Fehler "80041317" oder "80043431", wenn sich Verbundbenutzer bei Microsoft 365, Azure oder Intune

  • Artikel
  • Gilt für::
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problem

Wenn ein Verbundbenutzer versucht, sich bei einem Microsoft-Clouddienst wie Microsoft 365, Microsoft Azure oder Microsoft Intune von einer Anmeldewebseite aus anzumelden, deren URL mit der "https://login.microsoftonline.com/login,"-Authentifizierung für diesen Benutzer beginnt, schlägt ein Fehler fehl. Darüber hinaus erhält der Benutzer die folgende Fehlermeldung:

Sorry, but we're having trouble signing you in 

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431

Ursache

Dieses Problem tritt auf, wenn die Konfigurationseinstellungen der Verbunddomäne für den AD FS-Dienst (lokales Active Directory Federation Services) und für das Microsoft Entra Authentifizierungssystem nicht übereinstimmen. Dies führt dazu, dass der Anspruch, den der AD FS-Dienst bereitstellt, falsch formatiert und daher vom Microsoft Entra Authentifizierungssystem abgelehnt wird.

Hinweis

Dies kann geschehen, nachdem das Tokensignaturzertifikat lokal erneuert wurde, ohne die Verbundvertrauensdaten zu aktualisieren.

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Veralteten Update. Nach diesem Datum ist die Unterstützung für diese Module auf Migrationsunterstützung zum Microsoft Graph PowerShell SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Häufig gestellte Fragen zur Migration finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Version 1.0.x von MSOnline kann nach dem 30. Juni 2024 unterbrochen werden.

Führen Sie die folgenden Schritte auf einem in die Domäne eingebundenen Computer aus, um zu überprüfen, ob dies die Ursache des Problems ist, das bei Ihnen auftritt:

  1. Überprüfen Sie, ob das Attribut zwischen dem AD FS-Dienst und dem Microsoft-Clouddienst nicht übereinstimmen. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie auf Start, alle Programme, klicken Sie auf Microsoft Entra ID, und klicken Sie dann auf Microsoft Azure Active Directory Modul für Windows PowerShell.

    2. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein. Stellen Sie sicher, dass Sie die EINGABETASTE drücken, nachdem Sie die einzelnen Befehle eingegeben haben:

      $cred = get-credential

      Hinweis

      Wenn Sie dazu aufgefordert werden, geben Sie ihre Anmeldeinformationen für den Clouddienstadministrator ein.

      Connect-MSOLService –credential:$cred

      Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>

      Hinweis

      In diesem Befehl stellt der Platzhalter <AD FS 2.0-Servername> den Windows-Hostnamen des primären AD FS-Servers dar.

      Get-MsolFederationProperty -domainname: <Federated Domain Name>

      Hinweis

      In diesem Befehl stellt der <Platzhalter Verbunddomänenname> den Namen der Domäne dar, die bereits mit dem Clouddienst für einmaliges Anmelden (Single Sign-On, SSO) verbunden ist.

      Hinweis

      Die Befehlsausgabe ist in die folgenden beiden Abschnitte unterteilt:

      • Die erste Zeile des ersten Abschnitts lautet "Quelle: AD FS-Server" und stellt die Konfiguration dar, die im lokalen AD FS-Dienst gespeichert ist.
      • Die erste Zeile des zweiten Abschnitts lautet "Quelle: <Microsoft-Clouddienst>" und stellt die Konfiguration dar, die im Identitätsdienst gespeichert ist.

      Die Ausgabe sollte etwa wie folgt aussehen:

      Screenshot des Ausgabeergebnisses nach der Eingabe der Befehle.

  2. Vergleichen Sie die Werte der einzelnen Attribute in den beiden Abschnitten, um zu ermitteln, ob die Werte nicht übereinstimmen. Wenn die Werte nicht übereinstimmen, muss die Verbunddomänenkonfiguration aktualisiert werden.

Lösung

Wenden Sie eine der folgenden Methoden an, um dieses Problem zu beheben:

Methode 1: Aktualisieren der Konfiguration der Verbunddomäne

Weitere Informationen dazu finden Sie im Abschnitt "Aktualisieren der Konfiguration der Microsoft 365-Verbunddomäne" unter Aktualisieren oder Reparieren der Einstellungen einer Verbunddomäne in Microsoft 365, Azure oder Intune.

Methode 2: Reparieren der Konfiguration der Verbunddomäne

Wenn methode 1 das Problem nicht behebt, versuchen Sie, die Verbundvertrauensstellung zu reparieren. Weitere Informationen dazu finden Sie im Abschnitt "Reparieren der Konfiguration der Microsoft 365-Verbunddomäne" unter Aktualisieren oder Reparieren der Konfiguration der Microsoft 365-Verbunddomäne .

Methode 3: Manuelles Aktualisieren der Attribute mithilfe des Azure Active Directory-Moduls für Windows PowerShell

Wenn die Methoden 1 und 2 das Problem nicht beheben, versuchen Sie, die nicht übereinstimmenden Attribute manuell zu aktualisieren. Führen Sie in der Windows PowerShell Verbindung, die Sie zum Diagnostizieren des Problems verwendet haben, das entsprechende Cmdlet aus der folgenden Tabelle aus:

Nicht übereinstimmende Attribute Fehlercode Befehl zum Aktualisieren des Attributs Notizen
FederationServiceIdentifier 80043431 Set-MSOLDomainFederationSettings -domänenname <Domain.suffix> -issueruri <newURI> Der Platzhalter <Domain.suffix> stellt den Namen der Verbunddomäne dar. Der Platzhalter <newURI> stellt den URI-Wert des lokalen FederationServiceIdentifierattributes dar (wird zuerst in der Ausgabe des cmdlets Get-MsolFederationProperty aufgeführt).

Benötigen Sie weitere Hilfe? Besuchen Sie die Microsoft Community oder die Microsoft Entra Foren-Website.