同盟使用者登入 Microsoft 365、Azure 或 Intune 時發生「80041317」或「80043431」錯誤

  • 發行項
  • 適用於:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

問題

當同盟用戶嘗試登入 Microsoft 雲端服務,例如 Microsoft 365、Microsoft Azure 或從 URL 開頭為 “https://login.microsoftonline.com/login” 的登入網頁 Microsoft Intune 時,該使用者的驗證會失敗。 此外,使用者會收到下列錯誤訊息:

Sorry, but we're having trouble signing you in 

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431

原因

當 內部部署的 Active Directory Federation Services (AD FS) 服務和 Microsoft Entra 驗證系統的同盟網域組態設定不相符時,就會發生此問題。 這會導致 AD FS 服務提供的宣告格式不正確,因此遭到 Microsoft Entra 驗證系統拒絕。

注意事項

在內部部署更新令牌簽署憑證,而不需要更新同盟信任數據之後,就可能發生這種情況。

注意事項

自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被取代。 若要深入瞭解,請閱讀 淘汰更新。 在此日期之後,這些模組的支援僅限於 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。 已淘汰的模組會繼續運作到 2025 年 3 月 30 日。

建議您移轉至 Microsoft Graph PowerShell,以與 Microsoft Entra ID (先前的 Azure AD) 互動。 如需常見的移轉問題,請參閱 移轉常見問題注意: 1.0.x 版的 MSOnline 可能會在 2024 年 6 月 30 日之後中斷。

若要確認這是您所遇到問題的原因,請在已加入網域的計算機上遵循下列步驟:

  1. 確認AD FS服務與 Microsoft 雲端服務之間的屬性不相符。 如果要執行這項操作,請依照下列步驟執行:

    1. 依序按兩下 [開始]、[所有程式][Microsoft Entra ID],然後按兩下 [Microsoft Azure Active Directory 模組] 以取得 Windows PowerShell

    2. 在命令提示字元中,輸入下列命令。 輸入每個命令之後,請務必按 Enter:

      $cred = get-credential

      注意事項

      當系統提示您時,請輸入您的雲端服務系統管理員認證。

      Connect-MSOLService –credential:$cred

      Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>

      注意事項

      在此命令中,佔位元 <AD FS 2.0 伺服器名稱> 代表主要 AD FS 伺服器的 Windows 主機名。

      Get-MsolFederationProperty -domainname: <Federated Domain Name>

      注意事項

      在此命令中 <,同盟功能變數名稱> 佔位元代表已與雲端服務同盟的網域名稱,以進行單一登錄 (SSO) 。

      注意事項

      命令輸出分成下列兩個區段:

      • 第一個區段的第一行會讀取 「Source: AD FS Server」,並代表儲存在本機 AD FS 服務中的組態。
      • 第二節的第一行會讀取 「來源: <Microsoft 雲端服務>」,並代表儲存在身分識別服務中的組態。

      輸出類似下列:

      輸入命令後輸出結果的螢幕快照。

  2. 比較兩個區段中每個屬性的值,以判斷值是否不相符。 如果值不相符,則必須更新同盟網域組態。

解決方案

若要解決此問題,請使用下列其中一個方法:

方法 1:更新同盟網域的設定

For more information about how to do this, see the "How to update the configuration of the Microsoft 365 federated domain" section in How to update or repair the settings of a federated domain in Microsoft 365, Azure, or Intune.

方法 2:修復同盟網域的設定

如果方法 1 無法解決問題,請嘗試修復同盟信任。 For more information about how to do this, see the "How to repair the configuration of the Microsoft 365 federated domain" section in How to update or to repair the configuration of the Microsoft 365 federated domain .

方法 3:使用適用於 Windows PowerShell 的 Azure Active Directory 模組手動更新屬性

如果方法 1 和 2 無法解決問題,請嘗試手動更新不相符的屬性。 在您用來診斷問題的 Windows PowerShell 連線中,從下表執行適當的 Cmdlet:

不相符的屬性 錯誤碼 更新屬性的命令 附註
FederationServiceIdentifier 80043431 Set-MSOLDomainFederationSettings 功能變數名稱 <Domain.suffix> -issueruri <newURI> 佔位元 <Domain.suffix> 代表同盟功能變數名稱。 占位元 <newURI> 代表內部部署 FederationServiceIdentifierattribute (的 URI 值, (列在 Get-MsolFederationProperty Cmdlet) 的輸出中。

是否仍需要協助? 移至 Microsoft 社群Microsoft Entra 論壇網站。