Ошибка "80041317" или "80043431" при входе федеративных пользователей в Microsoft 365, Azure или Intune
Проблема
Когда федеративный пользователь пытается войти в облачную службу Майкрософт, например Microsoft 365, Microsoft Azure или Microsoft Intune, с веб-страницы входа, URL-адрес которой начинается с "https://login.microsoftonline.com/login", проверка подлинности для этого пользователя завершается ошибкой. Кроме того, пользователь получает следующее сообщение об ошибке:
Sorry, but we're having trouble signing you in
Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431
Причина
Эта проблема возникает, если параметры конфигурации федеративного домена для локальной службы федерации Active Directory (AD FS) и системы проверки подлинности Microsoft Entra не совпадают. Это приводит к тому, что утверждение о том, что служба AD FS поставляется неправильно, и, следовательно, отклоняется системой проверки подлинности Microsoft Entra.
Примечание.
Это может произойти после того, как сертификат подписи маркера обновляется локально без обновления данных доверия федерации.
Примечание.
Модули PowerShell Azure AD и MSOnline устарели с 30 марта 2024 г. Дополнительные сведения см. в статье Обновление для прекращения поддержки. После этой даты поддержка этих модулей ограничивается поддержкой миграции пакета SDK Для Microsoft Graph PowerShell и исправлениями безопасности. Устаревшие модули будут работать до 30 марта 2025 г.
Мы рекомендуем выполнить миграцию в Microsoft Graph PowerShell , чтобы взаимодействовать с Идентификатором Microsoft Entra (прежнее название — Azure AD). Распространенные вопросы о миграции см. в разделе Вопросы и ответы о миграции. Заметка: В версиях 1.0.x MSOnline может возникнуть сбой после 30 июня 2024 г.
Чтобы убедиться, что это является причиной проблемы, выполните следующие действия на компьютере, присоединенном к домену:
- Проверьте несоответствие атрибута между службой AD FS и облачной службой Майкрософт. Для этого выполните следующие действия:
Нажмите кнопку Пуск, все программы, идентификатор Microsoft Entra, а затем — модуль Microsoft Azure Active Directory для Windows PowerShell.
В командной строке введите следующие команды. После ввода каждой команды нажимайте клавишу ВВОД:
$cred = get-credential
Примечание.
При появлении запроса введите учетные данные администратора облачной службы.
Connect-MSOLService –credential:$cred
Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>
Примечание.
В этой команде заполнитель <ИМЯ сервера> AD FS 2.0 представляет имя узла Windows основного сервера AD FS.
Get-MsolFederationProperty -domainname: <Federated Domain Name>
Примечание.
В этой команде <заполнитель Федеративное доменное имя> представляет имя домена, который уже объединяется с облачной службой для единого входа.
Примечание.
Выходные данные команды делятся на следующие два раздела:
- В первой строке первого раздела говорится "Источник: сервер AD FS" и представлена конфигурация, хранящаяся в локальной службе AD FS.
- В первой строке второго раздела говорится "Источник: <облачная служба> Майкрософт" и представлена конфигурация, хранящаяся в службе удостоверений.
Выходные данные выглядят следующим образом:
- Сравните значения каждого атрибута в двух разделах, чтобы определить, не совпадают ли значения. Если значения не совпадают, необходимо обновить конфигурацию федеративного домена.
Решение
Для решения этой проблемы воспользуйтесь одним из указанных ниже способов.
Способ 1. Обновление конфигурации федеративного домена
Дополнительные сведения о том, как это сделать, см. в разделе "Обновление конфигурации федеративного домена Microsoft 365" статьи Обновление или исправление параметров федеративного домена в Microsoft 365, Azure или Intune.
Способ 2. Восстановление конфигурации федеративного домена
Если метод 1 не устраняет проблему, попробуйте восстановить федеративное доверие. Дополнительные сведения о том, как это сделать, см. в разделе "Восстановление конфигурации федеративного домена Microsoft 365" статьи Обновление или восстановление конфигурации федеративного домена Microsoft 365 .
Метод 3. Обновление атрибутов вручную с помощью модуля Azure Active Directory для Windows PowerShell
Если методы 1 и 2 не устраняют проблему, попробуйте вручную обновить несовпадения атрибутов. В подключении Windows PowerShell, которое использовалось для диагностики проблемы, выполните соответствующий командлет из следующей таблицы:
Несовпадение атрибутов | Код ошибки | Команда для обновления атрибута | Примечания |
---|---|---|---|
FederationServiceIdentifier | 80043431 | Set-MSOLDomainFederationSettings -доменное имя <Domain.suffix> -issueruri <newURI> | Заполнитель <Domain.suffix> представляет федеративное доменное имя. Заполнитель <newURI> представляет значение URI локального элемента FederationServiceIdentifierattribute (указано первым в выходных данных командлета Get-MsolFederationProperty). |
Требуется дополнительная помощь? Перейдите на веб-сайт Сообщества Майкрософт или форумы Microsoft Entra .