Errore "80041317" o "80043431" quando gli utenti federati accedono a Microsoft 365, Azure o Intune
Problema
Quando un utente federato tenta di accedere a un servizio cloud Microsoft, ad esempio Microsoft 365, Microsoft Azure o Microsoft Intune da una pagina Web di accesso il cui URL inizia con "https://login.microsoftonline.com/login", l'autenticazione per tale utente ha esito negativo. Inoltre, l'utente riceve il messaggio di errore seguente:
Sorry, but we're having trouble signing you in
Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431
Causa
Questo problema si verifica quando le impostazioni di configurazione del dominio federato per il servizio Active Directory locale Federation Services (AD FS) e per il sistema di autenticazione Microsoft Entra non corrispondono. In questo modo, l'attestazione fornita dal servizio AD FS non è valida e pertanto viene rifiutata dal sistema di autenticazione Microsoft Entra.
Nota
Questo problema può verificarsi dopo il rinnovo del certificato di firma del token in locale senza aggiornare i dati di attendibilità della federazione.
Nota
I moduli di PowerShell di Azure AD e MSOnline sono deprecati a partire dal 30 marzo 2024. Per altre informazioni, vedere l'aggiornamento della deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni per la sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.
È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande frequenti sulla migrazione, vedere Domande frequenti sulla migrazione. Nota: Le versioni 1.0.x di MSOnline potrebbero verificarsi interruzioni dopo il 30 giugno 2024.
Per verificare che questa sia la causa del problema riscontrato, seguire questa procedura in un computer aggiunto a un dominio:
- Verificare l'attributo non corrispondente tra il servizio AD FS e il servizio cloud Microsoft. A tal fine, attenersi alla seguente procedura:
Fare clic sul pulsante Start, scegliere Tutti i programmi, Microsoft Entra ID e quindi fare clic su Microsoft Azure Active Directory modulo per Windows PowerShell.
Al prompt dei comandi digitare i comandi seguenti. Assicurarsi di premere INVIO dopo aver digitato ogni comando:
$cred = get-credentialNota
Quando viene richiesto, immettere le credenziali di amministratore del servizio cloud.
Connect-MSOLService –credential:$credSet-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>Nota
In questo comando, il segnaposto <AD FS 2.0 Nome> server rappresenta il nome host Windows del server AD FS primario.
Get-MsolFederationProperty -domainname: <Federated Domain Name>Nota
In questo comando il <segnaposto Nome> di dominio federato rappresenta il nome del dominio già federato con il servizio cloud per l'accesso Single Sign-On (SSO).
Nota
L'output del comando è suddiviso nelle due sezioni seguenti:
- La prima riga della prima sezione è "Source: AD FS Server" e rappresenta la configurazione archiviata nel servizio AD FS locale.
- La prima riga della seconda sezione è "Origine: <servizio> cloud Microsoft" e rappresenta la configurazione archiviata nel servizio di identità.
L'output è simile al seguente:
- Confrontare i valori di ogni attributo nelle due sezioni per determinare se i valori non corrispondono. Se i valori non corrispondono, è necessario aggiornare la configurazione del dominio federato.
Soluzione
Per risolvere il problema, utilizzare uno dei seguenti metodi:
Metodo 1: aggiornare la configurazione del dominio federato
Per altre informazioni su come eseguire questa operazione, vedere la sezione "Come aggiornare la configurazione del dominio federato di Microsoft 365" in Come aggiornare o ripristinare le impostazioni di un dominio federato in Microsoft 365, Azure o Intune.
Metodo 2: Ripristinare la configurazione del dominio federato
Se il metodo 1 non risolve il problema, provare a ripristinare l'attendibilità federata. Per altre informazioni su come eseguire questa operazione, vedere la sezione "Come ripristinare la configurazione del dominio federato di Microsoft 365" in Come aggiornare o ripristinare la configurazione del dominio federato di Microsoft 365 .
Metodo 3: aggiornare manualmente gli attributi usando il modulo Azure Active Directory per Windows PowerShell
Se i metodi 1 e 2 non risolvono il problema, provare ad aggiornare manualmente gli attributi non corrispondenti. Nella connessione Windows PowerShell usata per diagnosticare il problema eseguire il cmdlet appropriato dalla tabella seguente:
| Attributi non corrispondenti | Codice errore | Comando per aggiornare l'attributo | Note |
|---|---|---|---|
| FederationServiceIdentifier | 80043431 | Set-MSOLDomainFederationSettings -domain name <Domain.suffix> -issueruri <newURI> | Il segnaposto <Domain.suffix> rappresenta il nome di dominio federato. Il segnaposto <newURI> rappresenta il valore URI dell'attributo FederationServiceIdentifier locale (elencato per primo nell'output del cmdlet Get-MsolFederationProperty). |
Ulteriore assistenza Accedere alla community Microsoft o al sito Web dei forum di Microsoft Entra.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per