Błąd "80041317" lub "80043431" podczas logowania użytkowników federacyjnych do usługi Microsoft 365, platformy Azure lub usługi Intune
Problem
Gdy użytkownik federacyjny próbuje zalogować się do usługi w chmurze firmy Microsoft, takiej jak Microsoft 365, Microsoft Azure lub Microsoft Intune, ze strony internetowej logowania, której adres URL rozpoczyna się od "https://login.microsoftonline.com/login", uwierzytelnianie dla tego użytkownika kończy się niepowodzeniem. Ponadto użytkownik otrzymuje następujący komunikat o błędzie:
Sorry, but we're having trouble signing you in
Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431
Przyczyna
Ten problem występuje, gdy ustawienia konfiguracji domeny federacyjnej dla lokalnej usługi Active Directory Federation Services (AD FS) i systemu uwierzytelniania Microsoft Entra są niezgodne. Powoduje to, że oświadczenie, że dostarczana przez usługę AD FS usługa jest źle sformułowana i dlatego odrzucona przez system uwierzytelniania Microsoft Entra.
Uwaga
Może to nastąpić po odnowieniu lokalnego certyfikatu podpisywania tokenu bez aktualizowania danych zaufania federacji.
Uwaga
Moduły azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację wycofania. Po tej dacie obsługa tych modułów jest ograniczona do pomocy w migracji do zestawu Microsoft Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.
Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). Aby uzyskać typowe pytania dotyczące migracji, zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Nuta: W wersjach 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.
Aby sprawdzić, czy jest to przyczyna występującego problemu, wykonaj następujące kroki na komputerze przyłączonym do domeny:
- Sprawdź niezgodny atrybut między usługą AD FS i usługą w chmurze firmy Microsoft. Aby to zrobić, wykonaj następujące kroki.
Kliknij przycisk Start, kliknij pozycję Wszystkie programy, kliknij pozycję Microsoft Entra ID, a następnie kliknij pozycję Moduł usługi Microsoft Azure Active Directory dla programu Windows PowerShell.
W wierszu polecenia wpisz następujące polecenia. Upewnij się, że po wpisaniu każdego polecenia naciśnij Enter:
$cred = get-credential
Uwaga
Po wyświetleniu monitu wprowadź poświadczenia administratora usługi w chmurze.
Connect-MSOLService –credential:$cred
Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>
Uwaga
W tym poleceniu zastępcza <nazwa> serwera usług AD FS 2.0 reprezentuje nazwę hosta systemu Windows podstawowego serwera usług AD FS.
Get-MsolFederationProperty -domainname: <Federated Domain Name>
Uwaga
W tym poleceniu <symbol zastępczy federacyjnej nazwy> domeny reprezentuje nazwę domeny, która jest już sfederowana z usługą w chmurze na potrzeby logowania jednokrotnego.
Uwaga
Dane wyjściowe polecenia są podzielone na następujące dwie sekcje:
- Pierwszy wiersz pierwszej sekcji brzmi "Source: AD FS Server" i reprezentuje konfigurację przechowywaną w lokalnej usłudze AD FS.
- Pierwszy wiersz drugiej sekcji brzmi "Źródło: <usługa> w chmurze firmy Microsoft" i reprezentuje konfigurację przechowywaną w usłudze tożsamości.
Dane wyjściowe są podobne do następujących:
- Porównaj wartości każdego atrybutu w dwóch sekcjach, aby określić, czy wartości są niedopasowane. Jeśli wartości są niedopasowane, należy zaktualizować konfigurację domeny federacyjnej.
Rozwiązanie
Aby rozwiązać ten problem, zastosuj jedną z następujących metod:
Metoda 1. Aktualizowanie konfiguracji domeny federacyjnej
Aby uzyskać więcej informacji o tym, jak to zrobić, zobacz sekcję "Jak zaktualizować konfigurację domeny federacyjnej platformy Microsoft 365" w temacie How to update or repair the settings of a federated domain in Microsoft 365, Azure, or Intune (Jak zaktualizować lub naprawić ustawienia domeny federacyjnej w usłudze Microsoft 365, Azure lub Intune).
Metoda 2. Napraw konfigurację domeny federacyjnej
Jeśli metoda 1 nie rozwiąże problemu, spróbuj naprawić zaufanie federacyjne. Aby uzyskać więcej informacji o tym, jak to zrobić, zobacz sekcję "Jak naprawić konfigurację domeny federacyjnej platformy Microsoft 365" w temacie How to update or to repair the configuration of the Microsoft 365 federated domain (Jak zaktualizować lub naprawić konfigurację domeny federacyjnej platformy Microsoft 365 ).
Metoda 3. Ręczne aktualizowanie atrybutów przy użyciu modułu usługi Azure Active Directory dla programu Windows PowerShell
Jeśli metody 1 i 2 nie rozwiążą problemu, spróbuj ręcznie zaktualizować niedopasowane atrybuty. W połączeniu programu Windows PowerShell użytym do zdiagnozowania problemu uruchom odpowiednie polecenie cmdlet z poniższej tabeli:
Niedopasowane atrybuty | Kod błędu | Polecenie aktualizacji atrybutu | Uwagi |
---|---|---|---|
FederationServiceIdentifier | 80043431 | Set-MSOLDomainFederationSettings -domain name <Domain.sufiks> -issueruri <newURI> | Symbol zastępczy <Domain.sufiks> reprezentuje nazwę domeny federacyjnej. Symbol zastępczy <newURI> reprezentuje wartość identyfikatora URI lokalnego polecenia cmdlet FederationServiceIdentifierattribute (wymienioną jako pierwsza w danych wyjściowych polecenia cmdlet Get-MsolFederationProperty). |
Nadal potrzebujesz pomocy? Przejdź do witryny internetowej Microsoft Community lub microsoft entra forów .