Erreur 80048163 lorsqu’un utilisateur fédéré tente de se connecter à Office 365, Azure ou Intune

Notes

Office 365 ProPlus est renommé Applications Microsoft 365 pour les entreprises. Pour plus d’informations sur ce changement, lisez ce billet de blog.

Problème

Lorsqu’un utilisateur fédéré tente de se connecter à un service de Cloud Microsoft, tel qu’Office 365, Microsoft Azure ou Microsoft Intune à partir d’une page Web de connexion dont l’URL commence par https://login.microsoftonline.com , l’authentification de cet utilisateur échoue. L’utilisateur obtient le message d’erreur suivant :

Sorry, but we're having trouble signing you in

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80048163

Cause

Ce problème peut se produire si l’une des conditions suivantes est remplie :

  • Le nom d’utilisateur principal d’un utilisateur a été mis à jour et les anciennes informations de connexion étaient mises en cache sur le serveur AD FS (Active Directory Federation Services). Lorsque le compte SAM de l’utilisateur est modifié, les informations de connexion mises en cache peuvent causer des problèmes la prochaine fois que l’utilisateur tente d’accéder aux services.
  • Les revendications configurées dans l’approbation de partie de confiance avec Azure Active Directory (Azure AD) renvoient des données inattendues. Ce comportement peut se produire lorsque les revendications associées à la relation d’approbation de partie de confiance sont modifiées ou supprimées manuellement.

Solution

Résolution 1 : désactiver la mise en cache des informations d’identification LSA (local Security Authority) sur le serveur AD FS

Vous pouvez mettre à jour le paramètre de délai d’expiration du cache LSA sur le serveur AD FS pour désactiver la mise en cache des informations d’identification Active Directory. Utilisez cette méthode avec précaution. Il peut placer une charge supplémentaire sur le serveur et Active Directory.

Important

Cette méthode contient des étapes qui vous indiquent comment modifier le registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le registre de manière incorrecte. Par conséquent, veillez à suivre ces étapes avec soin. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la sauvegarde et la restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l’article How to back up and Restore the registry in Windows.

Pour résoudre ce problème, procédez comme suit :

  1. Assurez-vous que les modifications apportées au nom UPN de l’utilisateur sont synchronisées via la synchronisation d’annuaires.

  2. Demandez à l’utilisateur de se déconnecter de l’ordinateur, puis de se reconnecter.

  3. Si les étapes 1 et 2 ne résolvent pas le problème, procédez comme suit :

    1. Ouvrez l’éditeur du Registre, puis recherchez la sous-clé suivante :

      HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Lsa

    2. Cliquez avec le bouton droit sur LSA, cliquez sur nouveau, puis sur valeur DWORD.

    3. Tapez LsaLookupCacheMaxSize, puis appuyez sur entrée pour nommer la nouvelle valeur.

    4. Cliquez avec le bouton droit sur LsaLookupCacheMaxSize, puis cliquez sur modifier.

    5. Dans la zone données de la valeur , tapez 0, puis cliquez sur OK.

    6. Fermez l’Éditeur du Registre.

La reconfiguration d’LsaLookupCacheMaxSize peut avoir une incidence sur les performances de connexion et cette reconfiguration n’est pas nécessaire après les symptômes. Cette méthode doit être utilisée uniquement de façon temporaire, et nous vous recommandons vivement de supprimer la valeur LsaLookupCacheMaxSize une fois que le problème est résolu. Pour cela, procédez comme suit:

  1. Ouvrez l’éditeur du Registre, puis recherchez la sous-clé suivante :

    HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Lsa

  2. Cliquez avec le bouton droit sur LsaLookupCacheMaxSize, puis cliquez sur supprimer.

  3. Fermez l’Éditeur du Registre.

Résolution 2 : mettre à jour l’approbation de la partie de confiance avec Azure AD

Pour mettre à jour l’approbation de partie de confiance, consultez la section « mise à jour de la configuration de la configuration du domaine fédéré Office 365 » de l’article Microsoft suivant :

Comment mettre à jour ou réparer les paramètres d’un domaine fédéré dans Office 365, Azure ou Intune

Informations supplémentaires

Encore besoin d’aide ? Accédez à la Communauté Microsoft ou au site Web Forums Azure Active Directory.