Chyba 80041317 nebo 80043431 při přihlášení federovaných uživatelů k Microsoftu 365, Azure nebo Intune
Problém
Když se federovaný uživatel pokusí přihlásit ke cloudové službě Microsoftu, jako je Microsoft 365, Microsoft Azure nebo Microsoft Intune z přihlašovací webové stránky, jejíž adresa URL začíná na ,https://login.microsoftonline.com/login ověření tohoto uživatele se nezdaří. Kromě toho se uživateli zobrazí následující chybová zpráva:
Sorry, but we're having trouble signing you in
Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431
Příčina
K tomuto problému dochází v případě neshody nastavení konfigurace federované domény pro službu místní Active Directory Federation Services (AD FS) a pro ověřovací systém Microsoft Entra. To způsobí, že je tvrzení, které služba AD FS poskytuje, poškozeno, a proto odmítnuto systémem ověřování Microsoft Entra.
Poznámka
K tomu může dojít po obnovení podpisového certifikátu tokenu v místním prostředí bez aktualizace dat důvěryhodnosti federace.
Poznámka
Moduly PowerShellu Azure AD a MSOnline jsou k 30. březnu 2024 zastaralé. Další informace najdete v aktualizaci o vyřazení z provozu. Po tomto datu se podpora těchto modulů omezí na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou fungovat až do 30. března 2025.
Pokud chcete pracovat s Microsoft Entra ID (dříve Azure AD), doporučujeme migrovat na Microsoft Graph PowerShell. Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Po 30. červnu 2024 může dojít k přerušení verze 1.0.x nástroje MSOnline.
Pokud chcete ověřit, že se jedná o příčinu problému, ke kterému dochází, postupujte na počítači připojeném k doméně takto:
- Ověřte neshodný atribut mezi službou AD FS a cloudovou službou Microsoftu. Postupujte takto:
Klikněte na Start, klikněte na Všechny programy, klikněte na Microsoft Entra ID a potom klikněte na Microsoft Azure Active Directory modul pro Windows PowerShell.
Na příkazovém řádku zadejte následující příkazy. Ujistěte se, že po zadání každého příkazu stisknete klávesu Enter:
$cred = get-credential
Poznámka
Po zobrazení výzvy zadejte přihlašovací údaje správce cloudové služby.
Connect-MSOLService –credential:$cred
Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>
Poznámka
V tomto příkazu zástupný název <> serveru SLUŽBY AD FS 2.0 představuje název hostitele systému Windows primárního serveru služby AD FS.
Get-MsolFederationProperty -domainname: <Federated Domain Name>
Poznámka
Zástupný symbol Název> federované domény v tomto příkazu představuje název domény, <která je už federovaná s cloudovou službou pro jednotné přihlašování (SSO).
Poznámka
Výstup příkazu je rozdělený do následujících dvou částí:
- První řádek první části obsahuje text Zdroj: Server SLUŽBY AD FS a představuje konfiguraci uloženou v místní službě AD FS.
- První řádek druhé části obsahuje text "Zdroj: <Cloudová služba> Microsoftu" a představuje konfiguraci, která je uložená ve službě identit.
Výstup vypadá přibližně takto:
- Porovnejte hodnoty jednotlivých atributů v těchto dvou částech a zjistěte, jestli se hodnoty neshodují. Pokud se hodnoty neshodují, je potřeba aktualizovat konfiguraci federované domény.
Řešení
Pro vyřešení tohoto problému použijte jednu z následujících metod:
Metoda 1: Aktualizace konfigurace federované domény
Další informace o tom, jak to udělat, najdete v části "Jak aktualizovat konfiguraci federované domény Microsoft 365" v tématu Aktualizace nebo oprava nastavení federované domény v Microsoft 365, Azure nebo Intune.
Metoda 2: Oprava konfigurace federované domény
Pokud metoda 1 problém nevyřeší, zkuste opravit federovaný vztah důvěryhodnosti. Další informace o tom, jak to udělat, najdete v části "Jak opravit konfiguraci federované domény Microsoft 365" v části Jak aktualizovat nebo opravit konfiguraci federované domény Microsoft 365 .
Metoda 3: Ruční aktualizace atributů pomocí modulu Azure Active Directory pro Windows PowerShell
Pokud metody 1 a 2 problém nevyřeší, zkuste neshodované atributy aktualizovat ručně. V Windows PowerShell připojení, které jste použili k diagnostice problému, spusťte příslušnou rutinu z následující tabulky:
Neshodné atributy | Kód chyby | Příkaz pro aktualizaci atributu | Poznámky |
---|---|---|---|
FederationServiceIdentifier | 80043431 | Set-MSOLDomainFederationSettings -domain name <Domain.suffix> -issueruri <newURI> | Zástupný symbol <Domain.suffix> představuje název federované domény. Zástupný newURI>< představuje hodnotu identifikátoru URI místního atributu FederationServiceIdentifierattribute (uvedený jako první ve výstupu rutiny Get-MsolFederationProperty). |
Stále potřebujete pomoc? Přejděte na web Microsoft Community nebo Microsoft Entra Forums.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro