Błąd "80041317" lub "80043431" podczas logowania użytkowników federacyjnych do platformy Microsoft 365, platformy Azure lub Intune

  • Artykuł
  • Dotyczy:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problem

Gdy użytkownik federacyjny próbuje zalogować się do usługi w chmurze firmy Microsoft, takiej jak Microsoft 365, Microsoft Azure lub Microsoft Intune ze strony internetowej logowania, której adres URL rozpoczyna się od "https://login.microsoftonline.com/login", uwierzytelnianie dla tego użytkownika kończy się niepowodzeniem. Ponadto użytkownik otrzymuje następujący komunikat o błędzie:

Sorry, but we're having trouble signing you in 

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431

Przyczyna

Ten problem występuje, gdy ustawienia konfiguracji domeny federacyjnej dla usługi usług lokalna usługa Active Directory Federation Services (AD FS) i systemu uwierzytelniania Microsoft Entra są niezgodne. Powoduje to, że oświadczenie, że usługa AD FS dostarcza źle sformułowane i dlatego odrzucone przez system uwierzytelniania Microsoft Entra.

Uwaga

Może to nastąpić po odnowieniu lokalnego certyfikatu podpisywania tokenu bez aktualizowania danych zaufania federacji.

Uwaga

Moduły programu PowerShell Azure AD i MSOnline są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację wycofania. Po tej dacie obsługa tych modułów jest ograniczona do pomocy w migracji do zestawu Microsoft Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z Tożsamość Microsoft Entra (dawniej Azure AD). Aby uzyskać typowe pytania dotyczące migracji, zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: W wersjach 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Aby sprawdzić, czy jest to przyczyna występującego problemu, wykonaj następujące kroki na komputerze przyłączonym do domeny:

  1. Sprawdź niezgodny atrybut między usługą AD FS i usługą w chmurze firmy Microsoft. Aby to zrobić, wykonaj następujące kroki.

    1. Kliknij przycisk Start, kliknij pozycję Wszystkie programy, kliknij pozycję Tożsamość Microsoft Entra, a następnie kliknij Microsoft Azure Active Directory moduł dla Windows PowerShell.

    2. W wierszu polecenia wpisz następujące polecenia. Upewnij się, że po wpisaniu każdego polecenia naciśnij klawisz Enter:

      $cred = get-credential

      Uwaga

      Po wyświetleniu monitu wprowadź poświadczenia administratora usługi w chmurze.

      Connect-MSOLService –credential:$cred

      Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>

      Uwaga

      W tym poleceniu zastępcza <nazwa> serwera usług AD FS 2.0 reprezentuje nazwę hosta systemu Windows podstawowego serwera usług AD FS.

      Get-MsolFederationProperty -domainname: <Federated Domain Name>

      Uwaga

      W tym poleceniu <symbol zastępczy federacyjnej nazwy> domeny reprezentuje nazwę domeny, która jest już sfederowana z usługą w chmurze na potrzeby logowania jednokrotnego.

      Uwaga

      Dane wyjściowe polecenia są podzielone na następujące dwie sekcje:

      • Pierwszy wiersz pierwszej sekcji brzmi "Source: AD FS Server" i reprezentuje konfigurację przechowywaną w lokalnej usłudze AD FS.
      • Pierwszy wiersz drugiej sekcji brzmi "Źródło: <usługa> w chmurze firmy Microsoft" i reprezentuje konfigurację przechowywaną w usłudze tożsamości.

      Dane wyjściowe są podobne do następujących:

      Zrzut ekranu przedstawiający wynik wyjściowy po wpisaniu poleceń.

  2. Porównaj wartości każdego atrybutu w dwóch sekcjach, aby określić, czy wartości są niedopasowane. Jeśli wartości są niedopasowane, należy zaktualizować konfigurację domeny federacyjnej.

Rozwiązanie

Aby rozwiązać ten problem, zastosuj jedną z następujących metod:

Metoda 1. Aktualizowanie konfiguracji domeny federacyjnej

Aby uzyskać więcej informacji o tym, jak to zrobić, zobacz sekcję "Jak zaktualizować konfigurację domeny federacyjnej platformy Microsoft 365" w temacie Jak zaktualizować lub naprawić ustawienia domeny federacyjnej na platformie Microsoft 365, platformie Azure lub Intune.

Metoda 2. Napraw konfigurację domeny federacyjnej

Jeśli metoda 1 nie rozwiąże problemu, spróbuj naprawić zaufanie federacyjne. Aby uzyskać więcej informacji o tym, jak to zrobić, zobacz sekcję "Jak naprawić konfigurację domeny federacyjnej platformy Microsoft 365" w temacie How to update or to repair the configuration of the Microsoft 365 federated domain (Jak zaktualizować lub naprawić konfigurację domeny federacyjnej platformy Microsoft 365 ).

Metoda 3. Ręczne aktualizowanie atrybutów przy użyciu modułu usługi Azure Active Directory dla Windows PowerShell

Jeśli metody 1 i 2 nie rozwiążą problemu, spróbuj ręcznie zaktualizować niedopasowane atrybuty. W Windows PowerShell połączeniu użytym do zdiagnozowania problemu uruchom odpowiednie polecenie cmdlet z poniższej tabeli:

Niedopasowane atrybuty Kod błędu Polecenie aktualizacji atrybutu Uwagi
FederationServiceIdentifier 80043431 Set-MSOLDomainFederationSettings -domain name <Domain.sufiks> -issueruri <newURI> Symbol zastępczy <Domain.sufiks> reprezentuje nazwę domeny federacyjnej. Symbol zastępczy <newURI> reprezentuje wartość identyfikatora URI lokalnego polecenia cmdlet FederationServiceIdentifierattribute (wymienioną jako pierwsza w danych wyjściowych polecenia cmdlet Get-MsolFederationProperty).

Nadal potrzebujesz pomocy? Przejdź do witryny microsoft community lub witryny internetowej forów Microsoft Entra.