Ошибка "80041317" или "80043431" при входе федеративных пользователей в Microsoft 365, Azure или Intune

  • Статья
  • Применяется к:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Проблема

Когда федеративный пользователь пытается войти в облачную службу Майкрософт, например Microsoft 365, Microsoft Azure или Microsoft Intune с веб-страницы входа, URL-адрес которой начинается с "https://login.microsoftonline.com/login", проверка подлинности для этого пользователя завершается сбоем. Кроме того, пользователь получает следующее сообщение об ошибке:

Sorry, but we're having trouble signing you in 

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431

Причина

Эта проблема возникает, если параметры конфигурации федеративного домена для службы локальная служба Active Directory федерации (AD FS) и системы проверки подлинности Microsoft Entra не совпадают. Это приводит к тому, что утверждение о том, что служба AD FS предоставляет неправильный формат и, следовательно, отклоняется системой проверки подлинности Microsoft Entra.

Примечание.

Это может произойти после того, как сертификат подписи маркера обновляется локально без обновления данных доверия федерации.

Примечание.

модули PowerShell Azure AD и MSOnline устарели с 30 марта 2024 г. Дополнительные сведения см. в статье Обновление для прекращения поддержки. После этой даты поддержка этих модулей ограничивается поддержкой миграции пакета SDK Для Microsoft Graph PowerShell и исправлениями безопасности. Устаревшие модули будут работать до 30 марта 2025 г.

Мы рекомендуем выполнить миграцию в Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее Azure AD). Распространенные вопросы о миграции см. в разделе Вопросы и ответы о миграции. Примечание: В версиях 1.0.x MSOnline может возникнуть сбой после 30 июня 2024 г.

Чтобы убедиться, что это является причиной проблемы, выполните следующие действия на компьютере, присоединенном к домену:

  1. Проверьте несоответствие атрибута между службой AD FS и облачной службой Майкрософт. Для этого выполните следующие действия:

    1. Нажмите кнопку Пуск, все программы, Microsoft Entra ID и Microsoft Azure Active Directory модуль для Windows PowerShell.

    2. В командной строке введите следующие команды. После ввода каждой команды нажимайте клавишу ВВОД:

      $cred = get-credential

      Примечание.

      При появлении запроса введите учетные данные администратора облачной службы.

      Connect-MSOLService –credential:$cred

      Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>

      Примечание.

      В этой команде заполнитель <ИМЯ сервера> AD FS 2.0 представляет имя узла Windows основного сервера AD FS.

      Get-MsolFederationProperty -domainname: <Federated Domain Name>

      Примечание.

      В этой команде <заполнитель Федеративное доменное имя> представляет имя домена, который уже объединяется с облачной службой для единого входа.

      Примечание.

      Выходные данные команды делятся на следующие два раздела:

      • В первой строке первого раздела говорится "Источник: сервер AD FS" и представлена конфигурация, хранящаяся в локальной службе AD FS.
      • В первой строке второго раздела говорится "Источник: <облачная служба> Майкрософт" и представлена конфигурация, хранящаяся в службе удостоверений.

      Выходные данные выглядят следующим образом:

      Снимок экрана: выходной результат после ввода команд.

  2. Сравните значения каждого атрибута в двух разделах, чтобы определить, не совпадают ли значения. Если значения не совпадают, необходимо обновить конфигурацию федеративного домена.

Решение

Для решения этой проблемы воспользуйтесь одним из указанных ниже способов.

Способ 1. Обновление конфигурации федеративного домена

Дополнительные сведения о том, как это сделать, см. в разделе "Обновление конфигурации федеративного домена Microsoft 365" статьи Обновление или исправление параметров федеративного домена в Microsoft 365, Azure или Intune.

Способ 2. Восстановление конфигурации федеративного домена

Если метод 1 не устраняет проблему, попробуйте восстановить федеративное доверие. Дополнительные сведения о том, как это сделать, см. в разделе "Восстановление конфигурации федеративного домена Microsoft 365" статьи Обновление или восстановление конфигурации федеративного домена Microsoft 365 .

Метод 3. Обновление атрибутов вручную с помощью модуля Azure Active Directory для Windows PowerShell

Если методы 1 и 2 не устраняют проблему, попробуйте вручную обновить несовпадения атрибутов. В Windows PowerShell подключении, которое использовалось для диагностики проблемы, выполните соответствующий командлет из следующей таблицы:

Несовпадение атрибутов Код ошибки Команда для обновления атрибута Заметки
FederationServiceIdentifier 80043431 Set-MSOLDomainFederationSettings -доменное имя <Domain.suffix> -issueruri <newURI> Заполнитель <Domain.suffix> представляет федеративное доменное имя. Заполнитель <newURI> представляет значение URI локального элемента FederationServiceIdentifierattribute (указано первым в выходных данных командлета Get-MsolFederationProperty).

Требуется дополнительная помощь? Перейдите на веб-сайт Сообщества Майкрософт или на веб-сайт форумов Microsoft Entra.