Error "80041317" o "80043431" cuando los usuarios federados inician sesión en Microsoft 365, Azure o Intune
Problema
Cuando un usuario federado intenta iniciar sesión en un servicio en la nube de Microsoft como Microsoft 365, Microsoft Azure o Microsoft Intune desde una página web de inicio de sesión cuya dirección URL comienza por "https://login.microsoftonline.com/login", se produce un error en la autenticación de ese usuario. Además, el usuario recibe el siguiente mensaje de error:
Sorry, but we're having trouble signing you in
Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431
Causa
Este problema se produce cuando las opciones de configuración del dominio federado para el servicio servicios de federación de Active Directory local (AD FS) y para el sistema de autenticación de Microsoft Entra no coinciden. Esto hace que la notificación que proporciona el servicio de AD FS tenga un formato incorrecto y, por lo tanto, el sistema de autenticación Microsoft Entra lo rechace.
Nota:
Esto puede ocurrir después de que el certificado de firma de tokens se renueve localmente sin actualizar los datos de confianza de federación.
Nota:
Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Después de esta fecha, la compatibilidad con estos módulos se limita a la ayuda de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.
Se recomienda migrar a Microsoft Graph PowerShell para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para obtener preguntas comunes sobre la migración, consulte las Preguntas más frecuentes sobre la migración. Nota: Las versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.
Para comprobar que esta es la causa del problema que está experimentando, siga estos pasos en un equipo unido a un dominio:
- Compruebe el atributo no coincidente entre el servicio AD FS y el servicio en la nube de Microsoft. Para ello, siga estos pasos:
Haga clic en Inicio, en Todos los programas, en Microsoft Entra ID y, a continuación, haga clic en Microsoft Azure Active Directory módulo para Windows PowerShell.
En el símbolo del sistema, escriba los siguientes comandos. Asegúrese de presionar Entrar después de escribir cada comando:
$cred = get-credentialNota:
Cuando se le solicite, escriba las credenciales de administrador del servicio en la nube.
Connect-MSOLService –credential:$credSet-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>Nota:
En este comando, el marcador de posición <Nombre> del servidor de AD FS 2.0 representa el nombre de host de Windows del servidor de AD FS principal.
Get-MsolFederationProperty -domainname: <Federated Domain Name>Nota:
En este comando, el <marcador de posición Nombre> de dominio federado representa el nombre del dominio que ya está federado con el servicio en la nube para el inicio de sesión único (SSO).
Nota:
La salida del comando se divide en las dos secciones siguientes:
- La primera línea de la primera sección lee "Origen: servidor de AD FS" y representa la configuración que se almacena en el servicio de AD FS local.
- La primera línea de la segunda sección lee "Origen: <servicio> en la nube de Microsoft" y representa la configuración almacenada en el servicio de identidad.
El resultado debería ser similar al siguiente:
- Compare los valores de cada atributo de las dos secciones para determinar si los valores no coinciden. Si los valores no coinciden, se debe actualizar la configuración del dominio federado.
Solución
Para solucionar este problema, use uno de los métodos siguientes:
Método 1: Actualizar la configuración del dominio federado
Para obtener más información sobre cómo hacerlo, consulte la sección "Cómo actualizar la configuración del dominio federado de Microsoft 365" en Cómo actualizar o reparar la configuración de un dominio federado en Microsoft 365, Azure o Intune.
Método 2: Reparar la configuración del dominio federado
Si el método 1 no resuelve el problema, intente reparar la confianza federada. Para obtener más información sobre cómo hacerlo, vea la sección "Cómo reparar la configuración del dominio federado de Microsoft 365" en Actualización o reparación de la configuración del dominio federado de Microsoft 365 .
Método 3: Actualice manualmente los atributos mediante el módulo de Azure Active Directory para Windows PowerShell
Si los métodos 1 y 2 no resuelven el problema, intente actualizar manualmente los atributos no coincidentes. En la conexión Windows PowerShell que usó para diagnosticar el problema, ejecute el cmdlet adecuado desde la tabla siguiente:
| Atributos no coincidentes | Código de error | Comando para actualizar el atributo | Notas |
|---|---|---|---|
| FederationServiceIdentifier | 80043431 | Set-MSOLDomainFederationSettings -domain name <Domain.sufijo> -issueruri <newURI> | El marcador de posición <Domain.sufijo> representa el nombre de dominio federado. El marcador de posición <newURI> representa el valor de URI del elemento FederationServiceIdentifierattribute local (que aparece primero en la salida del cmdlet Get-MsolFederationProperty). |
¿Aún necesita ayuda? Vaya a Microsoft Community o al sitio web de los foros de Microsoft Entra.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de