What causes AADSTS70000?

Token binding header is leeg in het token request. Token binding hash komt niet overeen met de oorspronkelijk uitgegeven binding. Refresh token is verlopen, ingetrokken of geïnvalideerd door een Conditional Access policy. Cached/stale credentials in Power BI Service, ADF Linked Service of Databricks secret scope. Service principal of gateway-account heeft MFA/CA-eis die refresh-flow blokkeert

How do I fix AADSTS70000?

Forceer re-authenticatie van de getroffen identity: in Power BI Service → Dataset settings → Data source credentials → Edit credentials en log opnieuw in (OAuth2).. Voor ADF/Fabric pipelines: open de Linked Service, kies 'Edit' en herauthenticeer; bij service principals: roteer de client secret en update de Linked Service.. Controleer in Entra ID admin center → Sign-in logs op AADSTS70000 om te zien of een Conditional Access policy of risk-based block het token invalideert.. Als gateway-gebonden: herstart de On-premises Data Gateway en log de gateway service account opnieuw in zodat een nieuw refresh token wordt opgehaald.. Voor Databricks/dbt jobs die OAuth gebruiken: clear de token cache (bijv. .databricks-token of secret scope) en draai een interactive login om een nieuw, correct gebonden token te krijgen.

Low severityauthentication

Power BI Error:
AADSTS70000

What does this error mean?

Refresh token rejected by Azure AD / Entra ID due to invalid or missing token binding.

Common causes

1Token binding header is leeg in het token request
2Token binding hash komt niet overeen met de oorspronkelijk uitgegeven binding
3Refresh token is verlopen, ingetrokken of geïnvalideerd door een Conditional Access policy
4Cached/stale credentials in Power BI Service, ADF Linked Service of Databricks secret scope
5Service principal of gateway-account heeft MFA/CA-eis die refresh-flow blokkeert

How to fix it

1Forceer re-authenticatie van de getroffen identity: in Power BI Service → Dataset settings → Data source credentials → Edit credentials en log opnieuw in (OAuth2).
2Voor ADF/Fabric pipelines: open de Linked Service, kies 'Edit' en herauthenticeer; bij service principals: roteer de client secret en update de Linked Service.
3Controleer in Entra ID admin center → Sign-in logs op AADSTS70000 om te zien of een Conditional Access policy of risk-based block het token invalideert.
4Als gateway-gebonden: herstart de On-premises Data Gateway en log de gateway service account opnieuw in zodat een nieuw refresh token wordt opgehaald.
5Voor Databricks/dbt jobs die OAuth gebruiken: clear de token cache (bijv. .databricks-token of secret scope) en draai een interactive login om een nieuw, correct gebonden token te krijgen.

Frequently asked questions

What does AADSTS70000 mean?

Authentication failed. The refresh token isn't valid. Error might be due to the following reasons:

How do I fix this error?

Check your application registration, token configuration, and user permissions in the Azure portal. Review Conditional Access policies if the error is policy-related.

Source · learn.microsoft.com/en-us/entra/identity-platform/reference-error-codes#aadsts-error-codes