Fehler "80041317" oder "80043431", wenn sich Verbundbenutzer bei Microsoft 365, Azure oder Intune anmelden
Problem
Wenn ein Verbundbenutzer versucht, sich bei einem Microsoft-Clouddienst wie Microsoft 365, Microsoft Azure oder Microsoft Intune über eine Anmeldewebseite anzumelden, deren URL mit der "https://login.microsoftonline.com/login,"-Authentifizierung für diesen Benutzer beginnt, schlägt ein Fehler fehl. Darüber hinaus erhält der Benutzer die folgende Fehlermeldung:
Sorry, but we're having trouble signing you in
Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431
Ursache
Dieses Problem tritt auf, wenn die Konfigurationseinstellungen der Verbunddomäne für den lokalen Ad FS-Dienst (Active Directory Federation Services) und für das Microsoft Entra-Authentifizierungssystem nicht übereinstimmen. Dies führt dazu, dass der Anspruch, den der AD FS-Dienst bereitstellt, falsch formatiert und daher vom Microsoft Entra-Authentifizierungssystem abgelehnt wird.
Hinweis
Dies kann geschehen, nachdem das Tokensignaturzertifikat lokal erneuert wurde, ohne die Verbundvertrauensdaten zu aktualisieren.
Hinweis
Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zu Einstellungen. Nach diesem Datum beschränkt sich der Support für diese Module auf Unterstützung bei der Migration zum Microsoft Graph PowerShell SDK und auf Sicherheitskorrekturen. Die veralteten Module werden noch bis zum 30. März 2025 zur Verfügung stehen.
Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Allgemeine Fragen zur Migration finden Sie in den Häufig gestellten Fragen zur Migration. Hinweis: Bei den Versionen 1.0.x von MSOnline kann es nach dem 30. Juni 2024 zu Unterbrechungen kommen.
Führen Sie die folgenden Schritte auf einem in die Domäne eingebundenen Computer aus, um zu überprüfen, ob dies die Ursache des Problems ist, das bei Ihnen auftritt:
- Überprüfen Sie, ob das Attribut zwischen dem AD FS-Dienst und dem Microsoft-Clouddienst nicht übereinstimmen. Gehen Sie dazu wie folgt vor:
Klicken Sie auf Start, alle Programme, microsoft Entra ID und dann auf Microsoft Azure Active Directory-Modul für Windows PowerShell.
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein. Stellen Sie sicher, dass Sie die EINGABETASTE drücken, nachdem Sie die einzelnen Befehle eingegeben haben:
$cred = get-credential
Hinweis
Wenn Sie dazu aufgefordert werden, geben Sie ihre Anmeldeinformationen für den Clouddienstadministrator ein.
Connect-MSOLService –credential:$cred
Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>
Hinweis
In diesem Befehl stellt der Platzhalter <AD FS 2.0-Servername> den Windows-Hostnamen des primären AD FS-Servers dar.
Get-MsolFederationProperty -domainname: <Federated Domain Name>
Hinweis
In diesem Befehl stellt der <Platzhalter Verbunddomänenname> den Namen der Domäne dar, die bereits mit dem Clouddienst für einmaliges Anmelden (Single Sign-On, SSO) verbunden ist.
Hinweis
Die Befehlsausgabe ist in die folgenden beiden Abschnitte unterteilt:
- Die erste Zeile des ersten Abschnitts lautet "Quelle: AD FS-Server" und stellt die Konfiguration dar, die im lokalen AD FS-Dienst gespeichert ist.
- Die erste Zeile des zweiten Abschnitts lautet "Quelle: <Microsoft-Clouddienst>" und stellt die Konfiguration dar, die im Identitätsdienst gespeichert ist.
Die Ausgabe sollte etwa wie folgt aussehen:
- Vergleichen Sie die Werte der einzelnen Attribute in den beiden Abschnitten, um zu ermitteln, ob die Werte nicht übereinstimmen. Wenn die Werte nicht übereinstimmen, muss die Verbunddomänenkonfiguration aktualisiert werden.
Lösung
Wenden Sie eine der folgenden Methoden an, um dieses Problem zu beheben:
Methode 1: Aktualisieren der Konfiguration der Verbunddomäne
Weitere Informationen dazu finden Sie im Abschnitt "Aktualisieren der Konfiguration der Microsoft 365-Verbunddomäne" unter Aktualisieren oder Reparieren der Einstellungen einer Verbunddomäne in Microsoft 365, Azure oder Intune.
Methode 2: Reparieren der Konfiguration der Verbunddomäne
Wenn methode 1 das Problem nicht behebt, versuchen Sie, die Verbundvertrauensstellung zu reparieren. Weitere Informationen dazu finden Sie im Abschnitt "Reparieren der Konfiguration der Microsoft 365-Verbunddomäne" unter Aktualisieren oder Reparieren der Konfiguration der Microsoft 365-Verbunddomäne .
Methode 3: Manuelles Aktualisieren der Attribute mithilfe des Azure Active Directory-Moduls für Windows PowerShell
Wenn die Methoden 1 und 2 das Problem nicht beheben, versuchen Sie, die nicht übereinstimmenden Attribute manuell zu aktualisieren. Führen Sie in der Windows PowerShell-Verbindung, die Sie zum Diagnostizieren des Problems verwendet haben, das entsprechende Cmdlet aus der folgenden Tabelle aus:
Nicht übereinstimmende Attribute | Fehlercode | Befehl zum Aktualisieren des Attributs | Hinweise |
---|---|---|---|
FederationServiceIdentifier | 80043431 | Set-MSOLDomainFederationSettings -domänenname <Domain.suffix> -issueruri <newURI> | Der Platzhalter <Domain.suffix> stellt den Namen der Verbunddomäne dar. Der Platzhalter <newURI> stellt den URI-Wert des lokalen FederationServiceIdentifierattributes dar (wird zuerst in der Ausgabe des cmdlets Get-MsolFederationProperty aufgeführt). |
Benötigen Sie weitere Hilfe? Besuchen Sie die Microsoft Community oder die Microsoft Entra Foren-Website.