フェデレーション ユーザーが Microsoft 365、Azure、または Intune にサインインすると、"80041317" または "80043431" エラーが発生する

  • [アーティクル]
  • 適用対象:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

問題

フェデレーション ユーザーが、Microsoft 365、Microsoft Azure、Microsoft Intuneなどの Microsoft クラウド サービスにサインインしようとすると、そのユーザーの URL が "https://login.microsoftonline.com/login," 認証で始まるサインイン Web ページから失敗します。 さらに、ユーザーは次のエラー メッセージを受け取ります。

Sorry, but we're having trouble signing you in 

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431

原因

この問題は、オンプレミスの Active Directory フェデレーション サービス (AD FS) サービスとMicrosoft Entra認証システムのフェデレーション ドメインの構成設定が一致しない場合に発生します。 これにより、AD FS サービスが提供する要求の形式が正しくないため、Microsoft Entra認証システムによって拒否されます。

注:

これは、フェデレーション信頼データを更新せずに、トークン署名証明書がオンプレミスで更新された後に発生する可能性があります。

注:

Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となりました。 詳細については、 非推奨の更新プログラムに関するページを参照してください。 この日付以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正に限定されます。 非推奨のモジュールは、2025 年 3 月 30 日まで引き続き機能します。

Microsoft Entra ID (旧称 Azure AD) と対話するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、移行に関する FAQ を参照してください。 メモ: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。

これが発生している問題の原因であることを確認するには、ドメインに参加しているコンピューターで次の手順を実行します。

  1. AD FS サービスと Microsoft クラウド サービスの間で一致しない属性を確認します。 これを行うには、次の手順を実行します。

    1. [スタート] をクリックし、[すべてのプログラム] をクリックし、[Microsoft Entra ID] をクリックし、[Microsoft Azure Active Directory モジュール] をクリックしてWindows PowerShellします。

    2. コマンド プロンプトで、次のコマンドを入力します。 各コマンドを入力した後、Enter キーを押していることを確認します。

      $cred = get-credential

      注:

      メッセージが表示されたら、クラウド サービス管理者の資格情報を入力します。

      Connect-MSOLService –credential:$cred

      Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>

      注:

      このコマンドでは、プレースホルダー <AD FS 2.0 サーバー名> は、プライマリ AD FS サーバーの Windows ホスト名を表します。

      Get-MsolFederationProperty -domainname: <Federated Domain Name>

      注:

      このコマンドでは、フェデレーション ドメイン名>プレースホルダーは、<シングル サインオン (SSO) のためにクラウド サービスと既にフェデレーションされているドメインの名前を表します。

      注:

      コマンド出力は、次の 2 つのセクションに分かれています。

      • 最初のセクションの最初の行は "Source: AD FS Server" と読み取られ、ローカル AD FS サービスに格納されている構成を表します。
      • 2 番目のセクションの最初の行は "Source: <Microsoft クラウド サービス" と読み取られ、ID サービス>に格納されている構成を表します。

      出力は次のようになります。

      コマンドを入力した後の出力結果のスクリーンショット。

  2. 2 つのセクションの各属性の値を比較して、値が一致していないかどうかを判断します。 値が一致しない場合は、フェデレーション ドメイン構成を更新する必要があります。

ソリューション

この問題を解決するには、以下のいずれかの方法を使用します。

方法 1: フェデレーション ドメインの構成を更新する

これを行う方法の詳細については、「Microsoft 365、Azure、またはIntuneのフェデレーション ドメインの設定を更新または修復する方法」の「Microsoft 365 フェデレーション ドメインの構成を更新する方法」セクションを参照してください。

方法 2: フェデレーション ドメインの構成を修復する

方法 1 で問題が解決しない場合は、フェデレーション信頼を修復してみてください。 これを行う方法の詳細については、「Microsoft 365 フェデレーション ドメインの構成を修復する方法」の「Microsoft 365 フェデレーション ドメインの構成を更新または修復する方法 」セクションを参照してください。

方法 3: Windows PowerShellの Azure Active Directory モジュールを使用して属性を手動で更新する

方法 1 と 2 で問題が解決しない場合は、一致しない属性を手動で更新してみてください。 問題の診断に使用したWindows PowerShell接続で、次の表から適切なコマンドレットを実行します。

一致しない属性 エラー コード 属性を更新するコマンド Notes (メモ)
FederationServiceIdentifier 80043431 Set-MSOLDomainFederationSettings -domain name <Domain.suffix> -issueruri <newURI> プレースホルダー <Domain.suffix> は、フェデレーション ドメイン名を表します。 プレースホルダー <newURI> は、オンプレミスの FederationServiceIdentifierattribute の URI 値を表します (最初に、Get-MsolFederationProperty コマンドレットの出力に記載されています)。

さらにヘルプが必要ですか? Microsoft コミュニティまたはMicrosoft Entra フォーラム Web サイトに移動します。