联合80041317用户登录到 Office 365、Azure 或 Intune 时出现"80041317"或"80043431"错误

备注

Office 365 ProPlus 正在重命名为 适用于企业的 Microsoft 365 应用。 有关此更改的详细信息, 请阅读此博客文章

问题

当联合用户尝试从登录网页(其 URL 以","开头为","身份验证失败)登录 Microsoft 云服务(如 Office 365、Microsoft Azure 或 Microsoft Intune)时。 https://login.microsoftonline.com/login 此外,用户会收到以下错误消息:

Sorry, but we're having trouble signing you in 

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431 

原因

如果本地 Active Directory 联合身份验证服务 (AD FS) 服务和 Azure Active Directory (Azure AD) 身份验证系统的联合域的配置设置不匹配,则会发生此问题。 这将导致 AD FS 服务提供的声明格式不正确,因此被身份验证Azure AD拒绝。

备注

在无需更新联合身份验证信任数据的情况下在本地续订令牌签名证书后,可能会发生这种情况。

若要验证这是导致您遇到的问题的原因,请对已加入域的计算机上执行以下步骤:

  1. 验证 AD FS 服务和 Microsoft 云服务之间的不匹配属性。 为此,请按照下列步骤操作:
    1. 单击 开始,单击 所有程序**,单击** Microsoft Azure Active Directory,然后单击Microsoft Azure Active Directory 模块Windows PowerShell。

    2. 在命令提示符下,键入以下命令。 请确保在键入每个命令后按 Enter:

      $cred = get-credential
      

      备注

      系统提示时,输入你的云服务管理员凭据。

      Connect-MSOLService –credential:$cred
      
      Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>
      

      备注

      在此命令中,<AD FS 2.0 服务器名称>表示Windows AD FS 服务器的主机名。

      Get-MsolFederationProperty -domainname: <Federated Domain Name>
      

      备注

      在此命令中,占位符表示已与云服务联盟的域的名称,用于 <Federated Domain Name> SSO (登录) 。

      备注

      命令输出分为以下两个部分:

      • 第一节的第一行显示"源:AD FS 服务器",表示存储在本地 AD FS 服务中的配置。
      • 第二部分的第一行显示为"Source: ",表示标识服务中 <Microsoft cloud service> 存储的配置。

      输出类似于以下内容:

      键入命令后输出结果的屏幕截图。

  2. 比较两节中每个属性的值,以确定值是否不匹配。 如果值不匹配,必须更新联盟域配置。

解决方案

若要解决此问题,请使用以下某种方法:

方法 1:更新联合域的配置

若要详细了解如何这样做,请参阅如何更新或修复Office 365、Azure或 Intune 中联合域的设置中的"如何更新 Office 365 联合域的配置"部分。

方法 2:修复联盟域的配置

如果方法 1 无法解决问题,请尝试修复联合信任。 若要详细了解如何操作,请参阅如何更新或修复 Office 365 联合域的配置中的"如何修复 Office 365 Office 365联合域的配置"一节。

方法 3:使用 Azure Active Directory 模块手动更新Windows PowerShell

如果方法 1 和 2 无法解决问题,请尝试手动更新不匹配的属性。 在Windows PowerShell诊断问题的 cmdlet 连接中,运行下表中的相应 cmdlet:

不匹配的属性 错误代码 更新属性的命令 注释
FederationServiceIdentifier 80043431 Set-MSOLDomainFederationSettings -domain name <Domain.suffix> -issueruri <newURI> Domain.suffix < 代表>域名的占位符。 newURI <> 表示内部部署 FederationServiceIdentifierattribute (在 Get-MsolFederationProperty cmdlet cmdlet 的输出中首先列出的 URI) 。

仍然需要帮助? 转到 Microsoft 社区Azure Active Directory 论坛网站。