zprostředkovatelem identity. Chcete-li tento problém vyřešit, obraťte se na svého poskytovatele identity (IDP).
AADSTS40010	OAuth2IdPRetryableServerError – Došlo k problému s vaším federovaným zprostředkovatelem identity. Pokud chcete tento problém vyřešit, obraťte se na svého poskytovatele identity (IDP).
AADSTS40015	OAuth2IdPAuthCodeRedemptionUserError – Došlo k problému s vaším federovaným zprostředkovatelem identity. Pro vyřešení tohoto problému se obraťte na svůj IDP.
AADSTS50000	TokenIssuanceError – Došlo k problému s přihlašovací službou. Pokud chcete tento problém vyřešit, otevřete požadavek na podporu.
AADSTS50001	InvalidResource – Prostředek je zakázaný nebo neexistuje. Zkontrolujte kód aplikace a ujistěte se, že jste zadali přesnou adresu URL prostředku pro prostředek, ke kterému se pokoušíte získat přístup.
AADSTS50002	NotAllowedTenant – Přihlášení selhalo kvůli omezenému přístupu k proxy na klientovi. Pokud se jedná o vaše vlastní zásady hlavního nájemníka, můžete tento problém vyřešit změnou omezených nastavení nájemníka.
AADSTS500011	InvalidResourceServicePrincipalNotFound – Prostředek s názvem {name} nebyl v tenantovi s názvem {tenant} nalezen. K této chybě může dojít v případě, že aplikaci nenainstaloval správce tenanta nebo ji neodsouhlasil žádný uživatel v tenantovi. Možná jste odeslali žádost o ověření do nesprávného tenanta. Pokud očekáváte, že se aplikace nainstaluje, budete možná muset poskytnout oprávnění správce, abyste ji mohli přidat. Obraťte se na vývojáře prostředku a aplikace a zjistěte, co je správné nastavení pro vašeho tenanta.
AADSTS500014	InvalidResourceServicePrincipalDisabled – Služební objekt pro prostředek '{identifier}' je deaktivovaný. To znamená, že předplatné v rámci tenanta vypršelo, nebo že správce pro tohoto tenanta zakázal služební účet aplikace, což brání vydávání tokenů. Další informace najdete v tématu Zakázání přihlašování uživatelů pro aplikaci.
AADSTS500021	Přístup k tenantu '{tenant}' je odepřen. AADSTS500021 indikuje, že je nakonfigurovaná funkce omezení tenanta a že se uživatel pokouší získat přístup k tenantovi, který není v seznamu povolených tenantů zadaných v hlavičce Restrict-Access-To-Tenant. Další informace najdete v tématu Použití omezení tenanta ke správě přístupu ke cloudovým aplikacím SaaS.
AADSTS500022	Přístup k nájemci {tenant} je odepřen. AADSTS500022 označuje, že je nakonfigurovaná funkce omezení tenanta a že se uživatel pokouší získat přístup k tenantovi, který není v seznamu povolených tenantů zadaných v hlavičce Restrict-Access-To-Tenant. Další informace najdete v tématu Použití omezení tenanta ke správě přístupu ke cloudovým aplikacím SaaS.
AADSTS50003	MissingSigningKey – Přihlášení selhalo kvůli chybějícímu podpisovém klíči nebo certifikátu. Důvodem může být to, že v aplikaci nebyl nakonfigurovaný žádný podpisový klíč. Další informace najdete v článku o řešení potíží s chybou AADSTS50003. Pokud se vám stále zobrazují problémy, obraťte se na vlastníka aplikace nebo správce aplikace.
AADSTS50005	DevicePolicyError – Uživatel se pokusil přihlásit k zařízení z platformy, která se v současné době nepodporuje prostřednictvím zásad podmíněného přístupu.
AADSTS50006	InvalidSignature – Ověření podpisu selhalo kvůli neplatnému podpisu.
AADSTS50007	PartnerEncryptionCertificateMissing – Pro tuto aplikaci se nenašel šifrovací certifikát partnera. Otevřete ticket podpory se společností Microsoft, aby se to vyřešilo.
AADSTS50008	InvalidSamlToken – Kontrolní výraz SAML v tokenu chybí nebo je chybně nakonfigurovaný. Obraťte se na svého federačního zprostředkovatele.
AADSTS5000224	NotAllowedTenantBlockedTenantFraud – Je nám líto, ale tento zdroj není k dispozici. Pokud se vám tato zpráva zobrazuje omylem, kontaktujte prosím podporu Microsoftu.
AADSTS5000819	Chyba InvalidSamlTokenEmailMissingOrInvalid – SAML ověření je neplatné, protože e-mail chybí nebo je neplatný. Deklarace e-mailové adresy chybí nebo neodpovídá doméně z externí sféry.
AADSTS50010	AudienceUriValidationFailed – Ověření identifikátoru URI cílové skupiny pro aplikaci selhalo, protože nebyly nakonfigurovány žádné cílové skupiny tokenů.
AADSTS50011	InvalidReplyTo – Adresa odpovědi chybí, je chybně nakonfigurovaná nebo neodpovídá adresám odpovědí nakonfigurovaným pro aplikaci. Jako řešení se ujistěte, že tuto chybějící adresu odpovědi přidáte do aplikace Microsoft Entra, nebo požádejte někoho, kdo má oprávnění ke správě vaší aplikace v Microsoft Entra, aby to udělal za vás. Další informace najdete v článku o řešení potíží s chybou AADSTS50011.
AADSTS50012	Ověřování se nezdařilo – Ověřování se nezdařilo z jednoho z následujících důvodů: Název subjektu podpisového certifikátu není autorizovaný. Pro autorizovaný název subjektu nebyla nalezena odpovídající politika důvěryhodné autority. Řetěz certifikátů není platný. Podpisový certifikát není platný. Zásady nejsou nakonfigurované v tenantovi. Kryptografický otisk podpisového certifikátu není schválený. Klientské tvrzení obsahuje neplatný podpis.
AADSTS50013	InvalidAssertion – Prohlášení je neplatné z různých důvodů – Vystavitel tokenu neodpovídá verzi rozhraní API v platném časovém období - vypršel - je nesprávně formátovaný. Obnovovací token v prohlášení není primární obnovovací token. Obraťte se na vývojáře aplikací.
AADSTS500133	Aserce není v platném časovém rozsahu. Ujistěte se, že platnost přístupového tokenu nevypršela, než ho použijete k ověření uživatele, nebo požádejte o nový token. Aktuální čas: {curTime}, čas vypršení platnosti prohlášení {expTime}. Tvrzení je neplatné z různých důvodů: Vystavitel tokenu neodpovídá verzi rozhraní API v platném časovém rozsahu. Platnost vypršela Špatně formovaný Obnovovací token v kontrolním výrazu není primárním obnovovacím tokenem.
AADSTS50014	GuestUserInPendingState – uživatelský účet v adresáři neexistuje. Aplikace pravděpodobně vybrala nesprávného nájemce pro přihlášení, a aktuálně přihlášený uživatel se nemohl přihlásit, protože ve vašem nájemci neexistuje. Pokud by se tento uživatel měl přihlásit, přidejte ho jako hosta. Pro další informace navštivte Přidání uživatelů B2B.
AADSTS50015	ViralUserLegalAgeConsentRequiredState – Uživatel vyžaduje souhlas se zákonnou věkovou skupinou.
AADSTS50017	CertificateValidationFailed – Ověření certifikace se nezdařilo, důvody z následujících důvodů: V seznamu důvěryhodných certifikátů nelze najít vystavující certifikát. Nepodařilo se najít očekávaný CrlSegment. V seznamu důvěryhodných certifikátů nelze najít certifikát vystavitele. Distribuční bod Delta CRL je nakonfigurovaný bez odpovídajícího distribučního bodu CRL. Kvůli problému s vypršením časového limitu se nepodařilo načíst platné segmenty seznamu CRL CRL nejde stáhnout. Obraťte se na správce tenanta.
AADSTS500141	Uplatnění uživatele je dokončeno, ale cílová aplikace neinicializovala požadavek.
AADSTS5001256	Ověření u externího poskytovatele se nepovedlo dokončit kvůli neplatnému id_token. Podrobnosti o chybě: {details}
AADSTS50020	UserUnauthorized – Uživatelé nemají oprávnění volat tento koncový bod. Uživatelský účet {email} od zprostředkovatele identity {idp} v tenantovi {tenant} neexistuje a nemůže získat přístup k aplikaci {appid} ({appName}) v tomto tenantovi. Tento účet je potřeba nejdřív přidat jako externího uživatele v tenantovi. Odhlaste se a znovu se přihlaste pomocí jiného uživatelského účtu Microsoft Entra. Pokud by tento uživatel měl být členem tenanta, měl by být pozván prostřednictvím systému B2B. Další informace najdete v AADSTS50020.
AADSTS500207	Typ účtu se nedá použít pro prostředek, ke kterém se pokoušíte získat přístup.
AADSTS500208	Doména není platná přihlašovací doména pro typ účtu – K této situaci dochází v případě, že účet uživatele neodpovídá očekávanému typu účtu pro daného tenanta. Pokud je například tenant nakonfigurovaný tak, aby umožňoval pouze pracovní nebo školní účty a uživatel se pokusí přihlásit pomocí osobního účtu Microsoft, zobrazí se tato chyba.
AADSTS500212	NotAllowedByOutboundPolicyTenant – Správce uživatele nastavil zásady odchozího přístupu, které nepovoluje přístup k tenantovi prostředků.
AADSTS500213	NotAllowedByInboundPolicyTenant – Zásady mezitenantního přístupu tenanta prostředků neumožňují tomuto uživateli přístup k tomuto tenantu.
AADSTS50027	InvalidJwtToken – Neplatný token JWT z následujících důvodů: Neobsahuje deklaraci nonce ani deklaraci subjektu. Identifikátor subjektu se neshoduje. Duplikátní údaj v deklaracích idTokenu. Neočekávaný vystavitel Neočekávaná cílová skupina není ve svém platném časovém rozsahu Formát tokenu není správný U externího ID tokenu od vystavitele se nezdařilo ověření podpisu.
AADSTS50029	Neplatný identifikátor URI – název domény obsahuje neplatné znaky. Obraťte se na správce tenanta.
AADSTS50032	WeakRsaKey – označuje chybný pokus uživatele o použití slabého klíče RSA.
AADSTS50033	Opakovatelná chyba – označuje přechodnou chybu nesouvisející s databázovými operacemi.
AADSTS50034	UserAccountNotFound – Pokud se chcete přihlásit k této aplikaci, musí se účet přidat do adresáře. Tato chyba může nastat, pokud uživatel nesprávně zadal své uživatelské jméno nebo není v rámci serverového nájemce. Aplikace možná zvolila nesprávného tenanta, ke kterému se má přihlásit, a aktuálně přihlášený uživatel to neudělal, protože ve vašem tenantovi neexistuje. Pokud by se tento uživatel měl přihlásit, přidejte ho jako hosta. Podívejte se na dokumentaci zde: Přidat uživatele B2B.
AADSTS50042	UnableToGeneratePairwiseIdentifierWithMissingSalt – v zásadě chybí sůl potřebná k vygenerování párového identifikátoru. Obraťte se na správce tenanta.
AADSTS50043	Nelze vygenerovat párový identifikátor s více solí.
AADSTS50048	SubjectMismatchesIssuer – Předmět neodpovídá nároku Vystavitele v klientském kontrolním výrazu. Obraťte se na správce tenanta.
AADSTS50049	NoSuchInstanceForDiscovery – Neznámá nebo neplatná instance.
AADSTS50050	MalformedDiscoveryRequest – požadavek je špatně zformátovaný.
AADSTS50053	Tato chyba může mít dva různé důvody: IdsLocked – Účet je uzamčený, protože se uživatel pokusil přihlásit příliš mnohokrát s nesprávným ID uživatele nebo heslem. Uživatel je zablokovaný kvůli opakovaným pokusům o přihlášení. Viz Náprava rizik a odblokování uživatelů. Nebo se přihlášení zablokovalo, protože pochází z IP adresy se zlými aktivitami. Pokud chcete zjistit, který důvod selhání způsobil tuto chybu, přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací. Přejděte do svého tenanta Microsoft Entra a pak do protokolů monitorování a stavu -> přihlášení. Vyhledejte neúspěšné přihlášení uživatele s kódem chyby přihlášení 50053 a zkontrolujte důvod selhání.
AADSTS50055	InvalidPasswordExpiredPassword – Platnost hesla vypršela. Platnost hesla uživatele vypršela, a proto jeho přihlášení nebo relace skončila. Bude jim nabídnuta možnost ho resetovat nebo může požádat správce, aby ho resetuje prostřednictvím resetování hesla uživatele pomocí Microsoft Entra ID.
AADSTS50056	Neplatné nebo nulové heslo: heslo neexistuje v adresáři tohoto uživatele. Uživatel by měl být požádán, aby znovu zadal heslo.
AADSTS50057	UserDisabled – Uživatelský účet je zakázaný. Objekt uživatele ve službě Active Directory, který tento účet zálohuje, byl zakázán. Správce může tento účet znovu povolit prostřednictvím PowerShellu.
AADSTS50058	UserInformationNotProvided – Informace o relaci nestačí pro jednotné přihlašování. To znamená, že uživatel není přihlášený. Jedná se o běžnou chybu, která se očekává, když je uživatel neověřený a ještě se nepřihlásil. Pokud k této chybě dojde v kontextu jednotného přihlašování, kde se uživatel přihlásil dříve, znamená to, že relace jednotného přihlašování nebyla nalezena nebo je neplatná. Tato chyba se může vrátit do aplikace, pokud je zadána výzva =none.
AADSTS50059	MissingTenantRealmAndNoUserInformationProvided – Informace o identifikaci tenanta nebyly nalezeny v požadavku nebo odvozené ze zadaných přihlašovacích údajů. Uživatel může požádat správce tenanta, aby vám pomohl problém vyřešit.
AADSTS50061	SignoutInvalidRequest – Nelze dokončit odhlášení. Požadavek byl neplatný.
AADSTS50064	CredentialAuthenticationError – Ověření přihlašovacích údajů u uživatelského jména nebo hesla se nezdařilo.
AADSTS50068	SignoutInitiatorNotParticipant – Odhlášení se nezdařilo. Aplikace, která iniciovala odhlášení, není účastníkem aktuální relace.
AADSTS50070	SignoutUnknownSessionIdentifier – Odhlášení se nezdařilo. Žádost o odhlášení specifikovala identifikátor jména, který neodpovídá existujícím sezením.
AADSTS50071	SignoutMessageExpired – Vypršela platnost požadavku na odhlášení.
AADSTS50072	UserStrongAuthEnrollmentRequiredInterrupt – Uživatel se musí zaregistrovat pro druhéfaktorové ověřování (interaktivní).
AADSTS50074	UserStrongAuthClientAuthNRequiredInterrupt – Vyžaduje se silné ověřování a uživatel neprošel výzvou MFA.
AADSTS50076	UserStrongAuthClientAuthNRequired – kvůli změně konfigurace provedené správcem, jako jsou zásady podmíněného přístupu, vynucení pro jednotlivé uživatele nebo přesunutí do nového umístění, musí uživatel pro přístup k prostředku použít vícefaktorové ověřování. Zkuste to znovu s novou žádostí o autorizaci prostředku.
AADSTS50078	UserStrongAuthExpired – Platnost prezentovaného vícefaktorového ověřování vypršela kvůli zásadám nakonfigurovaným správcem. Pokud chcete získat přístup k {resource}, musíte aktualizovat vícefaktorové ověřování.
AADSTS50079	UserStrongAuthEnrollmentRequired – kvůli změně konfigurace provedené správcem, jako jsou zásady podmíněného přístupu, vynucení pro jednotlivé uživatele nebo kvůli tomu, že se uživatel přesunul do nového umístění, musí uživatel používat vícefaktorové ověřování. Aby bylo možné dokončit vícefaktorové ověřování, musí spravovaný uživatel zaregistrovat bezpečnostní údaje nebo federovaný uživatel musí získat vícefaktorovou deklaraci identity od zprostředkovatele federované identity.
AADSTS50085	K obnovení tokenu je nutné přihlášení přes sociální IDP. Požádejte uživatele, aby se zkusil pomocí uživatelského jména a hesla přihlásit znovu.
AADSTS50086	SasNonRetryableError
AADSTS50087	SasRetryableError – Během silného ověřování došlo k přechodné chybě. Zkuste to prosím znovu.
AADSTS50088	Byl dosažen limit pro volání MFA pro telekom. Zkuste to prosím znovu za pár minut.
AADSTS50089	Ověření selhalo kvůli vypršení platnosti tokenu. Očekává se – ověřovací kódy, obnovovací tokeny a relace vyprší v průběhu času nebo jsou odvolané uživatelem nebo správcem. Aplikace požádá uživatele o nové přihlášení.
AADSTS50097	DeviceAuthenticationRequired – Vyžaduje se ověřování zařízení.
AADSTS50099	PKeyAuthInvalidJwtUnauthorized – Podpis JWT je neplatný.
AADSTS50105	EntitlementGrantsNotFound – Přihlášený uživatel není přiřazen k roli pro aplikaci, do které je přihlášen. Přiřaďte uživateli aplikaci. Další informace najdete v článku o řešení potíží s chybou AADSTS50105.
AADSTS50107	InvalidRealmUri – Požadovaný objekt sféry federace neexistuje. Obraťte se na správce tenanta.
AADSTS50120	ThresholdJwtInvalidJwtFormat – Problém s hlavičkou JWT Obraťte se na správce tenanta.
AADSTS50124	Transformace deklarací obsahuje neplatný vstupní parametr. Obraťte se na správce tenanta, aby aktualizoval politiku.
AADSTS501241	V ID transformace {transformId} chybí povinný vstup {paramName}. Tato chyba se vrátí, když se Microsoft Entra ID pokouší sestavit odpověď SAML na aplikaci. Deklarace identity NameID nebo NameIdentifier je povinná v odpovědi SAML a pokud se Microsoft Entra ID nepodařilo získat atribut zdroje pro deklaraci NameID, vrátí tuto chybu. Jako opatření se ujistěte, že přidáte pravidla požadavků. Pokud chcete přidat pravidla deklarací identity, přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správce cloudových aplikací a pak přejděte na Identita>Aplikace>Podnikové aplikace. Vyberte aplikaci, vyberte jednotné přihlašování a potom v atributech uživatele a deklarací identity zadejte jedinečný identifikátor uživatele (ID jména).
AADSTS50125	PasswordResetRegistrationRequiredInterrupt – Přihlášení se přerušilo kvůli resetování hesla nebo registraci hesla.
AADSTS50126	InvalidUserNameOrPassword – Chyba při ověřování přihlašovacích údajů kvůli neplatnému uživatelskému jménu nebo heslu Uživatel nezadal správné přihlašovací údaje. Očekáváme, že se v protokolech zobrazí určitý počet těchto chyb kvůli chybám uživatelů.
AADSTS50127	BrokerAppNotInstalled – Uživatel musí nainstalovat zprostředkovanou aplikaci, aby získal přístup k tomuto obsahu.
AADSTS50128	Neplatný název domény – Nebyly nalezeny informace o identifikaci nájemníka ani v požadavku, ani nebyly vyvozeny z poskytnutých přihlašovacích údajů.
AADSTS50129	DeviceIsNotWorkplaceJoined – Připojení k pracovišti se vyžaduje k registraci zařízení.
AADSTS50131	ConditionalAccessFailed – Označuje různé chyby podmíněného přístupu, jako je chybný stav zařízení s Windows, požadavek zablokovaný kvůli podezřelé aktivitě, zásadám přístupu nebo rozhodnutím o zásadách zabezpečení.
AADSTS50132	SsoArtifactInvalidOrExpired – Sezení není platné kvůli vypršení platnosti hesla nebo nedávné změně hesla.
AADSTS50133	SsoArtifactRevolat – relace není platná kvůli vypršení platnosti hesla nebo nedávné změně hesla.
AADSTS50134	DeviceFlowAuthorizeWrongDatacenter – Nesprávné datové centrum Pokud chcete autorizovat žádost, kterou aplikace iniciovala v toku zařízení OAuth 2.0, musí být strana autorizace ve stejném datacentru, kde se nachází původní požadavek.
AADSTS50135	PasswordChangeCompromisedPassword – Změna hesla je vyžadována z důvodu rizika bezpečnosti účtu.
AADSTS50136	RedirectMsaSessionToApp – Byla zjištěna jediná relace MSA.
AADSTS50139	SessionMissingMsaOAuth2RefreshToken – relace je neplatná kvůli chybějícímu vnějšímu obnovovacímu tokenu.
AADSTS50140	KmsiInterrupt – K této chybě došlo kvůli přerušení "Zůstat přihlášen" při přihlašování uživatele. Jedná se o očekávanou část toku přihlášení, kde se uživateli zobrazí dotaz, jestli chce zůstat přihlášený ke svému aktuálnímu prohlížeči, aby usnadnil další přihlášení. Další informace najdete v dokumentu Nové přihlašovací zážitky Microsoft Entra a funkce „Zůstat přihlášen“ se nyní zavádějí! Pokud chcete získat další podrobnosti, můžete otevřít tiket podpory s ID korelace, ID požadavku a kódem chyby.
AADSTS50143	Neshoda relací – Relace je neplatná, protože tenant uživatele neodpovídá indikaci domény z důvodu nesouladného zdroje. Více informací získáte, když otevřete požadavek na podporu a odešlete ID korelace, ID požadavku a kód chyby.
AADSTS50144	InvalidPasswordExpiredOnPremPassword – Platnost hesla služby Active Directory uživatele vypršela. Vygenerujte nové heslo pro uživatele nebo požádejte uživatele, aby k resetování hesla použil nástroj pro samoobslužné resetování.
AADSTS50146	MissingCustomSigningKey – Tato aplikace musí být nakonfigurovaná pomocí podpisového klíče specifického pro aplikaci. Buď není nakonfigurovaný s klíčem, nebo mu vypršela platnost, nebo ještě není platný. Obraťte se na vlastníka aplikace.
AADSTS501461	AcceptMappedClaims se podporuje jenom pro cílovou skupinu tokenů odpovídající identifikátoru GUID aplikace nebo cílové skupině v rámci ověřených domén tenanta. Buď změňte identifikátor prostředku, nebo použijte podpisový klíč specifický pro aplikaci.
AADSTS50147	MissingCodeChallenge – velikost parametru kódové výzvy není platná.
AADSTS501481	Code_Verifier neodpovídá code_challenge zadanému v žádosti o autorizaci.
AADSTS501491	InvalidCodeChallengeMethodInvalidSize – Neplatná velikost parametru Code_Challenge.
AADSTS50155	DeviceAuthenticationFailed – Ověřování zařízení pro tohoto uživatele se nezdařilo.
AADSTS50158	ExternalSecurityChallenge – Externí bezpečnostní výzva nebyla splněna.
AADSTS50161	InvalidExternalSecurityChallengeConfiguration – Nároky odeslané externím poskytovatelem nejsou dostatečné nebo chybí požadovaný nárok externího poskytovatele.
AADSTS50166	ExternalClaimsProviderThrottled – Nepodařilo se odeslat požadavek poskytovateli nároků.
AADSTS50168	ChromeBrowserSsoInterruptRequired – Klient může získat token jednotného přihlašování prostřednictvím rozšíření Účty Windows 10, ale token nebyl v požadavku nalezen nebo vypršela platnost zadaného tokenu.
AADSTS50169	InvalidRequestBadRealm – doména není nakonfigurována jako součást současného oboru názvů služby.
AADSTS50170	MissingExternalClaimsProviderMapping – Chybí mapování externích ovládacích prvků.
AADSTS50173	Je potřeba nový token - Poskytnuté oprávnění vypršelo v důsledku jeho zrušení, a je vyžadován nový ověřovací token. Správce nebo uživatel odvolali tokeny pro tohoto uživatele, což způsobilo selhání následných aktualizací tokenů a vyžadování opětovného ověření. Požádejte uživatele, aby se znovu přihlásil.
AADSTS50177	ExternalChallengeNotSupportedForPassthroughUsers – Externí výzva není pro uživatele předávacích dat podporovaná.
AADSTS50178	SessionControlNotSupportedForPassthroughUsers – Řízení relací není podporováno pro uživatele předávacích dat.
AADSTS50180	WindowsIntegratedAuthMissing – Vyžaduje se integrované ověřování systému Windows. Povolte klientovi plynulé jednotné přihlašování.
AADSTS50187	DeviceInformationNotProvided – službě se nepodařilo provést ověření zařízení.
AADSTS50192	Neplatný požadavek – RawCredentialExpectedNotFound – v žádosti o přihlášení nebyly zahrnuty žádné přihlašovací údaje. Příklad: Uživatel provádí ověřování na základě certifikátů (CBA) a v žádosti o přihlášení není odeslán žádný certifikát (nebo proxy server certifikát uživatele odstraní).
AADSTS50194	Aplikace {appId}({appName}) není nakonfigurovaná jako víceklientová aplikace. Použití koncového bodu /common není podporováno pro aplikace vytvořené po {time}. Použijte koncový bod specifický pro tenanta nebo nakonfigurujte aplikaci tak, aby byla víceklientní.
AADSTS50196	LoopDetected – Byla zjištěna klientská smyčka. Zkontrolujte logiku aplikace a ujistěte se, že je implementované ukládání tokenů do mezipaměti a že se správně zpracovávají chybové stavy. Aplikace provedla příliš mnoho stejných požadavků v příliš krátké době, což naznačuje, že je v chybném stavu nebo zneužívá tokeny.
AADSTS50197	Konfliktní identity – Uživatel nebyl nalezen. Zkuste se přihlásit znovu.
AADSTS50199	CmsiInterrupt – z bezpečnostních důvodů je pro tuto žádost vyžadováno potvrzení uživatele. Upozornění o přerušení se zobrazí pro všechny přesměrování pomocí schémat v mobilních prohlížečích. Nevyžaduje se žádná akce. Uživateli se zobrazí výzva k potvrzení, že se jedná o aplikaci, ke které se chtěl přihlásit. Jedná se o funkci zabezpečení, která pomáhá předejít útokům na falšování identity. K tomu dochází, protože systémové webové zobrazení bylo použito k vyžádání tokenu pro nativní aplikaci. Aby se této výzvě zabránilo, měl by být identifikátor URI přesměrování součástí následujícího seznamu bezpečných adres: http:// https:// chrome-extension:// (jenom prohlížeč Chrome pro stolní počítače)
AADSTS51000	RequiredFeatureNotEnabled – funkce je zakázaná.
AADSTS51001	DomainHintMustbePresent – Nápověda k doméně musí být přítomna spolu s místním identifikátorem zabezpečení nebo místním hlavním názvem uživatele (UPN).
AADSTS1000104	XCB2BResourceCloudNotAllowedOnIdentityTenant – Cloud prostředků {resourceCloud} není u tenanta identity {identityTenant} povolený. {resourceCloud} – cloudová instance, která prostředek vlastní. {identityTenant} – je tenant, ze kterého pochází přihlašovací identita.
AADSTS51004	UserAccountNotInDirectory – Uživatelský účet v adresáři neexistuje. Aplikace pravděpodobně zvolila nesprávného nájemce pro přihlášení, a proto bylo aktuálně přihlášenému uživateli zabráněno v přihlášení, protože ve vašem nájemci neexistuje. Pokud by se tento uživatel měl přihlásit, přidejte ho jako hosta. Další informace najdete v tématu Přidání uživatelů B2B.
AADSTS51005	TemporaryRedirect – ekvivalent stavu HTTP 307, který indikuje, že požadované informace se nacházejí v identifikátoru URI zadaném v hlavičce umístění. Když se zobrazí tento stav, postupujte podle hlavičky umístění přidružené k odpovědi. Pokud byla původní metoda požadavku POST, přesměrovaný požadavek použije také metodu POST.
AADSTS51006	ForceReauthDueToInsufficientAuth – Vyžaduje se integrované ověřování systému Windows. Uživatel přihlášený pomocí tokenu relace, u kterého chybí integrovaná deklarace identity ověřování systému Windows. Požádejte uživatele, aby se znovu přihlásil.
AADSTS52004	DelegationDoesNotExistForLinkedIn – Uživatel neposkytl souhlas pro přístup k prostředkům LinkedIn.
AADSTS53000	DeviceNotCompliant – Zásady podmíněného přístupu vyžadují vyhovující zařízení a zařízení nevyhovuje předpisům. Uživatel musí své zařízení zaregistrovat u schváleného zprostředkovatele správy mobilních zařízení, jako je Intune. Další informace najdete v tématu Náprava zařízení s podmíněným přístupem.
AADSTS53001	DeviceNotDomainJoined – Zásady podmíněného přístupu vyžadují zařízení připojené k doméně a zařízení není připojené k doméně. Požádejte uživatele, aby používal zařízení připojené k doméně.
AADSTS53002	ApplicationUsedIsNotAnApprovedApp – Použitá aplikace není schválená aplikace pro podmíněný přístup. Aby uživatel mohl získat přístup, musí použít jednu z aplikací ze seznamu schválených aplikací.
AADSTS53003	BlockedByConditionalAccess – Zásady podmíněného přístupu zablokovaly přístup. Zásady přístupu neumožňují vystavování tokenů. Pokud je to neočekávané, podívejte se na zásady podmíněného přístupu, které se použily na tuto žádost, nebo se obraťte na správce. Další informace najdete v tématu řešení potíží s přihlášením pomocí podmíněného přístupu.
AADSTS530035	BlockedBySecurityDefaults – Ve výchozím nastavení zabezpečení byl přístup zablokován. Důvodem je, že požadavek používá starší ověřování nebo je považován za nebezpečný podle zásad výchozího nastavení zabezpečení. Další informace najdete na povinné zásady zabezpečení.
AADSTS53004	ProofUpBlockedDueToRisk – Uživatel musí před přístupem k tomuto obsahu dokončit proces registrace vícefaktorového ověřování. Uživatel by se měl zaregistrovat pro vícefaktorové ověřování.
AADSTS53010	ProofUpBlockedDueToSecurityInfoAcr – Nelze konfigurovat metody vícefaktorového ověřování, protože organizace požaduje nastavení těchto informací z konkrétních míst nebo zařízení.
AADSTS53011	Uživatel byl zablokován kvůli riziku u domovského nájemníka.
AADSTS530034	DelegatedAdminBlockedDueToSuspiciousActivity – Delegovaný správce byl zablokován v přístupu k tenantovi kvůli riziku účtu v jejich domovském tenantovi.
AADSTS54000	PravidloBlokováníNezletiléhoVěkováSkupina
AADSTS54005	Autorizační kód OAuth2 byl již uplatněn, zkuste to znovu s novým platným kódem nebo použijte existující obnovovací token.
AADSTS65001	DelegationDoesNotExist – Uživatel nebo správce neschválili souhlas s používáním aplikace s ID X. Odešlete interaktivní žádost o autorizaci pro tohoto uživatele a prostředek.
AADSTS65002	Souhlas mezi aplikací první strany {applicationId} a prostředkem první strany {resourceId} musí být nakonfigurovaný prostřednictvím předběžného ověření – aplikace vlastněné a provozované Microsoftem musí před vyžádáním tokenů pro toto rozhraní API získat schválení od vlastníka rozhraní API. Vývojář ve vašem tenantovi se může pokoušet znovu použít ID aplikace vlastněné Microsoftem. Tato chyba jim brání v zosobnění aplikace Microsoftu za účelem volání jiných rozhraní API. Musí přejít na jiné ID aplikace, které zaregistrují.
AADSTS65004	UserDeclinedConsent – Uživatel odmítl souhlas s přístupem k aplikaci. Požádejte uživatele, aby se zkusil znovu přihlásit a udělil aplikaci souhlas.
AADSTS65005	Chybně nakonfigurovaná aplikace – Požadovaný seznam přístupu k prostředkům neobsahuje aplikace zjistitelné prostředkem nebo klientská aplikace požadovala přístup k prostředku, který nebyl zadán v požadovaném seznamu přístupu k prostředkům nebo služba Graph vrátila chybný požadavek nebo prostředek nebyl nalezen. Pokud aplikace podporuje SAML, možná jste aplikaci nakonfigurovali s nesprávným identifikátorem (entitou). Další informace najdete v článku o řešení potíží s chybou AADSTS650056.
AADSTS650052	Aplikace potřebuje přístup ke službě (\"{name}\") , ke které se vaše organizace \"{organization}\" nepřihlásila k odběru ani nepovolila. Požádejte správce IT, aby zkontroloval konfiguraci vašich předplatných služeb.
AADSTS650054	Aplikace požádala o oprávnění pro přístup k prostředku, který byl odebrán nebo již není k dispozici. Ujistěte se, že všechny prostředky, které aplikace vyžaduje, jsou přítomné v tenantu, ve kterém pracujete.
AADSTS650056	Chybně nakonfigurovaná aplikace Důvodem může být jedna z těchto věcí: Klient nemá v požadovaném oprávnění v registraci aplikace klienta uvedená žádná oprávnění pro {name}. Nebo správce nedal souhlas v klientovi. Případně zkontrolujte identifikátor aplikace v požadavku a ujistěte se, že odpovídá nakonfigurovanému identifikátoru klientské aplikace. Případně zkontrolujte certifikát v žádosti a ujistěte se, že je platný. Obraťte se na správce a požádejte ho o opravu konfigurace nebo vyjádření souhlasu jménem tenanta. ID klientské aplikace: {ID}. Obraťte se na správce a požádejte ho o opravu konfigurace nebo vyjádření souhlasu jménem tenanta.
AADSTS650057	Neplatný zdroj. Klient požádal o přístup k prostředku, který není uvedený v požadovaných oprávněních v registraci aplikace klienta. ID klientské aplikace: {appId}({appName}). Hodnota zdroje z požadavku: {resource}. ID aplikace prostředku: {resourceAppId}. Seznam platných zdrojů z registrace aplikace: {regList}.
AADSTS67003	ActorNotValidServiceIdentity
AADSTS70000	InvalidGrant – Ověřování se nezdařilo. Obnovovací token není platný. Příčinou chyby můžou být následující důvody: Hlavička vazby tokenu je prázdná. Hodnota hash vazby tokenu se neshoduje
AADSTS70001	UnauthorizedClient – Aplikace je zakázaná. Další informace najdete v článku o řešení potíží s chybou AADSTS70001.
AADSTS700011	UnauthorizedClientAppNotFoundInOrgIdTenant – Aplikace s identifikátorem {appIdentifier} nebyla v adresáři nalezena. Klientská aplikace požádala o token z vašeho tenanta, ale klientská aplikace v tenantovi neexistuje, takže volání selhalo.
AADSTS70002	InvalidClient – Chyba při ověřování přihlašovacích údajů Zadaná client_secret neodpovídá očekávané hodnotě tohoto klienta. Opravte client_secret a zkuste to znovu. Další informace najdete v tématu Použití autorizačního kódu k vyžádání přístupového tokenu.
AADSTS700025	InvalidClientPublicClientWithCredential – Klient je veřejný, takže by se nemělo zobrazovat client_assertion ani client_secret.
AADSTS700027	Ověření podpisu klientského tvrzení se nezdařilo. Chyba vývojáře – aplikace se pokouší přihlásit bez potřebných nebo správných ověřovacích parametrů.
AADSTS70003	Nepodporovaný typ udělení – Aplikace vrátila nepodporovaný typ udělení.
AADSTS700030	Neplatný certifikát – název subjektu v certifikátu není autorizovaný. SubjectNames/SubjectAlternativeNames (až 10) v tokenovém certifikátu jsou následující: {certificateSubjects}.
AADSTS70004	InvalidRedirectUri – Aplikace vrátila neplatné URI přesměrování. Adresa přesměrování specifikovaná klientem neodpovídá žádné nakonfigurované adrese ani žádné adrese na seznamu schválených adres OIDC.
AADSTS70005	UnsupportedResponseType – Aplikace vrátila nepodporovaný typ odpovědi z následujících důvodů: Pro aplikaci není povolený typ odpovědi 'token'. Typ odpovědi „id_token“ vyžaduje rozsah „OpenID“ – v parametru wctx obsahuje nepodporovanou hodnotu parametru OAuth.
AADSTS700054	Typ odezvy 'id_token' není pro aplikaci povolen. Aplikace požadovala token ID z autorizačního koncového bodu, ale nepovolila implicitní udělení tokenu ID. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správcem cloudových aplikací a pak přejděte na Identita>Aplikace>Registrace aplikací. Vyberte aplikaci a pak vyberte Ověřování. V části Implicitní udělení a hybridní toky se ujistěte, že jsou vybrány ID tokeny.
AADSTS70007	UnsupportedResponseMode – Aplikace vrátila nepodporovanou hodnotu response_mode při vyžádání tokenu.
AADSTS70008	ExpiredOrRevokedGrant – Platnost obnovovacího tokenu vypršela kvůli nečinnosti. Token byl vydán na XXX a byl neaktivní po určitou dobu.
AADSTS700082	ExpiredOrRevokedGrantInactiveToken – Platnost obnovovacího tokenu vypršela kvůli nečinnosti. Token byl vydán dne {issueDate} a byl neaktivní pro {time}. Očekávaná část životního cyklu tokenu – uživatel šel delší dobu bez použití aplikace, takže platnost tokenu vypršela, když se aplikace pokusila aktualizovat.
AADSTS700084	Obnovovací token byl vydán pro jednostránkovou aplikaci (SPA), a proto má pevnou omezenou životnost {time}, která se nedá rozšířit. Platnost vypršela a služba SPA na přihlašovací stránku musí odeslat novou žádost o přihlášení. Token byl vydán dne {issueDate}.
AADSTS70011	InvalidScope – Obor požadovaný aplikací je neplatný.
AADSTS70012	MsaServerError – Při ověřování uživatele MSA (příjemce) došlo k chybě serveru. Zkuste to ještě jednou. Pokud k chybě dochází opakovaně, otevřete požadavek na podporu.
AADSTS70016	AuthorizationPending – Chyba toku zařízení OAuth 2.0 Autorizace čeká na vyřízení. Zařízení se bude znovu dotazovat na žádost.
AADSTS70018	BadVerificationCode – Neplatný ověřovací kód kvůli zadání nesprávného uživatelského kódu pro tok kódu zařízení Autorizace není schválena.
AADSTS70019	CodeExpired – Platnost ověřovacího kódu vypršela. Nechejte uživatele opakovat přihlášení.
AADSTS70043	BadTokenDueToSignInFrequency – Platnost obnovovacího tokenu vypršela nebo je neplatná kvůli kontrolám frekvence přihlašování pomocí podmíněného přístupu. Token byl vydán dne {issueDate} a maximální povolená životnost pro tento požadavek je {time}.
AADSTS75001	BindingSerializationError – během vazby zprávy SAML došlo k chybě.
AADSTS75003	UnsupportedBindingError – Aplikace vrátila chybu související s nepodporovanou vazbou (odpověď protokolu SAML se nedá odeslat prostřednictvím jiných vazeb než HTTP POST).
AADSTS75005	Saml2MessageInvalid – Microsoft Entra nepodporuje požadavek SAML odeslaný aplikací pro jednotné přihlašování. Další informace najdete v článku o řešení potíží s chybou AADSTS75005.
AADSTS7500514	Nebyl nalezen podporovaný typ odpovědi SAML. Podporované typy odpovědí jsou Response (v oboru názvů XML urn:oasis:names:tc:SAML:2.0:protocol) nebo Assertion (v oboru názvů XML urn:oasis:names:tc:SAML:2.0:assertion). Chyba aplikace – vývojář tuto chybu zpracuje.
AADSTS750054	Pro vazbu SAML Redirect musí požadavek HTTP jako parametry řetězce dotazu obsahovat SAMLRequest nebo SAMLResponse. Další informace najdete v článku o řešení potíží s chybou AADSTS750054.
AADSTS75008	RequestDeniedError – Požadavek z aplikace byl odepřen, protože požadavek SAML měl neočekávaný cíl.
AADSTS75011	NoMatchedAuthnContextInOutputClaims – metoda autentizace, kterou se uživatel autentizoval pomocí služby, neodpovídá požadované metodě autentizace. Další informace najdete v článku o řešení potíží s chybou AADSTS75011.
AADSTS75016	Saml2AuthenticationRequestInvalidNameIDPolicy – Požadavek na ověřování SAML2 obsahuje neplatnou NameIdPolicy.
AADSTS76021	ApplicationRequiresSignedRequests – Požadavek odeslaný klientem není podepsaný, zatímco aplikace vyžaduje podepsané požadavky.
AADSTS76026	RequestIssueTimeExpired – IssueTime v autentizačním požadavku SAML2 vypršela.
AADSTS80001	OnPremiseStoreIsNotAvailable – Ověřovací agent se nemůže připojit ke službě Active Directory. Ujistěte se, že jsou servery agentů členy stejné doménové struktury AD jako uživatelé, jejichž hesla je potřeba ověřit, a že se můžou připojit ke službě Active Directory.
AADSTS80002	OnPremisePasswordValidatorRequestTimedout – Vypršel časový limit požadavku na ověření hesla. Ujistěte se, že je služba Active Directory dostupná a odpovídá na požadavky z agentů.
AADSTS80005	OnPremisePasswordValidatorUnpredictableWebException – při zpracování odpovědi z ověřovacího agenta došlo k neznámé chybě. Zkuste požadavek zopakovat. Pokud bude i nadále docházet k selhání, otevřete tiket podpory, abyste získali další podrobnosti o chybě.
AADSTS80007	OnPremisePasswordValidatorErrorOccurredOnPrem – Ověřovací agent nemůže ověřit heslo uživatele. Zkontrolujte v protokolech agenta další informace a ověřte, že služba Active Directory funguje podle očekávání.
AADSTS80010	OnPremisePasswordValidationEncryptionException – Ověřovací agent nemůže dešifrovat heslo.
AADSTS80012	OnPremisePasswordValidationAccountLogonInvalidHours – uživatelé se pokusili přihlásit mimo povolené hodiny (to je zadané v AD).
AADSTS80013	OnPremisePasswordValidationTimeSkew – Pokus o ověření se nepodařilo dokončit kvůli časové nerovnoměrné distribuci mezi počítačem, na kterém běží ověřovací agent a AD. Opravte problémy se synchronizací času.
AADSTS80014	OnPremisePasswordValidationAuthenticationAgentTimeout – Odpověď na žádost o ověření přišla po překročení maximální doby. Otevřete podpůrný tiket s kódem chyby, ID korelace a časovým razítkem pro získání dalších podrobností o této chybě.
AADSTS81004	DesktopSsoIdentityInTicketIsNotAuthenticated – Pokus o ověření protokolu Kerberos se nezdařil.
AADSTS81005	DesktopSsoAuthenticationPackageNotSupported – Ověřovací balíček se nepodporuje.
AADSTS81006	DesktopSsoNoAuthorizationHeader – Nebyla nalezena žádná autorizační hlavička.
AADSTS81007	DesktopSsoTenantIsNotOptIn – Tenant není povolený pro bezproblémové jednotné přihlašování.
AADSTS81009	DesktopSsoAuthorizationHeaderValueWithBadFormat – Nelze ověřit uživatelský lístek Kerberos.
AADSTS81010	DesktopSsoAuthTokenInvalid – Bezproblémové jednotné přihlašování selhalo, protože vypršela platnost lístku Kerberos uživatele nebo je neplatný.
AADSTS81011	DesktopSsoLookupUserBySidFailed – Nelze najít objekt uživatele na základě informací z uživatelského Kerberos ticketu.
AADSTS81012	DesktopSsoMismatchBetweenTokenUpnAndChosenUpn – Uživatel, který se pokouší přihlásit do Microsoft Entra ID, je jiný než uživatel přihlášený k zařízení.
AADSTS90002	InvalidTenantName – Název tenanta nebyl v úložišti dat nalezen. Zkontrolujte, jestli máte správné ID tenanta. Vývojář aplikace obdrží tuto chybu, pokud se aplikace pokusí přihlásit k tenantovi, kterého nemůžeme najít. Často se jedná o to, že se v nesprávném cloudu použila multicloudová aplikace nebo se vývojář pokusil přihlásit k tenantovi odvozeného z e-mailové adresy, ale doména není zaregistrovaná.
AADSTS90004	InvalidRequestFormat – Požadavek není správně naformátovaný.
AADSTS90005	NeplatnáŽádostSeVícenásobnýmiPožadavky – Požadavek nelze dokončit. Požadavek není platný, protože identifikátor a nápovědu pro přihlášení nelze použít společně.
AADSTS90006	ExternalServerRetryableError – Služba je dočasně nedostupná.
AADSTS90007	InvalidSessionId – Chybný požadavek. Předané ID relace se nedá zpracovat.
AADSTS90008	TokenForItselfRequiresGraphPermission – Uživatel nebo správce nepovolil souhlas s používáním aplikace. Minimálně aplikace vyžaduje přístup k ID Microsoft Entra zadáním oprávnění k přihlášení a čtení profilu uživatele.
AADSTS90009	TokenForItselfMissingIdenticalAppIdentifier – aplikace požaduje token pro sebe. Tento scénář je podporován pouze v případě, že zadaný prostředek používá ID aplikace založené na GUID.
AADSTS90010	Nepodporováno – Algoritmus nelze vytvořit.
AADSTS9001023	Typ udělení se nepodporuje u koncových bodů /common nebo /consumers. Použijte koncový bod /organizations nebo koncový bod specifický pro tenanta.
AADSTS90012	RequestTimeout – Požadovaný časový limit vypršel.
AADSTS90013	InvalidUserInput – Vstup od uživatele není platný.
AADSTS90014	MissingRequiredField – Tento kód chyby se může objevit v různých případech, když v přihlašovacích údajích není uvedené očekávané pole.
AADSTS900144	Tělo požadavku musí obsahovat následující parametr: {name}. Chyba vývojáře – aplikace se pokouší přihlásit bez potřebných nebo správných ověřovacích parametrů.
AADSTS90015	QueryStringTooLong – řetězec dotazu je příliš dlouhý.
AADSTS90016	MissingRequiredClaim – Přístupový token není platný. Požadovaný nárok chybí.
AADSTS90019	MissingTenantRealm – ID Microsoft Entra nebylo možné určit identifikátor tenanta z požadavku.
AADSTS90020	Prohlášení SAML 1.1 postrádá ImmutableID uživatele. Chyba vývojáře – aplikace se pokouší přihlásit bez potřebných nebo správných ověřovacích parametrů.
AADSTS90022	AuthenticatedInvalidPrincipalNameFormat – Formát hlavního názvu není platný nebo nesplňuje očekávaný name[/host][@realm] formát. Hlavní název je povinný, hostitel a sféra jsou volitelné a dají se nastavit na hodnotu null.
AADSTS90023	NeplatnýPožadavek – Požadavek na ověřovací službu není platný.
AADSTS900236	InvalidRequestSamlPropertyUnsupported – vlastnost žádosti o ověření SAML {propertyName} není podporovaná a nesmí být nastavená.
AADSTS9002313	InvalidRequest – Požadavek je vadný nebo neplatný. – K problému dochází, protože došlo k nějaké chybě s požadavkem na určitý koncový bod. Návrh řešení tohoto problému je získat sledování pomocí Fiddleru a zjistit, zda je požadavek správně naformátovaný nebo ne.
AADSTS9002332	Aplikace {principalId}({principalName}) je nakonfigurována pouze pro použití uživateli Microsoft Entra. K poskytování této žádosti nepoužívejte koncový bod /consumers.
AADSTS90024	RequestBudgetExceededError – Došlo k přechodné chybě. Zkuste to ještě jednou.
AADSTS90027	V tenantovi MSA nemůžeme vydávat tokeny z této verze rozhraní API. Obraťte se na dodavatele aplikace, protože k jeho podpoře musí použít verzi 2.0 protokolu.
AADSTS90033	MsodsServiceUnavailable – Služba Microsoft Online Directory Service (MSODS) není dostupná.
AADSTS90036	MsodsServiceUnretryableFailure – došlo k neočekávané, neopakovatelné chybě ze služby WCF hostované službou MSODS. Založte tiket podpory pro získání dalších podrobností o chybě.
AADSTS90038	NationalCloudTenantRedirection – zadaný tenant Y patří do národního cloudu X. Současná cloudová instance 'Z' není federována s 'X'. Je vrácena chyba přesměrování cloudu.
AADSTS900384	Ověření tokenu JWT selhalo. Skutečný obsah zprávy je specifický pro modul runtime, existuje celá řada příčin této chyby. Podrobnosti najdete v vrácené zprávě o výjimce.
AADSTS90043	NationalCloudAuthCodeRedirection – funkce je zakázaná.
AADSTS900432	Confidential Client není podporován v žádosti mezi cloudy.
AADSTS90051	InvalidNationalCloudId – Identifikátor národního cloudu obsahuje neplatný identifikátor cloudu.
AADSTS90055	TenantThrottlingError – Existuje příliš mnoho příchozích požadavků. Tato výjimka se vyhazuje pro blokované nájemníky.
AADSTS90056	BadResourceRequest – Pokud chcete uplatnit kód pro přístupový token, měla by aplikace odeslat požadavek POST do koncového /token bodu. Před tím byste také měli zadat autorizační kód a odeslat ho v požadavku POST do koncového /token bodu. Přehled toku autorizačního kódu OAuth 2.0 najdete v tomto článku. Nasměrujte uživatele na /authorize koncový bod, který vrátí authorization_code. Odesláním požadavku do koncového /token bodu získá uživatel přístupový token. Zkontrolujte Registrace aplikací > koncové body a ověřte, že jsou oba koncové body správně nakonfigurované.
AADSTS900561	BadResourceRequestInvalidRequest – koncový bod přijímá pouze požadavky {valid_verbs}. Obdržel(a) žádost {invalid_verb}. {valid_verbs} představuje seznam příkazů HTTP podporovaných koncovým bodem (například POST), {invalid_verb} je příkaz HTTP použitý v aktuálním požadavku (například GET). Příčinou může být chyba vývojáře nebo to, že uživatelé v prohlížeči stiskli tlačítko Zpět a aktivovali chybný požadavek. Dá se ignorovat.
AADSTS90072	PassThroughUserMfaError – externí účet, pomocí kterého se uživatel přihlašuje, neexistuje v tenantovi, ke kterému se přihlásil; aby uživatel nemohl splnit požadavky vícefaktorového ověřování pro tenanta. K této chybě může dojít také v případě, že jsou uživatelé synchronizovaní, ale v atributu ImmutableID (sourceAnchor) mezi Active Directory a ID Microsoft Entra došlo k neshodě. Nejprve je potřeba účet přidat jako externího uživatele v tenantovi. Odhlaste se a přihlaste se pomocí jiného uživatelského účtu Microsoft Entra. Další informace najdete v tématu Konfigurace externích identit.
AADSTS90081	OrgIdWsFederationMessageInvalid – Při pokusu služby o zpracování zprávy WS-Federation došlo k chybě. Zpráva není platná.
AADSTS90082	OrgIdWsFederationNotSupported – Vybraná zásada ověřování pro požadavek se v současné době nepodporuje.
AADSTS90084	OrgIdWsFederationGuestNotAllowed – Účty hostů nejsou pro tyto stránky povolené.
AADSTS90085	OrgIdWsFederationSltRedemptionFailed – Služba nemůže vydat token, protože objekt společnosti ještě nebyl zřízen.
AADSTS90086	OrgIdWsTrustDaTokenExpired – Platnost tokenu DA uživatele vypršela.
AADSTS90087	OrgIdWsFederationMessageCreationFromUriFailed – Při vytváření zprávy WS-Federation z identifikátoru URI došlo k chybě.
AADSTS90090	GraphRetryableError – Služba je dočasně nedostupná.
AADSTS90091	Služba Graph je nedostupná
AADSTS90092	GraphNonRetryableError
AADSTS90093	GraphUserUnauthorized – Graf vrácený kódem chyby Zakázáno pro požadavek.
AADSTS90094	AdminConsentRequired – Vyžaduje se souhlas správce.
AADSTS900382	Důvěrný klient není podporován v cross-cloud požadavku.
AADSTS90095	AdminConsentRequiredRequestAccess – v rámci procesu vyžádání souhlasu správce se zobrazí upozornění, když je uživateli sděleno, že musí požádat správce o souhlas.
AADSTS90099	Aplikace {appId} ({appName}) nebyla v tenantovi {tenant} autorizovaná. Aplikace musí mít oprávnění pro přístup k externímu tenantovi, aby je mohli používat delegovaní správci partnera. Poskytněte předběžné souhlas nebo spusťte příslušné rozhraní API Partnerského centra pro autorizaci aplikace.
AADSTS900971	Nebyla k dispozici žádná adresa odpovědi.
AADSTS90100	InvalidRequestParameter – Parametr je prázdný nebo neplatný.
AADSTS901002	AADSTS901002: Parametr požadavku resource není podporovaný.
AADSTS90101	InvalidEmailAddress – Zadaná data nejsou platná e-mailová adresa. E-mailová adresa musí být ve formátu someone@example.com.
AADSTS90102	InvalidUriParameter – Hodnota musí být platným absolutním identifikátorem URI.
AADSTS90107	InvalidXml – Požadavek není platný. Ujistěte se, že data nemají neplatné znaky.
AADSTS90112	Očekává se, že identifikátor aplikace bude identifikátor GUID.
AADSTS90114	InvalidExpiryDate – Časové razítko vypršení platnosti hromadného tokenu způsobí vystavení tokenu s vypršenou platností.
AADSTS90117	InvalidRequestInput
AADSTS90119	InvalidUserCode – Kód uživatele má hodnotu null nebo je prázdný.
AADSTS90120	InvalidDeviceFlowRequest – Žádost již byla autorizována nebo odmítnuta.
AADSTS90121	InvalidEmptyRequest – neplatný prázdný požadavek.
AADSTS90123	IdentityProviderAccessDenied – Token nelze vystavit, protože identita nebo poskytovatel deklarací identity zamítl požadavek.
AADSTS90124	V1ResourceV2GlobalEndpointNotSupported – prostředek je nepodporovaný přes koncový bod /common ani koncový bod /consumers. /organizations Místo toho použijte koncový bod specifický pro tenanta.
AADSTS90125	DebugModeEnrollTenantNotFound – uživatel není v systému. Ujistěte se, že jste uživatelské jméno zadali správně.
AADSTS90126	DebugModeEnrollTenantNotInferred – Tento koncový bod nepodporuje tento typ uživatele. Systém nemůže odvodit tenanta uživatele z uživatelského jména.
AADSTS90130	NonConvergedAppV2GlobalEndpointNotSupported – Aplikace není podporována prostřednictvím koncových bodů /common ani /consumers. /organizations Místo toho použijte koncový bod specifický pro tenanta.
AADSTS120000	Nesprávné stávající heslo při změně hesla
AADSTS120002	Změna hesla - Neplatné nové heslo: Příliš slabé
AADSTS120003	Neplatné nové heslo obsahuje jméno člena
AADSTS120004	Komplexita Změny Hesla OnPrem
AADSTS120005	ZměnaHeslaMístníÚspěchCloudSelhání
AADSTS120008	PasswordChangeAsyncJobStateTerminated – Došlo k chybě, kterou nelze znovu zkusit.
AADSTS120011	Selhání Asynchronní Změny Hesla při Odvozování UPN
AADSTS120012	Změna hesla musí proběhnout na místě.
AADSTS120013	Selhání připojení při změně hesla v místní síti
AADSTS120014	Změna hesla, uživatelský účet na místní síti byl uzamčen nebo deaktivován
AADSTS120015	Vyžadována akce administrátora pro změnu hesla AD
AADSTS120016	Uživatele nelze při změně hesla najít pomocí SSPR
AADSTS120018	ZměnaHeslaHesloNesplňujeNejasnouPolitiku
AADSTS120020	Selhání změny hesla
AADSTS120021	PartnerServiceSsprInternalServiceError (Interní chyba služby SSPR)
AADSTS130004	IdentityKeyNotFound – Hlavní objekt uživatele nemá nakonfigurovaný klíč NGC ID.
AADSTS130005	NgcInvalidSignature – Ověření podpisu klíče NGC selhalo.
AADSTS130006	UdpTransportKeyNotFound – Na zařízení není nakonfigurovaný transportní klíč UDP.
AADSTS130007	NgcDeviceIsDisabled – Zařízení je deaktivované.
AADSTS130008	NgcDeviceIsNotFound – zařízení, na které odkazuje klíč NGC, nebylo nalezeno.
AADSTS135010	KlíčNenalezen
AADSTS135011	Zařízení používané během ověřování je deaktivováno.
AADSTS140000	InvalidRequestNonce – Požadavek není zadaný.
AADSTS140001	InvalidSessionKey – klíč relace není platný.
AADSTS165004	Skutečný obsah zprávy je specifický pro modul runtime. Podrobnosti najdete v vrácené zprávě o výjimce.
AADSTS165900	InvalidApiRequest – Neplatný požadavek.
AADSTS220450	Nepodporovaná verzeAndroidWebViewVersion – Verze Chrome WebView není podporovaná.
AADSTS220501	NeplatnéStaženíCRL
AADSTS221000	DeviceOnlyTokensNotSupportedByResource – Prostředek není nakonfigurovaný tak, aby přijímal tokeny jen pro zařízení.
AADSTS240001	BulkAADJTokenUnauthorized – Uživatel nemá oprávnění registrovat zařízení v Microsoft Entra ID.
AADSTS240002	RequiredClaimIsMissing – id_token nelze použít jako urn:ietf:params:oauth:grant-type:jwt-bearer grant.
AADSTS501621	ClaimsTransformationTimeoutRegularExpressionTimeout – vypršel časový limit nahrazení regulárního výrazu pro transformaci deklarací. To značí, že pro tuto aplikaci je možná nakonfigurovaný příliš složitý regulární výraz. Opakování požadavku může proběhnout úspěšně. V opačném případě se obraťte na správce a požádejte ho o opravu konfigurace.
AADSTS530032	BlockedByConditionalAccessOnSecurityPolicy – Správce tenanta nakonfiguroval zásady zabezpečení, které blokují tento požadavek. Zkontrolujte zásady zabezpečení definované na úrovni tenanta a zjistěte, jestli váš požadavek splňuje požadavky zásad.
AADSTS700016	UnauthorizedClient_DoesNotMatchRequest – Aplikace se v adresáři nebo tenantovi nenašla. K tomu může dojít v případě, že aplikace nebyla nainstalována správcem tenanta nebo nebyla odsouhlasena žádným uživatelem v tenantovi. Možná jste špatně nakonfigurovali hodnotu identifikátoru aplikace nebo jste odeslali požadavek na ověření do nesprávného tenanta.
AADSTS700020	InteractionRequired – Udělení přístupu vyžaduje interakci.
AADSTS700022	InvalidMultipleResourcesScope – Zadaná hodnota pro obor vstupního parametru není platná, protože obsahuje více prostředků.
AADSTS700023	InvalidResourcelessScope – zadaná hodnota pro obor vstupního parametru není platná při vyžádání přístupového tokenu.
AADSTS7000215	Je zadaný neplatný tajný klíč klienta. Chyba vývojáře – aplikace se pokouší přihlásit bez potřebných nebo správných ověřovacích parametrů.
AADSTS7000218	Tělo požadavku musí obsahovat následující parametr: "client_assertion" nebo "client_secret".
AADSTS7000222	InvalidClientSecretExpiredKeysProvided – Zadané tajné klíče klienta jsou vypršelé. Vytvořte nové klíče pro vaši aplikaci nebo zvažte použití přihlašovacích údajů certifikátu pro přidání zabezpečení: https://aka.ms/certCreds
AADSTS700229	ZakázanýTypTokenu – Jako přihlašovací údaje federované identity pro vystavitele Microsoft Entra lze použít pouze tokeny pro aplikace. Místo přístupového tokenu delegovaného uživatelem (představující požadavek přicházející z kontextu uživatele) použijte přístupový token jen pro aplikaci (vygenerovaný během toku přihlašovacích údajů klienta).
AADSTS700005	InvalidGrantRedeemAgainstWrongTenant – Zadaný autorizační kód je určen k použití u jiného tenanta, a proto byl odmítnut. Autorizační kód OAuth2 musí být uplatněn proti stejnému tenantovi, pro něhož byl získán (/common nebo /{ID_tenanta}).
AADSTS1000000	UserNotBoundError – Rozhraní Bind API vyžaduje, aby se uživatel Microsoft Entra také ověřil pomocí externího IDP, což se zatím nestalo.
AADSTS1000002	BindCompleteInterruptError – Navázání bylo úspěšně dokončeno, ale uživatel musí být informován.
AADSTS100007	Microsoft Entra Regional podporuje ověřování pouze pro MSI nebo pro žádosti z MSAL pomocí SN+I, a to pro 1P nebo 3P aplikace v tenantech infrastruktury Microsoftu.
AADSTS1000031	Aplikace {appDisplayName} není v tuto chvíli přístupná. Obraťte se na správce.
AADSTS7000112	UnauthorizedClientApplicationDisabled – Aplikace je zakázaná.
AADSTS7000114	Aplikace appIdentifier nemůže provádět volání jménem aplikace.
AADSTS7500529	Hodnota SAMLId-Guid není platné ID SAML – Microsoft Entra ID používá tento atribut k naplnění atributu InResponseTo vrácené odpovědi. ID nesmí začínat číslem, takže běžnou strategií je předřazení řetězce, jako je "ID", k řetězci GUID. Například id6c1c178c166d486687be4aaf5e482730 je platné ID.
AADSTS9002341	V2Error: invalid_grant Uživatel musí povolit jednotné přihlašování (SSO). K této chybě dochází v případě, že uživatel neudělil potřebná oprávnění k provedení jednotného přihlašování aplikace. Uživatel by měl být přesměrován na obrazovku souhlasu, aby udělil potřebná oprávnění. Další informace najdete v tomto oznámení ."
AADSTS901011	NoEmailAddressCollectedFromExternalOidcIDP – Nebyla získána žádná e-mailová adresa od externího poskytovatele identity OpenID Connect (OIDC). K tomu obvykle dochází, když uživatel vybere Skrýt můj e-mail při registraci.
AADSTS901012	EmailAddressCollectedFromExternalOidcIDPNotVerified – od zprostředkovatele identity nebyla získána žádná ověřená e-mailová adresa. E-mailová adresa není ověřena v tokenu ID z externího zprostředkovatele identity OIDC.
AADSTS901014	NoExternalIdentifierCollectedFromExternalOidcIDP – Externí identifikátor v tokenu ID z externího zprostředkovatele identity OIDC neexistuje.

Další kroky

• Máte dotaz nebo nemůžete najít, co hledáte? Vytvořte problém Na GitHubu nebo si projděte možnosti podpory a nápovědy pro vývojáře, abyste se dozvěděli o dalších způsobech, jak získat nápovědu a podporu.