Erreur « 80041317 » ou « 80043431 » lorsque les utilisateurs fédérés se connectent à Microsoft 365, Azure ou Intune

  • Article
  • S’applique à:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problème

Lorsqu’un utilisateur fédéré tente de se connecter à un service cloud Microsoft tel que Microsoft 365, Microsoft Azure ou Microsoft Intune à partir d’une page web de connexion dont l’URL commence par «https://login.microsoftonline.com/login , » l’authentification de cet utilisateur échoue. En outre, l’utilisateur reçoit le message d’erreur suivant :

Sorry, but we're having trouble signing you in 

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431

Cause

Ce problème se produit lorsque les paramètres de configuration du domaine fédéré pour le service Active Directory local Federation Services (AD FS) et pour le système d’authentification Microsoft Entra ne sont pas incompatibles. Cela entraîne la réclamation selon laquelle les fournitures du service AD FS sont incorrectes et donc rejetées par le système d’authentification Microsoft Entra.

Remarque

Cela peut se produire une fois que le certificat de signature de jeton est renouvelé localement sans mettre à jour les données d’approbation de fédération.

Remarque

Les modules PowerShell Azure AD et MSOnline sont déconseillés à compter du 30 mars 2024. Pour en savoir plus, lisez la mise à jour déconseillée. Après cette date, la prise en charge de ces modules est limitée à l’assistance à la migration vers le Kit de développement logiciel (SDK) Microsoft Graph PowerShell et aux correctifs de sécurité. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Note: Les versions 1.0.x de MSOnline peuvent être interrompues après le 30 juin 2024.

Pour vérifier que c’est bien la cause du problème que vous rencontrez, procédez comme suit sur un ordinateur joint à un domaine :

  1. Vérifiez l’attribut incompatible entre le service AD FS et le service cloud Microsoft. Pour cela, procédez comme suit :

    1. Cliquez sur Démarrer, sur Tous les programmes, sur Microsoft Entra ID, puis sur Microsoft Azure Active Directory module pour Windows PowerShell.

    2. À l’invite de commandes, tapez les commandes suivantes. Veillez à appuyer sur Entrée après avoir tapé chaque commande :

      $cred = get-credential

      Remarque

      Lorsque vous y êtes invité, entrez vos informations d’identification d’administrateur de service cloud.

      Connect-MSOLService –credential:$cred

      Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>

      Remarque

      Dans cette commande, l’espace réservé <AD FS 2.0 Server Name> représente le nom d’hôte Windows du serveur AD FS principal.

      Get-MsolFederationProperty -domainname: <Federated Domain Name>

      Remarque

      Dans cette commande, l’espace <réservé Nom> de domaine fédéré représente le nom du domaine qui est déjà fédéré avec le service cloud pour l’authentification unique (SSO).

      Remarque

      La sortie de la commande est divisée en deux sections suivantes :

      • La première ligne de la première section indique « Source : serveur AD FS » et représente la configuration stockée dans le service AD FS local.
      • La première ligne de la deuxième section indique « Source : <Service> cloud Microsoft » et représente la configuration stockée dans le service d’identité.

      Le résultat doit être similaire au suivant :

      Capture d’écran du résultat de sortie après avoir tapé les commandes.

  2. Comparez les valeurs de chaque attribut dans les deux sections pour déterminer si les valeurs sont incompatibles. Si les valeurs ne correspondent pas, la configuration du domaine fédéré doit être mise à jour.

Solution

Pour résoudre ce problème, appliquez l’une des méthodes suivantes :

Méthode 1 : Mettre à jour la configuration du domaine fédéré

Pour plus d’informations sur la procédure à suivre, consultez la section « Comment mettre à jour la configuration du domaine fédéré Microsoft 365 » dans Comment mettre à jour ou réparer les paramètres d’un domaine fédéré dans Microsoft 365, Azure ou Intune.

Méthode 2 : Réparer la configuration du domaine fédéré

Si la méthode 1 ne résout pas le problème, essayez de réparer l’approbation fédérée. Pour plus d’informations sur la procédure à suivre, consultez la section « Comment réparer la configuration du domaine fédéré Microsoft 365 » dans Comment mettre à jour ou réparer la configuration du domaine fédéré Microsoft 365 .

Méthode 3 : mettre à jour manuellement les attributs à l’aide du module Azure Active Directory pour Windows PowerShell

Si les méthodes 1 et 2 ne résolvent pas le problème, essayez de mettre à jour manuellement les attributs incompatibles. Dans la connexion Windows PowerShell que vous avez utilisée pour diagnostiquer le problème, exécutez l’applet de commande appropriée à partir du tableau suivant :

Attributs incompatibles Code d’erreur Commande pour mettre à jour l’attribut Remarques
FederationServiceIdentifier 80043431 Set-MSOLDomainFederationSettings -domain name <Domain.suffix> -issueruri <newURI> L’espace réservé <Domain.suffix> représente le nom de domaine fédéré. L’espace réservé <newURI> représente la valeur d’URI de l’attribut FederationServiceIdentifierattribute local (répertorié en premier dans la sortie de l’applet de commande Get-MsolFederationProperty).

Encore besoin d’aide ? Rejoignez la Communauté Microsoft ou accédez au site web Forums Microsoft Entra.