次の方法で共有

フェデレーション ユーザーが Microsoft 365、Azure、または Intune にサインインすると、"80041317" または "80043431" エラーが発生する

  • 適用対象: Cloud Services (Web roles/Worker roles), Microsoft Intune, Azure Backup, Microsoft 365

問題

フェデレーション ユーザーが、"https://login.microsoftonline.com/login" で始まるサインイン Web ページから Microsoft 365、Microsoft Azure、Microsoft Intune などの Microsoft クラウド サービスにサインインしようとすると、そのユーザーの認証は失敗します。 さらに、ユーザーは次のエラー メッセージを受け取ります。

Sorry, but we're having trouble signing you in 

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431

原因

この問題は、オンプレミスの Active Directory フェデレーション サービス (AD FS) サービスと Microsoft Entra 認証システムのフェデレーション ドメインの構成設定が一致しない場合に発生します。 これにより、AD FS サービスが提供するクレームが不正な形式になり、その結果、Microsoft Entra 認証システムによって拒否されます。

これは、フェデレーション信頼データを更新せずに、トークン署名証明書がオンプレミスで更新された後に発生する可能性があります。

Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となります。 詳細については、非推奨の最新情報を参照してください。 この日以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正に限定されます。 非推奨のモジュールは、2025 年 3 月 30 日まで引き続き機能します。

Microsoft Entra ID (旧称 Azure AD) を使用するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、「移行に関する FAQ」を参照してください。 注: MSOnline のバージョン 1.0.x では、2024 年 6 月 30 日以降に中断が発生する可能性があります。

これが発生している問題の原因であることを確認するには、ドメインに参加しているコンピューターで次の手順を実行します。

  1. AD FS サービスと Microsoft クラウド サービスの間で一致しない属性を確認します。 これを行うには、次の手順に従います。

    1. [ スタート] をクリックし、[ すべてのプログラム] をクリックし、[ Microsoft Entra ID] をクリックしてから、 Windows PowerShell の [Microsoft Azure Active Directory モジュール] をクリックします。

    2. コマンドプロンプトで、以下のコマンドを入力します。 各コマンドを入力した後、Enter キーを押していることを確認します。

      $cred = get-credential

      メッセージが表示されたら、クラウド サービス管理者の資格情報を入力します。

      Connect-MSOLService –credential:$cred

      Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>

      このコマンドでは、プレースホルダー <AD FS 2.0 サーバー名> プライマリ AD FS サーバーの Windows ホスト名を表します。

      Get-MsolFederationProperty -domainname: <Federated Domain Name>

      このコマンドでは、 <Federated Domain Name> プレースホルダーは、シングル サインオン (SSO) のためにクラウド サービスと既にフェデレーションされているドメインの名前を表します。

      コマンド出力は、次の 2 つのセクションに分かれています。

      • 最初のセクションの最初の行は、"ソース: AD FS サーバー" と読み取り、ローカル AD FS サービスに格納されている構成を表します。
      • 2 番目のセクションの最初の行は、"ソース: <Microsoft クラウド サービス>" と読み取り、ID サービスに格納されている構成を表します。

      出力は次のようになります。

      コマンドを入力した後の出力結果のスクリーンショット。

  2. 2 つのセクションの各属性の値を比較して、値が一致していないかどうかを判断します。 値が一致しない場合は、フェデレーション ドメインの構成を更新する必要があります。

解決策

この問題を解決するには、次の方法のいずれかを使用してください。

方法 1: フェデレーション ドメインの構成を更新する

これを行う方法の詳細については、「Microsoft 365、 Azure、または Intune でフェデレーション ドメインの設定を更新または修復する方法」の「Microsoft 365 フェデレーション ドメインの構成を更新する方法」セクションを参照してください。

方法 2: フェデレーション ドメインの構成を修復する

方法 1 で問題が解決しない場合は、フェデレーション信頼の修復を試みます。 これを行う方法の詳細については、「Microsoft 365 フェデレーション ドメインの構成を修復する方法」セクションの「 Microsoft 365 フェデレーション ドメインの構成を更新または修復する方法 」を参照してください。

方法 3: Windows PowerShell 用 Azure Active Directory モジュールを使用して属性を手動で更新する

方法 1 と 2 で問題が解決しない場合は、不一致の属性を手動で更新してみてください。 問題の診断に使用した Windows PowerShell 接続で、次の表から適切なコマンドレットを実行します。

属性の不一致 エラー コード 属性を更新するコマンド 注記
FederationServiceIdentifier 80043431 Set-MSOLDomainFederationSettings -domain 名 <Domain.suffix> -issueruri <newURI> プレースホルダー <Domain.suffix> は、フェデレーション ドメイン名を表します。 プレースホルダー <newURI> は、オンプレミスの FederationServiceIdentifierattribute の URI 値を表します (Get-MsolFederationProperty コマンドレットの出力で最初に示されています)。

まだ助けが必要ですか? Microsoft コミュニティ または microsoft Entra フォーラム web サイト に移動します。