Microsoft Entra 身份验证和授权错误代码

想要查找有关 Microsoft Entra 安全令牌服务 (STS) 返回的 AADSTS 错误代码的信息? 请阅读本文档来查找 AADSTS 错误说明、修复方法和一些建议的解决方法。

注意

本文中的信息属于初步信息,随时可能更改。 遇到了问题或者找不到所需的内容? 请创建 GitHub 问题,或查看面向开发人员的支持和帮助选项来了解其他可以获得帮助和支持的方法。

本文档是为开发者和管理员提供的指导,但决不应为客户自身所用。 错误代码可能会随时更改,以提供更详细的错误消息,为开发者在构建应用程序时提供帮助。 依赖于文本或错误代码的应用程序随着时间的推移将会损坏。

查找当前错误代码信息

错误代码和消息可能会更改。 有关最新信息,请查看 https://login.microsoftonline.com/error 页,以查找 AADSTS 错误说明、修复程序和一些建议的解决方法。

例如,如果收到错误代码“AADSTS50058”,则在 https://login.microsoftonline.com/error 中搜索“50058”。 还可以通过将错误代码编号添加到 URL https://login.microsoftonline.com/error?code=50058 来直接链接到特定错误。

处理应用程序中的错误代码

OAuth 2.0 规范介绍如何在身份验证期间使用错误响应的 error 部分处理错误。

以下是一个错误响应示例:

{
  "error": "invalid_scope",
  "error_description": "AADSTS70011: The provided value for the input parameter 'scope' isn't valid. The scope https://example.contoso.com/activity.read isn't valid.\r\nTrace ID: 0000aaaa-11bb-cccc-dd22-eeeeee333333\r\nCorrelation ID: aaaa0000-bb11-2222-33cc-444444dddddd\r\nTimestamp: 2016-01-09 02:02:12Z",
  "error_codes": [
    70011
  ],
  "timestamp": "2016-01-09 02:02:12Z",
  "trace_id": "0000aaaa-11bb-cccc-dd22-eeeeee333333",
  "correlation_id": "aaaa0000-bb11-2222-33cc-444444dddddd", 
  "error_uri":"https://login.microsoftonline.com/error?code=70011"
}
参数 说明
error 一个错误码字符串,可用来对发生的错误类型进行分类,并应当用来响应错误。
error_description 帮助开发人员识别身份验证错误根本原因的特定错误消息。 绝对不要使用此字段来响应代码中的错误。
error_codes 可帮助诊断的 STS 特定错误代码列表。
timestamp 这将返回发生错误的时间。
trace_id 可帮助诊断的请求唯一标识符。
correlation_id 可帮助跨组件诊断的请求唯一标识符。
error_uri 指向错误查找页面的链接,该页面中包含有关错误的其他信息。 这仅供开发人员使用,不向用户提供。 仅当错误查找系统具有相关错误的其他信息时才提供 - 并非所有错误都提供了其他信息。

error 字段有多个可能值 - 请查看协议文档链接和 OAuth 2.0 规范来详细了解特定错误(例如,设备代码流中的 authorization_pending)以及如何响应它们。 下面列出了一些常见错误:

错误代码 说明 客户端操作
invalid_request 协议错误,例如,缺少必需的参数。 修复并重新提交请求。
invalid_grant 某些身份验证材料(身份验证代码、刷新令牌、访问令牌、PKCE 质询)无效、无法分析、缺失或在其他方面无法使用 尝试对 /authorize 终结点发出新请求来获取新的授权代码。 考虑查看和验证应用程序对协议的使用。
unauthorized_client 经过身份验证的客户端无权使用此权限授予类型。 客户端应用程序未注册到 Microsoft Entra ID 中或者未添加到用户的 Microsoft Entra 租户时,通常会出现这种情况。 应用程序可以提示用户,并说明如何安装应用程序并将其添加到 Microsoft Entra ID。
invalid_client 客户端身份验证失败。 客户端凭据无效。 若要修复,应用程序管理员应更新凭据。
unsupported_grant_type 授权服务器不支持权限授予类型。 更改请求中的授权类型。 这种类型的错误应该只在开发过程中发生,并且应该在初始测试过程中检测到。
invalid_resource 目标资源无效,原因是它不存在,Microsoft Entra ID 找不到它,或者其未正确配置。 这表示尚未在租户中配置资源(如果存在)。 应用程序可以提示用户,并说明如何安装应用程序并将其添加到 Microsoft Entra ID。 在开发过程中,这通常表示测试租户设置错误,或者在所请求范围的名称中有拼写错误。
interaction_required 请求需要用户交互。 例如,需要其他身份验证步骤。 请以交互方式用同一资源重试请求,以便用户能够完成所需的任何质询。
temporarily_unavailable 服务器暂时繁忙,无法处理请求。 重试请求。 客户端应用程序可向用户说明,其响应由于临时状况而延迟。

AADSTS 错误代码

错误 说明
AADSTS16000 InteractionRequired - 来自标识提供者“{idp}”的用户帐户“{EmailHidden}”在租户“{tenant}”中不存在,且无法访问该租户中的应用程序 '{appid}'({appName})。 该帐户需要先作为外部用户添加到租户中。 注销并使用另一 Microsoft Entra 用户帐户再次登录。 当你尝试使用个人 Microsoft 帐户登录到 Microsoft Entra 管理中心,但没有与之关联的目录时,此错误相当常见。
AADSTS16001 UserAccountSelectionInvalid - 如果用户选择会话选择逻辑已拒绝的某个磁贴,你将看到此错误。 触发此错误时,用户可以从更新的磁贴/会话列表中进行选择或选择另一个帐户进行恢复。 此错误的原因可能是代码缺陷或出现争用状况。
AADSTS16002 AppSessionSelectionInvalid - 不符合应用指定的 SID 要求。
AADSTS160021 AppSessionSelectionInvalidSessionNotExist - 应用程序请求的用户会话不存在。 此问题可以通过创建新的 Azure 帐户来得到解决。
AADSTS16003 SsoUserAccountNotFoundInResourceTenant - 指示尚未显式将用户添加到租户。
AADSTS17003 CredentialKeyProvisioningFailed - Microsoft Entra ID 无法预配用户密钥。
AADSTS20001 WsFedSignInResponseError - 联合标识提供者出现问题。 请联系 IDP 解决此问题。
AADSTS20012 WsFedMessageInvalid - 联合标识提供者出现问题。 请联系 IDP 解决此问题。
AADSTS20033 FedMetadataInvalidTenantName - 联合标识提供者出现问题。 请联系 IDP 解决此问题。
AADSTS230109 CachedCredentialNonGWAuthNRequestsNotSupported - 备份身份验证服务仅允许来自 Microsoft Entra 网关的 AuthN 请求。 当流量直接面向备份身份验证服务而不是通过反向代理时,将返回此错误。
AADSTS28002 请求访问令牌时,为输入参数范围“{scope}”提供的值无效。 请指定有效范围。
AADSTS28003 当使用提供的授权代码请求访问令牌时,为输入参数范围提供的值不能为空。 请指定有效范围。
AADSTS40008 OAuth2IdPUnretryableServerError - 联合标识提供者出现问题。 请联系 IDP 解决此问题。
AADSTS40009 OAuth2IdPRefreshTokenRedemptionUserError - 联合标识提供者出现问题。 请联系 IDP 解决此问题。
AADSTS40010 OAuth2IdPRetryableServerError - 联合标识提供者出现问题。 请联系 IDP 解决此问题。
AADSTS40015 OAuth2IdPAuthCodeRedemptionUserError - 联合标识提供者出现问题。 请联系 IDP 解决此问题。
AADSTS50000 TokenIssuanceError - 登录服务出现问题。 请开具支持票证以解决此问题。
AADSTS50001 InvalidResource - 资源已禁用或不存在。 请检查应用代码,确保为尝试访问的资源指定了确切的资源 URL。
AADSTS50002 NotAllowedTenant - 由于租户中的代理访问权限受限,登录失败。 如果这是你自己的租户策略,可以更改受限的租户设置来解决此问题。
AADSTS500011 InvalidResourceServicePrincipalNotFound - 在名为 {tenant} 的租户中找不到名为 {name} 的资源主体。 如果租户管理员未安装该应用程序或租户中的任何用户未同意该应用程序,则可能会发生这种情况。 可能将身份验证请求发送给了错误的租户。 如果希望安装应用,可能需要提供管理员权限才能添加它。 请与资源和应用程序的开发人员联系,了解租户的正确设置。
AADSTS500014 InvalidResourceServicePrincipalDisabled - 已禁用资源“{identifier}”的服务主体。 这表示租户中的订阅已失效,或者此租户的管理员已禁用应用程序的服务主体,从而阻止为其颁发令牌。 有关详细信息,请参阅禁用应用程序的用户登录
AADSTS500021 拒绝访问“{tenant}”租户。 AADSTS500021 指示已配置租户限制功能,并且用户正尝试访问标头 Restrict-Access-To-Tenant 指定的允许租户列表中没有的租户。 有关详细信息,请参阅使用租户限制管理对 SaaS 云应用程序的访问
AADSTS500022 拒绝访问“{tenant}”租户。 AADSTS500022 指示已配置租户限制功能,并且用户正尝试访问标头 Restrict-Access-To-Tenant 指定的允许租户列表中没有的租户。 有关详细信息,请参阅使用租户限制管理对 SaaS 云应用程序的访问
AADSTS50003 MissingSigningKey - 由于缺少签名密钥或证书,登录失败。 这可能是因为应用中未配置任何签名密钥。 若要了解详细信息,请参阅“故障排除”一文以了解错误 AADSTS50003。 如果仍然出现问题,请联系应用所有者或应用管理员。
AADSTS50005 DevicePolicyError - 用户尝试从条件访问策略目前不支持的平台登录到设备。
AADSTS50006 InvalidSignature - 由于签名无效,签名验证失败。
AADSTS50007 PartnerEncryptionCertificateMissing - 未找到此应用的合作伙伴加密证书。 请向 Microsoft 开具支持票证以解决此问题。
AADSTS50008 InvalidSamlToken - SAML 断言在令牌中缺失或配置错误。 请联系联合提供者。
AADSTS5000224 NotAllowedTenantBlockedTenantFraud - 很抱歉,此资源不可用。 如果错误地看到此消息,请联系 Microsoft 支持人员。
AADSTS5000819 InvalidSamlTokenEmailMissingOrInvalid - SAML 断言无效。 电子邮件地址声明缺失或与外部领域的域不匹配。
AADSTS50010 AudienceUriValidationFailed - 由于未配置令牌受众,应用的受众 URI 验证失败。
AADSTS50011 InvalidReplyTo - 回复地址缺失、配置错误或者与为应用配置的回复地址不匹配。 作为一种解决方法,请确保将此缺失的回复地址添加到 Microsoft Entra 应用程序,或者让有权在 Microsoft Entra ID 中管理你的应用程序的人员为你执行此操作。 若要了解详细信息,请参阅“故障排除”一文以了解错误 AADSTS50011
AADSTS50012 AuthenticationFailed - 身份验证由于以下原因之一而失败:
  • 未授权签名证书的使用者名称
  • 找不到与已授权使用者名称匹配的受信任颁发机构策略
  • 证书链无效
  • 签名证书无效
  • 未在租户中配置策略
  • 未授权签名证书的指纹
  • 客户端断言包含无效的签名
AADSTS50013 InvalidAssertion - 多种原因导致断言无效 - 令牌颁发者与其有效时间范围内的 API 版本不匹配 - 已过期 - 格式不正确 - 断言中的刷新令牌不是主要刷新令牌。 请与应用开发人员联系。
AADSTS500133 断言不在其有效时间范围内。 确保访问令牌在用于用户断言之前没有过期,或请求一个新令牌。 当前时间:{curTime},断言的到期时间 {expTime}。 多种原因会导致断言无效:
  • 令牌颁发者与其有效时间范围内的 API 版本不匹配
  • Expired
  • 格式错误
  • 断言中的刷新令牌不是主刷新令牌
AADSTS50014 GuestUserInPendingState - 目录中不存在该用户帐户。 应用程序可能选择了错误的租户进行登录,并且当前登录的用户被阻止登录,因为它们不存在于你的租户中。 如果此用户应该能够登录,请将其添加为来宾。 有关详细信息,请访问添加 B2B 用户
AADSTS50015 ViralUserLegalAgeConsentRequiredState - 用户需要法定年龄组许可。
AADSTS50017 CertificateValidationFailed - 证书验证失败,原因如下:
  • 在受信任的证书列表中找不到颁发证书
  • 找不到所需的 CrlSegment
  • 在受信任的证书列表中找不到颁发证书
  • 在没有对应 CRL 分发点的情况下配置了增量 CRL 分发点
  • 由于超时问题,无法检索有效的 CRL 段
  • 无法下载 CRL
请联系租户管理员。
AADSTS50020 UserUnauthorized - 未授权用户调用此终结点。 来自标识提供者“{idp}”的用户帐户“{email}”不存在于租户“{tenant}”中,且无法访问该租户中的应用程序 '{appid}'({appName})。 该帐户需要先作为外部用户添加到租户中。 注销并使用另一 Microsoft Entra 用户帐户再次登录。 如果此用户应是租户的成员,则应通过 B2B 系统邀请他们。 有关其他信息,请访问 AADSTS50020
AADSTS500208 域不是该帐户类型的有效登录域 - 当用户帐户与给定租户的预期帐户类型不匹配时,会出现这种情况。 例如,如果租户配置为仅允许工作或学校帐户,而用户尝试使用个人 Microsoft 帐户登录,则会收到此错误。
AADSTS500212 NotAllowedByOutboundPolicyTenant - 用户的管理员已设置出站访问策略,该策略不允许访问资源租户。
AADSTS500213 NotAllowedByInboundPolicyTenant - 资源租户的跨租户访问策略不允许此用户访问此租户。
AADSTS50027 InvalidJwtToken - 以下原因导致 JWT 令牌无效:
  • 不包含 nonce 声明和子声明
  • 使用者标识符不匹配
  • idToken 声明中存在重复声明
  • 意外的颁发者
  • 意外的受众
  • 不在有效的时间范围内
  • 令牌格式不正确
  • 颁发者的外部 ID 令牌未通过签名验证。
AADSTS50029 URI 无效 - 域名包含无效字符。 请联系租户管理员。
AADSTS50032 WeakRsaKey - 指示错误的用户尝试使用弱 RSA 密钥。
AADSTS50033 RetryableError - 指示与数据库操作不相关的暂时性错误。
AADSTS50034 UserAccountNotFound - 若要登录到此应用程序,必须将帐户添加到目录中。 发生此错误的原因可能是用户键入了用户名错误,或者不在租户中。 应用程序可能选择了错误的租户登录,并且当前登录的用户被阻止登录,因为它们不存在于租户中。 如果此用户应该能够登录,请将其添加为来宾。 请参阅此处的文档:添加 B2B 用户
AADSTS50042 UnableToGeneratePairwiseIdentifierWithMissingSalt - 原则中缺少用于生成成对标识符的盐。 请联系租户管理员。
AADSTS50043 UnableToGeneratePairwiseIdentifierWithMultipleSalts
AADSTS50048 SubjectMismatchesIssuer - 使用者与客户端断言中的颁发者声明不匹配。 请联系租户管理员。
AADSTS50049 NoSuchInstanceForDiscovery - 未知或无效的实例。
AADSTS50050 MalformedDiscoveryRequest - 请求格式不正确。
AADSTS50053 两种不同的原因会导致此错误:
  • IdsLocked - 帐户已锁定,因为用户尝试使用不正确的用户 ID 或密码登录的次数过多。 用户因反复登录尝试而被阻止。 请参阅修正风险并对用户解除阻止
  • 或者,由于登录来自具有恶意活动的 IP 地址而被阻止。

若要确定导致此错误的故障原因,请至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。 导航到 Microsoft Entra 租户,然后选择“监视和运行状况”- >“登录日志”。 找到“登录错误代码”为 50053 的失败用户登录,然后检查“失败原因”。
AADSTS50055 InvalidPasswordExpiredPassword - 密码已过期。 用户的密码已过期,因此其登录名或会话已结束。 他们有机会重置密码,或者可能要求管理员通过使用 Microsoft Entra ID 重置用户密码来重置密码。
AADSTS50056 密码无效或为 null:密码在此用户的目录中不存在。 应要求用户再次输入其密码。
AADSTS50057 UserDisabled - 用户帐户处于禁用状态。 Active Directory 中支持此帐户的用户对象已禁用。 管理员可以通过 Powershell 重新启用此帐户
AADSTS50058 UserInformationNotProvided - 会话信息不足,无法进行单一登录。 这意味着用户未登录。 这是一个常见的错误,如果用户未经过身份验证并且尚未登录,则预期会出现此错误。
如果在用户之前已登录过的 SSO 上下文中遇到此错误,则表示 SSO 会话未找到或无效。
如果指定了 prompt=none,则可能会在应用程序中返回此错误。
AADSTS50059 MissingTenantRealmAndNoUserInformationProvided - 在请求中未找到租户标识信息,或者任何提供的凭据未隐式指定此信息。 用户可以联系租户管理员来帮助解决此问题。
AADSTS50061 SignoutInvalidRequest - 无法退出登录。请求无效。
AADSTS50064 CredentialAuthenticationError - 用户名或密码凭据验证失败。
AADSTS50068 SignoutInitiatorNotParticipant - 注销失败。 发起注销的应用不是当前会话中的参与者。
AADSTS50070 SignoutUnknownSessionIdentifier - 注销失败。 注销请求指定了与现有会话不匹配的名称标识符。
AADSTS50071 SignoutMessageExpired - 注销请求已过期。
AADSTS50072 UserStrongAuthEnrollmentRequiredInterrupt - 用户需要注册双重身份验证(交互式)。
AADSTS50074 UserStrongAuthClientAuthNRequiredInterrupt - 需要强身份验证,用户未通过 MFA 质询。
AADSTS50076 UserStrongAuthClientAuthNRequired - 由于管理员做了配置更改(如条件访问策略),或者你已移到新位置,用户必须使用多重身份验证来访问资源。 请使用针对资源的新授权请求重试。
AADSTS50078 UserStrongAuthExpired - 呈现的多重身份验证已过期(因为存在管理员配置的策略)。 你必须刷新多重身份验证才能访问“{resource}”。
AADSTS50079 UserStrongAuthEnrollmentRequired - 由于管理员做了配置更改(如条件访问策略),或者因为用户已移到新位置,用户必须使用多重身份验证。 托管用户需要注册安全信息才能完成多重身份验证,或者联合用户需要从联合标识提供者获取多重声明。
AADSTS50085 刷新令牌需要社交 IDP 登录。 请让用户尝试使用用户名和密码再次登录
AADSTS50086 SasNonRetryableError
AADSTS50087 SasRetryableError - 强身份验证期间出现暂时性错误。 请重试。
AADSTS50088 已达到电信 MFA 呼叫限制。 请过几分钟重试。
AADSTS50089 由于流令牌过期,身份验证失败。 预期 - 身份验证代码、刷新令牌和会话会随着时间的推移而过期,或者由用户或管理员撤销。应用将请求用户进行新登录。
AADSTS50097 DeviceAuthenticationRequired - 必须使用设备身份验证。
AADSTS50099 PKeyAuthInvalidJwtUnauthorized - JWT 签名无效。
AADSTS50105 EntitlementGrantsNotFound - 未向已登录用户分配已登录应用的角色。 将用户分配给应用。 若要了解详细信息,请参阅“故障排除”一文以了解错误 AADSTS50105
AADSTS50107 InvalidRealmUri - 请求的联合领域对象不存在。 请联系租户管理员。
AADSTS50120 ThresholdJwtInvalidJwtFormat - JWT 标头有问题。 请联系租户管理员。
AADSTS50124 ClaimsTransformationInvalidInputParameter - 声明转换包含无效的输入参数。 请联系租户管理员来更新策略。
AADSTS501241 转换 ID“{transformId}”中缺少必填的输入“{paramName}”。 Microsoft Entra ID 尝试向应用程序生成 SAML 响应时,将返回此错误。 NameID 声明或 NameIdentifier 在 SAML 响应中是必填内容,如果 Microsoft Entra ID 无法获取 NameID 声明的源属性,它将返回此错误。 作为一种解决方法,请确保添加声明规则。 若要添加声明规则,请至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心,然后浏览到“标识”>“应用程序”>“企业应用程序”。 选择应用程序,选择“单一登录”,然后在“用户属性和声明”中输入“唯一用户标识符(名称 ID)”。
AADSTS50125 PasswordResetRegistrationRequiredInterrupt - 密码重置或密码注册条目导致登录中断。
AADSTS50126 InvalidUserNameOrPassword - 无效的用户名或密码导致验证凭据时出错。 用户未输入正确的凭据。 由于用户出错,预计日志中会出现一些错误。
AADSTS50127 BrokerAppNotInstalled - 用户需要安装中转站应用才能访问此内容。
AADSTS50128 域名无效 - 未在请求中找到或提供的任何凭据均未暗示任何租户标识信息。
AADSTS50129 DeviceIsNotWorkplaceJoined - 需要加入工作区才能注册设备。
AADSTS50131 ConditionalAccessFailed - 指示各种条件访问错误,例如,Windows 设备状态不正确,请求因活动可疑、访问策略和安全策略决策而被阻止。
AADSTS50132 SsoArtifactInvalidOrExpired - 会话由于密码过期或最近更改了密码而无效。
AADSTS50133 SsoArtifactRevoked - 会话由于密码过期或最近更改了密码而无效。
AADSTS50134 DeviceFlowAuthorizeWrongDatacenter - 错误的数据中心。 若要授权 OAuth 2.0 设备流中的应用发起的请求,授权方必须与原始请求位于同一数据中心。
AADSTS50135 PasswordChangeCompromisedPassword - 由于帐户风险,需要更改密码。
AADSTS50136 RedirectMsaSessionToApp - 检测到单个 MSA 会话。
AADSTS50139 SessionMissingMsaOAuth2RefreshToken - 由于缺少外部刷新令牌,会话无效。
AADSTS50140 KmsiInterrupt - 此错误是由于用户登录时出现“使我保持登录状态”中断而发生的。 这是登录流的预期部分,其中会询问用户是否希望保持登录到当前浏览器,以便以后更轻松地登录。 有关详细信息,请参阅现已推出新的 Microsoft Entra 登录和“使我保持登录状态”体验!。 你可以开具支持票证并提供相关性 ID、请求 ID 和错误代码,以获取更多详细信息。
AADSTS50143 会话不匹配 - 会话无效,因为不同的资源导致用户租户与域提示不匹配。 开具支持票证并提供相关性 ID、请求 ID 和错误代码,以获取更多详细信息。
AADSTS50144 InvalidPasswordExpiredOnPremPassword - 用户的 Active Directory 密码已过期。 为用户生成新密码,或者让用户使用自助重置工具重置其密码。
AADSTS50146 MissingCustomSigningKey - 需要为此应用配置特定于应用的签名密钥。 没有为此应用程序配置签名密钥,或者密钥已过期或尚未生效。 请联系应用程序的所有者。
AADSTS501461 仅与应用程序 GUID 匹配的令牌受众或租户的已验证域中的受众支持 AcceptMappedClaims。 更改资源标识符,或使用特定于应用程序的签名密钥。
AADSTS50147 MissingCodeChallenge - 代码质询参数的大小无效。
AADSTS501481 Code_Verifier 与授权请求中提供的 code_challenge 不匹配。
AADSTS501491 InvalidCodeChallengeMethodInvalidSize - Code_Challenge 参数的大小无效。
AADSTS50155 DeviceAuthenticationFailed - 此用户的设备身份验证失败。
AADSTS50158 ExternalSecurityChallenge - 不符合外部安全质询。
AADSTS50161 InvalidExternalSecurityChallengeConfiguration - 外部提供程序发送的声明不够,或者向外部提供程序请求的声明缺失。
AADSTS50166 ExternalClaimsProviderThrottled - 无法将请求发送到声明提供程序。
AADSTS50168 ChromeBrowserSsoInterruptRequired - 客户端能够通过 Windows 10 帐户扩展获取 SSO 令牌,但在请求中找不到令牌,或提供的令牌已过期。
AADSTS50169 InvalidRequestBadRealm - 领域不是当前服务命名空间的已配置领域。
AADSTS50170 MissingExternalClaimsProviderMapping - 缺少外部控制映射。
AADSTS50173 FreshTokenNeeded - 所提供的授权因被撤销而过期,需要一个新的身份验证令牌。 管理员或用户撤销了该用户的令牌,导致后续的令牌刷新失败,需要重新进行身份验证。 让用户重新登录。
AADSTS50177 ExternalChallengeNotSupportedForPassthroughUsers - 直通用户不支持外部质询。
AADSTS50178 SessionControlNotSupportedForPassthroughUsers - 直通用户不支持会话控制。
AADSTS50180 WindowsIntegratedAuthMissing - 需要 Windows 集成身份验证。 为租户启用无缝 SSO。
AADSTS50187 DeviceInformationNotProvided - 服务无法执行设备身份验证。
AADSTS50192 无效的请求 - RawCredentialExpectedNotFound - 登录请求中不包含任何凭据。 示例:用户正在执行基于证书的身份验证 (CBA),但在登录请求中未发送任何证书或用户证书已被代理删除。
AADSTS50194 应用程序“{appId}”({appName}) 未配置为多租户应用程序。 在“{time}”之后创建的此类应用程序不支持使用 /common 终结点。 使用特定于租户的终结点,或将应用程序配置为多租户。
AADSTS50196 LoopDetected - 检测到客户端循环。 检查应用的逻辑,以确保实现了令牌缓存,并且正确处理了错误情况。 该应用在太短的时间内发出了太多相同请求,表明它处于错误状态或滥用请求令牌。
AADSTS50197 ConflictingIdentities - 找不到用户。 请尝试再次登录。
AADSTS50199 CmsiInterrupt - 出于安全原因,此请求需要用户确认。 对移动浏览器中所有方案重定向显示中断。
无需采取措施。 系统要求用户确认此应用是其打算登录的应用程序。
这是一项有助于防止欺骗攻击的安全功能。 出现这种情况是因为系统 Web 视图已用于请求本机应用程序的令牌。
要避免此提示,重定向 URI 应是以下安全列表的一部分:
http://
https://
chrome-extension://(仅限桌面 Chrome 浏览器)
AADSTS51000 RequiredFeatureNotEnabled - 已禁用该功能。
AADSTS51001 DomainHintMustbePresent - 必须使用本地安全标识符或本地 UPN 提供域提示。
AADSTS1000104 XCB2BResourceCloudNotAllowedOnIdentityTenant - 标识租户 {identityTenant} 上不允许资源云 {resourceCloud}。 {resourceCloud} - 拥有资源的云实例。 {identityTenant} - 是登录标识的来源租户。
AADSTS51004 UserAccountNotInDirectory - 目录中不存在该用户帐户。 应用程序可能选择了错误的租户登录,并且当前登录的用户被阻止登录,因为它们不存在于租户中。 如果此用户应该能够登录,请将其添加为来宾。 有关详细信息,请访问添加 B2B 用户
AADSTS51005 TemporaryRedirect - 等效于 HTTP 状态 307,表示请求的信息位于 location 标头中指定的 URI 处。 如果收到此状态,请遵循与响应关联的 location 标头操作。 如果原始请求方法是 POST,则重定向的请求也会使用 POST 方法。
AADSTS51006 ForceReauthDueToInsufficientAuth - 需要 Windows 集成身份验证。 用户已使用缺少集成 Windows 身份验证声明的会话令牌登录。 请求用户重新登录。
AADSTS52004 DelegationDoesNotExistForLinkedIn - 用户未许可访问 LinkedIn 资源。
AADSTS53000 DeviceNotCompliant:条件访问策略需要合规设备,该设备不合规。 用户必须使用已批准的 MDM 提供程序(例如 Intune)注册其设备。 有关其他信息,请访问条件访问设备修正
AADSTS53001 DeviceNotDomainJoined - 条件访问策略需要已加入域的设备,而该设备未加入域。 让用户使用已加入域的设备。
AADSTS53002 ApplicationUsedIsNotAnApprovedApp - 使用的应用不是批准用于条件访问的应用。 用户需使用可用的获批准应用列表中的某个应用才能获取访问权限。
AADSTS53003 BlockedByConditionalAccess - 条件访问策略已阻止访问。 访问策略不允许令牌颁发。 如果这是意外情况,请查看应用于此请求的条件访问策略,或与管理员联系。 有关其他信息,请访问使用条件访问排查登录问题
AADSTS530035 BlockedBySecurityDefaults - 访问已被安全默认值阻止。 这是因为请求使用了旧式身份验证或被安全默认值策略视为不安全。 有关其他信息,请访问强制实施的安全策略
AADSTS53004 ProofUpBlockedDueToRisk - 在访问此内容之前,用户需要完成多重身份验证注册过程。 用户应注册多重身份验证。
AADSTS53010 ProofUpBlockedDueToSecurityInfoAcr - 无法配置多重身份验证方法,因为组织需要从特定的位置或设备设置此信息。
AADSTS53011 用户因主租户的风险而被阻止。
AADSTS530034 DelegatedAdminBlockedDueToSuspiciousActivity - 由于主租户中的帐户风险,已阻止委派管理员访问租户。
AADSTS54000 MinorUserBlockedLegalAgeGroupRule
AADSTS54005 OAuth2 授权代码已兑换,请使用新的有效代码重试,或使用现有的刷新令牌。
AADSTS65001 DelegationDoesNotExist - 用户或管理员尚未许可将应用程序与 ID X 配合使用。请发送针对该用户和资源的交互式授权请求。
AADSTS65002 必须通过预授权在第一方应用程序“{applicationId}”与第一方资源“{resourceId}”之间配置同意 - 由 Microsoft 拥有和操作的应用程序必须先获得 API 所有者的批准,然后才能请求该 API 的令牌。 租户中的某位开发人员可能正在尝试重用 Microsoft 拥有的应用 ID。 此错误会导致他们无法模拟 Microsoft 应用程序来调用其他 API。 他们必须移动到其注册的另一个应用 ID。
AADSTS65004 UserDeclinedConsent - 用户已拒绝许可访问该应用。 让用户重试登录并同意访问此应用
AADSTS65005 MisconfiguredApplication - 应用所需的资源访问列表不包含可以通过资源来发现的应用,或者客户端应用请求访问的资源未在其必需的资源访问列表中指定,或者 Graph 服务返回了错误的请求,或者资源找不到。 如果应用支持 SAML,则原因可能是使用错误的标识符(实体)配置了应用。 若要了解详细信息,请参阅“故障排除”一文以了解错误 AADSTS650056
AADSTS650052 应用需要访问你的组织 \"{organization}\" 尚未订阅或启用的服务 (\"{name}\")。 若要查看服务订阅的配置,请与 IT 管理员联系。
AADSTS650054 应用程序请求访问已删除或不再可用的资源的权限。 确保应用调用的所有资源都存在于你正在操作中的租户中。
AADSTS650056 应用程序配置不正确。 这可能由以下原因之一造成:在客户端的应用程序注册中,客户端没有在所请求的权限中列出针对“{name}”的任何权限。 或者,管理员未在租户中表示同意。 或者,检查请求中的应用程序标识符,确保它与配置的客户端应用程序标识符匹配。 或者,检查请求中的证书,确保该证书有效。 请联系你的管理员来修复配置或者代表租户来表示同意。 客户端应用 ID:{ID}。 请联系你的管理员来修复配置或者代表租户来表示同意。
AADSTS650057 资源无效。 客户端已请求访问某个资源,但该资源未在客户端应用程序注册中的所需权限中列出。 客户端应用 ID:{appId}({appName})。 请求中的资源值:{resource}。 资源应用 ID:{resourceAppId}。 应用注册中的有效资源列表:{regList}。
AADSTS67003 ActorNotValidServiceIdentity
AADSTS70000 InvalidGrant - 身份验证失败。 刷新令牌无效。 该错误的可能原因如下:
  • 令牌绑定标头为空
  • 令牌绑定哈希不匹配
AADSTS70001 UnauthorizedClient - 应用程序处于禁用状态。 若要了解详细信息,请参阅“故障排除”一文以了解错误 AADSTS70001
AADSTS700011 UnauthorizedClientAppNotFoundInOrgIdTenant - 在目录中找不到标识符为 {appIdentifier} 的应用程序。 客户端应用程序从租户请求令牌,但租户中不存在该客户端应用,因此调用失败。
AADSTS70002 InvalidClient - 验证凭据时出错。 指定的 client_secret 与此客户端的预期值不匹配。 请更正 client_secret,然后重试。 有关详细信息,请参阅使用授权代码请求访问令牌
AADSTS700025 InvalidClientPublicClientWithCredential - 客户端是公共的,因此不应显示“client_assertion”和“client_secret”。
AADSTS700027 客户端断言未通过签名验证。 开发人员错误 - 应用尝试在没有必需的或正确的身份验证参数的情况下登录。
AADSTS70003 UnsupportedGrantType - 应用返回了不受支持的授权类型。
AADSTS700030 证书无效 - 证书中的使用者名称未获授权。 令牌证书中的 SubjectNames/SubjectAlternativeNames(最多 10 个)为:{certificateSubjects}。
AADSTS70004 InvalidRedirectUri - 应用返回了无效的重定向 URI。 客户端指定的重定向地址与配置的任何地址或者 OIDC 批准列表中的任何地址都不匹配。
AADSTS70005 UnsupportedResponseType - 由于以下原因,应用返回了不受支持的响应类型:
  • 没有为应用启用响应类型“token”
  • 响应类型“id_token”需要“OpenID”作用域 - 编码的 wctx 中包含不支持的 OAuth 参数值
AADSTS700054 没有为应用程序启用响应类型“id_token”。 应用程序从授权终结点请求了 ID 令牌,但未启用 ID 令牌隐式授权。 请至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心,然后浏览到“标识”>“应用程序”>“应用注册”。 选择应用程序,然后选择“身份验证”。 在“隐式授权和混合流”下,确保选择了“ID 令牌”。
AADSTS70007 UnsupportedResponseMode - 请求令牌时,应用返回了不受支持的 response_mode 值。
AADSTS70008 ExpiredOrRevokedGrant - 刷新令牌由于非活动状态而过期。 该令牌是在 XXX 颁发的,并在特定的时间内处于非活动状态。
AADSTS700082 ExpiredOrRevokedGrantInactiveToken - 刷新令牌由于不活动而过期。 该令牌于 {issueDate} 发行,{time} 时处于非活动状态。 令牌生命周期的预期部分 - 用户在不使用应用程序的情况下长时间运行,因此当应用尝试刷新令牌时,令牌已过期。
AADSTS700084 刷新令牌已颁发给单页应用 (SPA),因此具有固定、有限的生命周期 {time},该生命周期无法延长。 刷新令牌现在已经过期,SPA 必须将新的登录请求发送到登录页面。 该令牌于 {issueDate} 颁发。
AADSTS70011 InvalidScope - 应用请求的范围无效。
AADSTS70012 MsaServerError - 对 MSA(使用者)用户进行身份验证时发生服务器错误。 重试。 如果仍然失败,请开具支持票证 
AADSTS70016 AuthorizationPending - OAuth 2.0 设备流错误。 授权处于挂起状态。 设备将重试轮询请求。
AADSTS70018 BadVerificationCode - 由于用户为设备代码流键入了错误的用户代码,验证码无效。 未批准授权。
AADSTS70019 CodeExpired - 验证码已过期。 让用户重试登录。
AADSTS70043 BadTokenDueToSignInFrequency - 由于条件访问进行登录频率检查,刷新令牌已过期或无效。 该令牌是在 {issueDate} 颁发的,此请求的最大允许生存期为 {time}。
AADSTS75001 BindingSerializationError - SAML 消息绑定期间出错。
AADSTS75003 UnsupportedBindingError - 应用返回了与不受支持的绑定相关的错误(无法通过 HTTP POST 以外的绑定发送 SAML 协议响应)。
AADSTS75005 Saml2MessageInvalid - Microsoft Entra 不支持应用针对 SSO 所发送的 SAML 请求。 若要了解详细信息,请参阅“故障排除”一文以了解错误 AADSTS75005
AADSTS7500514 找不到支持的 SAML 响应类型。 支持的响应类型为“Response”(在 XML 命名空间“'urn:oasis:names:tc:SAML:2.0:protocol”中)或“Assertion”(在 XML 命名空间“urn:oasis:names:tc:SAML:2.0:assertion”中)。 应用程序错误 - 开发人员会处理此错误。
AADSTS750054 必须在针对 SAML 重定向绑定的 HTTP 请求中将SAMLRequest 或 SAMLResponse 提供为查询字符串参数。 若要了解详细信息,请参阅“故障排除”一文以了解错误 AADSTS750054
AADSTS75008 RequestDeniedError - 由于 SAML 请求的目标不符合预期,来自应用的请求被拒绝。
AADSTS75011 NoMatchedAuthnContextInOutputClaims - 用户在服务中用于身份验证的身份验证方法与请求的身份验证方法不匹配。 若要了解详细信息,请参阅“故障排除”一文以了解错误 AADSTS75011
AADSTS75016 Saml2AuthenticationRequestInvalidNameIDPolicy - SAML2 身份验证请求包含无效的 NameIdPolicy。
AADSTS76021 ApplicationRequiresSignedRequests - 客户端发送的请求未签名,而应用程序需要签名的请求
AADSTS76026 RequestIssueTimeExpired - SAML2 身份验证请求中的 IssueTime 已过期。
AADSTS80001 OnPremiseStoreIsNotAvailable - 身份验证代理无法连接到 Active Directory。 确保代理服务器是需要验证其密码的用户所在的 AD 林的成员,并且能够连接到 Active Directory。
AADSTS80002 OnPremisePasswordValidatorRequestTimedout - 密码验证请求超时。确保 Active Directory 可用,并且可以响应代理的请求。
AADSTS80005 OnPremisePasswordValidatorUnpredictableWebException - 处理来自身份验证代理的响应时发生未知的错误。 重试请求。 如果仍旧失败,请开具支持票证,获取有关该错误的更多详细信息。
AADSTS80007 OnPremisePasswordValidatorErrorOccurredOnPrem - 身份验证代理无法验证用户的密码。 检查代理日志以了解更多信息,并验证 Active Directory 是否按预期方式运行。
AADSTS80010 OnPremisePasswordValidationEncryptionException - 身份验证代理无法解密密码。
AADSTS80012 OnPremisePasswordValidationAccountLogonInvalidHours - 用户尝试在允许的时间(在 AD 中指定)以外登录。
AADSTS80013 OnPremisePasswordValidationTimeSkew - 由于运行身份验证代理的计算机与 AD 之间存在时间偏差,身份验证尝试无法完成。 解决时间同步问题。
AADSTS80014 OnPremisePasswordValidationAuthenticationAgentTimeout - 超过最大已用时间后响应验证请求。 开具支持票证并提供错误代码、相关性 ID 和日期时间,以获取有关此错误的更多详细信息。
AADSTS81004 DesktopSsoIdentityInTicketIsNotAuthenticated - Kerberos 身份验证尝试失败。
AADSTS81005 DesktopSsoAuthenticationPackageNotSupported - 不支持该身份验证包。
AADSTS81006 DesktopSsoNoAuthorizationHeader - 找不到授权标头。
AADSTS81007 DesktopSsoTenantIsNotOptIn - 未为租户启用无缝 SSO。
AADSTS81009 DesktopSsoAuthorizationHeaderValueWithBadFormat - 无法验证用户的 Kerberos 票证。
AADSTS81010 DesktopSsoAuthTokenInvalid - 由于用户的 Kerberos 票证已过期或无效,无缝 SSO 失败。
AADSTS81011 DesktopSsoLookupUserBySidFailed - 无法根据用户的 Kerberos 票证中的信息找到用户对象。
AADSTS81012 DesktopSsoMismatchBetweenTokenUpnAndChosenUpn - 尝试登录到 Microsoft Entra ID 的用户不同于已登录到设备的用户。
AADSTS90002 InvalidTenantName - 在数据存储中找不到该租户名称。 请确保租户 ID 正确。 如果应用程序开发人员尝试登录到找不到的租户,则应用程序开发人员将收到此错误。 通常,这是因为针对错误的云使用了跨云应用,或者开发人员尝试登录到从电子邮件地址派生的租户,但域未注册。
AADSTS90004 InvalidRequestFormat - 请求格式不正确。
AADSTS90005 InvalidRequestWithMultipleRequirements - 无法完成请求。 由于不能同时使用标识符和登录提示,请求无效。
AADSTS90006 ExternalServerRetryableError - 服务暂时不可用。
AADSTS90007 InvalidSessionId - 错误的请求。 无法分析传递的会话 ID。
AADSTS90008 TokenForItselfRequiresGraphPermission - 用户或管理员尚未许可使用该应用程序。 最起码,应用程序需要通过指定登录并读取用户个人资料权限来访问 Microsoft Entra ID。
AADSTS90009 TokenForItselfMissingIdenticalAppIdentifier - 应用程序正在请求自身的令牌。 仅当指定的资源使用基于 GUID 的应用程序 ID 时,才支持此方案。
AADSTS90010 NotSupported - 无法创建该算法。
AADSTS9001023 不支持通过 /common 或 /consumers 终结点的授予类型。 请使用 /organizations 或特定于租户的终结点。
AADSTS90012 RequestTimeout - 请求超时。
AADSTS90013 InvalidUserInput - 用户的输入无效。
AADSTS90014 MissingRequiredField - 如果预期的字段在凭据中不存在,则可能会显示此错误代码。
AADSTS900144 请求正文必须包含以下参数:“{name}”。 开发人员错误 - 应用尝试在没有必需的或正确的身份验证参数的情况下登录。
AADSTS90015 QueryStringTooLong - 查询字符串过长。
AADSTS90016 MissingRequiredClaim - 访问令牌无效。 缺少必需的声明。
AADSTS90019 MissingTenantRealm - Microsoft Entra ID 无法确定请求中的租户标识符。
AADSTS90020 SAML 1.1 断言缺少用户的 ImmutableID。 开发人员错误 - 应用尝试在没有必需的或正确的身份验证参数的情况下登录。
AADSTS90022 AuthenticatedInvalidPrincipalNameFormat - 主体名称格式无效,或者不符合预期的 name[/host][@realm] 格式。 主体名称是必需的,而主机和领域是可选的,可设置为 null。
AADSTS90023 InvalidRequest - 身份验证服务请求无效。
AADSTS900236 InvalidRequestSamlPropertyUnsupported - SAML 身份验证请求属性“{propertyName}”不受支持,不得设置。
AADSTS9002313 InvalidRequest - 请求格式错误或无效。 - 之所以出现此问题,是因为对某个终结点的请求出了问题。 对此问题的建议是获取发生的错误的 fiddler 跟踪,并查看请求的格式是否确实正确。
AADSTS9002332 应用程序“{principalId}”({principalName}) 配置为仅供 Microsoft Entra 用户使用。 请勿使用 /consumers 终结点来为此请求提供服务。
AADSTS90024 RequestBudgetExceededError - 发生了暂时性错误。 重试。
AADSTS90027 我们无法从 MSA 租户上的此 API 版本颁发令牌。 请与应用程序供应商联系,因为他们需要使用协议版本 2.0 来支持此操作。
AADSTS90033 MsodsServiceUnavailable - Microsoft Online Directory Service (MSODS) 不可用。
AADSTS90036 MsodsServiceUnretryableFailure - MSODS 托管的 WCF 服务发生意外的不可重试错误。 请开具支持票证,获取有关该错误的更多详细信息。
AADSTS90038 NationalCloudTenantRedirection - 指定的租户“Y”属于国家/地区云“X”。 当前云实例“Z”未与 X 联合。返回了云重定向错误。
AADSTS900384 JWT 令牌签名验证失败。 实际消息内容是特定于运行时的,此错误有多种原因。 有关详细信息,请查看返回的异常消息。
AADSTS90043 NationalCloudAuthCodeRedirection - 已禁用该功能。
AADSTS900432 跨云请求不支持机密客户端。
AADSTS90051 InvalidNationalCloudId - 国家云标识符包含无效的云标识符。
AADSTS90055 TenantThrottlingError - 传入的请求过多。 此异常是针对阻止的租户引发的。
AADSTS90056 BadResourceRequest - 若要兑换访问令牌的代码,应用应该向 /token 终结点发送 POST 请求。 另外,在此之前,应该提供授权代码,并在发往 /token 终结点的 POST 请求中发送此代码。 有关 OAuth 2.0 授权代码流的概述,请参阅此文。 将用户定向到 /authorize 终结点,该终结点会返回 authorization_code。 通过向 /token 终结点发布请求,用户可以获取访问令牌。 检查“应用注册”>“终结点”以确认是否正确配置了两个终结点。
AADSTS900561 BadResourceRequestInvalidRequest - 终结点仅接受 {valid_verbs} 请求。 收到 {invalid_verb} 请求。 {valid_verbs} 表示终结点支持的 HTTP 谓词列表(例如,POST),{invalid_verb} 是当前请求中使用的 HTTP 谓词(例如,GET)。 这可能是由于开发人员错误,或者用户在其浏览器中按下后退按钮,从而触发了错误的请求。 这可予以忽视。
AADSTS90072 PassThroughUserMfaError - 用户登录时所用的外部帐户在其登录到的租户中不存在;因此,该用户无法满足该租户的 MFA 要求。 如果用户已同步,但是 Active Directory 和 Microsoft Entra ID 之间的 ImmutableID (sourceAnchor) 属性不匹配,也可能会发生此错误。 必须先将该帐户作为外部用户添加到该租户中。 注销并使用另一 Microsoft Entra 用户帐户登录。 有关详细信息,请访问配置外部标识
AADSTS90081 OrgIdWsFederationMessageInvalid - 服务尝试处理 WS 联合身份验证消息时出错。 消息无效。
AADSTS90082 OrgIdWsFederationNotSupported - 目前不支持对该请求使用所选的身份验证策略。
AADSTS90084 OrgIdWsFederationGuestNotAllowed - 此站点不允许来宾帐户。
AADSTS90085 OrgIdWsFederationSltRedemptionFailed - 由于尚未预配公司对象,服务无法颁发令牌。
AADSTS90086 OrgIdWsTrustDaTokenExpired - 用户 DA 令牌已过期。
AADSTS90087 OrgIdWsFederationMessageCreationFromUriFailed - 从 URI 创建 WS 联合身份验证消息时出错。
AADSTS90090 GraphRetryableError - 服务暂时不可用。
AADSTS90091 GraphServiceUnreachable
AADSTS90092 GraphNonRetryableError
AADSTS90093 GraphUserUnauthorized - Graph 返回了针对请求的禁止访问错误代码。
AADSTS90094 AdminConsentRequired - 需要管理员许可。
AADSTS900382 跨云请求不支持机密客户端。
AADSTS90095 AdminConsentRequiredRequestAccess - 在管理员同意工作流体验中,当告知用户需要请求管理员同意时出现的中断。
AADSTS90099 应用程序“{appId}”({appName}) 未在租户“{tenant}”中获得授权。 应用程序必须获得访问外部租户的授权,然后合作伙伴委托的管理员才能使用它们。 若要为应用程序授权,请提供预先许可或执行相应的合作伙伴中心 API。
AADSTS900971 未提供回复地址。
AADSTS90100 InvalidRequestParameter - 参数为空或无效。
AADSTS901002 AADSTS901002:不支持“resource”请求参数。
AADSTS90101 InvalidEmailAddress - 提供的数据不是有效的电子邮件地址。 电子邮件地址必须采用 someone@example.com 格式。
AADSTS90102 InvalidUriParameter - 值必须是有效的绝对 URI。
AADSTS90107 InvalidXml - 请求无效。 请确保数据不包含无效字符。
AADSTS90112 应用程序标识符预期为 GUID。
AADSTS90114 InvalidExpiryDate - 批量令牌过期时间戳会导致颁发过期的令牌。
AADSTS90117 InvalidRequestInput
AADSTS90119 InvalidUserCode - 用户代码为 null 或为空。
AADSTS90120 InvalidDeviceFlowRequest - 请求已获授权或被拒绝。
AADSTS90121 InvalidEmptyRequest - 无效的空请求。
AADSTS90123 IdentityProviderAccessDenied - 由于标识或声明颁发提供者拒绝了请求,无法颁发该令牌。
AADSTS90124 V1ResourceV2GlobalEndpointNotSupported - /common/consumers 终结点不支持该资源。 请改用 /organizations 或特定于租户的终结点。
AADSTS90125 DebugModeEnrollTenantNotFound - 用户不在系统中。 请务必正确输入用户名。
AADSTS90126 DebugModeEnrollTenantNotInferred - 此终结点不支持该用户类型。 系统无法从用户名推断用户的租户。
AADSTS90130 NonConvergedAppV2GlobalEndpointNotSupported - /common/consumers 终结点不支持该应用程序。 请改用 /organizations 或特定于租户的终结点。
AADSTS120000 PasswordChangeIncorrectCurrentPassword
AADSTS120002 PasswordChangeInvalidNewPasswordWeak
AADSTS120003 PasswordChangeInvalidNewPasswordContainsMemberName
AADSTS120004 PasswordChangeOnPremComplexity
AADSTS120005 PasswordChangeOnPremSuccessCloudFail
AADSTS120008 PasswordChangeAsyncJobStateTerminated - 发生了不可重试的错误。
AADSTS120011 PasswordChangeAsyncUpnInferenceFailed
AADSTS120012 PasswordChangeNeedsToHappenOnPrem
AADSTS120013 PasswordChangeOnPremisesConnectivityFailure
AADSTS120014 PasswordChangeOnPremUserAccountLockedOutOrDisabled
AADSTS120015 PasswordChangeADAdminActionRequired
AADSTS120016 PasswordChangeUserNotFoundBySspr
AADSTS120018 PasswordChangePasswordDoesnotComplyFuzzyPolicy
AADSTS120020 PasswordChangeFailure
AADSTS120021 PartnerServiceSsprInternalServiceError
AADSTS130004 NgcKeyNotFound - 未为用户主体配置 NGC ID 密钥。
AADSTS130005 NgcInvalidSignature - NGC 密钥签名验证失败。
AADSTS130006 NgcTransportKeyNotFound - 设备上未配置 NGC 传输密钥。
AADSTS130007 NgcDeviceIsDisabled - 设备已禁用。
AADSTS130008 NgcDeviceIsNotFound - 找不到 NGC 密钥引用的设备。
AADSTS135010 KeyNotFound
AADSTS135011 在身份验证期间使用的设备已禁用。
AADSTS140000 InvalidRequestNonce - 未提供请求 nonce。
AADSTS140001 InvalidSessionKey - 会话密钥无效。
AADSTS165004 实际消息内容是特定于运行时的。 有关详细信息,请查看返回的异常消息。
AADSTS165900 InvalidApiRequest - 请求无效。
AADSTS220450 UnsupportedAndroidWebViewVersion - 不支持 Chrome WebView 版本。
AADSTS220501 InvalidCrlDownload
AADSTS221000 DeviceOnlyTokensNotSupportedByResource - 资源未配置为接受仅限设备的令牌。
AADSTS240001 BulkAADJTokenUnauthorized - 未授权用户在 Microsoft Entra ID 中注册设备。
AADSTS240002 RequiredClaimIsMissing - 无法将 id_token 用作 urn:ietf:params:oauth:grant-type:jwt-bearer 授予。
AADSTS501621 ClaimsTransformationTimeoutRegularExpressionTimeout - 声明转换的正则表达式替换已超时。这表示为此应用程序配置的正则表达式可能过于复杂。 请求重试可能会成功。 否则,请联系管理员来修复配置。
AADSTS530032 BlockedByConditionalAccessOnSecurityPolicy - 租户管理员已配置了阻止此请求的安全策略。 检查在租户级别定义的安全策略来确定你的请求是否满足策略要求。
AADSTS700016 UnauthorizedClient_DoesNotMatchRequest - 应用程序中找不到目录/租户。 如果应用程序尚未由租户管理员安装,或者尚未获得租户中的任何用户同意,则可能会发生这种情况。 可能错误配置了应用程序的标识符值,或者将身份验证请求发送到了错误的租户。
AADSTS700020 InteractionRequired - 访问权限授予需要交互。
AADSTS700022 InvalidMultipleResourcesScope - 为输入参数范围提供的值无效,因为它包含多个资源。
AADSTS700023 InvalidResourcelessScope - 请求访问令牌时,为输入参数范围提供的值无效。
AADSTS7000215 提供的客户端密码无效。 开发人员错误 - 应用尝试在没有必需的或正确的身份验证参数的情况下登录。
AADSTS7000218 请求正文必须包含以下参数:“client_assertion”或“client_secret”。
AADSTS7000222 InvalidClientSecretExpiredKeysProvided - 提供的客户端密钥已过期。 为你的应用创建新密钥,或者考虑使用证书凭据提高安全性:https://aka.ms/certCreds
AADSTS700229 ForbiddenTokenType - 只有仅限应用的令牌可用作 Microsoft Entra 颁发者的联合标识凭据。 使用(在客户端凭据流期间生成的)仅应用访问令牌,而不是用户委托的访问令牌(表示请求来自用户上下文)。
AADSTS700005 InvalidGrantRedeemAgainstWrongTenant - 提供的授权代码是用于其他租户的,因此已被拒绝。 兑换 OAuth2 授权代码时所针对的租户必须是获取该代码时所针对的租户(根据情况使用 /common 或 {tenant ID} 进行指定)
AADSTS1000000 UserNotBoundError - 绑定 API 要求 Microsoft Entra 用户同时使用外部 IDP 进行身份验证,但尚未执行此操作。
AADSTS1000002 BindCompleteInterruptError - 绑定已成功完成,但必须通知用户。
AADSTS100007 Microsoft Entra 区域仅支持使用适用于 Microsoft 基础结构租户中的 1P 应用或 3P 应用的 SN+I,对 MSI 或来自 MSAL 的请求进行身份验证。
AADSTS1000031 目前无法访问应用程序 {appDisplayName}。 请与您的管理员联系。
AADSTS7000112 UnauthorizedClientApplicationDisabled - 应用程序处于禁用状态。
AADSTS7000114 不允许使用应用程序“appIdentifier”进行应用程序代理调用。
AADSTS7500529 值“SAMLId-Guid”不是有效的 SAML ID - Microsoft Entra ID 使用此属性填充返回的响应的 InResponseTo 属性。 ID 的开头不能是数字,因此常见的策略是在 GUID 的字符串表示形式前面加上类似于“ID”的字符串。 例如,id6c1c178c166d486687be4aaf5e482730 是有效的 ID。
AADSTS9002341 V2Error:invalid_grant - 用户必须允许单一登录 (SSO)。 如果用户未授予应用程序执行 SSO 所需的权限,则会发生此错误。 用户应重定向到同意屏幕,以授予必要的权限。 有关详细信息,请参阅此公告

后续步骤