Errore "80041317" o "80043431" quando gli utenti federati accedono a Microsoft 365, Azure o Intune

  • Articolo
  • Si applica a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problema

Quando un utente federato tenta di accedere a un servizio cloud Microsoft, ad esempio Microsoft 365, Microsoft Azure o Microsoft Intune, da una pagina Web di accesso il cui URL inizia con "https://login.microsoftonline.com/login", l'autenticazione per tale utente ha esito negativo. Inoltre, l'utente riceve il messaggio di errore seguente:

Sorry, but we're having trouble signing you in 

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80041317 or 80043431

Causa

Questo problema si verifica quando le impostazioni di configurazione del dominio federato per il servizio Active Directory Federation Services (AD FS) locale e per il sistema di autenticazione Microsoft Entra non corrispondono. In questo modo, l'attestazione fornita dal servizio AD FS non è valida e pertanto viene rifiutata dal sistema di autenticazione di Microsoft Entra.

Nota

Questo problema può verificarsi dopo il rinnovo del certificato di firma del token in locale senza aggiornare i dati di attendibilità della federazione.

Nota

I moduli PowerShell di Azure AD e MSOnline saranno deprecati a partire dal 30 marzo 2024. Per ulteriori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni per la sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile effettuare la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per le domande più comuni sulla migrazione, consultare Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

Per verificare che questa sia la causa del problema riscontrato, seguire questa procedura in un computer aggiunto a un dominio:

  1. Verificare l'attributo non corrispondente tra il servizio AD FS e il servizio cloud Microsoft. A tal fine, attenersi alla seguente procedura:

    1. Fare clic sul pulsante Start, scegliere Tutti i programmi, Microsoft Entra ID e quindi fare clic su Modulo di Microsoft Azure Active Directory per Windows PowerShell.

    2. Al prompt dei comandi digitare i comandi seguenti. Assicurarsi di premere INVIO dopo aver digitato ogni comando:

      $cred = get-credential

      Nota

      Quando viene richiesto, immettere le credenziali di amministratore del servizio cloud.

      Connect-MSOLService –credential:$cred

      Set-MSOLADFSContext –Computer:<AD FS 2.0 Server Name>

      Nota

      In questo comando, il segnaposto <AD FS 2.0 Nome> server rappresenta il nome host Windows del server AD FS primario.

      Get-MsolFederationProperty -domainname: <Federated Domain Name>

      Nota

      In questo comando il <segnaposto Nome> di dominio federato rappresenta il nome del dominio già federato con il servizio cloud per l'accesso Single Sign-On (SSO).

      Nota

      L'output del comando è suddiviso nelle due sezioni seguenti:

      • La prima riga della prima sezione è "Source: AD FS Server" e rappresenta la configurazione archiviata nel servizio AD FS locale.
      • La prima riga della seconda sezione è "Origine: <servizio> cloud Microsoft" e rappresenta la configurazione archiviata nel servizio di identità.

      L'output è simile al seguente:

      Screenshot del risultato dell'output dopo aver digitato i comandi.

  2. Confrontare i valori di ogni attributo nelle due sezioni per determinare se i valori non corrispondono. Se i valori non corrispondono, è necessario aggiornare la configurazione del dominio federato.

Soluzione

Per risolvere il problema, utilizzare uno dei seguenti metodi:

Metodo 1: aggiornare la configurazione del dominio federato

Per altre informazioni su come eseguire questa operazione, vedere la sezione "Come aggiornare la configurazione del dominio federato di Microsoft 365" in Come aggiornare o ripristinare le impostazioni di un dominio federato in Microsoft 365, Azure o Intune.

Metodo 2: Ripristinare la configurazione del dominio federato

Se il metodo 1 non risolve il problema, provare a ripristinare l'attendibilità federata. Per altre informazioni su come eseguire questa operazione, vedere la sezione "Come ripristinare la configurazione del dominio federato di Microsoft 365" in Come aggiornare o ripristinare la configurazione del dominio federato di Microsoft 365 .

Metodo 3: Aggiornare manualmente gli attributi usando il modulo Azure Active Directory per Windows PowerShell

Se i metodi 1 e 2 non risolvono il problema, provare ad aggiornare manualmente gli attributi non corrispondenti. Nella connessione di Windows PowerShell usata per diagnosticare il problema eseguire il cmdlet appropriato dalla tabella seguente:

Attributi non corrispondenti Codice errore Comando per aggiornare l'attributo Note
FederationServiceIdentifier 80043431 Set-MSOLDomainFederationSettings -domain name <Domain.suffix> -issueruri <newURI> Il segnaposto <Domain.suffix> rappresenta il nome di dominio federato. Il segnaposto <newURI> rappresenta il valore URI dell'attributo FederationServiceIdentifier locale (elencato per primo nell'output del cmdlet Get-MsolFederationProperty).

Ulteriore assistenza Accedere alla community Microsoft o al sito Web dei forum di Microsoft Entra.