Partilhar via

Erro "80041317" ou "80043431" quando os utilizadores federados iniciam sessão no Microsoft 365, no Azure ou no Intune

  • Artigo
  • Aplica-se a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problema

Quando um utilizador federado tenta iniciar sessão num serviço cloud da Microsoft, como o Microsoft 365, o Microsoft Azure ou o Microsoft Intune a partir de uma página Web de início de sessão cujo URL começa com "https://login.microsoftonline.com/login", a autenticação desse utilizador falha. Além disso, o utilizador recebe a seguinte mensagem de erro:

Sorry, but we're having trouble signing you in 

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431

Causa

Este problema ocorre quando as definições de configuração do domínio federado para o serviço dos Serviços de Federação do Active Directory (AD FS) no local e para o sistema de autenticação Microsoft Entra não correspondem. Isto faz com que a alegação de que o serviço AD FS fornece seja malformada e, por conseguinte, rejeitada pelo sistema de autenticação Microsoft Entra.

Nota

Isto pode ocorrer depois de o certificado de assinatura de tokens ser renovado no local sem atualizar os dados de confiança de federação.

Nota

Os módulos do PowerShell do Azure AD e do MSOnline são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após esta data, o suporte para estes módulos está limitado à assistência de migração para o SDK do PowerShell do Microsoft Graph e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.

Recomendamos que migre para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas de migração comuns, veja as FAQ sobre Migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

Para verificar se esta é a causa do problema que está a ter, siga estes passos num computador associado a um domínio:

  1. Verifique o atributo não correspondente entre o serviço AD FS e o serviço cloud da Microsoft. Para tal, siga estes passos:

    1. Clique em Iniciar, clique em Todos os Programas, clique em Microsoft Entra ID e, em seguida, clique em Módulo microsoft Azure Active Directory para Windows PowerShell.

    2. Na linha de comandos, escreva os seguintes comandos. Certifique-se de que prime Enter depois de escrever cada comando:

      $cred = get-credential

      Nota

      Quando lhe for pedido, introduza as credenciais de administrador do serviço cloud.

      Connect-MSOLService –credential:$cred

      Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>

      Nota

      Neste comando, o marcador <de posição AD FS 2.0 Nome> do Servidor representa o nome do anfitrião do Windows do servidor AD FS principal.

      Get-MsolFederationProperty -domainname: <Federated Domain Name>

      Nota

      Neste comando, o <marcador de posição Nome> de Domínio Federado representa o nome do domínio que já está federado com o serviço cloud para início de sessão único (SSO).

      Nota

      A saída do comando está dividida nas duas secções seguintes:

      • A primeira linha da primeira secção diz "Origem: Servidor AD FS" e representa a configuração armazenada no serviço AD FS local.
      • A primeira linha da segunda secção diz "Origem: <serviço> cloud da Microsoft" e representa a configuração armazenada no serviço de identidade.

      O resultado assemelha-se ao seguinte:

      Captura de ecrã do resultado da saída depois de escrever os comandos.

  2. Compare os valores de cada atributo nas duas secções para determinar se os valores não correspondem. Se os valores não forem correspondentes, a configuração do domínio federado tem de ser atualizada.

Solução

Para contornar este problema, utilize um dos métodos seguintes:

Método 1: Atualizar a configuração do domínio federado

Para obter mais informações sobre como fazê-lo, consulte a secção "Como atualizar a configuração do domínio federado do Microsoft 365" em Como atualizar ou reparar as definições de um domínio federado no Microsoft 365, no Azure ou no Intune.

Método 2: Reparar a configuração do domínio federado

Se o método 1 não resolver o problema, tente reparar a confiança federada. Para obter mais informações sobre como fazê-lo, consulte a secção "Como reparar a configuração do domínio federado do Microsoft 365" em Como atualizar ou reparar a configuração do domínio federado do Microsoft 365 .

Método 3: atualizar manualmente os atributos com o módulo do Azure Active Directory para Windows PowerShell

Se os métodos 1 e 2 não resolverem o problema, tente atualizar manualmente os atributos não correspondentes. Na ligação do Windows PowerShell que utilizou para diagnosticar o problema, execute o cmdlet adequado a partir da seguinte tabela:

Atributos não correspondentes Código de erro Comando para atualizar atributo Notas
FederationServiceIdentifier 80043431 Set-MSOLDomainFederationSettings -nome <de domínio Domain.suffix> -issueruri <newURI> O marcador < de posição Domain.suffix> representa o nome de domínio federado. O novoURI> do marcador < de posição representa o valor URI do cmdlet FederationServiceIdentifierattribute no local (listado em primeiro lugar na saída do cmdlet Get-MsolFederationProperty).

Ainda necessita de ajuda? Aceda ao site Microsoft Community ou Microsoft Entra Forums .