Delen via

Fout '80041317' of '80043431' wanneer federatieve gebruikers zich aanmelden bij Microsoft 365, Azure of Intune

  • Artikel
  • Van toepassing op:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Probleem

Wanneer een federatieve gebruiker zich probeert aan te melden bij een Microsoft-cloudservice zoals Microsoft 365, Microsoft Azure of Microsoft Intune vanaf een aanmeldingswebpagina waarvan de URL begint met 'https://login.microsoftonline.com/login,', mislukt de verificatie voor die gebruiker. Bovendien ontvangt de gebruiker het volgende foutbericht:

Sorry, but we're having trouble signing you in 

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431

Oorzaak

Dit probleem treedt op wanneer de configuratie-instellingen van het federatieve domein voor de on-premises AD FS-service (Active Directory Federation Services) en voor het Microsoft Entra-verificatiesysteem niet overeenkomen. Dit zorgt ervoor dat de claim dat de AD FS-service levert, onjuist wordt ingedeeld en daarom wordt geweigerd door het Microsoft Entra-verificatiesysteem.

Opmerking

Dit kan gebeuren nadat het tokenondertekeningscertificaat on-premises is vernieuwd zonder federatieve vertrouwensgegevens bij te werken.

Opmerking

Azure AD- en MSOnline PowerShell-modules zijn afgeschaft vanaf 30 maart 2024. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot hulp bij migratie naar Microsoft Graph PowerShell SDK en beveiligingspatches. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

U wordt aangeraden te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Notitie: Versies 1.0.x van MSOnline kunnen na 30 juni 2024 worden onderbroken.

Als u wilt controleren of dit de oorzaak is van het probleem dat u ondervindt, volgt u deze stappen op een computer die lid is van een domein:

  1. Controleer het niet-overeenkomende kenmerk tussen de AD FS-service en de Microsoft-cloudservice. Ga hiervoor als volgt te werk:

    1. Klik op Start, klik op Alle programma's, klik op Microsoft Entra ID en klik vervolgens op Microsoft Azure Active Directory-module voor Windows PowerShell.

    2. Typ de volgende opdrachten bij de opdrachtprompt. Zorg ervoor dat u op Enter drukt nadat u elke opdracht hebt getypt:

      $cred = get-credential

      Opmerking

      Wanneer u hierom wordt gevraagd, voert u de referenties van de cloudservicebeheerder in.

      Connect-MSOLService –credential:$cred

      Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>

      Opmerking

      In deze opdracht vertegenwoordigt de tijdelijke aanduiding <AD FS 2.0-servernaam> de Windows-hostnaam van de primaire AD FS-server.

      Get-MsolFederationProperty -domainname: <Federated Domain Name>

      Opmerking

      In deze opdracht vertegenwoordigt de <tijdelijke aanduiding Federatieve domeinnaam> de naam van het domein dat al is gefedereerd met de cloudservice voor eenmalige aanmelding (SSO).

      Opmerking

      De uitvoer van de opdracht is onderverdeeld in de volgende twee secties:

      • De eerste regel van de eerste sectie luidt 'Bron: AD FS-server' en vertegenwoordigt de configuratie die is opgeslagen in de lokale AD FS-service.
      • De eerste regel van de tweede sectie luidt 'Bron: <Microsoft-cloudservice>' en vertegenwoordigt de configuratie die is opgeslagen in de identiteitsservice.

      De uitvoer ziet er ongeveer als volgt uit:

      Schermopname van het uitvoerresultaat na het typen van de opdrachten.

  2. Vergelijk de waarden van elk kenmerk in de twee secties om te bepalen of de waarden niet overeenkomen. Als de waarden niet overeenkomen, moet de federatieve domeinconfiguratie worden bijgewerkt.

Oplossing

U kunt dit probleem op een van de volgende manieren oplossen:

Methode 1: De configuratie van het federatieve domein bijwerken

Zie de sectie How to update the configuration of the Microsoft 365 federated domain in How to update the settings of a federated domain in Microsoft 365, Azure of Intune (De instellingen van een federatief domein bijwerken of herstellen in Microsoft 365, Azure of Intune) voor meer informatie hierover.

Methode 2: De configuratie van het federatieve domein herstellen

Als methode 1 het probleem niet oplost, probeert u de federatieve vertrouwensrelatie te herstellen. Zie de sectie 'De configuratie van het federatieve Microsoft 365-domein herstellen' in De configuratie van het federatieve Microsoft 365-domein bijwerken of herstellen voor meer informatie hierover.

Methode 3: De kenmerken handmatig bijwerken met behulp van de Azure Active Directory-module voor Windows PowerShell

Als de methoden 1 en 2 het probleem niet oplossen, probeert u de niet-overeenkomende kenmerken handmatig bij te werken. Voer in de Windows PowerShell-verbinding die u hebt gebruikt om het probleem vast te stellen, de juiste cmdlet uit de volgende tabel uit:

Niet-overeenkomende kenmerken Foutcode Opdracht om kenmerk bij te werken Opmerkingen
FederationServiceIdentifier 80043431 Set-MSOLDomainFederationSettings -domeinnaam <Domain.suffix> -issueruri <newURI> De tijdelijke aanduiding <Domain.suffix> vertegenwoordigt de federatieve domeinnaam. De tijdelijke aanduiding <newURI> vertegenwoordigt de URI-waarde van de on-premises FederationServiceIdentifierattribute (eerst vermeld in de uitvoer van de Get-MsolFederationProperty cmdlet).

Meer hulp nodig? Ga naar de Microsoft-community of de website van Microsoft Entra Forums .