What causes AADSTS81011?

De gebruiker is niet (meer) gesynchroniseerd vanuit on-prem AD naar Entra ID via Azure AD Connect / Cloud Sync. Het `onPremisesSecurityIdentifier` (objectSID) attribuut ontbreekt of mismatcht op het cloud user object (typisch na een AD-migratie of forest move). SID History wordt gebruikt na een domeinmigratie maar wordt niet gesynchroniseerd naar Entra ID. Seamless SSO computer account `AZUREADSSOACC` is verlopen of het Kerberos-decryptie-keypair is niet geroteerd. De gebruiker logt in vanaf een device dat een Kerberos-ticket krijgt voor een ander (niet-gesynchroniseerd) forest of subdomein

How do I fix AADSTS81011?

Verifieer in het Entra admin center dat het user object bestaat én dat `onPremisesSecurityIdentifier` gevuld is (Graph: `GET /users/{upn}?$select=onPremisesSecurityIdentifier`); is het leeg, forceer een delta sync vanuit Azure AD Connect. Draai op een AD Connect server `Get-ADSyncConnectorRunStatus` en controleer in Synchronization Service Manager of het user object niet in een error of filtered-out state staat. Bij recente domein-/forestmigratie: enable SID History sync in Azure AD Connect (`Set-ADSyncSidHistoryFeature`) zodat de oude SID uit het Kerberos-ticket alsnog matcht. Roteer het Kerberos-decryptie-keypair van het `AZUREADSSOACC` computer account met `Update-AzureADSSOForest` (verloopt elke 30 dagen) en verifieer Seamless SSO status via `Get-AzureADSSOStatus`. Laat de gebruiker `klist purge` draaien en opnieuw inloggen, of test in een InPrivate browser om een vervuild Kerberos-ticket uit te sluiten

Low severityauthentication

Power BI Error:
AADSTS81011

What does this error mean?

Seamless SSO could not match the Kerberos ticket SID to a user in Azure AD / Entra ID.

Common causes

1De gebruiker is niet (meer) gesynchroniseerd vanuit on-prem AD naar Entra ID via Azure AD Connect / Cloud Sync
2Het `onPremisesSecurityIdentifier` (objectSID) attribuut ontbreekt of mismatcht op het cloud user object (typisch na een AD-migratie of forest move)
3SID History wordt gebruikt na een domeinmigratie maar wordt niet gesynchroniseerd naar Entra ID
4Seamless SSO computer account `AZUREADSSOACC` is verlopen of het Kerberos-decryptie-keypair is niet geroteerd
5De gebruiker logt in vanaf een device dat een Kerberos-ticket krijgt voor een ander (niet-gesynchroniseerd) forest of subdomein

How to fix it

1Verifieer in het Entra admin center dat het user object bestaat én dat `onPremisesSecurityIdentifier` gevuld is (Graph: `GET /users/{upn}?$select=onPremisesSecurityIdentifier`); is het leeg, forceer een delta sync vanuit Azure AD Connect
2Draai op een AD Connect server `Get-ADSyncConnectorRunStatus` en controleer in Synchronization Service Manager of het user object niet in een error of filtered-out state staat
3Bij recente domein-/forestmigratie: enable SID History sync in Azure AD Connect (`Set-ADSyncSidHistoryFeature`) zodat de oude SID uit het Kerberos-ticket alsnog matcht
4Roteer het Kerberos-decryptie-keypair van het `AZUREADSSOACC` computer account met `Update-AzureADSSOForest` (verloopt elke 30 dagen) en verifieer Seamless SSO status via `Get-AzureADSSOStatus`
5Laat de gebruiker `klist purge` draaien en opnieuw inloggen, of test in een InPrivate browser om een vervuild Kerberos-ticket uit te sluiten

Frequently asked questions

What does AADSTS81011 mean?

Unable to find user object based on information in the user

How do I fix this error?

Check your application registration, token configuration, and user permissions in the Azure portal. Review Conditional Access policies if the error is policy-related.

Source · learn.microsoft.com/en-us/entra/identity-platform/reference-error-codes#aadsts-error-codes