在联合用户尝试登录到 Office 365、Azure 或 Intune 时出现错误80048163

备注

Office 365 ProPlus 正在重命名为适用于企业的 Microsoft 365 应用。 有关此更改的详细信息, 请阅读此博客文章

问题

当联合用户尝试从 URL 开始的登录网页登录 Microsoft 云服务(如 Office 365、Microsoft Azure 或 Microsoft Intune https://login.microsoftonline.com )时,该用户的身份验证将会失败。 用户将收到以下错误消息:

Sorry, but we're having trouble signing you in

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80048163

原因

如果满足以下任一条件,则可能会发生此问题:

  • 已更新用户的 UPN,且旧登录信息缓存在 Active Directory 联合身份验证服务(AD FS)服务器上。 当用户的 SAM 帐户发生更改时,缓存的登录信息可能会在用户下次尝试访问服务时导致问题。
  • 在具有 Azure Active Directory (Azure AD)的信赖方信任中设置的声明返回意外的数据。 当手动编辑或删除与信赖方信任相关联的声明时,可能会出现此行为。

解决方案

解决方法1:禁用 AD FS 服务器上的本地安全颁发机构(LSA)凭据缓存

您可以更新 AD FS 服务器上的 LSA 缓存超时设置,以禁用 Active Directory 凭据信息的缓存。 使用此方法时要谨慎。 它可能会在服务器和 Active Directory 上增加额外负载。

重要

此方法包含的步骤介绍了如何修改注册表。 不过,如果修改注册表不当,可能会出现严重问题。 因此,请务必仔细遵循这些步骤。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看如何在 Windows 中备份和还原注册表一文。

若要解决此问题,请按照下列步骤操作:

  1. 确保对用户的 UPN 所做的更改是通过目录同步进行同步的。

  2. 指示用户注销计算机,然后重新登录。

  3. 如果第1步和第2步不能解决问题,请执行以下步骤:

    1. 打开注册表编辑器,然后找到以下子项:

      HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Lsa

    2. 右键单击 " Lsa",单击 "新建",然后单击 " DWORD 值"。

    3. 键入LsaLookupCacheMaxSize,然后按 enter 以命名新值。

    4. 右键单击 " LsaLookupCacheMaxSize",然后单击 "修改"。

    5. 在 "数值数据" 框中,键入0,然后单击 "确定"

    6. 退出注册表编辑器。

LsaLookupCacheMaxSize 重新配置会影响登录性能,并且在症状 subside 后不需要重新配置。 此方法只应临时使用,并且强烈建议您在问题解决后删除 LsaLookupCacheMaxSize 值。 要实现这一点,请执行下列步骤:

  1. 打开注册表编辑器,然后找到以下子项:

    HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Lsa

  2. 右键单击 " LsaLookupCacheMaxSize",然后单击 "删除"。

  3. 退出注册表编辑器。

解决方案2:使用 Azure AD 更新信赖方信任

若要更新信赖方信任,请参阅以下 Microsoft 文章中的 "如何更新 Office 365 联盟域的配置" 一节:

如何更新或修复 Office 365、Azure 或 Intune 中的联盟域的设置

更多信息

仍然需要帮助? 转到 Microsoft 社区Azure Active Directory 论坛网站。