erreur « 80041317 » ou « 80043431 » lorsque des utilisateurs fédérés se connectent à Office 365, Azure ou Intune

Notes

Office 365 ProPlus est renommé Applications Microsoft 365 pour les entreprises. Pour plus d’informations sur ce changement, lisez ce billet de blog.

Problème

Lorsqu’un utilisateur fédéré tente de se connecter à un service de Cloud Microsoft, tel qu’Office 365, Microsoft Azure ou Microsoft Intune à partir d’une page Web de connexion dont l’URL commence par « https://login.microsoftonline.com/login , » l’authentification de cet utilisateur échoue. En outre, l’utilisateur reçoit le message d’erreur suivant :

Sorry, but we're having trouble signing you in 

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431 

Cause

Ce problème se produit lorsque les paramètres de configuration du domaine fédéré pour le service AD FS (Active Directory Federation Services) et pour le système d’authentification Azure Active Directory (Azure AD) locaux ne correspondent pas. Ainsi, la revendication que le service AD FS fournit doit être incorrecte et donc rejetée par le système d’authentification Azure AD. 

Notes

Cela peut se produire après le renouvellement du certificat de signature de jetons en local sans mettre à jour les données d’approbation de Fédération.

Pour vérifier qu’il s’agit de la cause du problème que vous rencontrez, procédez comme suit sur un ordinateur joint à un domaine :

  1. Vérifiez l’attribut inmatchable entre le service AD FS et le service Cloud de Microsoft. Pour cela, procédez comme suit :
    1. Cliquez successivement sur Démarrer, sur tous les programmes, sur Microsoft Azure Active Directory, puis sur module Microsoft Azure Active Directory pour Windows PowerShell.

    2. À l’invite de commandes, tapez les commandes suivantes. Appuyez sur entrée après avoir tapé chaque commande :

      $cred = get-credential
      

      Notes

      Lorsque vous y êtes invité, entrez vos informations d’identification d’administrateur de service Cloud.

      Connect-MSOLService –credential:$cred
      
      Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>
      

      Notes

      Dans cette commande, l’espace réservé <nom du serveur AD FS 2,0> représente le nom d’hôte Windows du serveur AD FS principal.

      Get-MsolFederationProperty -domainname: <Federated Domain Name>
      

      Notes

      Dans cette commande, l' <Federated Domain Name> espace réservé représente le nom du domaine qui est déjà fédéré avec le service Cloud pour l’authentification unique (SSO).

      Notes

      La sortie de la commande est divisée en deux sections :

      • La première ligne de la première section indique « source : AD FS Server » et représente la configuration stockée dans le service AD FS local.
      • La première ligne de la deuxième section indique « source : <Microsoft cloud service> » et représente la configuration stockée dans le service d’identité.

      La sortie ressemble à ce qui suit :

      Capture d’écran du résultat de sortie

  2. Comparez les valeurs de chaque attribut dans les deux sections afin de déterminer si les valeurs ne correspondent pas. Si les valeurs ne correspondent pas, la configuration du domaine fédéré doit être mise à jour.

Solution

Pour résoudre ce problème, utilisez l'une des méthodes suivantes :

Méthode 1 : mettre à jour la configuration du domaine fédéré

Pour plus d’informations sur la procédure à suivre, consultez la section « mise à jour de la configuration du domaine fédéré Office 365 » de la rubrique How to Update or repair the settings of a Federated Domain in Office 365, Azure ou Intune.

Méthode 2 : réparer la configuration du domaine fédéré

Si la méthode 1 ne résout pas le problème, essayez de réparer l’approbation fédérée. Pour plus d’informations sur la procédure à suivre, reportez-vous à la section « procédure de réparation de la configuration du domaine fédéré Office 365 » de la rubrique procédure de mise à jour ou réparation de la configuration du domaine fédéré office 365 .

Méthode 3 : mettre à jour manuellement les attributs à l’aide du module Azure Active Directory pour Windows PowerShell

Si les méthodes 1 et 2 ne résolvent pas le problème, essayez de mettre à jour manuellement les attributs qui ne correspondent pas. Dans la connexion Windows PowerShell que vous avez utilisée pour diagnostiquer le problème, exécutez l’applet de commande appropriée à partir du tableau suivant :

Attributs inégalés Code d'erreur Commande de mise à jour de l’attribut Notes
FederationServiceIdentifier 80043431 Set-MSOLDomainFederationSettings-nom de domaine <Domain. suffixe>-issueruri <newURI> L’espace réservé <domain. suffixe> représente le nom de domaine fédéré. L’espace réservé <newURI> représente la valeur d’URI de l’FederationServiceIdentifierattribute locale (qui apparaît en premier dans la sortie de l’applet de commande Get-MsolFederationProperty).

Encore besoin d’aide ? Accédez à la Communauté Microsoft ou au site Web Forums Azure Active Directory.