페더레이션된 사용자가 Microsoft 365, Azure 또는 Intune 로그인할 때 "80041317" 또는 "80043431" 오류

  • 아티클
  • 적용 대상:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

문제

페더레이션된 사용자가 Microsoft 365, Microsoft Azure와 같은 Microsoft 클라우드 서비스에 로그인하거나 URL이 "https://login.microsoftonline.com/login"로 시작하는 로그인 웹 페이지에서 Microsoft Intune 경우 해당 사용자에 대한 인증이 실패합니다. 또한 사용자는 다음 오류 메시지를 받습니다.

Sorry, but we're having trouble signing you in 

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431

원인

이 문제는 온-프레미스 Active Directory 페더레이션 서비스(FS) 서비스와 Microsoft Entra 인증 시스템의 페더레이션 도메인 구성 설정이 일치하지 않는 경우에 발생합니다. 이로 인해 AD FS 서비스가 제공하는 클레임의 형식이 잘못되었으므로 Microsoft Entra 인증 시스템에서 거부됩니다.

참고

페더레이션 신뢰 데이터를 업데이트하지 않고 토큰 서명 인증서가 온-프레미스에서 갱신된 후에 발생할 수 있습니다.

참고

Azure AD 및 MSOnline PowerShell 모듈은 2024년 3월 30일부터 더 이상 사용되지 않습니다. 자세한 내용은 사용 중단 업데이트를 참조하세요. 이 날짜 이후에는 이러한 모듈에 대한 지원이 Microsoft Graph PowerShell SDK 및 보안 수정에 대한 마이그레이션 지원으로 제한됩니다. 사용되지 않는 모듈은 2025년 3월 30일까지 계속 작동합니다.

Microsoft Entra ID(이전의 Azure AD)와 상호 작용하려면 Microsoft Graph PowerShell로 마이그레이션하는 것이 좋습니다. 일반적인 마이그레이션 질문은 마이그레이션 FAQ를 참조하세요. 참고: MSOnline 버전 1.0.x는 2024년 6월 30일 이후에 중단이 발생할 수 있습니다.

이것이 발생하는 문제의 원인인지 확인하려면 도메인에 가입된 컴퓨터에서 다음 단계를 수행합니다.

  1. AD FS 서비스와 Microsoft 클라우드 서비스 간에 일치하지 않는 특성을 확인합니다. 이렇게 하려면 다음과 같이 하십시오.

    1. 시작을 클릭하고 모든 프로그램을 클릭하고 Microsoft Entra ID 클릭한 다음 Windows PowerShell Microsoft Azure Active Directory 모듈을 클릭합니다.

    2. 명령 프롬프트에서 다음 명령을 입력합니다. 각 명령을 입력한 후 Enter 키를 눌러야 합니다.

      $cred = get-credential

      참고

      메시지가 표시되면 클라우드 서비스 관리자 자격 증명을 입력합니다.

      Connect-MSOLService –credential:$cred

      Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>

      참고

      이 명령에서 자리 표시자 <AD FS 2.0 서버 이름은> 기본 AD FS 서버의 Windows 호스트 이름을 나타냅니다.

      Get-MsolFederationProperty -domainname: <Federated Domain Name>

      참고

      이 명령 <에서 페더레이션된 도메인 이름> 자리 표시자는 SSO(Single Sign-On)를 위해 클라우드 서비스와 이미 페더레이션된 도메인의 이름을 나타냅니다.

      참고

      명령 출력은 다음 두 섹션으로 나뉩니다.

      • 첫 번째 섹션의 첫 번째 줄은 "원본: AD FS 서버"를 읽고 로컬 AD FS 서비스에 저장된 구성을 나타냅니다.
      • 두 번째 섹션의 첫 번째 줄은 "원본: <Microsoft 클라우드 서비스>"를 읽고 ID 서비스에 저장된 구성을 나타냅니다.

      출력은 다음과 유사합니다.

      명령을 입력한 후 출력 결과의 스크린샷

  2. 두 섹션의 각 특성 값을 비교하여 값이 일치하지 않는지 여부를 확인합니다. 값이 일치하지 않으면 페더레이션된 도메인 구성을 업데이트해야 합니다.

해결 방법

이 문제를 해결하려면 다음 방법 중 하나를 사용하십시오.

방법 1: 페더레이션된 도메인의 구성 업데이트

이 작업을 수행하는 방법에 대한 자세한 내용은 Microsoft 365, Azure 또는 Intune 페더레이션된 도메인의 설정을 업데이트하거나 복구하는 방법의 "Microsoft 365 페더레이션 도메인의 구성을 업데이트하는 방법" 섹션을 참조하세요.

방법 2: 페더레이션된 도메인의 구성 복구

메서드 1이 문제를 resolve 않는 경우 페더레이션 트러스트를 복구해 보세요. 이 작업을 수행하는 방법에 대한 자세한 내용은 Microsoft 365 페더레이션 도메인의 구성을 업데이트하거나 복구하는 방법의 "Microsoft 365 페더레이션 도메인 구성을 복구하는 방법 " 섹션을 참조하세요.

방법 3: azure Active Directory 모듈을 사용하여 특성을 수동으로 업데이트합니다Windows PowerShell

메서드 1과 2가 문제를 resolve 않는 경우 일치하지 않는 특성을 수동으로 업데이트합니다. 문제를 진단하는 데 사용한 Windows PowerShell 연결에서 다음 표에서 적절한 cmdlet을 실행합니다.

일치하지 않는 특성 오류 코드 특성을 업데이트하는 명령 참고
FederationServiceIdentifier 80043431 Set-MSOLDomainFederationSettings -domain name <Domain.suffix> -issueruri <newURI> 자리 표시자 <Domain.suffix> 는 페더레이션된 도메인 이름을 나타냅니다. 자리 표시자 <newURI> 는 온-프레미스 FederationServiceIdentifierattribute의 URI 값을 나타냅니다(Get-MsolFederationProperty cmdlet의 출력에서 먼저 나열됨).

아직 해결되지 않았습니까? Microsoft 커뮤니티 또는 Microsoft Entra 포럼 웹 사이트로 이동합니다.