Sdílet prostřednictvím

Chyba "80041317" nebo "80043431" při přihlašování federovaných uživatelů k Microsoftu 365, Azure nebo Intune

  • Článek
  • Platí pro:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problém

Když se federovaný uživatel pokusí přihlásit ke cloudové službě Microsoftu, jako je Microsoft 365, Microsoft Azure nebo Microsoft Intune, z přihlašovací webové stránky, jejíž adresa URL začínáhttps://login.microsoftonline.com/login, ověření tohoto uživatele se nezdaří. Kromě toho se uživateli zobrazí následující chybová zpráva:

Sorry, but we're having trouble signing you in 

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431

Příčina

K tomuto problému dochází v případě neshody nastavení konfigurace federované domény pro místní službu Active Directory Federation Services (AD FS) a pro ověřovací systém Microsoft Entra. To způsobí, že tvrzení, které služba AD FS poskytuje, bude poškozeno, a proto odmítnuto ověřovacím systémem Microsoft Entra.

Poznámka

K tomu může dojít po obnovení podpisového certifikátu tokenu v místním prostředí bez aktualizace dat důvěryhodnosti federace.

Poznámka

Moduly PowerShellu Azure AD a MSOnline jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci o vyřazení z provozu. Po tomto datu se podpora těchto modulů omezí na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou fungovat až do 30. března 2025.

Pro interakci s ID Microsoft Entra (dříve Azure AD) doporučujeme migrovat na Microsoft Graph PowerShell . Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Po 30. červnu 2024 může dojít k přerušení verze 1.0.x nástroje MSOnline.

Pokud chcete ověřit, že se jedná o příčinu problému, ke kterému dochází, postupujte na počítači připojeném k doméně takto:

  1. Ověřte neshodný atribut mezi službou AD FS a cloudovou službou Microsoftu. Postupujte takto:

    1. Klikněte na Start, klikněte na Všechny programy, klikněte na Microsoft Entra ID a potom klikněte na Modul Microsoft Azure Active Directory pro Windows PowerShell.

    2. Na příkazovém řádku zadejte následující příkazy. Ujistěte se, že po zadání každého příkazu stisknete klávesu Enter:

      $cred = get-credential

      Poznámka

      Po zobrazení výzvy zadejte přihlašovací údaje správce cloudové služby.

      Connect-MSOLService –credential:$cred

      Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>

      Poznámka

      V tomto příkazu zástupný název <> serveru SLUŽBY AD FS 2.0 představuje název hostitele systému Windows primárního serveru služby AD FS.

      Get-MsolFederationProperty -domainname: <Federated Domain Name>

      Poznámka

      Zástupný symbol Název> federované domény v tomto příkazu představuje název domény, <která je už federovaná s cloudovou službou pro jednotné přihlašování (SSO).

      Poznámka

      Výstup příkazu je rozdělený do následujících dvou částí:

      • První řádek první části obsahuje text Zdroj: Server SLUŽBY AD FS a představuje konfiguraci uloženou v místní službě AD FS.
      • První řádek druhé části obsahuje text "Zdroj: <Cloudová služba> Microsoftu" a představuje konfiguraci, která je uložená ve službě identit.

      Výstup vypadá přibližně takto:

      Snímek obrazovky s výsledkem výstupu po zadání příkazů

  2. Porovnejte hodnoty jednotlivých atributů v těchto dvou částech a zjistěte, jestli se hodnoty neshodují. Pokud se hodnoty neshodují, je potřeba aktualizovat konfiguraci federované domény.

Řešení

Pro vyřešení tohoto problému použijte jednu z následujících metod:

Metoda 1: Aktualizace konfigurace federované domény

Další informace o tom, jak to udělat, najdete v části "Jak aktualizovat konfiguraci federované domény Microsoftu 365" v tématu Aktualizace nebo oprava nastavení federované domény v Microsoft 365, Azure nebo Intune.

Metoda 2: Oprava konfigurace federované domény

Pokud metoda 1 problém nevyřeší, zkuste opravit federovaný vztah důvěryhodnosti. Další informace o tom, jak to udělat, najdete v části "Jak opravit konfiguraci federované domény Microsoft 365" v části Jak aktualizovat nebo opravit konfiguraci federované domény Microsoft 365 .

Metoda 3: Ruční aktualizace atributů pomocí modulu Azure Active Directory pro Windows PowerShell

Pokud metody 1 a 2 problém nevyřeší, zkuste neshodované atributy aktualizovat ručně. V připojení Windows PowerShellu, které jste použili k diagnostice problému, spusťte příslušnou rutinu z následující tabulky:

Neshodné atributy Kód chyby Příkaz pro aktualizaci atributu Poznámky
FederationServiceIdentifier 80043431 Set-MSOLDomainFederationSettings -domain name <Domain.suffix> -issueruri <newURI> Zástupný symbol <Domain.suffix> představuje název federované domény. Zástupný newURI>< představuje hodnotu identifikátoru URI místního atributu FederationServiceIdentifierattribute (uvedený jako první ve výstupu rutiny Get-MsolFederationProperty).

Stále potřebujete pomoc? Přejděte na stránku Microsoft Community nebo na web Fóra Microsoft Entra .