Fout '80041317' of '80043431' wanneer federatieve gebruikers zich aanmelden bij Microsoft 365, Azure of Intune

Probleem

Wanneer een federatieve gebruiker zich probeert aan te melden bij een Microsoft-cloudservice, zoals Microsoft 365, Microsoft Azure of Microsoft Intune vanaf een aanmeldingswebpagina waarvan de URL begint met 'https://login.microsoftonline.com/login,', mislukt de verificatie voor die gebruiker. Bovendien ontvangt de gebruiker het volgende foutbericht:

Sorry, but we're having trouble signing you in 

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431 

Oorzaak

Dit probleem treedt op wanneer de configuratie-instellingen van het federatieve domein voor de service on-premises Active Directory Federation Services (AD FS) en voor het Microsoft Entra verificatiesysteem niet overeenkomen. Dit zorgt ervoor dat de claim dat de AD FS-service levert, onjuist wordt ingedeeld en daarom wordt geweigerd door het Microsoft Entra verificatiesysteem.

Opmerking

Dit kan gebeuren nadat het tokenondertekeningscertificaat on-premises is vernieuwd zonder federatieve vertrouwensgegevens bij te werken.

Opmerking

Azure AD PowerShell is gepland voor afschaffing op 30 maart 2024. Lees de afschaffingsupdate voor meer informatie.

U wordt aangeraden te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Microsoft Graph PowerShell biedt toegang tot alle Microsoft Graph-API's en is beschikbaar in PowerShell 7. Zie Veelgestelde vragen over migratie voor antwoorden op veelvoorkomende migratiequery's.

Als u wilt controleren of dit de oorzaak is van het probleem dat u ondervindt, volgt u deze stappen op een computer die lid is van een domein:

  1. Controleer het niet-overeenkomende kenmerk tussen de AD FS-service en de Microsoft-cloudservice. Ga hiervoor als volgt te werk:
    1. Klik op Start, klik op Alle programma's, klik op Microsoft Entra ID en klik vervolgens op Microsoft Azure Active Directory module voor Windows PowerShell.

    2. Typ de volgende opdrachten bij de opdrachtprompt. Zorg ervoor dat u op Enter drukt nadat u elke opdracht hebt getypt:

      $cred = get-credential
      

      Opmerking

      Wanneer u hierom wordt gevraagd, voert u de referenties van de cloudservicebeheerder in.

      Connect-MSOLService –credential:$cred
      
      Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>
      

      Opmerking

      In deze opdracht vertegenwoordigt de tijdelijke aanduiding <AD FS 2.0-servernaam> de Windows-hostnaam van de primaire AD FS-server.

      Get-MsolFederationProperty -domainname: <Federated Domain Name>
      

      Opmerking

      In deze opdracht vertegenwoordigt de <tijdelijke aanduiding Federatieve domeinnaam> de naam van het domein dat al is gefedereerd met de cloudservice voor eenmalige aanmelding (SSO).

      Opmerking

      De uitvoer van de opdracht is onderverdeeld in de volgende twee secties:

      • De eerste regel van de eerste sectie luidt 'Bron: AD FS-server' en vertegenwoordigt de configuratie die is opgeslagen in de lokale AD FS-service.
      • De eerste regel van de tweede sectie luidt 'Bron: <Microsoft-cloudservice>' en vertegenwoordigt de configuratie die is opgeslagen in de identiteitsservice.

      De uitvoer ziet er ongeveer als volgt uit:

      Schermopname van het uitvoerresultaat na het typen van de opdrachten.

  2. Vergelijk de waarden van elk kenmerk in de twee secties om te bepalen of de waarden niet overeenkomen. Als de waarden niet overeenkomen, moet de federatieve domeinconfiguratie worden bijgewerkt.

Oplossing

U kunt dit probleem op een van de volgende manieren oplossen:

Methode 1: De configuratie van het federatieve domein bijwerken

Zie de sectie How to update the configuration of the Microsoft 365 federated domain in How to update the settings of a federated domain in Microsoft 365, Azure, or Intune (De instellingen van een federatief domein bijwerken of herstellen in Microsoft 365, Azure of Intune).

Methode 2: De configuratie van het federatieve domein herstellen

Als methode 1 het probleem niet oplost, probeert u de federatieve vertrouwensrelatie te herstellen. Zie de sectie 'De configuratie van het federatieve Microsoft 365-domein herstellen' in De configuratie van het federatieve Microsoft 365-domein bijwerken of herstellen voor meer informatie hierover.

Methode 3: de kenmerken handmatig bijwerken met behulp van de Azure Active Directory-module voor Windows PowerShell

Als de methoden 1 en 2 het probleem niet oplossen, probeert u de niet-overeenkomende kenmerken handmatig bij te werken. Voer in de Windows PowerShell verbinding die u hebt gebruikt om het probleem te diagnosticeren de juiste cmdlet uit de volgende tabel uit:

Niet-overeenkomende kenmerken Foutcode Opdracht om kenmerk bij te werken Opmerkingen
FederationServiceIdentifier 80043431 Set-MSOLDomainFederationSettings -domeinnaam <Domain.suffix> -issueruri <newURI> De tijdelijke aanduiding <Domain.suffix> vertegenwoordigt de federatieve domeinnaam. De tijdelijke aanduiding <newURI> vertegenwoordigt de URI-waarde van de on-premises FederationServiceIdentifierattribute (eerst vermeld in de uitvoer van de Get-MsolFederationProperty cmdlet).

Meer hulp nodig? Ga naar de Microsoft-community of de website Microsoft Entra Forums.