Dela via

Felet "80041317" eller "80043431" när federerade användare loggar in på Microsoft 365, Azure eller Intune

  • Artikel
  • Gäller för:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problem

När en federerad användare försöker logga in på en Microsoft-molntjänst som Microsoft 365, Microsoft Azure eller Microsoft Intune från en inloggningswebbsida vars URL börjar med "https://login.microsoftonline.com/login" misslyckas autentiseringen för den användaren. Dessutom får användaren följande felmeddelande:

Sorry, but we're having trouble signing you in 

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431

Orsak

Det här problemet uppstår när konfigurationsinställningarna för den federerade domänen för den lokala Active Directory Federation Services-tjänsten (AD FS) och för Microsoft Entra-autentiseringssystemet är felmatchade. Detta gör att påståendet att AD FS-tjänsten tillhandahåller är felaktigt och därför avvisas av Microsoft Entra-autentiseringssystemet.

Obs!

Detta kan inträffa när certifikatet för tokensignering har förnyats lokalt utan att federationsförtroendedata uppdateras.

Obs!

Azure AD- och MSOnline PowerShell-moduler är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med den 30 mars 2025.

Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra-ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Not: Version 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.

Följ dessa steg på en domänansluten dator för att kontrollera att det här är orsaken till problemet:

  1. Kontrollera det felmatchade attributet mellan AD FS-tjänsten och Microsoft-molntjänsten. Gör så här:

    1. Klicka på Start, klicka på Alla program, klicka på Microsoft Entra-ID och klicka sedan på Microsoft Azure Active Directory-modulen för Windows PowerShell.

    2. Skriv följande kommandon i kommandotolken. Kontrollera att du trycker på Retur när du har angett varje kommando:

      $cred = get-credential

      Obs!

      När du uppmanas att göra det anger du autentiseringsuppgifterna för molntjänstens administratör.

      Connect-MSOLService –credential:$cred

      Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>

      Obs!

      I det här kommandot representerar platshållaren <AD FS 2.0 ServerNamn> Windows-värdnamnet för den primära AD FS-servern.

      Get-MsolFederationProperty -domainname: <Federated Domain Name>

      Obs!

      I det här kommandot <representerar platshållaren federerat domännamn> namnet på domänen som redan är federerad med molntjänsten för enkel inloggning (SSO).

      Obs!

      Kommandoutdata är indelade i följande två avsnitt:

      • Den första raden i det första avsnittet lyder "Källa: AD FS Server" och representerar konfigurationen som lagras i den lokala AD FS-tjänsten.
      • Den första raden i det andra avsnittet lyder "Källa: <Microsofts molntjänst>" och representerar konfigurationen som lagras i identitetstjänsten.

      Utdata liknar följande:

      Skärmbild av utdataresultatet när du har skrivit kommandona.

  2. Jämför värdena för varje attribut i de två avsnitten för att avgöra om värdena är felmatchade. Om värdena är felmatchade måste den federerade domänkonfigurationen uppdateras.

Lösning

Använd en av följande metoder för att lösa problemet:

Metod 1: Uppdatera konfigurationen av den federerade domänen

Mer information om hur du gör detta finns i avsnittet "Så här uppdaterar du konfigurationen av den federerade Microsoft 365-domänen" i Så här uppdaterar eller reparerar du inställningarna för en federerad domän i Microsoft 365, Azure eller Intune.

Metod 2: Reparera konfigurationen av den federerade domänen

Om metod 1 inte löser problemet kan du försöka reparera det federerade förtroendet. Mer information om hur du gör detta finns i avsnittet "Så här reparerar du konfigurationen av den federerade Microsoft 365-domänen" i Så här uppdaterar eller reparerar du konfigurationen av den federerade Microsoft 365-domänen .

Metod 3: Uppdatera attributen manuellt med hjälp av Azure Active Directory-modulen för Windows PowerShell

Om metoderna 1 och 2 inte löser problemet kan du försöka uppdatera de felmatchade attributen manuellt. I Den Windows PowerShell-anslutning som du använde för att diagnostisera problemet kör du lämplig cmdlet från följande tabell:

Felmatchade attribut Felkod Kommando för att uppdatera attribut Kommentar
FederationServiceIdentifier 80043431 Set-MSOLDomainFederationSettings -domain name <Domain.suffix> -issueruri <newURI> Platshållaren <Domain.suffixet> representerar det federerade domännamnet. Platshållarens <nyaURI> representerar URI-värdet för den lokala FederationServiceIdentifierattribute (visas först i utdata från cmdleten Get-MsolFederationProperty).

Behöver du fortfarande hjälp? Gå till Microsoft Community eller webbplatsen för Microsoft Entra-forum .