Compartilhar via

Erro "80041317" ou "80043431" quando os utilizadores federados iniciam sessão no Microsoft 365, no Azure ou no Intune

  • Artigo
  • Aplica-se a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problema

Quando um utilizador federado tenta iniciar sessão num serviço cloud da Microsoft, como o Microsoft 365, o Microsoft Azure ou o Microsoft Intune a partir de uma página Web de início de sessão cujo URL começa com "https://login.microsoftonline.com/login", a autenticação desse utilizador falha. Além disso, o utilizador recebe a seguinte mensagem de erro:

Sorry, but we're having trouble signing you in 

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431

Motivo

Este problema ocorre quando as definições de configuração do domínio federado para o serviço dos Serviços de Federação do Active Directory (AD FS) no local e para o sistema de autenticação Microsoft Entra não correspondem. Isto faz com que a alegação de que o serviço AD FS fornece seja malformada e, por conseguinte, rejeitada pelo sistema de autenticação Microsoft Entra.

Observação

Isto pode ocorrer depois de o certificado de assinatura de tokens ser renovado no local sem atualizar os dados de confiança de federação.

Observação

Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização sobre substituição. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para obter respostas para perguntas de migração comuns, consulte as perguntas frequentes sobre migração. Observação: as versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

Para verificar se esta é a causa do problema que está a ter, siga estes passos num computador associado a um domínio:

  1. Verifique o atributo não correspondente entre o serviço AD FS e o serviço cloud da Microsoft. Para fazer isso, siga estas etapas:

    1. Clique em Iniciar, clique em Todos os Programas, clique em Microsoft Entra ID e, em seguida, clique em Módulo microsoft Azure Active Directory para Windows PowerShell.

    2. Na linha de comandos, escreva os seguintes comandos. Certifique-se de que prime Enter depois de escrever cada comando:

      $cred = get-credential

      Observação

      Quando lhe for pedido, introduza as credenciais de administrador do serviço cloud.

      Connect-MSOLService –credential:$cred

      Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>

      Observação

      Neste comando, o marcador <de posição AD FS 2.0 Nome> do Servidor representa o nome do anfitrião do Windows do servidor AD FS principal.

      Get-MsolFederationProperty -domainname: <Federated Domain Name>

      Observação

      Neste comando, o <marcador de posição Nome> de Domínio Federado representa o nome do domínio que já está federado com o serviço cloud para início de sessão único (SSO).

      Observação

      A saída do comando está dividida nas duas secções seguintes:

      • A primeira linha da primeira secção diz "Origem: Servidor AD FS" e representa a configuração armazenada no serviço AD FS local.
      • A primeira linha da segunda secção diz "Origem: <serviço> cloud da Microsoft" e representa a configuração armazenada no serviço de identidade.

      A saída é semelhante à seguinte:

      Captura de ecrã do resultado da saída depois de escrever os comandos.

  2. Compare os valores de cada atributo nas duas secções para determinar se os valores não correspondem. Se os valores não forem correspondentes, a configuração do domínio federado tem de ser atualizada.

Solução

Para resolver esse problema, use um dos seguintes métodos:

Método 1: Atualizar a configuração do domínio federado

Para obter mais informações sobre como fazê-lo, consulte a secção "Como atualizar a configuração do domínio federado do Microsoft 365" em Como atualizar ou reparar as definições de um domínio federado no Microsoft 365, no Azure ou no Intune.

Método 2: Reparar a configuração do domínio federado

Se o método 1 não resolver o problema, tente reparar a confiança federada. Para obter mais informações sobre como fazê-lo, consulte a secção "Como reparar a configuração do domínio federado do Microsoft 365" em Como atualizar ou reparar a configuração do domínio federado do Microsoft 365 .

Método 3: atualizar manualmente os atributos com o módulo do Azure Active Directory para Windows PowerShell

Se os métodos 1 e 2 não resolverem o problema, tente atualizar manualmente os atributos não correspondentes. Na ligação do Windows PowerShell que utilizou para diagnosticar o problema, execute o cmdlet adequado a partir da seguinte tabela:

Atributos não correspondentes Código de erro Comando para atualizar atributo Observações
FederationServiceIdentifier 80043431 Set-MSOLDomainFederationSettings -nome <de domínio Domain.suffix> -issueruri <newURI> O marcador < de posição Domain.suffix> representa o nome de domínio federado. O novoURI> do marcador < de posição representa o valor URI do cmdlet FederationServiceIdentifierattribute no local (listado em primeiro lugar na saída do cmdlet Get-MsolFederationProperty).

Ainda precisa de ajuda? Acesse o site da Microsoft Community ou os fóruns do Microsoft Entra.