Freigeben über


Microsoft Entra-Authentifizierungs- und -Autorisierungsfehlercodes

Sie suchen nach mehr Informationen zu den AADSTS-Fehlercodes, die vom Microsoft Entra-Sicherheitstokendienst (STS) zurückgegeben werden? Lesen Sie dieses Dokument, um AADSTS-Fehlerbeschreibungen, Fehlerbehebungen und einige vorgeschlagene Problemumgehungen zu erhalten.

Hinweis

Diese Informationen sind vorläufig und können sich ändern. Haben Sie eine Frage, oder können Sie nicht finden, was Sie suchen? Erstellen Sie ein GitHub-Problem, oder lesen Sie Support- und Hilfeoptionen für Entwickler, um mehr über andere Möglichkeiten zu erfahren, wie Sie Hilfe und Unterstützung erhalten können.

Diese Dokumentation dient als Leitfaden für Entwickler und Administratoren, sollte aber niemals vom Kunden selbst verwendet werden. Fehlercodes können jederzeit geändert werden, um detailliertere Fehlermeldungen zu erhalten, die den Entwickler bei der Erstellung seiner Anwendung unterstützen sollen. Apps, die von Text- oder Fehlercodenummern abhängig sind, funktionieren im Lauf der Zeit nicht mehr.

Nachschlagen aktueller Fehlercodeinformationen

Fehlercodes und Meldungen unterliegen Änderungen. Die aktuellen Informationen finden Sie auf der Seite https://login.microsoftonline.com/error. Sie enthält AADSTS-Fehlerbeschreibungen, -Fehlerbehebungen und einige Vorschläge für Problemumgehungen.

Wenn Sie beispielsweise den Fehlercode „AADSTS50058“ erhalten haben, suchen Sie unter https://login.microsoftonline.com/error nach „50058“. Sie können auch einen direkten Link zu einem bestimmten Fehler einrichten, indem Sie die Nummer des Fehlercodes der URL hinzufügen: https://login.microsoftonline.com/error?code=50058.

Problembehandlung bei Fehlercodes in Ihrer Anwendung

In der OAuth 2.0-Spezifikation finden Sie Anleitungen zum Behandeln von Fehlern während der Authentifizierung mithilfe der error-Angabe in der Fehlerantwort.

Hier ist ein Beispiel für eine Fehlerantwort:

{
  "error": "invalid_scope",
  "error_description": "AADSTS70011: The provided value for the input parameter 'scope' isn't valid. The scope https://example.contoso.com/activity.read isn't valid.\r\nTrace ID: 0000aaaa-11bb-cccc-dd22-eeeeee333333\r\nCorrelation ID: aaaa0000-bb11-2222-33cc-444444dddddd\r\nTimestamp: 2016-01-09 02:02:12Z",
  "error_codes": [
    70011
  ],
  "timestamp": "2016-01-09 02:02:12Z",
  "trace_id": "0000aaaa-11bb-cccc-dd22-eeeeee333333",
  "correlation_id": "aaaa0000-bb11-2222-33cc-444444dddddd", 
  "error_uri":"https://login.microsoftonline.com/error?code=70011"
}
Parameter Beschreibung
error Eine Fehlercodezeichenfolge, anhand der die auftretenden Fehlertypen klassifiziert werden können und die verwendet werden sollte, um auf Fehler zu reagieren.
error_description Eine spezifische Fehlermeldung, mit der Entwickler die Hauptursache eines Authentifizierungsfehlers identifizieren können. Verwenden Sie dieses Feld niemals, um auf einen Fehler in Ihrem Code zu reagieren.
error_codes Eine Liste der STS-spezifischen Fehlercodes, die bei der Diagnose helfen können.
timestamp Gibt den Zeitpunkt zurück, zu dem der Fehler aufgetreten ist.
trace_id Ein eindeutiger Bezeichner für die Anforderung, die bei der Diagnose helfen kann
correlation_id Ein eindeutiger Bezeichner für die Anforderung, die bei der komponentenübergreifenden Diagnose helfen kann
error_uri Ein Link zur Fehlersuchseite mit zusätzlichen Informationen über den Fehler. Diese Angabe ist nur für Entwickler bestimmt und darf den Benutzern nicht angezeigt werden. Diese Angabe ist nur vorhanden, wenn das Fehlersuchsystem zusätzliche Informationen über den Fehler enthält. Es werden nicht für alle Fehler zusätzliche Informationen bereitgestellt.

Für das Feld error gibt es mehrere mögliche Werte. Unter den Protokolldokumentationslinks und in den OAuth 2.0-Spezifikationen finden Sie weitere Informationen zu bestimmten Fehlern (z. B. zu authorization_pending im Gerätcodeflow) und dazu, wie Sie darauf reagieren können. Im Folgenden sind einige häufige Fehlercodes aufgeführt:

Fehlercode Beschreibung Clientaktion
invalid_request Protokollfehler, z.B. ein fehlender erforderlicher Parameter. Korrigieren Sie die Anforderung, und senden Sie sie erneut.
invalid_grant Einige der Authentifizierungselemente (Authentifizierungscode, Aktualisierungstoken, Zugriffstoken, PKCE-Abfrage) waren ungültig, konnten nicht analysiert werden, fehlen oder sind anderweitig nicht verwendbar Versuchen Sie, eine neue Anforderung an den /authorize-Endpunkt zu senden, um einen neuen Autorisierungscode zu erhalten. Überprüfen und validieren Sie die Verwendung der Protokolle durch diese App.
unauthorized_client Der authentifizierte Client ist zur Verwendung dieses Autorisierungsgewährungstyps nicht autorisiert. Dies tritt in der Regel auf, wenn die Clientanwendung nicht bei Microsoft Entra ID registriert ist oder dem Microsoft Entra-Mandanten der Benutzer*innen nicht hinzugefügt wurde. Die Anwendung kann den Benutzer zum Installieren der Anwendung und zum Hinzufügen zu Microsoft Entra ID auffordern.
invalid_client Clientauthentifizierung fehlgeschlagen. Die Client-Anmeldeinformationen sind nicht gültig. Um das Problem zu beheben, aktualisiert die Fachkraft in der IT-Verwaltung für Anwendungen die Anmeldeinformationen.
unsupported_grant_type Der Autorisierungsserver unterstützt den Autorisierungsgewährungstyp nicht. Ändern Sie den Gewährungstyp in der Anforderung. Diese Art von Fehler sollte nur während der Entwicklung auftreten und bei den ersten Tests erkannt werden.
invalid_resource Die Zielressource ist ungültig, da sie entweder nicht vorhanden ist, von Microsoft Entra ID nicht gefunden werden kann oder nicht ordnungsgemäß konfiguriert ist. Dies zeigt an, dass die Ressource, sofern vorhanden, nicht im Mandanten konfiguriert wurde. Die Anwendung kann den Benutzer zum Installieren der Anwendung und zum Hinzufügen zu Microsoft Entra ID auffordern. Während der Entwicklung deutet dies in der Regel auf einen falsch eingerichteten Testmandanten oder einen Tippfehler im Namen des angeforderten Bereichs hin.
interaction_required Die Anforderung erfordert eine Benutzerinteraktion. Beispielsweise ist ein zusätzlicher Schritt zur Authentifizierung erforderlich. Wiederholen Sie die Anforderung mit der gleichen Ressource (interaktiv), damit der Benutzer alle erforderlichen Aufgaben abschließen kann.
temporarily_unavailable Der Server ist vorübergehend überlastet und kann die Anforderung nicht verarbeiten. Wiederholen Sie die Anforderung. Die Clientanwendung kann dem Benutzer erklären, dass ihre Antwort aufgrund einer temporären Bedingung verzögert ist.

AADSTS-Fehlercodes

Fehler Beschreibung
AADSTS16000 InteractionRequired: Benutzerkonto „{EmailHidden}“ vom Identitätsanbieter „{idp}“ ist im Mandanten „{tenant}'“ nicht vorhanden und kann nicht auf die Anwendung „{appid}“({appName}) in diesem Mandanten zugreifen. Dieses Konto muss zunächst als externer Benutzer im Mandanten hinzugefügt werden. Melden Sie sich ab und anschließend mit einem anderen Microsoft Entra-Benutzerkonto erneut an. Dieser Fehler ist relativ häufig, wenn Sie versuchen, sich mithilfe eines persönlichen Microsoft-Kontos beim Microsoft Entra Admin Center anzumelden und kein Verzeichnis zugeordnet ist.
AADSTS16001 UserAccountSelectionInvalid: Dieser Fehler wird angezeigt, wenn der Benutzer eine Kachel auswählt, die die Logik für die Auswahl der Sitzung abgelehnt hat. Wenn dieser Fehler ausgelöst wird, ermöglicht er dem Benutzer die Wiederherstellung, indem er aus einer aktualisierten Liste von Kacheln/Sitzungen auswählt oder ein anderes Konto auswählt. Dieser Fehler kann aufgrund eines Codedefekts oder einer Racebedingung auftreten.
AADSTS16002 AppSessionSelectionInvalid: Die von der App angegebene SID-Anforderung wurde nicht erfüllt.
AADSTS160021 AppSessionSelectionInvalidSessionNotExist: Die Anwendung hat eine Benutzersitzung angefordert, die nicht vorhanden ist. Dieses Problem kann durch Erstellen eines neuen Azure-Kontos behoben werden.
AADSTS16003 SsoUserAccountNotFoundInResourceTenant: Weist darauf hin, dass der Benutzer nicht explizit zum Mandanten hinzugefügt wurde.
AADSTS17003 CredentialKeyProvisioningFailed: Microsoft Entra ID kann den Benutzerschlüssel nicht bereitstellen.
AADSTS20001 WsFedSignInResponseError: Es besteht ein Problem mit Ihrem Verbundidentitätsanbieter. Wenden Sie sich an Ihren Identitätsanbieter, um das Problem zu beheben.
AADSTS20012 WsFedMessageInvalid: Es besteht ein Problem mit Ihrem Verbundidentitätsanbieter. Wenden Sie sich an Ihren Identitätsanbieter, um das Problem zu beheben.
AADSTS20033 FedMetadataInvalidTenantName: Es besteht ein Problem mit Ihrem Verbundidentitätsanbieter. Wenden Sie sich an Ihren Identitätsanbieter, um das Problem zu beheben.
AADSTS230109 CachedCredentialNonGWAuthNRequestsNotSupported: Der Sicherungsauthentifizierungsdienst lässt nur AuthN-Anforderungen vom Microsoft Entra-Gateway zu. Dieser Fehler erscheint, wenn der Datenverkehr direkt auf den Sicherungsauthentifizierungsdienst ausgerichtet ist, anstatt den Reverseproxy zu durchlaufen.
AADSTS28002 Der angegebene Wert für den Eingabeparameterbereich „{scope}“ ist beim Anfordern eines Zugriffstokens nicht gültig. Geben Sie einen gültigen Bereich an.
AADSTS28003 Der angegebene Wert für den Eingabeparameterbereich darf nicht leer sein, wenn mit dem angegebenen Autorisierungscode ein Zugriffstoken angefordert wird. Geben Sie einen gültigen Bereich an.
AADSTS399284 InboundIdTokenIssuerInvalid – Das im Partnerverbund empfangene eingehende ID-Token weist einen ungültigen Aussteller auf. Entweder ist sie leer, oder sie stimmt nicht mit dem Bereichsbezeichner überein.
AADSTS40008 OAuth2IdPUnretryableServerError: Es besteht ein Problem mit Ihrem Verbundidentitätsanbieter. Wenden Sie sich an Ihren Identitätsanbieter, um das Problem zu beheben.
AADSTS40009 OAuth2IdPRefreshTokenRedemptionUserError: Es besteht ein Problem mit Ihrem Verbundidentitätsanbieter. Wenden Sie sich an Ihren Identitätsanbieter, um das Problem zu beheben.
AADSTS40010 OAuth2IdPRetryableServerError: Es besteht ein Problem mit Ihrem Verbundidentitätsanbieter. Wenden Sie sich an Ihren Identitätsanbieter, um das Problem zu beheben.
AADSTS40015 OAuth2IdPAuthCodeRedemptionUserError: Es besteht ein Problem mit Ihrem Verbundidentitätsanbieter. Wenden Sie sich an Ihren Identitätsanbieter, um das Problem zu beheben.
AADSTS50000 TokenIssuanceError: Es besteht ein Problem mit dem Anmeldedienst. Öffnen Sie ein Supportticket, um dieses Problem zu beheben.
AADSTS50001 InvalidResource: Die Ressource ist deaktiviert oder nicht vorhanden. Überprüfen Sie den Code Ihrer App, um sicherzustellen, dass Sie die genaue Ressourcen-URL für die Ressource angegeben haben, auf die Sie zugreifen möchten.
AADSTS50002 NotAllowedTenant: Fehler bei der Anmeldung aufgrund von eingeschränktem Proxyzugriff auf dem Mandanten. Falls es sich um Ihre eigene Mandantenrichtlinie handelt, können Sie die Einschränkungseinstellungen des Mandanten ändern, um dieses Problem zu beheben.
AADSTS500011 InvalidResourceServicePrincipalNotFound: Der Ressourcenprinzipal „{name}“ wurde im Mandanten „{tenant}“ nicht gefunden. Dieser Fehler kann auftreten, wenn die Anwendung nicht vom Administrator des Mandanten installiert wurde oder wenn sie von den Benutzern des Mandanten keine Zustimmung erhalten hat. Unter Umständen haben Sie Ihre Authentifizierung an den falschen Mandanten gesendet. Wenn Sie erwarten, dass die App installiert wird, müssen Sie möglicherweise Administratorberechtigungen bereitstellen, um sie hinzuzufügen. Wenden Sie sich an die Entwickler der Ressource und Anwendung, um mehr über das richtige Setup für Ihren Mandanten zu erfahren.
AADSTS500014 InvalidResourceServicePrincipalDisabled – der Dienstprinzipal für die Ressource „{identifier}“ ist deaktiviert. Dies gibt an, dass ein Abonnement im Mandanten abgelaufen ist oder dass ein Administrator für diesen Mandanten den Dienstprinzipal der Anwendung deaktiviert hat und dadurch verhindert, dass Token dafür ausgestellt werden. Weitere Informationen finden Sie unter Deaktivieren der Benutzeranmeldung für Anwendungen.
AADSTS500021 Der Zugriff auf den Mandanten „{tenant}“ wurde verweigert. AADSTS500021 gibt an, dass das Mandanteneinschränkungsfeature konfiguriert ist und der Benutzer versucht, auf einen Mandanten zuzugreifen, der nicht in der im Header Restrict-Access-To-Tenant angegebenen Liste zulässiger Mandanten enthalten ist. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf SaaS-Cloudanwendungen mithilfe von Mandanteneinschränkungen.
AADSTS500022 Der Zugriff auf den Mandanten „{tenant}“ wurde verweigert. AADSTS500022 gibt an, dass das Mandanteneinschränkungsfeature konfiguriert ist und der Benutzer versucht, auf einen Mandanten zuzugreifen, der nicht in der im Header Restrict-Access-To-Tenant angegebenen Liste zulässiger Mandanten enthalten ist. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf SaaS-Cloudanwendungen mithilfe von Mandanteneinschränkungen.
AADSTS50003 MissingSigningKey: Fehler bei der Anmeldung aufgrund eines fehlenden Signaturschlüssels oder Zertifikats. Der Grund hierfür kann sein, dass in der App kein Signaturschlüssel konfiguriert wurde. Weitere Informationen finden Sie im Artikel zur Behebung von Fehler AADSTS50003. Falls weiterhin Probleme auftreten, können Sie sich an den Besitzer oder Administrator der App wenden.
AADSTS50005 DevicePolicyError: Der Benutzer hat bei der Anmeldung an einem Gerät eine Plattform angegeben, die gemäß der Richtlinie für bedingten Zugriff zurzeit nicht unterstützt wird.
AADSTS50006 InvalidSignature: Fehler bei der Signaturüberprüfung aufgrund einer ungültigen Signatur.
AADSTS50007 PartnerEncryptionCertificateMissing: Das Partnerverschlüsselungszertifikat wurde für diese App nicht gefunden. Öffnen Sie ein Supportticket bei Microsoft, um dieses Problem zu beheben.
AADSTS50008 InvalidSamlToken: Die SAML-Assertion fehlt oder wurde im Token falsch konfiguriert. Wenden Sie sich an Ihren Verbundanbieter.
AADSTS5000224 NotAllowedTenantBlockedTenantFraud: Leider ist diese Ressource nicht verfügbar. Wenn diese Meldung versehentlich angezeigt wird, wenden Sie sich an den Microsoft-Support.
AADSTS5000819 InvalidSamlTokenEmailMissingOrInvalid – Die SAML-Assertion ist ungültig. Der E-Mail-Adressanspruch fehlt oder stimmt nicht mit der Domain aus einem externen Bereich überein.
AADSTS50010 AudienceUriValidationFailed: Fehler bei der Überprüfung des Benutzergruppen-URI für die App, da keine Tokenzielgruppen konfiguriert wurden.
AADSTS50011 InvalidReplyTo: Die Antwortadresse fehlt, ist falsch konfiguriert oder stimmt nicht mit den für die App konfigurierten Antwortadressen überein. Fügen Sie der Microsoft Entra-Anwendung zur Behebung des Problems diese fehlende Antwortadresse hinzu oder bitten Sie Benutzer, die zum Verwalten Ihrer Anwendung in Microsoft Entra berechtigt sind, dies für Sie zu tun. Weitere Informationen finden Sie im Artikel zur Behebung von Fehler AADSTS50011.
AADSTS50012 AuthenticationFailed: Fehler bei der Authentifizierung aus einem der folgenden Gründe:
  • Der Antragstellername des Signaturzertifikats ist nicht autorisiert.
  • Eine entsprechende Richtlinie zu vertrauenswürdigen Autoritäten wurde für den autorisierten Antragstellernamen nicht gefunden.
  • Die Zertifikatskette ist ungültig.
  • Das Signaturzertifikat ist ungültig.
  • Die Richtlinie ist im Mandanten nicht konfiguriert.
  • Der Fingerabdruck des Signaturzertifikats ist nicht autorisiert.
  • Die Clientassertion enthält eine ungültige Signatur.
AADSTS50013 InvalidAssertion – Die Assertion ist aus verschiedenen Gründen ungültig – Der Aussteller des Tokens stimmt nicht mit der API-Version innerhalb des gültigen Zeitraums überein, ist abgelaufen oder ist falsch formatiert – das Aktualisierungstoken in der Assertion ist kein primäres Aktualisierungstoken. Wenden Sie sich an den App-Entwickler.
AADSTS500133 Assertion befindet sich nicht im gültigen Zeitbereich. Überprüfen Sie, ob das Zugriffstoken abgelaufen ist, bevor Sie es für die Benutzerassertion verwenden oder ein neues Token anfordern. Aktuelle Uhrzeit: {curTime}, Ablaufzeit der Assertion {expTime}. Die Assertion ist aus verschiedenen Gründen ungültig:
  • Der Tokenaussteller stimmt nicht mit der API-Version innerhalb des gültigen Zeitraums überein
  • Abgelaufen
  • Fehlerhaft
  • Aktualisierungstoken in der Assertion ist kein primäres Aktualisierungstoken
AADSTS50014 GuestUserInPendingState: Benutzerkonto ist nicht im Verzeichnis vorhanden. Eine Anwendung hat wahrscheinlich den falschen Mandanten für die Anmeldung ausgewählt, und der aktuell angemeldete Benutzer wurde an der Anmeldung gehindert, da er in Ihrem Mandanten nicht vorhanden war. Wenn sich dieser Benutzer anmelden können soll, fügen Sie ihn als Gast hinzu. Weitere Informationen finden Sie unter Hinzufügen von B2B-Benutzern.
AADSTS50015 ViralUserLegalAgeConsentRequiredState: Für den Benutzer ist ein Nachweis der Volljährigkeit erforderlich.
AADSTS50017 CertificateValidationFailed: Fehler bei der Überprüfung der Zertifizierung aus den folgenden Gründen:
  • Das Ausstellerzertifikat kann in der Liste mit den vertrauenswürdigen Zertifikaten nicht gefunden werden.
  • Das erwartete CrlSegment-Element kann nicht gefunden werden.
  • Das Ausstellerzertifikat kann in der Liste mit den vertrauenswürdigen Zertifikaten nicht gefunden werden.
  • Delta-Zertifikatsperrlisten-Verteilungspunkt wurde ohne entsprechenden Zertifikatsperrlisten-Verteilungspunkt konfiguriert.
  • Aufgrund eines Timeoutfehlers können keine gültigen Zertifikatsperrlisten-Segmente abgerufen werden.
  • Die Zertifikatsperrliste kann nicht heruntergeladen werden.
Wenden Sie sich an den Administrator des Mandanten.
AADSTS50020 UserUnauthorized: Benutzer sind nicht autorisiert, diesen Endpunkt aufzurufen. Benutzerkonto „{email}“ vom Identitätsanbieter „{idp}“ ist im Mandanten „{tenant}'“ nicht vorhanden und kann in diesem Mandanten nicht auf die Anwendung „{appid}“ ({appName}) zugreifen. Dieses Konto muss zunächst als externer Benutzer im Mandanten hinzugefügt werden. Melden Sie sich ab und anschließend mit einem anderen Microsoft Entra-Benutzerkonto erneut an. Wenn dieser Benutzer Mitglied des Mandanten sein soll, muss er über das B2B-System eingeladen werden. Weitere Informationen finden Sie unter AADSTS50020.
AADSTS500208 Die Domäne ist keine gültige Anmeldedomäne für den Kontotyp. Diese Situation tritt auf, wenn das Konto des Benutzers nicht mit dem erwarteten Kontotyp für den angegebenen Mandanten übereinstimmt. Wenn der Mandant beispielsweise so konfiguriert ist, dass er nur Arbeits- oder Schulkonten zulässt, und der Benutzer versucht, sich mit einem persönlichen Microsoft-Konto anzumelden, erhält er diesen Fehler.
AADSTS500212 NotAllowedByOutboundPolicyTenant: Der Administrator des Benutzers hat eine Richtlinie für ausgehenden Zugriff festgelegt, die den Zugriff auf den Ressourcenmandanten nicht zulässt.
AADSTS500213 NotAllowedByInboundPolicyTenant: Die mandantenübergreifende Zugriffsrichtlinie des Mandanten der Ressource erlaubt diesem Benutzer keinen Zugriff auf diesen Mandanten.
AADSTS50027 InvalidJwtToken: Das JWT-Token ist aus den folgenden Gründen ungültig:
  • Enthält keinen Nonce-Anspruch, untergeordneten Anspruch.
  • Antragstellerbezeichner stimmt nicht überein.
  • Doppelter Anspruch in idToken-Ansprüchen.
  • Unerwarteter Aussteller.
  • Unerwartete Zielgruppe.
  • Liegt nicht innerhalb des gültigen Zeitbereichs
  • Falsches Tokenformat.
  • Fehler bei Signaturüberprüfung für das Token für die externe ID vom Aussteller.
AADSTS50029 Ungültiger URI: Domänenname enthält ungültige Zeichen. Wenden Sie sich an den Administrator des Mandanten.
AADSTS50032 WeakRsaKey: Gibt den fehlerhaften Benutzerversuch an, einen schwachen RSA-Schlüssel zu verwenden.
AADSTS50033 RetryableError: Gibt einen vorübergehenden Fehler an, der nicht im Zusammenhang mit den Datenbankvorgängen steht.
AADSTS50034 UserAccountNotFound: Zum Anmelden bei dieser Anwendung muss das Konto dem Verzeichnis hinzugefügt werden. Dieser Fehler kann auftreten, weil der Benutzer seinen Benutzernamen falsch eingegeben hat oder sich nicht im Mandanten befindet. Eine Anwendung hat unter Umständen den falschen Mandanten für die Anmeldung ausgewählt, und der aktuell angemeldete Benutzer oder die aktuell angemeldete Benutzerin wurde an der Anmeldung gehindert, da er/sie in Ihrem Mandanten nicht vorhanden war. Wenn sich dieser Benutzer anmelden können soll, fügen Sie ihn als Gast hinzu. Weitere Informationen finden Sie in dieser Dokumentation: Hinzufügen von B2B-Benutzern.
AADSTS50042 UnableToGeneratePairwiseIdentifierWithMissingSalt: Der Salt-Wert, der für das Generieren eines paarweisen Bezeichners erforderlich ist, fehlt im Prinzip. Wenden Sie sich an den Administrator des Mandanten.
AADSTS50043 UnableToGeneratePairwiseIdentifierWithMultipleSalts.
AADSTS50048 SubjectMismatchesIssuer: Der Antragsteller stimmt nicht mit dem Ausstelleranspruch in der Clientassertion überein. Wenden Sie sich an den Administrator des Mandanten.
AADSTS50049 NoSuchInstanceForDiscovery: Unbekannte oder ungültige Instanz.
AADSTS50050 MalformedDiscoveryRequest: Die Anforderung ist falsch formatiert.
AADSTS50053 Dieser Fehler kann aus zwei Gründen auftreten:
  • IdsLocked: Das Konto ist gesperrt, weil der Benutzer zu häufig versucht hat, sich mit einer falschen Benutzer-ID bzw. einem falschen Kennwort anzumelden. Der Benutzer wird aufgrund wiederholter Anmeldeversuche blockiert. Weitere Informationen finden Sie unter Behandeln von Risiken und Aufheben der Blockierung von Benutzern.
  • Oder die Anmeldung wurde blockiert, weil sie von einer IP-Adresse aus erfolgt ist, von der schädliche Aktivitäten ausgehen.

Melden Sie sich beim Microsoft Entra Admin Center als Cloudanwendungsadministrator an, um zu ermitteln, was diesen Fehler verursacht hat. Navigieren Sie zu Ihrem Microsoft Entra-Mandanten und dann zu Überwachen und Integrität ->Anmeldeprotokolle. Suchen Sie nach der fehlgeschlagenen Benutzeranmeldung mit dem Anmeldefehlercode 50053, und überprüfen Sie die Fehlerursache.
AADSTS50055 InvalidPasswordExpiredPassword: Das Kennwort ist abgelaufen. Das Kennwort des Benutzers ist abgelaufen. Daher wurde seine Anmeldung oder Sitzung beendet. Sie erhalten die Möglichkeit, es zurückzusetzen oder Administrator*innen zu bitten, es über das Zurücksetzen von Benutzerkennwörtern mit Microsoft Entra ID zurückzusetzen.
AADSTS50056 Ungültiges oder fehlendes Kennwort: Das Kennwort ist für diesen Benutzer nicht im Verzeichnis vorhanden. Der Benutzer muss aufgefordert werden, sein Kennwort erneut einzugeben.
AADSTS50057 UserDisabled: Das Benutzerkonto ist deaktiviert. Das Benutzerobjekt in Active Directory, das dieses Konto sichern soll, wurde deaktiviert. Ein*e Administrator*in kann dieses Konto über PowerShell erneut aktivieren.
AADSTS50058 UserInformationNotProvided: Sitzungsinformationen reichen für einmaliges Anmelden nicht aus. Dies bedeutet, dass ein Benutzer nicht angemeldet ist. Dieser Fehler tritt auf, wenn ein Benutzer nicht authentifiziert wurde und sich noch nicht angemeldet hat.
Wenn dieser Fehler in einem SSO-Kontext auftritt, in dem sich der Benutzer zuvor angemeldet hat, bedeutet das, dass die SSO-Sitzung entweder nicht gefunden wurde oder ungültig ist.
Dieser Fehler kann an die Anwendung zurückgegeben werden, wenn prompt=none angegeben wird.
AADSTS50059 MissingTenantRealmAndNoUserInformationProvided: Es wurden keine Informationen zur Identifizierung des Mandanten in der Anforderung gefunden bzw. nicht über angegebene Anmeldeinformationen impliziert. Der Benutzer kann sich an den Mandantenadministrator wenden, um das Problem zu lösen.
AADSTS50061 SignoutInvalidRequest: Die Abmeldung kann nicht abgeschlossen werden. Die Anforderung war ungültig.
AADSTS50064 CredentialAuthenticationError: Fehler beim Überprüfen der Anmeldeinformationen bezüglich Benutzername und Kennwort.
AADSTS50068 SignoutInitiatorNotParticipant: Fehler beim Abmelden. Die App, die den Abmeldevorgang eingeleitet hat, ist kein Teilnehmer der aktuellen Sitzung.
AADSTS50070 SignoutUnknownSessionIdentifier: Fehler beim Abmelden. In der Abmeldeanforderung wurde ein Namensbezeichner angegeben, der nicht mit der/den vorhandenen Sitzung(en) übereinstimmt.
AADSTS50071 SignoutMessageExpired: Die Abmeldeanforderung ist abgelaufen.
AADSTS50072 UserStrongAuthEnrollmentRequiredInterrupt: Der Benutzer muss sich für zweistufige Authentifizierung (interaktiv) registrieren.
AADSTS50074 UserStrongAuthClientAuthNRequiredInterrupt: Starke Authentifizierung ist erforderlich, und der Benutzer hat die MFA-Überprüfung nicht bestanden.
AADSTS50076 UserStrongAuthClientAuthNRequired: Aufgrund einer Konfigurationsänderung durch Administrator*innen (etwa einer Richtlinie für bedingten Zugriff), der benutzerbasierten Erzwingung oder einer Verschiebung an einen neuen Standort muss der Benutzer oder die Benutzerin für den Zugriff auf die Ressource die Multi-Faktor-Authentifizierung verwenden. Wiederholen Sie den Vorgang mit einer neuen Autorisierungsanforderung für die Ressource.
AADSTS50078 UserStrongAuthExpired: Die Daten zur Multi-Faktor-Authentifizierung (MFA) sind aufgrund von administratorseitig konfigurierten Richtlinien abgelaufen. Sie müssen Ihre MFS-Daten aktualisieren, um auf „{resource}“ zuzugreifen.
AADSTS50079 UserStrongAuthEnrollmentRequired: Aufgrund einer Konfigurationsänderung durch Administrator*innen (etwa einer Richtlinie für bedingten Zugriff), der benutzerbasierten Erzwingung oder einer Verschiebung an einen neuen Standort muss der Benutzer oder die Benutzerin die Multi-Faktor-Authentifizierung verwenden. Entweder muss ein verwalteter Benutzer oder eine verwaltete Benutzerin Sicherheitsinformationen registrieren, um die Multi-Faktor-Authentifizierung abzuschließen, oder ein Verbundbenutzer bzw. eine Verbundbenutzerin muss den Multi-Faktor-Anspruch vom Verbundidentitätsanbieter abrufen.
AADSTS50085 Für Aktualisierungstoken ist eine IdP-Anmeldung per sozialem Netzwerk erforderlich. Bitten Sie Benutzer, sich per Benutzername und Kennwort erneut anzumelden.
AADSTS50086 SasNonRetryableError
AADSTS50087 SasRetryableError: Bei der sicheren Authentifizierung ist ein vorübergehender Fehler aufgetreten. Versuchen Sie es erneut.
AADSTS50088 Grenzwert für telefonische MFA-Aufrufe erreicht. Wiederholen Sie den Vorgang in einigen Minuten.
AADSTS50089 Authentifizierung fehlgeschlagen, da Flowtoken abgelaufen. Erwartet: Authentifizierungscodes, Aktualisierungstoken und Sitzungen laufen im Laufe der Zeit ab oder werden vom Benutzer oder einem Administrator widerrufen. Die App fordert vom Benutzer eine neue Anmeldung an.
AADSTS50097 DeviceAuthenticationRequired: Geräteauthentifizierung ist erforderlich.
AADSTS50099 PKeyAuthInvalidJwtUnauthorized: Die JWT-Signatur ist ungültig.
AADSTS50105 EntitlementGrantsNotFound: Der angemeldete Benutzer ist keiner Rolle für die angemeldete App zugewiesen. Weisen Sie den Benutzer der App zu. Weitere Informationen finden Sie im Artikel zur Behebung von Fehler AADSTS50105.
AADSTS50107 InvalidRealmUri: Das angeforderte Verbundbereichsobjekt ist nicht vorhanden. Wenden Sie sich an den Administrator des Mandanten.
AADSTS50120 ThresholdJwtInvalidJwtFormat: Problem mit JWT-Header. Wenden Sie sich an den Administrator des Mandanten.
AADSTS50124 ClaimsTransformationInvalidInputParameter: Die Anspruchstransformation enthält ungültige Eingabeparameter. Wenden Sie sich an den Administrator des Mandanten, um die Richtlinie zu aktualisieren.
AADSTS501241 Die obligatorische Eingabe „{paramName}“ fehlt in der Transformations-ID „{transformId}“. Dieser Fehler wird zurückgegeben, während Microsoft Entra ID versucht, eine SAML-Antwort für die Anwendung zu erstellen. Der NameID-Anspruch oder NameIdentifier ist in der SAML-Antwort obligatorisch. Wenn Microsoft Entra ID das Quellattribut für den NameID-Anspruch nicht abrufen kann, wird dieser Fehler zurückgegeben. Stellen Sie als Lösung sicher, dass Sie Anspruchsregeln hinzufügen. Um Anspruchsregeln hinzuzufügen, melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an, und navigieren Sie dann zu Identität>Anwendungen>Unternehmensanwendungen. Wählen Sie Ihre Anwendung und dann Einmaliges Anmelden aus, geben Sie dann unter Benutzerattribute und Ansprüche den eindeutigen Benutzerbezeichner (Name-ID) ein.
AADSTS50125 PasswordResetRegistrationRequiredInterrupt: Die Anmeldung wurde aufgrund einer Kennwortzurücksetzung oder eines Kennwortregistrierungseintrags unterbrochen.
AADSTS50126 InvalidUserNameOrPassword: Fehler beim Überprüfen der Anmeldeinformationen aufgrund eines ungültigen Benutzernamens oder Kennworts. Der Benutzer hat nicht die richtigen Anmeldeinformationen eingegeben. Es ist zu erwarten, dass einige dieser Fehler in Ihren Protokollen angezeigt werden, da Benutzer Fehler machen.
AADSTS50127 BrokerAppNotInstalled: Der Benutzer muss für den Zugriff auf diesen Inhalt eine Broker-App installieren.
AADSTS50128 Ungültiger Domänenname: Es wurden keine Informationen zur Identifizierung des Mandanten in der Anforderung gefunden bzw. nicht über angegebene Anmeldeinformationen impliziert.
AADSTS50129 DeviceIsNotWorkplaceJoined: Um das Gerät zu registrieren, ist ein Workplace Join erforderlich.
AADSTS50131 ConditionalAccessFailed: Gibt verschiedene bedingte Zugriffsfehler an, z. B. schlechten Windows-Gerätezustand, aufgrund verdächtiger Aktivitäten blockierte Anforderung, Zugriffsrichtlinie oder Sicherheitsrichtlinienentscheidungen.
AADSTS50132 SsoArtifactInvalidOrExpired: Die Sitzung ist aufgrund von Kennwortablauf oder aktueller Kennwortänderung ungültig.
AADSTS50133 SsoArtifactRevoked: Die Sitzung ist aufgrund von Kennwortablauf oder aktueller Kennwortänderung ungültig.
AADSTS50134 DeviceFlowAuthorizeWrongDatacenter: Falsches Rechenzentrum. Um eine Anforderung zu autorisieren, die von einer App im OAuth 2.0-Geräteflow eingeleitet wurde, muss die autorisierende Seite sich im selben Rechenzentrum befinden wie demjenigen, aus dem die ursprüngliche Anforderung stammt.
AADSTS50135 PasswordChangeCompromisedPassword: Eine Kennwortänderung ist aufgrund des Kontorisikos erforderlich.
AADSTS50136 RedirectMsaSessionToApp: Einzelne MSA-Sitzung erkannt.
AADSTS50139 SessionMissingMsaOAuth2RefreshToken: Die Sitzung ist aufgrund eines fehlenden externen Aktualisierungstokens ungültig.
AADSTS50140 KmsiInterrupt: Dieser Fehler ist aufgetreten, weil beim Anmelden des Benutzers der Interruptvorgang „Angemeldet bleiben“ aufgetreten ist. Dies ist ein erwarteter Teil des Anmeldeflows, bei dem ein Benutzer gefragt wird, ob er in seinem aktuellen Browser angemeldet bleiben möchte, um weitere Anmeldungen zu erleichtern. Weitere Informationen finden Sie unter The new Microsoft Entra sign-in and Keep me signed in experiences rolling out now! (Die neue Microsoft Entra-Anmeldung und die Option „Angemeldet bleiben“ werden eingeführt). Öffnen Sie ein Supportticket mit der Korrelations-ID, Anforderungs-ID und dem Fehlercode, um weitere Details zu erhalten.
AADSTS50143 Sitzungskonflikt: Die Sitzung ist ungültig, da der Benutzermandant aufgrund einer anderen Ressource nicht mit dem Domänenhinweis übereinstimmt.  Öffnen Sie ein Supportticket mit der Korrelations-ID, Anforderungs-ID und dem Fehlercode, um weitere Details anzuzeigen.
AADSTS50144 InvalidPasswordExpiredOnPremPassword: Das Active Directory-Kennwort des Benutzers ist abgelaufen. Generieren Sie ein neues Kennwort für den Benutzer, oder lassen Sie den Benutzer das Self-Service-Tool für die Zurücksetzung verwenden, um sein Kennwort zurückzusetzen.
AADSTS50146 MissingCustomSigningKey: Diese App muss mit einem anwendungsspezifischen Signaturschlüssel konfiguriert werden. Entweder ist dies nicht der Fall, oder der Schlüssel ist abgelaufen oder noch nicht gültig. Wenden Sie sich an den Besitzer der Anwendung.
AADSTS501461 AcceptMappedClaims wird nur für eine Tokenzielgruppe unterstützt, die der Anwendungs-GUID oder einer Zielgruppe innerhalb der überprüften Domänen des Mandanten entspricht. Ändern Sie entweder den Ressourcenbezeichner, oder verwenden Sie einen anwendungsspezifischen Signaturschlüssel.
AADSTS50147 MissingCodeChallenge: Die Größe des Codeanforderungsparameters ist ungültig.
AADSTS501481 Der „Code_Verifier“ in der Autorisierungsanforderung stimmt nicht mit dem „code_challenge“-Element überein.
AADSTS501491 InvalidCodeChallengeMethodInvalidSize: Ungültige Größe des Parameters „Code_Challenge“.
AADSTS50155 DeviceAuthenticationFailed: Fehler bei der Geräteauthentifizierung für diesen Benutzer.
AADSTS50158 ExternalSecurityChallenge: Externe Sicherheitsabfrage wurde nicht erfüllt.
AADSTS50161 InvalidExternalSecurityChallengeConfiguration: Vom externen Anbieter gesendete Ansprüche sind nicht ausreichend, oder vom externen Anbieter angeforderter Anspruch fehlt.
AADSTS50166 ExternalClaimsProviderThrottled: Fehler beim Senden der Anforderung an den Anspruchsanbieter.
AADSTS50168 ChromeBrowserSsoInterruptRequired: Der Client ist in der Lage, über die Windows 10-Kontenerweiterung ein SSO-Token abzurufen, aber das Token wurde in der Anforderung nicht gefunden, oder das angegebene Token ist abgelaufen.
AADSTS50169 InvalidRequestBadRealm: Der Bereich ist kein konfigurierter Bereich des aktuellen Dienstnamespace.
AADSTS50170 MissingExternalClaimsProviderMapping: Die externe Steuerelementzuordnung fehlt.
AADSTS50173 FreshTokenNeeded: Die angegebene Zugriffsgewährung ist abgelaufen, da sie widerrufen wurde, und es ist ein aktuelles Authentifizierungstoken erforderlich. Ein Administrator oder Benutzer hat die Token für diesen Benutzer widerrufen. Dadurch sind nachfolgende Tokenaktualisierungen nicht erfolgreich, und es ist eine erneute Authentifizierung erforderlich. Bitten Sie den Benutzer, sich erneut anzumelden.
AADSTS50177 ExternalChallengeNotSupportedForPassthroughUsers: Die externe Überprüfung wird für Passthrough-Benutzer*innen nicht unterstützt.
AADSTS50178 SessionControlNotSupportedForPassthroughUsers: Sitzungssteuerung wird für Passthrough-Benutzer*innen nicht unterstützt.
AADSTS50180 WindowsIntegratedAuthMissing: Integrierte Windows-Authentifizierung ist erforderlich. Aktivieren Sie den Mandanten für das nahtlose einmalige Anmelden.
AADSTS50187 DeviceInformationNotProvided: Der Dienst konnte das Gerät nicht authentifizieren.
AADSTS50192 Ungültige Anforderung – RawCredentialExpectedNotFound – Keine Anmeldeinformationen wurden in die Anmeldeanforderung aufgenommen. Beispiel: Der Benutzer führt die zertifikatbasierte Authentifizierung (CBA) durch, und es wird kein Zertifikat gesendet (oder der Proxy entfernt das Benutzerzertifikat in der Anmeldeanforderung).
AADSTS50194 Die Anwendung „{appId}“({appName}) ist nicht als mehrmandantenfähige Anwendung konfiguriert. Die Verwendung des Endpunkts „/common“ wird für Anwendungen, die nach „{time}“ erstellt wurden, nicht unterstützt. Verwenden Sie einen mandantenspezifischen Endpunkt, oder konfigurieren Sie die Anwendung als mehrmandantenfähige Anwendung.
AADSTS50196 LoopDetected: Eine Clientschleife wurde erkannt. Überprüfen Sie die Logik der App, um sicherzustellen, dass das Zwischenspeichern von Token implementiert ist und dass Fehlerbedingungen ordnungsgemäß behandelt werden. Die App hat zu viele der gleichen Anforderungen in einem zu kurzen Zeitraum ausgeführt. Dies weist darauf hin, dass sie sich in einem fehlerhaften Zustand befindet oder böswillig Token anfordert.
AADSTS50197 ConflictingIdentities: Der Benutzer konnte nicht gefunden werden. Versuchen Sie erneut, sich anzumelden.
AADSTS50199 CmsiInterrupt: Aus Sicherheitsgründen ist für diese Anforderung eine Benutzerbestätigung erforderlich. Für alle Schemaumleitungen in mobilen Browsern wird ein Interrupt angezeigt.
Keine weiteren Maßnahmen erforderlich. Der Benutzer oder die Benutzerin wurde aufgefordert zu bestätigen, dass es sich bei dieser App um die Anwendung handelt, bei der er oder sie sich anmelden wollte.
Dies ist ein Sicherheitsfeature, mit dem Spoofing-Angriffe verhindert werden können. Dies liegt daran, dass eine Systemwebansicht verwendet wurde, um ein Token für eine native Anwendung anzufordern.
Um diese Aufforderung zu vermeiden, sollte der Umleitungs-URI Teil der folgenden sicheren Liste sein:
http://
https://
chrome-extension://(nur Chrome-Desktopbrowser)
AADSTS51000 RequiredFeatureNotEnabled: Das Feature ist deaktiviert.
AADSTS51001 DomainHintMustbePresent: Domänenhinweis ist für lokale Sicherheits-ID oder lokalen UPN nicht vorhanden.
AADSTS1000104 XCB2BResourceCloudNotAllowedOnIdentityTenant: Die Ressourcencloud {resourceCloud} ist für den Identitätsmandanten {identityTenant} unzulässig. {resourceCloud}: Cloudinstanz, die die Ressource besitzt {identityTenant}: Mandant, von dem die Anmeldeidentität stammt.
AADSTS51004 UserAccountNotInDirectory: Benutzerkonto ist nicht im Verzeichnis vorhanden. Eine Anwendung hat wahrscheinlich den falschen Mandanten für die Anmeldung ausgewählt, und der aktuell angemeldete Benutzer wurde an der Anmeldung gehindert, da er in Ihrem Mandanten nicht vorhanden war. Wenn sich dieser Benutzer anmelden können soll, fügen Sie ihn als Gast hinzu. Weitere Informationen finden Sie unter Hinzufügen von B2B-Benutzern.
AADSTS51005 TemporaryRedirect: Äquivalent zu HTTP-Status 307. Dies bedeutet, dass die angeforderten Informationen unter dem im Location-Header angegebenen URI vorhanden sind. Wenn Sie diesen Status erhalten, folgen Sie dem Location-Header, der der Antwort zugeordnet ist. Wenn die ursprüngliche Anforderungsmethode POST war, verwendet die umgeleitete Anforderung ebenfalls die POST-Methode.
AADSTS51006 ForceReauthDueToInsufficientAuth: Integrierte Windows-Authentifizierung ist erforderlich. Der Benutzer hat sich mit einem Sitzungstoken angemeldet, in dem der Anspruch der integrierten Windows-Authentifizierung fehlt. Bitten Sie den Benutzer, sich erneut anzumelden.
AADSTS52004 DelegationDoesNotExistForLinkedIn: Der Benutzer hat seine Zustimmung für den Zugriff auf LinkedIn-Ressourcen nicht gegeben.
AADSTS53000 DeviceNotCompliant: Die Richtlinie für bedingten Zugriff erfordert ein konformes Gerät, und das Gerät ist nicht konform. Der Benutzer muss das Gerät mit einem genehmigten MDM-Anbieter (z.B. Intune) registrieren. Weitere Informationen finden Sie unter Beheben von Anmeldeproblemen bei bedingtem Zugriff.
AADSTS53001 DeviceNotDomainJoined: Für die Richtlinie für bedingten Zugriff ist ein in die Domäne eingebundenes Gerät erforderlich, und das Gerät ist nicht in eine Domäne eingebunden. Bitten Sie den Benutzer, ein in die Domäne eingebundenes Gerät zu nutzen.
AADSTS53002 ApplicationUsedIsNotAnApprovedApp: Die verwendete App ist keine genehmigte App für bedingten Zugriff. Der Benutzer muss eine der Apps aus der Liste mit den genehmigten Apps nutzen, um Zugriff zu erhalten.
AADSTS53003 BlockedByConditionalAccess: Zugriff wurde von Richtlinien für bedingten Zugriff blockiert. Die Zugriffsrichtlinie erlaubt nicht die Ausstellung von Token. Wenn dieses Problem unerwartet auftritt, sehen Sie sich die Richtlinie für bedingten Zugriff an, die auf diese Anforderung angewendet wurde, oder wenden Sie sich an Ihren Administrator. Weitere Informationen finden Sie unter Beheben von Anmeldeproblemen bei bedingtem Zugriff.
AADSTS530035 BlockedBySecurityDefaults: Der Zugriff wurde durch Sicherheitsstandards blockiert. Dies liegt daran, dass die Anforderung eine Legacyauthentifizierung verwendet oder aufgrund von Richtlinien für Sicherheitsstandards als unsicher eingestuft wird. Weitere Informationen finden Sie unter Erzwungene Sicherheitsrichtlinien.
AADSTS53004 ProofUpBlockedDueToRisk: Benutzer*innen müssen den Registrierungsprozess für die Multi-Faktor-Authentifizierung durchführen, bevor sie auf diesen Inhalt zugreifen können. Benutzer*innen sollten sich für die Multi-Faktor-Authentifizierung registrieren.
AADSTS53010 ProofUpBlockedDueToSecurityInfoAcr: Methoden für die Multi-Faktor-Authentifizierung können nicht konfiguriert werden, da diese Informationen für die Organisation von bestimmten Standorten oder Geräten aus festgelegt werden müssen.
AADSTS53011 Der Benutzer wurde aufgrund eines Risikos für den Basismandanten blockiert.
AADSTS530034 DelegatedAdminBlockedDueToSuspiciousActivity: Ein delegierter Administrator wurde aufgrund eines Kontorisikos im Basismandanten am Zugriff auf den Mandanten gehindert.
AADSTS54000 MinorUserBlockedLegalAgeGroupRule.
AADSTS54005 Der OAuth2-Autorisierungscode wurde bereits eingelöst. Versuchen Sie es mit einem neuen gültigen Code, oder verwenden Sie ein vorhandenes Aktualisierungstoken.
AADSTS65001 DelegationDoesNotExist: Der Benutzer oder Administrator hat der Verwendung der Anwendung mit ID X nicht zugestimmt. Senden Sie eine interaktive Autorisierungsanforderung für diesen Benutzer und diese Ressource.
AADSTS65002 Die Einwilligung zwischen der Erstanbieteranwendung „{applicationId}“ und der Erstanbieterressource „{resourceId}“ muss per Vorabautorisierung konfiguriert werden. Anwendungen, die sich im Besitz von Microsoft befinden und von Microsoft betrieben werden, müssen die Genehmigung vom API-Besitzer erhalten, bevor Token für die API angefordert werden. Ein Entwickler oder eine Entwicklerin in Ihrem Mandanten versucht möglicherweise, eine App-ID wiederzuverwenden, die sich im Besitz von Microsoft befindet. Mit diesem Fehler wird verhindert, dass Entwickler die Identität einer Microsoft-Anwendung nutzen, um andere APIs aufzurufen. Es muss eine andere App-ID genutzt werden, die registriert ist.
AADSTS65004 UserDeclinedConsent: Der Benutzer hat seine Zustimmung für den Zugriff auf die App abgelehnt. Bitten Sie den Benutzer, die Anmeldung zu wiederholen und die Zustimmung für die App zu erteilen.
AADSTS65005 MisconfiguredApplication: Die für die App erforderliche Liste für den Ressourcenzugriff enthält keine Apps, die von der Ressource ermittelt werden können, die Client-App hat den Zugriff auf eine Ressource angefordert, die nicht in der erforderlichen Liste für den Ressourcenzugriff angegeben ist, oder der Graph-Dienst hat „Fehlerhafte Anforderung“ oder „Ressource nicht gefunden“ zurückgegeben. Wenn die App SAML unterstützt, haben Sie die App möglicherweise mit dem falschen Bezeichner (Entität) konfiguriert. Weitere Informationen finden Sie im Artikel zur Behebung von Fehler AADSTS650056.
AADSTS650052 Die App benötigt Zugriff auf einen Dienst (\"{name}\"), den Ihre Organisation \"{organization}\" nicht abonniert oder aktiviert hat. Wenden Sie sich an Ihren IT-Administrator, damit dieser die Konfiguration Ihrer Dienstabonnements überprüft.
AADSTS650054 Die Anwendung hat nach Berechtigungen für den Zugriff auf eine Ressource gefragt, die entfernt wurde oder nicht mehr verfügbar ist. Stellen Sie sicher, dass alle Ressourcen, die die App aufruft, im Mandanten vorhanden sind, in dem Sie arbeiten.
AADSTS650056 Falsch konfigurierte Anwendung. Dies kann einen der folgenden Gründe haben: Für den Client werden in der Anwendungsregistrierung des Clients in den angeforderten Berechtigungen für „{name}“ keine Berechtigungen aufgeführt. Ebenfalls möglich ist, dass der Administrator auf dem Mandanten nicht eingewilligt hat. Sie sollten auch den Anwendungsbezeichner in der Anforderung überprüfen, um sicherzustellen, dass er mit dem konfigurierten Clientanwendungsbezeichner übereinstimmt. Oder überprüfen Sie das Zertifikat in der Anforderung, um sicherzustellen, dass es gültig ist. Wenden Sie sich an Ihren Administrator, um die Konfiguration zu korrigieren oder im Auftrag des Mandanten einzuwilligen. Client-App-ID: {ID}. Wenden Sie sich an Ihren Administrator, um die Konfiguration zu korrigieren oder im Auftrag des Mandanten einzuwilligen.
AADSTS650057 Invalid resource. Der Client hat Zugriff auf eine Ressource angefordert, die in der Anwendungsregistrierung des Clients nicht unter den angeforderten Berechtigungen aufgeführt ist. Client-App-ID: {appId}({appName}). Ressourcenwert aus Anforderung: {resource}. Ressourcen-App-ID: {resourceAppId}. Liste mit gültigen Ressourcen aus App-Registrierung: {regList}.
AADSTS67003 ActorNotValidServiceIdentity.
AADSTS70000 InvalidGrant: Fehler bei der Authentifizierung. Das Aktualisierungstoken ist ungültig. Der Fehler kann aus den folgenden Gründen auftreten:
  • Der Bindungsheader des Tokens ist leer.
  • Der Tokenbindungshash stimmt nicht überein.
AADSTS70001 UnauthorizedClient: Die Anwendung ist deaktiviert. Weitere Informationen finden Sie im Artikel zur Behebung von Fehler AADSTS70001.
AADSTS700011 UnauthorizedClientAppNotFoundInOrgIdTenant: Die Anwendung mit dem Bezeichner „{appIdentifier}“ wurde im Verzeichnis nicht gefunden. Eine Clientanwendung hat ein Token von Ihrem Mandanten angefordert, aber die Client-App ist nicht in Ihrem Mandanten vorhanden, sodass der Aufruf nicht erfolgreich war.
AADSTS70002 InvalidClient: Fehler beim Überprüfen der Anmeldeinformationen. Der angegebene Wert für „client_secret“ entspricht nicht dem erwarteten Wert für diesen Client. Korrigieren Sie „client_secret“, und versuchen Sie es noch mal. Weitere Informationen finden Sie unter Anfordern eines Zugriffstokens mithilfe des Autorisierungscodes.
AADSTS700025 InvalidClientPublicClientWithCredential: Der Client ist öffentlich, sodass weder „client_assertion“ noch „client_secret“ angezeigt werden sollten.
AADSTS700027 Fehler bei der Signaturüberprüfung für die Client-Assertion. Entwicklerfehler: Die App versucht, sich ohne die erforderlichen oder richtigen Authentifizierungsparameter anzumelden.
AADSTS70003 UnsupportedGrantType: Die App hat einen nicht unterstützten Gewährungstyp zurückgegeben.
AADSTS700030 Ungültiges Zertifikat: Der Antragstellername im Zertifikat ist nicht autorisiert. SubjectNames/SubjectAlternativeNames (bis zu 10) im Tokenzertifikat lauten: {certificateSubjects}.
AADSTS70004 InvalidRedirectUri: Die App hat einen ungültigen Umleitungs-URI zurückgegeben. Die vom Client angegebene Umleitungsadresse stimmt nicht mit den konfigurierten Adressen oder anderen Adressen in der Liste mit den OIDC-Genehmigungen überein.
AADSTS70005 UnsupportedResponseType: Die App hat aus den folgenden Gründen einen nicht unterstützten Antworttyp zurückgegeben:
  • Der Antworttyp „token“ wurde für die App nicht aktiviert.
  • Für den Antworttyp „id_token“ ist der Bereich „OpenID“ erforderlich: - Enthält einen nicht unterstützten OAuth-Parameterwert im codierten wctx-Element.
AADSTS700054 Response_type „id_token“ wurde für die Anwendung nicht aktiviert. Die Anwendung hat ein ID-Token vom Autorisierungsendpunkt angefordert, aber die implizite Gewährung des ID-Tokens war nicht aktiviert. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an, und navigieren Sie dann zu Identität>Anwendungen>App-Registrierungen. Wählen Sie Ihre Anwendung und dann Authentifizierung aus. Stellen Sie unter Implizite Genehmigung und Hybridflows sicher, dass ID-Token ausgewählt ist.
AADSTS70007 UnsupportedResponseMode: Die App hat beim Anfordern eines Tokens den nicht unterstützten Wert response_mode zurückgegeben.
AADSTS70008 ExpiredOrRevokedGrant: Das Aktualisierungstoken ist aufgrund von Inaktivität abgelaufen. Das Token wurde auf XXX ausgestellt und war für einen bestimmten Zeitraum inaktiv.
AADSTS700082 ExpiredOrRevokedGrantInactiveToken: Das Aktualisierungstoken ist aufgrund von Inaktivität abgelaufen. Das Token wurde am {issueDate} ausgestellt und war {time} lang inaktiv. Erwarteter Teil des Tokenlebenszyklus: Der Benutzer hat die Anwendung längere Zeit nicht verwendet, sodass das Token abgelaufen war, als die App versucht hat, es zu aktualisieren.
AADSTS700084 Das Aktualisierungstoken wurde für eine Single-Page-App (SPA) ausgestellt und hat daher eine feste, begrenzte Lebensdauer von {time}, die nicht verlängert werden kann. Sie ist jetzt abgelaufen, und die SPA muss eine neue Anmeldeanforderung an die Anmeldeseite senden. Das Token wurde am {issueDate} ausgestellt.
AADSTS70011 InvalidScope: Der von der App angeforderte Bereich ist ungültig.
AADSTS70012 MsaServerError: Beim Authentifizieren eines MSA-Benutzers (Consumer) ist ein Serverfehler aufgetreten. Versuchen Sie es erneut. Öffnen Sie ein Supportticket, wenn der Fehler weiterhin auftritt. 
AADSTS70016 AuthorizationPending: OAuth 2.0-Geräteflussfehler. Die Autorisierung steht aus. Das Gerät wird den Abruf der Anforderung wiederholen.
AADSTS70018 BadVerificationCode: Ungültiger Überprüfungscode, weil der Benutzer den falschen Benutzercode für den Gerätecode-Datenfluss eingegeben hat. Die Autorisierung wird nicht genehmigt.
AADSTS70019 CodeExpired: Der Überprüfungscode ist abgelaufen. Bitten Sie den Benutzer, die Anmeldung erneut durchzuführen.
AADSTS70043 BadTokenDueToSignInFrequency: Das Aktualisierungstoken ist abgelaufen oder ungültig, nachdem von der Richtlinie für bedingten Zugriff eine Überprüfung der Anmeldehäufigkeit durchgeführt wurde. Das Token wurde am {issueDate} ausgestellt, und die maximal zulässige Lebensdauer für diese Anforderung beträgt {time}.
AADSTS75001 BindingSerializationError: Während der SAML-Nachrichtenbindung ist ein Fehler aufgetreten.
AADSTS75003 UnsupportedBindingError: Die Anwendung hat einen Fehler zu einer nicht unterstützten Bindung zurückgegeben (SAML-Protokollantwort kann nicht über andere Bindungen als HTTP POST gesendet werden).
AADSTS75005 Saml2MessageInvalid: Microsoft Entra unterstützt die von der App für SSO gesendete SAML-Anforderung nicht. Weitere Informationen finden Sie im Artikel zur Behebung von Fehler AADSTS75005.
AADSTS7500514 Es wurde kein unterstützter Typ von SAML-Antwort gefunden. Die unterstützten Antworttypen sind „Response“ (im XML-Namespace „urn:oasis:names:tc:SAML:2.0:protocol“) und „Assertion“ (im XML-Namespace „urn:oasis:names:tc:SAML:2.0:assertion“). Anwendungsfehler: Dieser Fehler wird vom Entwickler behoben.
AADSTS750054 „SAMLRequest“ oder „SAMLResponse“ muss als Abfragezeichenfolgenparameter in der HTTP-Anforderung für die SAML-Umleitungsbindung vorhanden sein. Weitere Informationen finden Sie im Artikel zur Behebung von Fehler AADSTS750054.
AADSTS75008 RequestDeniedError: Die Anforderung von der App wurde abgelehnt, da die SAML-Anforderung über ein unerwartetes Ziel verfügt.
AADSTS75011 NoMatchedAuthnContextInOutputClaims: Die Authentifizierungsmethode, mit der sich der Benutzer beim Dienst authentifiziert hat, stimmt nicht mit der angeforderten Authentifizierungsmethode überein. Weitere Informationen finden Sie im Artikel zur Behebung von Fehler AADSTS75011.
AADSTS75016 Saml2AuthenticationRequestInvalidNameIDPolicy: Die SAML2-Authentifizierungsanforderung weist eine ungültige NameIdPolicy auf.
AADSTS76021 ApplicationRequiresSignedRequests – Die vom Client gesendete Anforderung ist nicht signiert, während die Anwendung signierte Anforderungen erfordert
AADSTS76026 RequestIssueTimeExpired: IssueTime in einer SAML2-Authentifizierungsanforderung ist abgelaufen.
AADSTS80001 OnPremiseStoreIsNotAvailable: Der Authentifizierungs-Agent kann keine Verbindung mit Active Directory herstellen. Stellen Sie sicher, dass die Agent-Server Mitglieder derselben AD-Gesamtstruktur wie die Benutzer sind, deren Kennwörter überprüft werden müssen, und dass sie eine Verbindung mit Active Directory herstellen können.
AADSTS80002 OnPremisePasswordValidatorRequestTimedout: Für die Anforderung zur Kennwortüberprüfung ist ein Timeout aufgetreten. Stellen Sie sicher, dass Active Directory verfügbar ist und auf Anforderungen der Agents antwortet.
AADSTS80005 OnPremisePasswordValidatorUnpredictableWebException: Unbekannter Fehler beim Verarbeiten der Antwort vom Authentifizierungs-Agent. Wiederholen Sie die Anforderung. Wenn der Fehler weiterhin auftritt, öffnen Sie ein Supportticket, um weitere Details zum Fehler zu erhalten.
AADSTS80007 OnPremisePasswordValidatorErrorOccurredOnPrem: Der Authentifizierungs-Agent kann das Kennwort des Benutzers nicht überprüfen. Suchen Sie in den Agent-Protokollen nach weiteren Informationen, und überprüfen Sie, ob Active Directory erwartungsgemäß funktioniert.
AADSTS80010 OnPremisePasswordValidationEncryptionException: Der Authentifizierungs-Agent kann das Kennwort nicht entschlüsseln.
AADSTS80012 OnPremisePasswordValidationAccountLogonInvalidHours: Benutzer haben versucht, sich außerhalb der zulässigen Zeiten (in AD angegeben) anzumelden.
AADSTS80013 OnPremisePasswordValidationTimeSkew: Der Authentifizierungsversuch konnte nicht abgeschlossen werden, da zwischen dem Computer, auf dem der Authentifizierungs-Agent ausgeführt wird, und AD eine Zeitabweichung besteht. Beheben Sie die Probleme mit der Zeitsynchronisierung.
AADSTS80014 OnPremisePasswordValidationAuthenticationAgentTimeout: Die Überprüfungsanforderung wurde erst nach Überschreiten der maximal zulässigen Zeit beantwortet. Öffnen Sie ein Supportticket mit dem Fehlercode, der Korrelations-ID und dem Zeitstempel, um weitere Details zu diesem Fehler zu erhalten.
AADSTS81004 DesktopSsoIdentityInTicketIsNotAuthenticated: Fehler beim Kerberos-Authentifizierungsversuch.
AADSTS81005 DesktopSsoAuthenticationPackageNotSupported: Das Authentifizierungspaket wird nicht unterstützt.
AADSTS81006 DesktopSsoNoAuthorizationHeader: Es wurde kein Autorisierungsheader gefunden.
AADSTS81007 DesktopSsoTenantIsNotOptIn: Der Mandant ist nicht für nahtloses SSO aktiviert.
AADSTS81009 DesktopSsoAuthorizationHeaderValueWithBadFormat: Das Kerberos-Ticket des Benutzers kann nicht überprüft werden.
AADSTS81010 DesktopSsoAuthTokenInvalid: Fehler beim nahtlosen einmaligen Anmelden, da das Kerberos-Ticket des Benutzers abgelaufen oder ungültig ist.
AADSTS81011 DesktopSsoLookupUserBySidFailed: Das Benutzerobjekt konnte anhand der Informationen im Kerberos-Ticket des Benutzers nicht gefunden werden.
AADSTS81012 DesktopSsoMismatchBetweenTokenUpnAndChosenUpn: Der/die Benutzer*in, der/die versucht, sich bei Microsoft Entra ID anzumelden, unterscheidet sich von dem/der Benutzer*in, der auf dem Gerät angemeldet ist.
AADSTS90002 InvalidTenantName: Der Mandantenname wurde im Datenspeicher nicht gefunden. Stellen Sie sicher, dass Sie über die richtige Mandanten-ID verfügen. Der Anwendungsentwickler erhält diese Fehlermeldung, wenn seine App versucht, sich bei einem Mandanten anzumelden, der nicht gefunden werden kann. Dies liegt häufig daran, dass eine cloudübergreifende App für die falsche Cloud verwendet wurde oder dass der Entwickler versucht hat, sich bei einem von einer E-Mail-Adresse abgeleiteten Mandanten anzumelden, die Domäne jedoch nicht registriert ist.
AADSTS90004 InvalidRequestFormat: Die Anforderung ist nicht ordnungsgemäß formatiert.
AADSTS90005 InvalidRequestWithMultipleRequirements: Die Anforderung konnte nicht ausgeführt werden. Die Anforderung ist ungültig, da der Bezeichner und der Anmeldehinweis nicht zusammen verwendet werden können.
AADSTS90006 ExternalServerRetryableError: Der Dienst ist vorübergehend nicht verfügbar.
AADSTS90007 InvalidSessionId: Ungültige Anforderung. Die übergebene Sitzungs-ID kann nicht analysiert werden.
AADSTS90008 TokenForItselfRequiresGraphPermission: Der Benutzer oder der Administrator hat der Verwendung der Anwendung nicht zugestimmt. Die Anwendung benötigt mindestens Zugriff auf Microsoft Entra ID, indem die Berechtigung zur Anmeldung und zum Lesen des Benutzerprofils erteilt wird.
AADSTS90009 TokenForItselfMissingIdenticalAppIdentifier: Die Anwendung fordert ein Token für sich selbst an. Dieses Szenario wird nur unterstützt, wenn die angegebene Ressource die GUID-basierte Anwendungs-ID verwendet.
AADSTS90010 NotSupported: Der Algorithmus kann nicht erstellt werden.
AADSTS9001023 The grant type is not supported over the /common or /consumers endpoints. (Der Gewährungstyp wird für den /common- oder /consumers-Endpunkt nicht unterstützt.) Verwenden Sie den /organizations-Endpunkt oder den mandantenspezifischen Endpunkt.
AADSTS90012 RequestTimeout: Timeout bei der Anforderung.
AADSTS90013 InvalidUserInput: Die Benutzereingabe ist ungültig.
AADSTS90014 MissingRequiredField: Dieser Fehlercode wird in verschiedenen Fällen angezeigt, wenn ein erwartetes Feld in den Anmeldeinformationen nicht vorhanden ist.
AADSTS900144 Der Anforderungstext muss den folgenden Parameter enthalten: „{name}“. Entwicklerfehler: Die App versucht, sich ohne die erforderlichen oder richtigen Authentifizierungsparameter anzumelden.
AADSTS90015 QueryStringTooLong: Die Abfragezeichenfolge ist zu lang.
AADSTS90016 MissingRequiredClaim: Das Zugriffstoken ist nicht gültig. Der erforderliche Anspruch fehlt.
AADSTS90019 MissingTenantRealm: Microsoft Entra ID konnte die Mandanten-ID nicht aus der Anforderung ermitteln.
AADSTS90020 Für die SAML 1.1-Assertion fehlt die ImmutableID des Benutzers. Entwicklerfehler: Die App versucht, sich ohne die erforderlichen oder richtigen Authentifizierungsparameter anzumelden.
AADSTS90022 AuthenticatedInvalidPrincipalNameFormat: Das Format des Benutzerprinzipalnamens ist ungültig oder entspricht nicht dem erwarteten Format name[/host][@realm]. Der Prinzipalname ist erforderlich, Host und Bereich sind optional und können auf NULL festgelegt werden.
AADSTS90023 InvalidRequest: Die Authentifizierungsdienstanforderung ist ungültig.
AADSTS900236 InvalidRequestSamlPropertyUnsupported: Die SAML-Authentifizierungsanforderungseigenschaft „{propertyName}“ wird nicht unterstützt und darf nicht festgelegt werden.
AADSTS9002313 InvalidRequest: Anforderung ist falsch formatiert oder ungültig. - Dieses Problem tritt auf, weil bei der Anforderung an einen bestimmten Endpunkt ein Fehler aufgetreten ist. Die empfohlene Vorgehensweise für dieses Problem besteht darin, eine Fiddler-Ablaufverfolgung zum Auftreten des Fehlers zu erhalten und zu ermitteln, ob die Anforderung richtig formatiert ist.
AADSTS9002332 Die Anwendung „{principalId}“({principalName}) ist nur für die Verwendung durch Microsoft Entra-Benutzer*innen konfiguriert. Verwenden Sie nicht den Endpunkt /consumers, um diese Anforderung zu bedienen.
AADSTS90024 RequestBudgetExceededError: Es wurde ein vorübergehender Fehler festgestellt. Versuchen Sie es erneut.
AADSTS90027 Wir können über diese API-Version auf dem MSA-Mandanten keine Token ausstellen. Wenden Sie sich an den Anwendungsanbieter, da dieser Version 2.0 des Protokolls verwenden muss, damit dies unterstützt wird.
AADSTS90033 MsodsServiceUnavailable: Der Microsoft Online Directory Service (MSODS) ist nicht verfügbar.
AADSTS90036 MsodsServiceUnretryableFailure: Unerwarteter, nicht wiederholbarer Fehler vom WCF-Dienst, der vom MSODS gehostet wird. Öffnen Sie ein Supportticket, um weitere Details zum Fehler zu erhalten.
AADSTS90038 NationalCloudTenantRedirection: Der angegebene Mandant „Y“ gehört zur nationalen Cloud „X“. Die aktuelle Cloudinstanz „Z“ bildet keinen Verbund mit „X“. Ein Cloudumleitungsfehler wird zurückgegeben.
AADSTS900384 Fehler bei der Signaturüberprüfung des JWT-Tokens. Der tatsächliche Nachrichteninhalt ist laufzeitspezifisch, und es gibt eine Vielzahl von Ursachen für diesen Fehler. Details finden Sie in der zurückgegebenen Ausnahmemeldung.
AADSTS90043 NationalCloudAuthCodeRedirection: Das Feature ist deaktiviert.
AADSTS900432 Vertrauliche Clients werden in einer cloudübergreifenden Anforderung nicht unterstützt.
AADSTS90051 InvalidNationalCloudId: Der nationale Cloudbezeichner enthält einen ungültigen Cloudbezeichner.
AADSTS90055 TenantThrottlingError: Zu viele eingehende Anforderungen. Diese Ausnahme wird für blockierte Mandanten ausgelöst.
AADSTS90056 BadResourceRequest: Um den Code für ein Zugriffstoken einzulösen, sollte die App eine POST-Anforderung an den /token-Endpunkt senden. Außerdem sollten Sie zuvor einen Autorisierungscode bereitstellen und ihn in der POST-Anforderung an den /token-Endpunkt senden. In diesem Artikel finden Sie einen Überblick über den Fluss des OAuth 2.0-Autorisierungscodes. Sie müssen den Benutzer an den /authorize-Endpunkt weiterleiten, der einen authorization_code zurückgibt. Durch das Senden einer Anforderung an den /token-Endpunkt erhält der Benutzer das Zugriffstoken. Überprüfen Sie App-Registrierungen > Endpunkte, um sicherzustellen, dass die beiden Endpunkte ordnungsgemäß konfiguriert wurden.
AADSTS900561 BadResourceRequestInvalidRequest: Der Endpunkt akzeptiert nur Anforderungen vom Typ „{valid_verbs}“. Eine Anforderung vom Typ „{invalid_verb}“ wurde empfangen. {valid_verbs} stellt eine Liste von HTTP-Verben dar, die vom Endpunkt (z. B. POST) unterstützt werden. {invalid_verb} ist ein HTTP-Verb, das in der aktuellen Anforderung (z. B. GET) verwendet wird. Dies kann auf einen Entwicklerfehler oder darauf zurückzuführen sein, dass Benutzer auf die Schaltfläche „Zurück“ in ihrem Browser klicken und dadurch eine fehlerhafte Anforderung auslösen. Sie können diesen Fehler ignorieren.
AADSTS90072 PassThroughUserMfaError: Das externe Konto, mit dem sich der Benutzer anmeldet, ist nicht im Mandanten für die Anmeldung vorhanden. Aus diesem Grund kann der Benutzer die MFA-Anforderungen für den Mandanten nicht erfüllen. Dieser Fehler kann auch auftreten, wenn die Benutzer*innen synchronisiert werden, aber das Attribut „ImmutableID (sourceAnchor)“ zwischen Active Directory und Microsoft Entra ID nicht übereinstimmt. Das Konto muss zunächst als externer Benutzer im Mandanten hinzugefügt werden. Melden Sie sich ab und anschließend mit einem anderen Microsoft Entra-Benutzerkonto an. Weitere Informationen finden Sie unter Konfigurieren externer Identitäten.
AADSTS90081 OrgIdWsFederationMessageInvalid: Fehler beim Verarbeiten einer WS-Verbundnachricht durch den Dienst. Die Nachricht ist ungültig.
AADSTS90082 OrgIdWsFederationNotSupported: Die ausgewählte Authentifizierungsrichtlinie für die Anforderung wird aktuell nicht unterstützt.
AADSTS90084 OrgIdWsFederationGuestNotAllowed: Gastkonten sind für diesen Standort nicht zugelassen.
AADSTS90085 OrgIdWsFederationSltRedemptionFailed: Der Dienst kann kein Token ausstellen, weil das Unternehmensobjekt noch nicht bereitgestellt wurde.
AADSTS90086 OrgIdWsTrustDaTokenExpired: Das DA-Benutzertoken ist abgelaufen.
AADSTS90087 OrgIdWsFederationMessageCreationFromUriFailed: Fehler beim Erstellen der WS-Verbundnachricht aus dem URI.
AADSTS90090 GraphRetryableError: Der Dienst ist vorübergehend nicht verfügbar.
AADSTS90091 GraphServiceUnreachable.
AADSTS90092 GraphNonRetryableError.
AADSTS90093 GraphUserUnauthorized: Es wurde ein Graph mit einem unzulässigen Fehlercode für die Anforderung zurückgegeben.
AADSTS90094 AdminConsentRequired: Die Zustimmung des Administrators ist erforderlich.
AADSTS900382 Vertrauliche Clients werden in einer cloudübergreifenden Anforderung nicht unterstützt.
AADSTS90095 AdminConsentRequiredRequestAccess- auf der Workflowbenutzeroberfläche wird eine Unterbrechung angezeigt, wenn dem Benutzer mitgeteilt wird, dass er den Administrator um Zustimmung bitten muss.
AADSTS90099 Die Anwendung „{appId}“ ({appName}) wurde im Mandanten „{tenant}“ nicht autorisiert. Anwendungen müssen für den Zugriff auf den externen Mandanten autorisiert werden, bevor die vom Partner delegierten Administratoren sie verwenden können. Erteilen Sie vorab die Zustimmung, oder führen Sie die entsprechende Partner Center-API zum Autorisieren der Anwendung aus.
AADSTS900971 Es wurde keine Antwortadresse angegeben.
AADSTS90100 InvalidRequestParameter: Der Parameter ist leer oder ungültig.
AADSTS901002 AADSTS901002: Der Anforderungsparameter „resource“ wird nicht unterstützt.
AADSTS90101 InvalidEmailAddress: Es wurde keine gültige E-Mail-Adresse angegeben. Die E-Mail-Adresse muss dieses Format aufweisen: someone@example.com.
AADSTS90102 InvalidUriParameter: Der Wert muss ein absoluter URI sein.
AADSTS90107 InvalidXml: Die Anforderung ist ungültig. Stellen Sie sicher, dass Ihre Daten keine ungültigen Zeichen enthalten.
AADSTS90112 Anwendungsbezeichner wird erwartet, dass es sich um eine GUID handelt.
AADSTS90114 InvalidExpiryDate: Der Ablaufzeitstempel für das Massentoken wird dazu führen, dass ein abgelaufenes Token ausgestellt wird.
AADSTS90117 InvalidRequestInput
AADSTS90119 InvalidUserCode: Der Benutzercode ist NULL oder leer.
AADSTS90120 InvalidDeviceFlowRequest: Die Anforderung wurde bereits autorisiert oder abgelehnt.
AADSTS90121 InvalidEmptyRequest: Ungültige, leere Anforderung.
AADSTS90123 IdentityProviderAccessDenied: Das Token kann nicht ausgestellt werden, weil der Identitätsanbieter oder der Anbieter für die Anspruchsausstellung die Anforderung abgelehnt hat.
AADSTS90124 V1ResourceV2GlobalEndpointNotSupported: Die Ressource wird über die Endpunkte /common oder /consumers nicht unterstützt. Verwenden Sie stattdessen /organizations oder den mandantenspezifischen Endpunkt.
AADSTS90125 DebugModeEnrollTenantNotFound: Der Benutzer ist nicht im System vorhanden. Stellen Sie sicher, dass Sie den Benutzernamen richtig eingegeben haben.
AADSTS90126 DebugModeEnrollTenantNotInferred: Der Benutzertyp wird auf diesem Endpunkt nicht unterstützt. Das System konnte den Benutzermandanten nicht aus dem Benutzernamen ableiten.
AADSTS90130 NonConvergedAppV2GlobalEndpointNotSupported: Die Anwendung wird über die Endpunkte /common oder /consumers nicht unterstützt. Verwenden Sie stattdessen /organizations oder den mandantenspezifischen Endpunkt.
AADSTS120000 PasswordChangeIncorrectCurrentPassword
AADSTS120002 PasswordChangeInvalidNewPasswordWeak
AADSTS120003 PasswordChangeInvalidNewPasswordContainsMemberName
AADSTS120004 PasswordChangeOnPremComplexity
AADSTS120005 PasswordChangeOnPremSuccessCloudFail
AADSTS120008 PasswordChangeAsyncJobStateTerminated: Es wurde ein nicht wiederholbarer Fehler festgestellt.
AADSTS120011 PasswordChangeAsyncUpnInferenceFailed
AADSTS120012 PasswordChangeNeedsToHappenOnPrem
AADSTS120013 PasswordChangeOnPremisesConnectivityFailure
AADSTS120014 PasswordChangeOnPremUserAccountLockedOutOrDisabled
AADSTS120015 PasswordChangeADAdminActionRequired
AADSTS120016 PasswordChangeUserNotFoundBySspr
AADSTS120018 PasswordChangePasswordDoesnotComplyFuzzyPolicy
AADSTS120020 PasswordChangeFailure
AADSTS120021 PartnerServiceSsprInternalServiceError
AADSTS130004 NgcKeyNotFound: Für den Benutzerprinzipal wurde der NGC-ID-Schlüssel nicht konfiguriert.
AADSTS130005 NgcInvalidSignature: Fehler beim Überprüfen der NGC-Schlüsselsignatur.
AADSTS130006 NgcTransportKeyNotFound: Der NGC-Transportschlüssel ist nicht auf dem Gerät konfiguriert.
AADSTS130007 NgcDeviceIsDisabled: Das Gerät ist deaktiviert.
AADSTS130008 NgcDeviceIsNotFound: Das durch den NGC-Schlüssel referenzierte Gerät wurde nicht gefunden.
AADSTS135010 KeyNotFound
AADSTS135011 Das während der Authentifizierung verwendete Gerät ist deaktiviert.
AADSTS140000 InvalidRequestNonce: Nonce für Anforderung nicht angegeben.
AADSTS140001 InvalidSessionKey: Der Sitzungsschlüssel ist ungültig.
AADSTS165004 Der tatsächliche Nachrichteninhalt ist laufzeitspezifisch. Sehen Sie sich die Details in der zurückgegebenen Ausnahmemeldung an.
AADSTS165900 InvalidApiRequest: Ungültige Anforderung.
AADSTS220450 UnsupportedAndroidWebViewVersion: Die Chrome WebView-Version wird nicht unterstützt.
AADSTS220501 InvalidCrlDownload
AADSTS221000 DeviceOnlyTokensNotSupportedByResource: Die Ressource ist nicht dafür konfiguriert, reine Gerätetoken zu akzeptieren.
AADSTS240001 BulkAADJTokenUnauthorized: Der/die Benutzer*in ist nicht zum Registrieren von Geräten bei Microsoft Entra ID autorisiert.
AADSTS240002 RequiredClaimIsMissing: Das id_token kann nicht zur Gewährung von urn:ietf:params:oauth:grant-type:jwt-bearer verwendet werden.
AADSTS501621 ClaimsTransformationTimeoutRegularExpressionTimeout – Ersatz für reguläre Ausdrücke für die Anspruchstransformation befindet sich im Timeout. Dies zeigt an, dass ein zu komplexer regulärer Ausdruck für diese Anwendung konfiguriert wurde. Ein Wiederholungsversuch der Anforderung kann erfolgreich sein. Wenden Sie sich andernfalls an Ihren Administrator, um die Konfiguration zu beheben.
AADSTS530032 BlockedByConditionalAccessOnSecurityPolicy: Der Mandantenadministrator hat eine Sicherheitsrichtlinie konfiguriert, die diese Anforderung blockiert. Überprüfen Sie die Sicherheitsrichtlinien, die auf Mandantenebene definiert sind, um festzustellen, ob Ihre Anforderung den Richtlinienanforderungen entspricht.
AADSTS700016 UnauthorizedClient_DoesNotMatchRequest: Die Anwendung wurde nicht im Verzeichnis/Mandanten gefunden. Dies kann auftreten, wenn die Anwendung nicht vom Administrator des Mandanten installiert wurde oder wenn sie von den Benutzern des Mandanten keine Zustimmung erhalten hat. Unter Umständen haben Sie den Bezeichnerwert für die Anwendung falsch konfiguriert oder die Authentifizierungsanforderung an den falschen Mandanten gesendet.
AADSTS700020 InteractionRequired: Die Zugriffsgewährung erfordert eine Interaktion.
AADSTS700022 InvalidMultipleResourcesScope: Der angegebene Wert für den Eingabeparameterbereich ist nicht gültig, weil er mehr als eine Ressource enthält.
AADSTS700023 InvalidResourcelessScope: Der angegebene Wert für den Eingabeparameterbereich ist beim Anfordern eines Zugriffstokens nicht gültig.
AADSTS7000215 Es wurde ein ungültiger geheimer Clientschlüssel bereitgestellt. Entwicklerfehler: Die App versucht, sich ohne die erforderlichen oder richtigen Authentifizierungsparameter anzumelden.
AADSTS7000218 The request body must contain the following parameter: 'client_assertion' or 'client_secret'. (Der Anforderungstext muss den folgenden Parameter enthalten: 'client_assertion' oder 'client_secret'.)
AADSTS7000222 InvalidClientSecretExpiredKeysProvided: Die angegebenen geheimen Clientschlüssel sind abgelaufen. Erstellen Sie neue Schlüssel für Ihre App, oder verwenden Sie Zertifikatanmeldeinformationen, um die Sicherheit zu erhöhen: https://aka.ms/certCreds
AADSTS700229 ForbiddenTokenType: Nur „Nur App“-Token können als Verbundidentitätsanmeldeinformationen für Microsoft Entra-Zertifikataussteller verwendet werden. Verwenden Sie ein „Nur App“-Zugriffstoken (generiert während eines Client-Anmeldeinformationsflows) anstelle eines vom Benutzer delegierten Zugriffstokens (stellt eine Anforderung aus einem Benutzerkontext dar).
AADSTS700005 InvalidGrantRedeemAgainstWrongTenant: Der angegebene Autorisierungscode ist für einen anderen Mandanten bestimmt und wird daher abgelehnt. Der OAuth2-Autorisierungscode muss für denselben Mandanten verwendet werden, für den er bezogen wurde („/common“ oder „/{Mandanten-ID}“).
AADSTS1000000 UserNotBoundError: Die Bindungs-API erfordert, dass sich Microsoft Entra-Benutzer*innen auch bei einem externen Identitätsanbieter authentifizieren, was noch nicht geschehen ist.
AADSTS1000002 BindCompleteInterruptError: Die Bindung wurde erfolgreich abgeschlossen, aber der Benutzer muss informiert werden.
AADSTS100007 Für Microsoft Entra Regional wird die Authentifizierung AUSSCHLIESSLICH entweder für MSIs ODER für Anforderungen aus der MSAL unterstützt, indem SN+I für 1P-Apps oder 3P-Apps auf Microsoft-Infrastrukturmandanten verwendet wird.
AADSTS1000031 Auf die Anwendung „{appDisplayName}“ kann derzeit nicht zugegriffen werden. Wenden Sie sich an den Administrator.
AADSTS7000112 UnauthorizedClientApplicationDisabled: Die Anwendung ist deaktiviert.
AADSTS7000114 Die Anwendung „appIdentifier“ ist nicht berechtigt, Im-Auftrag-von-Aufrufe auszuführen.
AADSTS7500529 Der Wert von „SAMLId-Guid“ ist keine gültige SAML-ID: Microsoft Entra ID verwendet dieses Attribut, um das InResponseTo-Attribut der zurückgegebenen Antwort aufzufüllen. Die ID darf nicht mit einer Zahl beginnen, weshalb dem GUID-String im Allgemeinen eine Zeichenfolge wie etwa „ID“ vorangestellt wird. Beispielsweise ist id6c1c178c166d486687be4aaf5e482730 eine gültige ID.
AADSTS9002341 V2Error: invalid_grant – Der Benutzer muss einmaliges Anmelden (Single Sign-On, SSO) zulassen. Dieser Fehler tritt auf, wenn der Benutzer die erforderlichen Berechtigungen für die Anwendung zum Ausführen von SSO nicht erteilt hat. Der Benutzer sollte auf die Zustimmungsanzeige umgeleitet werden, um die erforderlichen Berechtigungen zu erteilen. Weitere Informationen finden Sie in dieser Ankündigung.“
AADSTS901011 NoEmailAddressCollectedFromExternalOidcIDP – Es wurde keine E-Mail-Adresse vom externen OpenID Connect (OIDC)-Identitätsanbieter abgerufen. Dies geschieht in der Regel, wenn der Benutzer Meine E-Mail- bei der Registrierung ausblenden auswählt.
AADSTS901012 EmailAddressCollectedFromExternalOidcIDPNotVerified – Vom Identitätsanbieter wurde keine überprüfte E-Mail-Adresse abgerufen. Die E-Mail-Adresse wird im ID-Token nicht vom externen OIDC-Identitätsanbieter überprüft.
AADSTS901014 NoExternalIdentifierCollectedFromExternalOidcIDP – Der externe Bezeichner ist nicht im ID-Token des externen OIDC-Identitätsanbieters vorhanden.

Nächste Schritte

  • Haben Sie eine Frage, oder können Sie nicht finden, was Sie suchen? Erstellen Sie ein GitHub-Problem, oder lesen Sie Support- und Hilfeoptionen für Entwickler, um mehr über andere Möglichkeiten zu erfahren, wie Sie Hilfe und Unterstützung erhalten können.