Códigos de error de autenticación y autorización de Microsoft Entra
¿Busca información sobre los códigos de error AADSTS que devuelve el servicio de token de seguridad (STS) de Microsoft Entra? Lea este documento para ver las descripciones de los errores AADSTS, sus correcciones y algunas soluciones alternativas.
Nota:
Esta información es preliminar y está sujeta a cambios. ¿Tiene preguntas y no encuentra lo que busca? Abra una incidencia en GitHub o consulte Opciones de ayuda y soporte técnico para desarrolladores para ver otras maneras de obtener ayuda y soporte técnico.
Esta documentación se proporciona como una guía para desarrolladores y administradores, pero nunca la debe usar el cliente por sí solo. Los códigos de error están sujetos a cambio en cualquier momento con el fin de proporcionar mensajes de error más pormenorizados diseñados para ayudar al desarrollador mientras compila su aplicación. Las aplicaciones que tienen dependencia de números de código de error o texto se interrumpirán en el tiempo.
Búsqueda de información actual sobre códigos de error
Los códigos y los mensajes de error están sujetos a cambios. Para disponer de la información más actualizada, eche un vistazo a la página https://login.microsoftonline.com/error, donde encontrará descripciones de errores de AADSTS, correcciones y algunas soluciones recomendadas.
Por ejemplo, si ha recibido el código de error "AADSTS50058", busque "50058" en https://login.microsoftonline.com/error. También puede agregar el número de código de error a la dirección URL: https://login.microsoftonline.com/error?code=50058 para crear un vínculo directo a un error específico.
Manejo de los códigos de error en una aplicación
La especificación OAuth2.0 brinda orientación sobre cómo manejar los errores durante la autenticación con la parte error
de la respuesta de error.
A continuación se muestra una respuesta de error de ejemplo:
{
"error": "invalid_scope",
"error_description": "AADSTS70011: The provided value for the input parameter 'scope' isn't valid. The scope https://example.contoso.com/activity.read isn't valid.\r\nTrace ID: 0000aaaa-11bb-cccc-dd22-eeeeee333333\r\nCorrelation ID: aaaa0000-bb11-2222-33cc-444444dddddd\r\nTimestamp: 2016-01-09 02:02:12Z",
"error_codes": [
70011
],
"timestamp": "2016-01-09 02:02:12Z",
"trace_id": "0000aaaa-11bb-cccc-dd22-eeeeee333333",
"correlation_id": "aaaa0000-bb11-2222-33cc-444444dddddd",
"error_uri":"https://login.microsoftonline.com/error?code=70011"
}
Parámetro | Descripción |
---|---|
error |
Una cadena de código de error que puede utilizarse para clasificar los tipos de errores que se producen y debe usarse para reaccionar ante ellos. |
error_description |
Un mensaje de error específico que puede ayudar a un desarrollador a identificar la causa de un error de autenticación. No use nunca este campo para reaccionar ante un error en el código. |
error_codes |
Una lista de los códigos de error específicos de STS que pueden ayudar en los diagnósticos. |
timestamp |
Devuelve la hora a la que se produjo el error. |
trace_id |
Un identificador exclusivo para la solicitud que puede ayudar en los diagnósticos. |
correlation_id |
Un identificador exclusivo para la solicitud que puede ayudar en los diagnósticos entre componentes. |
error_uri |
Un vínculo a la página de búsqueda de errores con información adicional sobre el error. Esto solo es para uso del desarrollador, no lo presente a los usuarios. Solo preséntelo cuando el sistema de búsqueda de errores tenga información adicional sobre el error (no todos los errores incluyen información adicional). |
El campo error
tiene varios valores posibles. Revise los vínculos de documentación del protocolo y las especificaciones de OAuth 2.0 para más información sobre errores específicos (por ejemplo, authorization_pending
en el flujo de código del dispositivo) y cómo reaccionar a ellos. A continuación se enumeran algunos de los más comunes:
Código de error | Descripción | Acción del cliente |
---|---|---|
invalid_request |
Error de protocolo, como un parámetro obligatorio que falta. | Corrija el error y vuelva a enviar la solicitud. |
invalid_grant |
Parte del material de autenticación (código de autenticación, token de actualización, token de acceso, desafío PKCE) no es válida, no se puede analizar, falta o no se puede volver a usar. | Pruebe una solicitud nueva al punto de conexión /authorize para obtener un código de autorización nuevo. Considere la posibilidad de revisar y validar el uso de los protocolos de la aplicación. |
unauthorized_client |
El cliente autenticado no está autorizado para usar este tipo de concesión de autorización. | Esto puede producirse cuando la aplicación cliente no está registrada en Microsoft Entra ID o no está agregada al inquilino de Microsoft Entra del usuario. La aplicación puede solicitar al usuario instrucciones para instalar la aplicación y agregarla a Microsoft Entra ID. |
invalid_client |
Se produjo un error de autenticación de cliente. | Las credenciales del cliente no son válidas. Para corregirlo, el administrador de la aplicación actualiza las credenciales. |
unsupported_grant_type |
El servidor de autorización no admite el tipo de concesión de autorización. | Cambie el tipo de concesión de la solicitud. Este tipo de error solo debe producirse durante el desarrollo y detectarse en las pruebas iniciales. |
invalid_resource |
El recurso de destino no es válido porque no existe, Microsoft Entra ID no lo encuentra o está configurado incorrectamente. | Esto indica que el recurso, si existe, no se ha configurado en el inquilino. La aplicación puede solicitar al usuario instrucciones para instalar la aplicación y agregarla a Microsoft Entra ID. Durante el desarrollo, suele indicar un inquilino de prueba configurado incorrectamente o un error tipográfico en el nombre del ámbito que se solicita. |
interaction_required |
La solicitud requiere la interacción del usuario. Por ejemplo, se requiere otro paso de autenticación. | Vuelva a intentar la solicitud con el mismo recurso, de manera interactiva, para que el usuario pueda completar los desafíos necesarios. |
temporarily_unavailable |
De manera temporal, el servidor está demasiado ocupado para atender la solicitud. | Vuelva a intentarlo. La aplicación podría explicar al usuario que su respuesta se retrasó debido a una condición temporal. |
Códigos de error AADSTS
Error | Descripción |
---|---|
AADSTS16000 | InteractionRequired: la cuenta de usuario "{EmailHidden}" del proveedor de identidades "{idp}" no existe en el inquilino "{tenant}" y no se puede acceder a la aplicación "{appid}"({appName}) en ese inquilino. La cuenta tiene que agregarse primero como un usuario externo en el inquilino. Cierre la sesión y vuelva a iniciarla con otra cuenta de usuario de Microsoft Entra. Este error es bastante común cuando se intenta iniciar sesión en el Centro de administración de Microsoft Entra mediante una cuenta de Microsoft personal y no hay ningún directorio asociado a ella. |
AADSTS16001 | UserAccountSelectionInvalid: este error aparece si el usuario selecciona un icono que indica que la lógica de selección de sesión se ha rechazado. Cuando se desencadena, este error permite al usuario solucionarlo; para ello, selecciona en una lista de iconos o sesiones, o elige otra cuenta. Este error puede producirse debido a una condición de carrera o a defectos de código. |
AADSTS16002 | AppSessionSelectionInvalid: no se cumplió el requisito de SID especificado por la aplicación. |
AADSTS160021 | AppSessionSelectionInvalidSessionNotExist: la aplicación solicitó una sesión de usuario que no existe. Este problema se puede resolver mediante la creación de una nueva cuenta de Azure. |
AADSTS16003 | SsoUserAccountNotFoundInResourceTenant: indica que el usuario no se ha agregado explícitamente al inquilino. |
AADSTS17003 | CredentialKeyProvisioningFailed: Microsoft Entra ID no puede aprovisionar la clave de usuario. |
AADSTS20001 | WsFedSignInResponseError: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema. |
AADSTS20012 | WsFedMessageInvalid: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema. |
AADSTS20033 | FedMetadataInvalidTenantName: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema. |
AADSTS230109 | CachedCredentialNonGWAuthNRequestsNotSupported: el servicio de autenticación de copia de seguridad solo permite solicitudes AuthN desde la puerta de enlace de Microsoft Entra. Este error se devuelve cuando el tráfico tiene como destino el servicio de autenticación de copia de seguridad directamente en lugar de pasar por el proxy inverso. |
AADSTS28002 | El valor proporcionado para el ámbito del parámetro de entrada "{scope}" no es válido al solicitar un token de acceso. Especifique un ámbito válido. |
AADSTS28003 | El valor proporcionado para el ámbito del parámetro de entrada no puede estar vacío al solicitar un token de acceso mediante el código de autorización proporcionado. Especifique un ámbito válido. |
AADSTS399284 | InboundIdTokenIssuerInvalid: el token de identificador de entrada recibido en la federación tiene un emisor no válido. Está vacío o no coincide con el identificador de dominio. |
AADSTS40008 | OAuth2IdPUnretryableServerError: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema. |
AADSTS40009 | OAuth2IdPRefreshTokenRedemptionUserError: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema. |
AADSTS40010 | OAuth2IdPRetryableServerError: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema. |
AADSTS40015 | OAuth2IdPAuthCodeRedemptionUserError: hay un problema con el proveedor de identidades federado. Póngase en contacto con el IDP para resolver este problema. |
AADSTS50000 | TokenIssuanceError: hay un problema con el servicio de inicio de sesión. Abra un vale de soporte para resolver este problema. |
AADSTS50001 | InvalidResource: el recurso está deshabilitado o no existe. Compruebe el código de la aplicación para asegurarse de que ha especificado la URL exacta del recurso al que está intentando acceder. |
AADSTS50002 | NotAllowedTenant: no se pudo iniciar sesión debido a un acceso de proxy restringido en el inquilino. Si se trata de su propia directiva de inquilino, puede cambiar la configuración restringida del inquilino para corregir este problema. |
AADSTS500011 | InvalidResourceServicePrincipalNotFound: la entidad de seguridad del recurso denominada {name} no se encontró en el inquilino denominado {tenant}. Este error puede aparecer pasar si el administrador del inquilino no es el que ha instalado la aplicación o si ningún usuario del inquilino ha dado su consentimiento. Es posible que haya enviado la solicitud de autenticación al inquilino incorrecto. Si espera que la aplicación se instale, es posible que tenga que proporcionar permisos de administrador para agregarla. Consulte con los desarrolladores del recurso y la aplicación para comprender cuál es la configuración adecuada para el inquilino. |
AADSTS500014 | InvalidResourceServicePrincipalDisabled: la entidad de servicio del recurso '{identifier}' está deshabilitada. Esto indica que una suscripción dentro del inquilino ha expirado o que un administrador de este inquilino ha deshabilitado la entidad de servicio de la aplicación, lo que impide que se emita tokens para ella. Para más información, consulte Deshabilitación del inicio de sesión de usuario para la aplicación. |
AADSTS500021 | Se denegó el acceso al inquilino "{tenant}". AADSTS500021 indica que la característica de restricción de inquilino está configurada y que el usuario está intentando acceder a un inquilino que no está en la lista de inquilinos permitidos especificados en el encabezado Restrict-Access-To-Tenant . Para obtener más información, consulte Uso de restricciones de inquilino para administrar el acceso a aplicaciones en la nube SaaS. |
AADSTS500022 | Se denegó el acceso al inquilino "{tenant}". AADSTS500022 indica que la característica de restricción de inquilino está configurada y que el usuario está intentando acceder a un inquilino que no está en la lista de inquilinos permitidos especificados en el encabezado Restrict-Access-To-Tenant . Para obtener más información, consulte Uso de restricciones de inquilino para administrar el acceso a aplicaciones en la nube SaaS. |
AADSTS50003 | MissingSigningKey: no se pudo iniciar sesión debido a que falta la clave de firma o el certificado. Esto se puede deber a que no había ninguna clave de firma configurada en la aplicación. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS50003. Si siguen los problemas, póngase en contacto con el propietario o el administrador de la aplicación. |
AADSTS50005 | DevicePolicyError: el usuario intentó iniciar sesión en un dispositivo desde una plataforma que actualmente no se admite en una directiva de acceso condicional. |
AADSTS50006 | InvalidSignature: no se pudo comprobar la firma debido a una firma no válida. |
AADSTS50007 | PartnerEncryptionCertificateMissing: no se encontró el certificado de cifrado de asociado de esta aplicación. Abra una incidencia de soporte técnico en Microsoft para solucionar este problema. |
AADSTS50008 | InvalidSamlToken: la aserción SAML falta o está mal configurada en el token. Póngase en contacto con el proveedor de federación. |
AADSTS5000224 | NotAllowedTenantBlockedTenantFraud: lo sentimos, este recurso no está disponible. Si ve este mensaje por error, comuníquese con el soporte técnico de Microsoft. |
AADSTS5000819 | InvalidSamlTokenEmailMissingOrInvalid: la aserción de SAML no es válida. Falta la notificación de dirección de correo electrónico, o bien la existente no coincide con el dominio de un dominio kerberos externo. |
AADSTS50010 | AudienceUriValidationFailed: se ha producido un error en la validación del identificador URI de audiencia de la aplicación debido a que no se configuraron audiencias de token. |
AADSTS50011 | InvalidReplyTo: la dirección de respuesta falta, está mal configurada o no coincide con las direcciones de respuesta configuradas para la aplicación. Como resolución, asegura agregar esta dirección de respuesta omitida a la aplicación de Microsoft Entra o hacer que alguien que cuente con los permisos para administrar la aplicación en Active Directory lo haga por usted. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS50011. |
AADSTS50012 | AuthenticationFailed: se ha producido un error de autenticación por uno de los motivos siguientes:
|
AADSTS50013 | InvalidAssertion: la aserción no es válida debido a varias razones: el emisor del token no coincide con la versión de la API en su intervalo de tiempo válido, la aserción ha expirado o tiene un formato incorrecto, o el token de actualización de la aserción no es un token de actualización principal. Póngase en contacto con el desarrollador de la aplicación. |
AADSTS500133 | La aserción no está dentro de su intervalo de tiempo válido. Asegúrese de que el token de acceso no ha expirado antes de usarlo para la aserción de usuario o solicite un nuevo token. Hora actual: {curTime}, hora de expiración de la aserción {expTime}. La aserción no es válida debido a varias razones:
|
AADSTS50014 | GuestUserInPendingState: la cuenta de usuario no existe en el directorio. Es probable que una aplicación haya elegido el inquilino incorrecto para iniciar sesión y que el usuario que tiene actualmente la sesión iniciada no haya podido hacerlo porque no existía en su inquilino. Si este usuario debería poder iniciar sesión, agréguelo como invitado. Para obtener más información, visite Adición de usuarios B2B. |
AADSTS50015 | ViralUserLegalAgeConsentRequiredState: el usuario requiere el consentimiento de grupo de edad legal. |
AADSTS50017 | CertificateValidationFailed: no se pudo realizar la validación de la certificación por alguno de los siguientes motivos:
|
AADSTS50020 | UserUnauthorized: los usuarios no tiene autorización para llamar a este punto de conexión. La cuenta de usuario "{email}" del proveedor de identidades "{idp}" no existe en el inquilino "{tenant}" y no se puede acceder a la aplicación "{appid}"({appName}) en ese inquilino. La cuenta tiene que agregarse primero como un usuario externo en el inquilino. Cierre la sesión y vuelva a iniciarla con otra cuenta de usuario de Microsoft Entra. Si este usuario debe ser miembro del inquilino, se le debe invitar a través del sistema B2B. Para obtener más información, visite AADSTS50020. |
AADSTS500208 | El dominio no es un dominio de inicio de sesión válido para el tipo de cuenta: esta situación se produce cuando la cuenta del usuario no coincide con el tipo de cuenta esperado para el inquilino determinado. Por ejemplo, si el inquilino está configurado para permitir solo cuentas profesionales o educativas, y el usuario intenta iniciar sesión con una cuenta Microsoft personal, recibirá este error. |
AADSTS500212 | NotAllowedByOutboundPolicyTenant: el administrador del usuario ha establecido una directiva de acceso saliente que no permite el acceso al inquilino del recurso. |
AADSTS500213 | NotAllowedByInboundPolicyTenant: la directiva de acceso entre inquilinos del inquilino de recursos no permite que este usuario acceda a este inquilino. |
AADSTS50027 | InvalidJwtToken: token JWT no válido debido a los siguientes motivos:
|
AADSTS50029 | Identificador URI no válido: el nombre de dominio contiene caracteres no válidos. Póngase en contacto con el administrador del inquilino. |
AADSTS50032 | WeakRsaKey: indica un intento erróneo del usuario para usar una clave RSA débil. |
AADSTS50033 | RetryableError: indica un error transitorio no relacionado con las operaciones de base de datos. |
AADSTS50034 | UserAccountNotFound: para iniciar sesión en esta aplicación, la cuenta debe agregarse al directorio. Este error puede producirse porque el usuario ha escrito mal su nombre de usuario o no está en el inquilino. Es posible que una aplicación haya elegido el inquilino incorrecto para iniciar sesión, y que el usuario que tiene actualmente la sesión iniciada no haya podido hacerlo porque no existía en su inquilino. Si este usuario debería poder iniciar sesión, agréguelo como invitado. Consulte la documentación aquí: Adición de usuarios B2B. |
AADSTS50042 | UnableToGeneratePairwiseIdentifierWithMissingSalt: falta la sal necesaria para generar un identificador en pares en la entidad de seguridad. Póngase en contacto con el administrador del inquilino. |
AADSTS50043 | UnableToGeneratePairwiseIdentifierWithMultipleSalts |
AADSTS50048 | SubjectMismatchesIssuer: el asunto no coincide con la notificación del emisor en la aserción de cliente. Póngase en contacto con el administrador del inquilino. |
AADSTS50049 | NoSuchInstanceForDiscovery: instancia desconocida o no válida. |
AADSTS50050 | MalformedDiscoveryRequest: la solicitud no está correctamente formada. |
AADSTS50053 | Este error puede tener dos motivos diferentes:
Para determinar qué motivo de error provocó este error, inicie sesión en el Centro de administración de Microsoft Entra como al menos un Administrador de aplicaciones en la nube. Vaya al inquilino de Microsoft Entra y, a continuación, Supervisión y estado ->Registros de inicio de sesión. Busque el usuario de información de inicio de sesión con error con el Código de error de inicio de sesión 50053 y compruebe la Causa de error. |
AADSTS50055 | InvalidPasswordExpiredPassword: la contraseña ha expirado. La contraseña del usuario ha expirado y, por tanto, el inicio de sesión o la sesión han finalizado. Se les ofrecerá la oportunidad de restablecerla o pueden pedir a un administrador que la restablezca a través de Restablecimiento de la contraseña de un usuario mediante Microsoft Entra ID. |
AADSTS50056 | Contraseña no válida o nula: la contraseña no existe en el directorio de este usuario. Se debe solicitar al usuario que vuelva a escribir su contraseña. |
AADSTS50057 | UserDisabled: la cuenta de usuario está deshabilitada. El objeto de usuario de Active Directory que respalda esta cuenta se ha deshabilitado. Un administrador puede volver a habilitar esta cuenta mediante PowerShell. |
AADSTS50058 | UserInformationNotProvided: la información de sesión no es suficiente para el inicio de sesión único. Esto significa que un usuario no ha iniciado sesión. Este es un error común que se espera cuando un usuario no está autenticado y aún no ha iniciado sesión.
Si este error se encuentra en un contexto de inicio de sesión único en el que el usuario ha iniciado sesión anteriormente, significa que la sesión SSO no se encuentra o no es válida. Este error puede devolverse a la aplicación si se especifica prompt=none. |
AADSTS50059 | MissingTenantRealmAndNoUserInformationProvided: la información de identificación del inquilino no se ha encontrado ni en la solicitud ni está implícita en las credenciales proporcionadas. El usuario puede ponerse en contacto con el administrador del inquilino para ayudar a resolver el problema. |
AADSTS50061 | SignoutInvalidRequest: no se puede completar el cierre de sesión. La solicitud no era válida. |
AADSTS50064 | CredentialAuthenticationError: error de validación de credenciales en el nombre de usuario o la contraseña. |
AADSTS50068 | SignoutInitiatorNotParticipant: error de cierre de sesión. La aplicación que inició el cierre de sesión no participa en la sesión actual. |
AADSTS50070 | SignoutUnknownSessionIdentifier: error de cierre de sesión. La solicitud de cierre de sesión especificó un identificador de nombre que no coincidía con las sesiones existentes. |
AADSTS50071 | SignoutMessageExpired: la solicitud de inicio de sesión ha expirado. |
AADSTS50072 | UserStrongAuthEnrollmentRequiredInterrupt: el usuario debe inscribirse para el segundo factor de autenticación (interactivo). |
AADSTS50074 | UserStrongAuthClientAuthNRequiredInterrupt: la autenticación segura es obligatoria y el usuario no ha superado el desafío de la autenticación multifactor. |
AADSTS50076 | UserStrongAuthClientAuthNRequired: debido a un cambio de configuración realizado por el administrador, como una directiva de acceso condicional, aplicación por usuario, o porque se ha trasladado a una nueva ubicación, el usuario debe usar la autenticación multifactor para tener acceso al recurso. Vuelva a intentarlo con una nueva solicitud de autorización para el recurso. |
AADSTS50078 | UserStrongAuthExpired: la autenticación multifactor presentada ha expirado debido a las directivas configuradas por el administrador. Debe actualizar la autenticación multifactor para acceder a "{resource}". |
AADSTS50079 | UserStrongAuthEnrollmentRequired: debido a un cambio de configuración realizado por el administrador, como una directiva de acceso condicional, aplicación por usuario, o porque el usuario se ha trasladado a una nueva ubicación, este debe usar la autenticación multifactor. Un usuario administrado debe registrar la información de seguridad para completar la autenticación multifactor o un usuario federado debe obtener la notificación multifactor del proveedor de identidades federado. |
AADSTS50085 | El token de actualización necesita un inicio de sesión de IDP social. Haga que el usuario intente iniciar sesión de nuevo con el nombre de usuario y la contraseña |
AADSTS50086 | SasNonRetryableError |
AADSTS50087 | SasRetryableError: se produjo un error transitorio durante la autenticación segura. Inténtelo de nuevo. |
AADSTS50088 | Se alcanzó el límite de llamadas MFA de telecomunicaciones. Inténtalo de nuevo al cabo de un rato. |
AADSTS50089 | Se produjo un error de autenticación debido a la expiración del token de flujo. Previsto: los códigos de autenticación, los tokens de actualización y las sesiones expiran con el tiempo o los revoca el usuario o un administrador. La aplicación solicitará un nuevo inicio de sesión al usuario. |
AADSTS50097 | DeviceAuthenticationRequired: la autenticación de dispositivo es obligatoria. |
AADSTS50099 | PKeyAuthInvalidJwtUnauthorized: la firma JWT no es válida. |
AADSTS50105 | EntitlementGrantsNotFound: el usuario que ha iniciado sesión no está asignado a un rol de la aplicación en la que inició sesión. Asigne el usuario a la aplicación. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS50105. |
AADSTS50107 | InvalidRealmUri: el objeto solicitado del dominio Kerberos de federación no existe. Póngase en contacto con el administrador del inquilino. |
AADSTS50120 | ThresholdJwtInvalidJwtFormat: hay un problema con el encabezado JWT. Póngase en contacto con el administrador del inquilino. |
AADSTS50124 | ClaimsTransformationInvalidInputParameter: la transformación de notificaciones contiene parámetros de entrada no válidos. Póngase en contacto con el administrador del inquilino para actualizar la directiva. |
AADSTS501241 | Falta la entrada obligatoria "{paramName}" del identificador de transformación "{transformId}". Este error se devuelve mientras Microsoft Entra está intentando compilar una respuesta SAML a la aplicación. La notificación NameID o NameIdentifier son obligatorias en la respuesta SAML y, si Microsoft Entra ID no puede obtener el atributo de origen de la notificación NameID, devuelve este error. Como resolución, asegúrese de que agrega reglas de notificación. Para agregar reglas de notificación, inicie sesión en el Centro de administración de Microsoft Entra como mínimo un Administrador de aplicaciones en la nube y, a continuación, vaya a Aplicaciones de identidad>Aplicaciones>Aplicaciones empresariales. Seleccione la aplicación, seleccione Inicio de sesión único y, en Atributos y notificaciones del usuario, escriba el identificador de usuario único (id. de nombre). |
AADSTS50125 | PasswordResetRegistrationRequiredInterrupt: el inicio de sesión se interrumpió debido a una entrada de registro de contraseña o restablecimiento de contraseña. |
AADSTS50126 | InvalidUserNameOrPassword: se ha producido un error al validar las credenciales debido a un nombre de usuario o contraseña no válidos. El usuario no ha especificado las credenciales correctas. Puede esperar que aparezcan algunos de estos errores en los registros debido a errores cometidos por los usuarios. |
AADSTS50127 | BrokerAppNotInstalled: el usuario necesita instalar una aplicación de agente para acceder a este contenido. |
AADSTS50128 | Nombre de dominio no válido: No se ha encontrado ninguna información de identificación del inquilino en la solicitud ni implícita en ninguna credencial proporcionada. |
AADSTS50129 | DeviceIsNotWorkplaceJoined: es obligatorio unirse al área de trabajo para registrar el dispositivo. |
AADSTS50131 | ConditionalAccessFailed: indica varios errores de acceso condicional tales como mal estado del dispositivo Windows, solicitud bloqueada debido a actividad sospechosa, directiva de acceso o decisiones de directiva de seguridad. |
AADSTS50132 | SsoArtifactInvalidOrExpired: la sesión no es válida debido a la expiración de la contraseña o a un cambio reciente de contraseña. |
AADSTS50133 | SsoArtifactRevoked: la sesión no es válida debido a la expiración de la contraseña o a un cambio reciente de contraseña. |
AADSTS50134 | DeviceFlowAuthorizeWrongDatacenter: centro de datos incorrecto. Para autorizar una solicitud iniciada por una aplicación en el flujo de dispositivo de OAuth 2.0, la entidad encargada de autorizar debe estar en el mismo centro de datos donde reside la solicitud original. |
AADSTS50135 | PasswordChangeCompromisedPassword: es obligatorio cambiar la contraseña debido al riesgo de la cuenta. |
AADSTS50136 | RedirectMsaSessionToApp: se ha detectado una única sesión de MSA. |
AADSTS50139 | SessionMissingMsaOAuth2RefreshToken: la sesión no es válida debido a un token de actualización externo que falta. |
AADSTS50140 | KmsiInterrupt: este error se ha producido debido a una interrupción en "Mantener la sesión iniciada" cuando el usuario estaba iniciando sesión. Se trata de una parte esperada del flujo de inicio de sesión, donde se pregunta a un usuario si desea mantener la sesión iniciada en el explorador actual para facilitar los posteriores inicios de sesión. Para obtener más información, consulte Las nuevas experiencias de inicio de sesión de Azure AD y "Mantener la sesión iniciada" se están implementando. Abra una incidencia de soporte técnico con el id. de correlación, el id. de solicitud y el código de error para conocer más detalles. |
AADSTS50143 | Error de coincidencia de sesión: la sesión no es válida porque el inquilino de usuario no coincide con la sugerencia de dominio debido a que el recurso es diferente. Abra un vale de soporte con el identificador de correlación, el de solicitud y el código de error para conocer más detalles. |
AADSTS50144 | InvalidPasswordExpiredOnPremPassword: la contraseña de Active Directory del usuario ha expirado. Genere una nueva contraseña para el usuario o solicite al usuario que restablezca la contraseña con la herramienta de autoservicio de restablecimiento. |
AADSTS50146 | MissingCustomSigningKey: es necesario que esta aplicación esté configurada con una clave de firma específica de la aplicación. No tiene configurada ninguna clave, o bien la clave ha expirado o ya no es válida. Póngase en contacto con el propietario de la aplicación. |
AADSTS501461 | AcceptMappedClaims solo se admite para una audiencia de token que coincida con el GUID de la aplicación o una audiencia dentro de los dominios comprobados del inquilino. Cambie el identificador de recursos o use una clave de firma específica de la aplicación. |
AADSTS50147 | MissingCodeChallenge: el tamaño del parámetro de desafío de código no es válido. |
AADSTS501481 | Code_Verifier no coincide con el code_challenge proporcionado en la solicitud de autorización. |
AADSTS501491 | InvalidCodeChallengeMethodInvalidSize: tamaño no válido del parámetro Code_Challenge. |
AADSTS50155 | DeviceAuthenticationFailed: error de autenticación del dispositivo para este usuario. |
AADSTS50158 | ExternalSecurityChallenge: no se cumplió el desafío de seguridad externo. |
AADSTS50161 | InvalidExternalSecurityChallengeConfiguration: las notificaciones enviadas por el proveedor externo no son suficientes o falta la notificación que se solicitó al proveedor externo. |
AADSTS50166 | ExternalClaimsProviderThrottled: no se pudo enviar la solicitud al proveedor de notificaciones. |
AADSTS50168 | ChromeBrowserSsoInterruptRequired: el cliente es capaz de obtener un token de inicio de sesión único mediante la extensión Cuentas de Windows 10, pero no se encontró el token en la solicitud o el token proporcionado ha expirado. |
AADSTS50169 | InvalidRequestBadRealm: el dominio Kerberos no es un dominio configurado del espacio de nombres de servicio actual. |
AADSTS50170 | MissingExternalClaimsProviderMapping: falta la asignación de controles externos. |
AADSTS50173 | FreshTokenNeeded: la concesión proporcionada ha expirado debido a que se ha revocado y se necesita un nuevo token de autenticación. Un administrador o un usuario ha revocado los tokens de este usuario, lo que hace que se produzcan errores en las actualizaciones posteriores del token y sea necesaria una nueva autenticación. Pida al usuario que vuelva a iniciar sesión. |
AADSTS50177 | ExternalChallengeNotSupportedForPassthroughUsers: no se admite el desafío externo para los usuarios de acceso directo. |
AADSTS50178 | SessionControlNotSupportedForPassthroughUsers: no se admite el control de sesión para los usuarios de acceso directo. |
AADSTS50180 | WindowsIntegratedAuthMissing: es obligatoria la autenticación de Windows integrada. Habilite el inquilino para un inicio de sesión único de conexión directa. |
AADSTS50187 | DeviceInformationNotProvided: el servicio no pudo realizar la autenticación de dispositivos. |
AADSTS50192 | Solicitud no válida: RawCredentialExpectedNotFound: no se incluyó ninguna credencial en la solicitud de inicio de sesión. Ejemplo: el usuario está realizando la autenticación basada en certificados (CBA) y no se envía ningún certificado (o el proxy quita el certificado del usuario en la solicitud de inicio de sesión). |
AADSTS50194 | La aplicación "{appId}"({appName}) no está configurada como aplicación multiinquilino. El uso del punto de conexión /common no se admite para las aplicaciones creadas después de "{time}". Use un punto de conexión específico del inquilino o configure la aplicación como multiinquilino. |
AADSTS50196 | LoopDetected: se ha detectado un bucle de cliente. Compruebe la lógica de la aplicación para asegurarse de que el almacenamiento en caché de tokens está implementado y de que las condiciones de error se controlan correctamente. La aplicación ha realizado demasiadas veces la misma solicitud en un período demasiado corto, lo que indica que se encuentra en un estado defectuoso o que solicita tokens de forma abusiva. |
AADSTS50197 | ConflictingIdentities: no se encontró el usuario. Intente iniciar sesión de nuevo. |
AADSTS50199 | CmsiInterrupt: por razones de seguridad, se requiere la confirmación del usuario para esta solicitud. Se muestra la interrupción para todos los redireccionamientos de esquema en los exploradores para dispositivos móviles. No es necesaria ninguna acción. Se le pidió al usuario que confirme que esta aplicación es la aplicación en la que tenía previsto iniciar sesión. Se trata de una característica de seguridad que ayuda a evitar ataques de suplantación de identidad. Esto ocurre porque se ha usado una vista web del sistema para solicitar un token para una aplicación nativa. Para evitar que esto aparezca, el URI de redirección debe formar parte de la siguiente lista segura: http:// https:// chrome-extension:// (solo explorador Chrome de escritorio) |
AADSTS51000 | RequiredFeatureNotEnabled: la característica está deshabilitada. |
AADSTS51001 | DomainHintMustbePresent: la sugerencia de dominio debe estar presente con el identificador de seguridad local o UPN local. |
AADSTS1000104 | XCB2BResourceCloudNotAllowedOnIdentityTenant: no se permite la nube de recursos {resourceCloud} en el inquilino de identidad {identityTenant}. {resourceCloud}: instancia en la nube que posee el recurso. {identityTenant}: es el inquilino en el que se origina la identidad de inicio de sesión. |
AADSTS51004 | UserAccountNotInDirectory: la cuenta de usuario no existe en el directorio. Es probable que una aplicación haya elegido el inquilino incorrecto para iniciar sesión, y que el usuario que tiene actualmente la sesión iniciada no haya podido hacerlo porque no existía en su inquilino. Si este usuario debería poder iniciar sesión, agréguelo como invitado. Para obtener más información, visite Adición de usuarios B2B. |
AADSTS51005 | TemporaryRedirect: equivalente al código de estado HTTP 307, que indica que la información solicitada se encuentra en el URI especificado en el encabezado location. Cuando reciba este estado, siga el encabezado location asociado a la respuesta. Si el método de solicitud original era POST, la solicitud redirigida también utilizará el método POST. |
AADSTS51006 | ForceReauthDueToInsufficientAuth: se necesita la autenticación de Windows integrada. El usuario ha iniciado sesión con un token de sesión al que le falta la notificación de autenticación de Windows integrada. Solicite al usuario que vuelva a iniciar sesión. |
AADSTS52004 | DelegationDoesNotExistForLinkedIn: el usuario no ha proporcionado consentimiento para acceder a los recursos de LinkedIn. |
AADSTS53000 | DeviceNotCompliant: la directiva de acceso condicional requiere un dispositivo compatible, y el dispositivo no lo es. El usuario debe inscribir su dispositivo con un proveedor de administración de datos maestros aprobado, como Intune. Para más información, visite Corrección de dispositivos de acceso condicional. |
AADSTS53001 | DeviceNotDomainJoined: la directiva de acceso condicional requiere un dispositivo unido a un dominio y este no lo está. Haga que el usuario utilice un dispositivo unido a un dominio. |
AADSTS53002 | ApplicationUsedIsNotAnApprovedApp: la aplicación utilizada no es una aplicación aprobada para el acceso condicional. Para poder acceder, el usuario tiene que usar una de las aplicaciones de la lista de aplicaciones aprobadas. |
AADSTS53003 | BlockedByConditionalAccess: se ha bloqueado el acceso a las directivas de acceso condicional. La directiva de acceso no admite la emisión de tokens. Si esto es inesperado, consulte la directiva de acceso condicional que se aplica a esta solicitud o comuníquese con el administrador. Para más información, visite Solución de problemas de inicio de sesión con acceso condicional. |
AADSTS530035 | BlockedBySecurityDefaults: el acceso se ha bloqueado de forma predeterminada de seguridad. Esto se debe a que la solicitud usa la autenticación heredada o se considera no segura por las directivas predeterminadas de seguridad. Para obtener información adicional, visite las directivas de seguridad aplicadas. |
AADSTS53004 | ProofUpBlockedDueToRisk: el usuario tiene que completar el proceso de registro de la autenticación multifactor antes de acceder a este contenido. El usuario se debe registrar para la autenticación multifactor. |
AADSTS53010 | ProofUpBlockedDueToSecurityInfoAcr: no se pueden configurar métodos de autenticación multifactor porque la organización requiere que esta información se establezca desde ubicaciones o dispositivos específicos. |
AADSTS53011 | Usuario bloqueado debido al riesgo en el inquilino principal. |
AADSTS530034 | DelegatedAdminBlockedDueToSuspiciousActivity: un administrador delegado no pudo acceder al inquilino debido al riesgo de la cuenta en su inquilino principal. |
AADSTS54000 | MinorUserBlockedLegalAgeGroupRule |
AADSTS54005 | El código de autorización de OAuth2 ya se canjeó. Vuelva a intentarlo con un nuevo código válido o use un token de actualización existente. |
AADSTS65001 | DelegationDoesNotExist: el usuario o el administrador no han dado su consentimiento para usar la aplicación con el identificador X. Envíe una solicitud de autorización interactiva para este usuario y recurso. |
AADSTS65002 | El consentimiento entre la aplicación interna "{applicationId}" y el recurso interno "{resourceId}" debe configurarse mediante la autenticación previa: las aplicaciones operadas por Microsoft y de su propiedad deben obtener la aprobación del propietario de la API antes de solicitar tokens para esa API. Es posible que un desarrollador del inquilino esté intentando reutilizar un identificador de aplicación propiedad de Microsoft. Este error impide suplantar una aplicación de Microsoft para llamar a otras API. Deben pasar a otro identificador de aplicación que registren. |
AADSTS65004 | UserDeclinedConsent: el usuario no ha dado su consentimiento para acceder a la aplicación. Haga que el usuario intente iniciar sesión de nuevo y dé el consentimiento para acceder a la aplicación |
AADSTS65005 | MisconfiguredApplication: la lista de acceso a recursos requerida por la aplicación no contiene aplicaciones que el recurso pueda detectar o la aplicación cliente ha solicitado acceso a un recurso que no estaba especificado en su lista de acceso a recursos requerida, o bien el servicio Graph ha devuelto una solicitud errónea o un recurso no encontrado. Si la aplicación admite SAML, es posible que haya configurado la aplicación con el identificador incorrecto (entidad). Para obtener más información, consulte el artículo de solución de problemas de error AADSTS650056. |
AADSTS650052 | La aplicación necesita acceso a un servicio (\"{name}\") que su organización \"{organization}\" no ha habilitado o al que no se ha suscrito. Póngase en contacto con el administrador de TI para revisar la configuración de las suscripciones de servicio. |
AADSTS650054 | La aplicación solicitó permisos para acceder a un recurso que se quitó o que ya no está disponible. Asegúrese de que todos los recursos a los que llama la aplicación están presentes en el inquilino en el que está trabajando. |
AADSTS650056 | Aplicación mal configurada. Esto puede deberse a uno de los siguientes motivos: el cliente no ha enumerado ningún permiso para "{name}" en los permisos solicitados en el registro de aplicación del cliente. O bien el administrador no ha dado su consentimiento en el inquilino. O bien, compruebe también el identificador de la aplicación en la solicitud para asegurarse de que coincide con el identificador de la aplicación cliente configurada. O bien, compruebe el certificado en la solicitud para asegurarse de que es válido. Póngase en contacto con su administrador para corregir la configuración o dar su consentimiento en nombre del inquilino. Identificador de la aplicación cliente: {ID} Póngase en contacto con su administrador para corregir la configuración o dar su consentimiento en nombre del inquilino. |
AADSTS650057 | Recurso no válido. El cliente ha solicitado el acceso a un recurso, que no se muestra en los permisos solicitados del registro de la aplicación del cliente. Id. de aplicación cliente: {appId}({appName}). Valor de recurso de la solicitud: {resource}. Id. de aplicación del recurso: {resourceAppId}. Lista de recursos válidos del registro de aplicaciones: {regList}. |
AADSTS67003 | ActorNotValidServiceIdentity |
AADSTS70000 | InvalidGrant: se ha producido un error de autenticación de cliente. El token de actualización no es válido. El error puede deberse a los siguientes motivos:
|
AADSTS70001 | UnauthorizedClient: la aplicación está deshabilitada. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS70001. |
AADSTS700011 | UnauthorizedClientAppNotFoundInOrgIdTenant: no se encontró la aplicación con el identificador {appIdentifier} en el directorio. Una aplicación cliente solicitó un token del inquilino, pero la aplicación cliente no existe en el inquilino, por lo que se produjo un error en la llamada. |
AADSTS70002 | InvalidClient: error al validar las credenciales. El valor de client_secret especificado no coincide con el esperado para este cliente. Corrija el valor de client_secret e inténtelo de nuevo. Para más información, consulte Uso del código de autorización para solicitar un token de acceso. |
AADSTS700025 | InvalidClientPublicClientWithCredential: el cliente es público, por lo que no se deben presentar "client_assertion" ni "client_secret". |
AADSTS700027 | Se ha producido un error de validación de firmas en la aserción del cliente. Error del desarrollador: la aplicación está intentando iniciar sesión sin los parámetros de autenticación necesarios o correctos. |
AADSTS70003 | UnsupportedGrantType: la aplicación ha devuelto un tipo de concesión no admitido. |
AADSTS700030 | Certificado no válido: el nombre de sujeto del certificado no está autorizado. SubjectNames/SubjectAlternativeNames (hasta 10) en el certificado de token son: {certificateSubjects}. |
AADSTS70004 | InvalidRedirectUri: la aplicación ha devuelto un URI de redireccionamiento no válido. La dirección de redireccionamiento que ha especificado el cliente no coincide con ninguna de las direcciones configuradas ni con ninguna de las de la lista de direcciones aprobadas de OIDC. |
AADSTS70005 | UnsupportedResponseType: la aplicación ha devuelto un tipo de respuesta no admitido por alguno de los siguientes motivos:
|
AADSTS700054 | El elemento 'id_token' de response_type no está habilitado para la aplicación. La aplicación solicitó un token de identificador al punto de conexión de autorización, pero no tenía habilitada la concesión implícita del token de identificador. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Administrador de aplicaciones en la nube y, a continuación, vaya aIdentidad>Aplicaciones>Registros de aplicaciones. Seleccione su aplicación y, a continuaciónAutenticación. En Concesión implícita y flujos híbridos, asegúrese de que los Tokens de identificador están seleccionados. |
AADSTS70007 | UnsupportedResponseMode: la aplicación ha devuelto un valor no admitido de response_mode al solicitar un token. |
AADSTS70008 | ExpiredOrRevokedGrant: el token de actualización ha expirado debido por inactividad. El token se emitió en XXX y estuvo inactivo durante un período de tiempo. |
AADSTS700082 | ExpiredOrRevokedGrantInactiveToken: el token de actualización ha expirado debido a la inactividad. El token se emitió el {issueDate} y estuvo inactivo durante {time}. Parte esperada del ciclo de vida del token: el usuario pasó un período de tiempo prolongado sin usar la aplicación, por lo que el token había caducado cuando la aplicación intentó actualizarlo. |
AADSTS700084 | El token de actualización se ha emitido en una aplicación de página única (SPA) y, por tanto, tiene una duración limitada fija de {tiempo}, que no se puede extender. Ahora ha expirado y la SPA debe enviar una nueva solicitud de inicio de sesión a la página de inicio de sesión. El token se ha emitido el {fechaDeEmisión}. |
AADSTS70011 | InvalidScope: el ámbito solicitado por la aplicación no es válido. |
AADSTS70012 | MsaServerError: se ha producido un error de servidor al autenticar un usuario (consumidor) de MSA. Inténtelo de nuevo. Si el error persiste, abra una incidencia de soporte técnico |
AADSTS70016 | AuthorizationPending: error de flujo de dispositivo de OAuth 2.0. La autorización está pendiente. El dispositivo volverá a intentar sondear la solicitud. |
AADSTS70018 | BadVerificationCode: el código de verificación no es válido porque el usuario ha escrito un código de usuario incorrecto en el flujo de códigos del dispositivo. No se aprueba la autorización. |
AADSTS70019 | CodeExpired: el código de verificación ha expirado. Pida al usuario que vuelva a iniciar sesión. |
AADSTS70043 | BadTokenDueToSignInFrequency: el token de actualización ha expirado o no es válido debido a las comprobaciones de frecuencia de inicio de sesión por acceso condicional. El token se emitió en {issueDate} y la duración máxima permitida para esta solicitud es {time}. |
AADSTS75001 | BindingSerializationError: se ha producido un error durante el enlace de mensajes de SAML. |
AADSTS75003 | UnsupportedBindingError: la aplicación ha devuelto un error relacionado con un enlace no admitido (la respuesta del protocolo SAML no se puede enviar a través de enlaces que no sean HTTP POST). |
AADSTS75005 | Saml2MessageInvalid: Microsoft Entra no admite la solicitud SAML enviada por la aplicación para el inicio de sesión único. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS75005. |
AADSTS7500514 | No se encontró ningún tipo admitido de respuesta SAML. Los tipos de respuesta admitidos son "Response" (en el espacio de nombres XML "urn:oasis:names:tc:SAML:2.0:protocol") o "Assertion" (en el espacio "urn:oasis:names:tc:SAML:2.0:assertion"). Error de aplicación: el desarrollador controlará este error. |
AADSTS750054 | SAMLRequest o SAMLResponse deben existir como parámetros de cadena de consulta en la solicitud HTTP para el enlace de redirección SAML. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS750054. |
AADSTS75008 | RequestDeniedError: se ha rechazado la solicitud de la aplicación ya que la solicitud SAML tenía un destino inesperado. |
AADSTS75011 | NoMatchedAuthnContextInOutputClaims: el método de autenticación mediante el cual se autenticó el usuario en el servicio no coincide con el método de autenticación solicitado. Para obtener más información, consulte el artículo de solución de problemas de error AADSTS75011. |
AADSTS75016 | Saml2AuthenticationRequestInvalidNameIDPolicy: la solicitud de autenticación de SAML2 tiene un valor de NameIdPolicy no válido. |
AADSTS76021 | ApplicationRequiresSignedRequests: la solicitud enviada por el cliente no está firmada, pero la aplicación requiere solicitudes firmadas |
AADSTS76026 | RequestIssueTimeExpired: IssueTime en una solicitud de autenticación SAML2 ha expirado. |
AADSTS80001 | OnPremiseStoreIsNotAvailable: el agente de autenticación no puede conectarse a Active Directory. Asegúrese de que los servidores del agente sean miembros del mismo bosque de AD que los usuarios cuyas contraseñas haya que validar y que pueden conectarse a Active Directory. |
AADSTS80002 | OnPremisePasswordValidatorRequestTimedout: la solicitud de validación de la contraseña ha agotado el tiempo de espera. Asegúrese de que Active Directory está disponible y responde a las solicitudes de los agentes. |
AADSTS80005 | OnPremisePasswordValidatorUnpredictableWebException: se ha producido un error desconocido al procesar la respuesta del agente de autenticación. Vuelva a intentarlo. Si el error continúa, abra una incidencia de soporte técnico para obtener más información. |
AADSTS80007 | OnPremisePasswordValidatorErrorOccurredOnPrem: el agente de autenticación no puede validar la contraseña del usuario. Compruebe los registros del agente para más información y asegúrese de que Active Directory está funcionando según lo previsto. |
AADSTS80010 | OnPremisePasswordValidationEncryptionException: el agente de autenticación no puede descifrar la contraseña. |
AADSTS80012 | OnPremisePasswordValidationEncryptionException: los usuarios han intentado iniciar sesión fuera de las horas permitidas (esto se especifica en Active Directory). |
AADSTS80013 | OnPremisePasswordValidationTimeSkew: el intento de autenticación no se pudo completar porque se produjo un sesgo de tiempo entre la máquina en la que se ejecutaba el agente de autenticación y AD. Corrija los problemas de sincronización de tiempo. |
AADSTS80014 | OnPremisePasswordValidationAuthenticationAgentTimeout: la solicitud de validación ha respondido una vez superado el tiempo máximo transcurrido. Abra una incidencia de soporte técnico con el código de error, el identificador de correlación y la marca de tiempo para conocer más detalles sobre este error. |
AADSTS81004 | DesktopSsoIdentityInTicketIsNotAuthenticated: error durante el intento de autenticación de Kerberos. |
AADSTS81005 | DesktopSsoAuthenticationPackageNotSupported: no se admite el paquete de autenticación. |
AADSTS81006 | DesktopSsoNoAuthorizationHeader: no se encontró ningún encabezado de autorización. |
AADSTS81007 | DesktopSsoTenantIsNotOptIn: el inquilino no está habilitado para SSO de conexión directa. |
AADSTS81009 | DesktopSsoAuthorizationHeaderValueWithBadFormat: no se puede validar el vale de Kerberos del usuario. |
AADSTS81010 | DesktopSsoAuthTokenInvalid: error de SSO de conexión directa porque el vale de Kerberos del usuario ha expirado o no es válido. |
AADSTS81011 | DesktopSsoLookupUserBySidFailed: no se encuentra el objeto de usuario con la información del vale de Kerberos del usuario. |
AADSTS81012 | DesktopSsoMismatchBetweenTokenUpnAndChosenUpn: el usuario que intenta iniciar sesión en Microsoft Entra ID es distinto del que inició sesión en el dispositivo. |
AADSTS90002 | InvalidTenantName: no se encontró el nombre del inquilino en el almacén de datos. Compruebe que tiene el identificador de inquilino correcto. El desarrollador de la aplicación recibirá este error si su aplicación intenta iniciar sesión en un inquilino que no se encuentra. A menudo, esto se debe a que se usó una aplicación entre nubes en la nube incorrecta o el desarrollador intentó iniciar sesión en un inquilino derivado de una dirección de correo electrónico, pero el dominio no está registrado. |
AADSTS90004 | InvalidRequestFormat: el formato de la solicitud es incorrecto. |
AADSTS90005 | InvalidRequestWithMultipleRequirements: no se puede completar la solicitud. La solicitud no es válida porque el identificador y la sugerencia de inicio de sesión no pueden usarse juntos. |
AADSTS90006 | ExternalServerRetryableError: el servicio no está disponible temporalmente. |
AADSTS90007 | InvalidSessionId: solicitud incorrecta. El identificador de sesión aprobado no se puede analizar. |
AADSTS90008 | TokenForItselfRequiresGraphPermission: el usuario o administrador no ha dado su consentimiento para usar la aplicación. Como mínimo, la aplicación requiere acceso a Microsoft Entra especificando el permiso de inicio de sesión y lectura del perfil de usuario. |
AADSTS90009 | TokenForItselfMissingIdenticalAppIdentifier: la aplicación solicita un token por sí misma. Este escenario se admite solamente si el recurso especificado usa el identificador de aplicación basado en GUID. |
AADSTS90010 | NotSupported: no se puede crear el algoritmo. |
AADSTS9001023 | The grant type isn't supported over the /common or /consumers endpoints. Use el punto de conexión /organizations o uno específico del inquilino. |
AADSTS90012 | RequestTimeout: se superó el tiempo de espera de la solicitud. |
AADSTS90013 | InvalidUserInput: la entrada del usuario no es válida. |
AADSTS90014 | MissingRequiredField: este código de error puede aparecer en varios casos cuando un campo esperado no está presente en la credencial. |
AADSTS900144 | El cuerpo de la solicitud debe contener el siguiente parámetro: "{name}". Error del desarrollador: la aplicación está intentando iniciar sesión sin los parámetros de autenticación necesarios o correctos. |
AADSTS90015 | QueryStringTooLong: la cadena de consulta es demasiado larga. |
AADSTS90016 | MissingRequiredClaim: el token de acceso no es válido. Falta la notificación necesaria. |
AADSTS90019 | MissingTenantRealm: Microsoft Entra no pudo determinar el identificador de inquilino en la solicitud. |
AADSTS90020 | Falta ImmutableID del usuario en la aserción de SAML 1.1. Error del desarrollador: la aplicación está intentando iniciar sesión sin los parámetros de autenticación necesarios o correctos. |
AADSTS90022 | AuthenticatedInvalidPrincipalNameFormat: el formato de nombre de la entidad de seguridad no es válido o no cumple con el formato name[/host][@realm] esperado. El nombre principal es obligatorio, el host y el dominio kerberos son opcionales y se pueden establecer en null. |
AADSTS90023 | InvalidRequest: la solicitud de servicio de autenticación no es válida. |
AADSTS900236 | InvalidRequestSamlPropertyUnsupported: la propiedad de solicitud de la autenticación SAML "{propertyName}" no se admite y no se debe establecer. |
AADSTS9002313 | InvalidRequest: la solicitud tiene un formato incorrecto o no es válida. -El problema surge porque se ha producido un error con la solicitud en un punto de conexión determinado. Para resolver este problema, se aconseja obtener un seguimiento de Fiddler del error que se produce y buscar si la solicitud tiene un formato correcto. |
AADSTS9002332 | La aplicación '{principalId}'({principalName}) está configurada para que la usen solo los usuarios de Microsoft Entra. No use el punto de conexión /consumers para atender esta solicitud. |
AADSTS90024 | RequestBudgetExceededError: se ha producido un error transitorio. Inténtelo de nuevo. |
AADSTS90027 | No se pueden emitir tokens de esta versión de API en el inquilino de MSA. Póngase en contacto con el proveedor de la aplicación, ya que debe usar la versión 2.0 del protocolo para admitirlo. |
AADSTS90033 | MsodsServiceUnavailable: Microsoft Online Directory Service (MSODS) no está disponible. |
AADSTS90036 | MsodsServiceUnretryableFailure: se ha producido un error inesperado y que no permite el reintento desde el servicio WCF hospedado por MSODS. Abra un vale de soporte para más información sobre el error. |
AADSTS90038 | NationalCloudTenantRedirection: el inquilino "Y" especificado pertenece a la nube nacional "X". La instancia de nube actual "Z" no está federada con "X". Se devuelve un error de redireccionamiento de nube. |
AADSTS900384 | El token JWT no pudo validar la firma. El contenido real del mensaje es específico del entorno de ejecución; son varias las causas de este error. Consulte el mensaje de excepción devuelto para obtener más detalles. |
AADSTS90043 | NationalCloudAuthCodeRedirection: la característica está deshabilitada. |
AADSTS900432 | El cliente confidencial no se admite en una solicitud entre nubes. |
AADSTS90051 | InvalidNationalCloudId: el identificador de la nube nacional contiene un identificador de la nube no válido. |
AADSTS90055 | TenantThrottlingError: hay demasiadas solicitudes entrantes. Esta excepción se produce para los inquilinos bloqueados. |
AADSTS90056 | BadResourceRequest: para canjear el código por un token de acceso, la aplicación debe enviar una solicitud POST al punto de conexión /token . Además, antes de esto, debe proporcionar un código de autorización y enviarlo en la solicitud POST al punto de conexión /token . Consulte este artículo para obtener más información sobre el flujo de los códigos de autorización de OAuth 2.0. Dirija al usuario al punto de conexión /authorize , que devolverá un código de autorización. Al publicar una solicitud para el punto de conexión /token , el usuario obtiene el token de acceso. Compruebe Registros de aplicaciones > Puntos de conexión para confirmar que los dos puntos de conexión se configuraron correctamente. |
AADSTS900561 | BadResourceRequestInvalidRequest: el punto de conexión solo acepta solicitudes {valid_verbs}. Recibió una solicitud {invalid_verb}. {valid_verbs} representa una lista de verbos HTTP admitidos por el punto de conexión (por ejemplo, POST), {invalid_verb} es un verbo HTTP que se usa en la solicitud actual (por ejemplo, GET). Esto puede deberse a un error del desarrollador o a que los usuarios presionan el botón Atrás en su explorador, lo que desencadena una solicitud incorrecta. Se puede omitir. |
AADSTS90072 | PassThroughUserMfaError: la cuenta externa con la que el usuario inicia sesión no existe en el inquilino en el que inició sesión; así pues, el usuario no puede satisfacer los requisitos de MFA para el inquilino. Este error también puede producirse si los usuarios se sincronizan pero hay una discrepancia en el atributo ImmutableID (sourceAnchor) entre Active Directory Microsoft Entra ID. La cuenta debe agregarse primero como un usuario externo en el inquilino. Cierre sesión e inicie sesión con una cuenta de usuario de Microsoft Entra diferente. Para obtener más información, visite Configuración de identidades externas. |
AADSTS90081 | OrgIdWsFederationMessageInvalid: se produjo un error cuando el servicio intentó procesar un mensaje de WS-Federation. El mensaje no es válido. |
AADSTS90082 | OrgIdWsFederationNotSupported: la directiva de autenticación seleccionada para la solicitud no se admite actualmente. |
AADSTS90084 | OrgIdWsFederationGuestNotAllowed: las cuentas de invitado no están permitidas para este sitio. |
AADSTS90085 | OrgIdWsFederationSltRedemptionFailed: el servicio no puede emitir un token porque el objeto de la empresa aún no se ha aprovisionado. |
AADSTS90086 | OrgIdWsTrustDaTokenExpired: el token DA de usuario ha expirado. |
AADSTS90087 | OrgIdWsFederationMessageCreationFromUriFailed: se ha producido un error al crear el mensaje de WS-Federation desde el URI. |
AADSTS90090 | GraphRetryableError: el servicio no está disponible temporalmente. |
AADSTS90091 | GraphServiceUnreachable |
AADSTS90092 | GraphNonRetryableError |
AADSTS90093 | GraphUserUnauthorized: Graph devolvió un código de error de prohibido para la solicitud. |
AADSTS90094 | AdminConsentRequired: es necesario el consentimiento del administrador. |
AADSTS900382 | El cliente confidencial no se admite en una solicitud entre nubes. |
AADSTS90095 | AdminConsentRequiredRequestAccess: en la experiencia de flujo de trabajo de consentimiento del administrador, una interrupción que aparece cuando se le informa al usuario de que necesita pedir consentimiento al administrador. |
AADSTS90099 | No se ha autorizado la aplicación "{appId}" ({appName}) en el inquilino "{tenant}". Las aplicaciones deben estar autorizadas para acceder al inquilino externo para que los administradores delegados del asociado puedan usarlas. Proporcione consentimiento previo o ejecute la API del Centro de partners correspondiente para autorizar la aplicación. |
AADSTS900971 | No se proporcionó ninguna dirección de respuesta. |
AADSTS90100 | InvalidRequestParameter: el parámetro está vacío o no es válido. |
AADSTS901002 | AADSTS901002: no se admite el parámetro de solicitud "resource". |
AADSTS90101 | InvalidEmailAddress: los datos proporcionados no son una dirección de correo electrónico válida. El formato de la dirección de correo electrónico debe ser someone@example.com . |
AADSTS90102 | InvalidUriParameter: el valor debe ser un URI absoluto válido. |
AADSTS90107 | InvalidXml: la solicitud no es válida. Asegúrese de que sus datos no tienen caracteres no válidos. |
AADSTS90112 | Se espera que el identificador de aplicación sea un GUID. |
AADSTS90114 | InvalidExpiryDate: la marca de tiempo de expiración del token masiva dará lugar a la emisión de un token expirado. |
AADSTS90117 | InvalidRequestInput |
AADSTS90119 | InvalidUserCode: el código de usuario es NULL o está vacío. |
AADSTS90120 | InvalidDeviceFlowRequest: ya se autorizó o rechazó la solicitud. |
AADSTS90121 | InvalidEmptyRequest: solicitud vacía no válida. |
AADSTS90123 | IdentityProviderAccessDenied: el token no se puede emitir porque el proveedor de emisión de identidad o notificación rechazó la solicitud. |
AADSTS90124 | V1ResourceV2GlobalEndpointNotSupported: el recurso no se admite a través de los puntos de conexión /common o /consumers . Use /organizations o el punto de conexión específico del inquilino en su lugar. |
AADSTS90125 | DebugModeEnrollTenantNotFound: el usuario no está en el sistema. Asegúrese de haber escrito el nombre de usuario correctamente. |
AADSTS90126 | DebugModeEnrollTenantNotInferred: el tipo de usuario no se admite en este punto de conexión. El sistema no puede inferir el inquilino del usuario desde el nombre de usuario. |
AADSTS90130 | NonConvergedAppV2GlobalEndpointNotSupported: la aplicación no se admite a través de los puntos de conexión /common o /consumers . Use /organizations o el punto de conexión específico del inquilino en su lugar. |
AADSTS120000 | PasswordChangeIncorrectCurrentPassword |
AADSTS120002 | PasswordChangeInvalidNewPasswordWeak |
AADSTS120003 | PasswordChangeInvalidNewPasswordContainsMemberName |
AADSTS120004 | PasswordChangeOnPremComplexity |
AADSTS120005 | PasswordChangeOnPremSuccessCloudFail |
AADSTS120008 | PasswordChangeAsyncJobStateTerminated: se ha producido un error que no permite el reintento. |
AADSTS120011 | PasswordChangeAsyncUpnInferenceFailed |
AADSTS120012 | PasswordChangeNeedsToHappenOnPrem |
AADSTS120013 | PasswordChangeOnPremisesConnectivityFailure |
AADSTS120014 | PasswordChangeOnPremUserAccountLockedOutOrDisabled |
AADSTS120015 | PasswordChangeADAdminActionRequired |
AADSTS120016 | PasswordChangeUserNotFoundBySspr |
AADSTS120018 | PasswordChangePasswordDoesnotComplyFuzzyPolicy |
AADSTS120020 | PasswordChangeFailure |
AADSTS120021 | PartnerServiceSsprInternalServiceError |
AADSTS130004 | NgcKeyNotFound: la entidad de seguridad de usuario no tiene configurada la clave de identificador de NGC. |
AADSTS130005 | NgcInvalidSignature: error de firma de clave de NGC comprobada. |
AADSTS130006 | NgcTransportKeyNotFound: la clave de transporte de NGC no está configurada en el dispositivo. |
AADSTS130007 | NgcDeviceIsDisabled: el dispositivo está deshabilitado. |
AADSTS130008 | NgcDeviceIsNotFound: no se encontró el dispositivo al que la clave de NGC hace referencia. |
AADSTS135010 | KeyNotFound |
AADSTS135011 | El dispositivo usado durante la autenticación está deshabilitado. |
AADSTS140000 | InvalidRequestNonce: no se proporciona el valor nonce de la solicitud. |
AADSTS140001 | InvalidSessionKey: la clave de sesión no es válida. |
AADSTS165004 | El contenido real del mensaje es específico del entorno de ejecución. Consulte el mensaje de excepción devuelto para obtener más detalles. |
AADSTS165900 | InvalidApiRequest: solicitud no válida. |
AADSTS220450 | UnsupportedAndroidWebViewVersion: no se admite la versión de Chrome WebView. |
AADSTS220501 | InvalidCrlDownload |
AADSTS221000 | DeviceOnlyTokensNotSupportedByResource: el recurso no está configurado para aceptar tokens solo de dispositivo. |
AADSTS240001 | BulkAADJTokenUnauthorized: el usuario no tiene autorización para registrar dispositivos en Microsoft Entra ID. |
AADSTS240002 | RequiredClaimIsMissing: el token de identificador no se puede usar como concesión urn:ietf:params:oauth:grant-type:jwt-bearer . |
AADSTS501621 | ClaimsTransformationTimeoutRegularExpressionTimeout: el reemplazo de expresiones regulares para la transformación de notificaciones ha agotado el tiempo de espera. Esto indica que es posible que se haya configurado una expresión regular demasiado compleja para esta aplicación. Es posible realizar correctamente un reintento de la solicitud. De lo contrario, póngase en contacto con el administrador para corregir la configuración. |
AADSTS530032 | BlockedByConditionalAccessOnSecurityPolicy: el administrador del inquilino tiene configurada una directiva de seguridad que bloquea esta solicitud. Compruebe las directivas de seguridad que están definidas en el nivel de inquilino para determinar si la solicitud cumple con los requisitos de las directivas. |
AADSTS700016 | UnauthorizedClient_DoesNotMatchRequest: no se encontró la aplicación en el directorio o inquilino. Esto puede pasar si el administrador del inquilino no es el que ha instalado el administrador del inquilino o no ha recibido el consentimiento de ningún usuario del inquilino. Puede que haya configurado de forma incorrecta el valor del identificador de la aplicación o que haya enviado la solicitud de autenticación al inquilino incorrecto. |
AADSTS700020 | InteractionRequired: la concesión de acceso requiere interacción. |
AADSTS700022 | InvalidMultipleResourcesScope: el valor proporcionado para el ámbito de parámetro de entrada no es válido porque contiene más de un recurso. |
AADSTS700023 | InvalidResourcelessScope: el valor proporcionado para el ámbito del parámetro de entrada no es válido al solicitar un token de acceso. |
AADSTS7000215 | Se ha proporcionado un secreto de cliente no válido. Error del desarrollador: la aplicación está intentando iniciar sesión sin los parámetros de autenticación necesarios o correctos. |
AADSTS7000218 | El cuerpo de la solicitud debe contener el siguiente parámetro: "client_assertion" o "client_secret". |
AADSTS7000222 | InvalidClientSecretExpiredKeysProvided: las claves secretas de cliente que se proporcionaron expiraron. Cree claves para la aplicación o considere usar credenciales de certificado para mayor seguridad: https://aka.ms/certCreds |
AADSTS700229 | ForbiddenTokenType: solo se pueden usar tokens de solo aplicación como credenciales de identidad federada para el emisor de Microsoft Entra. Use un token de acceso de solo aplicación (generado durante un flujo de credenciales de cliente) en lugar de un token de acceso delegado por el usuario (que representa una solicitud procedente de un contexto de usuario). |
AADSTS700005 | InvalidGrantRedeemAgainstWrongTenant: el código de autorización proporcionado está diseñado para usarlo con otro inquilino, por lo que se rechaza. El código de autorización de OAuth2 se debe canjear en el mismo inquilino para el cual se adquirió (/common o /{tenant-ID} según corresponda). |
AADSTS1000000 | UserNotBoundError: la API de Bind requiere que el usuario de Microsoft Entra también se autentique con un IDP externo, que aún no se ha producido. |
AADSTS1000002 | BindCompleteInterruptError: el enlace se completó correctamente, pero debe informarse al usuario. |
AADSTS100007 | Microsoft Entra Regional solo admite la autenticación para MSI O para solicitudes de MSAL mediante SN+I para aplicaciones internas o aplicaciones externas en inquilinos de infraestructura de Microsoft. |
AADSTS1000031 | No se puede acceder a la aplicación {appDisplayName} en este momento. Póngase en contacto con el administrador. |
AADSTS7000112 | UnauthorizedClientApplicationDisabled: la aplicación está deshabilitada. |
AADSTS7000114 | No se permite que la aplicación "appIdentifier" realice llamadas en nombre de aplicación. |
AADSTS7500529 | El valor "SAMLId-Guid" no es un identificador de SAML válido. Microsoft Entra usa este atributo para rellenar el atributo InResponseTo de la respuesta devuelta. El id. no debe empezar con un número. La estrategia habitual consiste en anteponer una cadena como "id" en la representación de cadena de un GUID. Por ejemplo, id6c1c178c166d486687be4aaf5e482730 es un identificador válido. |
AADSTS9002341 | V2Error: invalid_grant : el usuario es necesario para permitir el inicio de sesión único (SSO). Este error se produce cuando el usuario no ha concedido los permisos necesarios para que la aplicación realice el inicio de sesión único. El usuario debe redirigirse a la pantalla de consentimiento para conceder los permisos necesarios. Para obtener más información, consulta este anuncio". |
AADSTS901011 | NoEmailAddressCollectedFromExternalOidcIDP: no se obtuvo ninguna dirección de correo electrónico del proveedor de identidades externo de OpenID Connect (OIDC). Esto suele ocurrir cuando el usuario selecciona Ocultar mi correo electrónico al registrarse. |
AADSTS901012 | EmailAddressCollectedFromExternalOidcIDPNotVerified: no se obtuvo ninguna dirección de correo electrónico verificada del proveedor de identidades. La dirección de correo electrónico no se comprueba en el token de identificador del proveedor de identidades OIDC externo. |
AADSTS901014 | NoExternalIdentifierCollectedFromExternalOidcIDP: el identificador externo no existe en el token de identificador del proveedor de identidades OIDC externo. |
Pasos siguientes
- ¿Tiene preguntas y no encuentra lo que busca? Abra una incidencia en GitHub o consulte Opciones de ayuda y soporte técnico para desarrolladores para ver otras maneras de obtener ayuda y soporte técnico.