问题
当联合用户尝试从 URL 以https://login.microsoftonline.com开头的登录网页登录到 Microsoft 云服务(例如 Microsoft 365、Microsoft Azure 或 Microsoft Intune)时,该用户的身份验证失败。 用户会收到以下错误消息:
Sorry, but we're having trouble signing you in
Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80048163
原因
如果满足下列任一条件,则可能会出现此问题:
- 用户的 UPN 已更新,旧登录信息缓存在 Active Directory 联合身份验证服务(AD FS)服务器上。 更改用户的 SAM 帐户时,缓存的登录信息可能会导致用户下次尝试访问服务时出现问题。
- 在受信方信任中设置的声明,Microsoft Entra ID 返回了意外的数据。 手动编辑或删除与信赖方信任关联的声明时,可能会发生此行为。
解决方案
解决方法 1:在 AD FS 服务器上禁用本地安全机构(LSA)凭据缓存
可以更新 AD FS 服务器上的 LSA 缓存超时设置,以禁用 Active Directory 凭据信息的缓存。 请谨慎使用此方法。 它可以在服务器和 Active Directory 上增加负载。
重要
此方法包含说明如何修改注册表的步骤。 如果您错误地修改注册表,可能会出现严重问题。 因此,请确保仔细执行这些步骤。 作为额外保护措施,请在修改注册表之前先将其备份。 然后,如果出现问题,您可以恢复注册表。 有关如何备份和还原注册表的详细信息,请单击以下文章编号以查看 文章“如何在 Windows 中备份和还原注册表”。
若要解决此问题,请执行以下步骤:
确保用户的 UPN 更改通过目录同步完成。
指示用户注销计算机,然后再次登录。
如果步骤 1 和步骤 2 无法解决问题,请执行以下步骤:
打开注册表编辑器,然后找到以下子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
右键单击 Lsa,单击 “新建”,然后单击 “DWORD 值”。
键入 LsaLookupCacheMaxSize,然后按 Enter 命名新值。
右键单击 LsaLookupCacheMaxSize,然后单击“ 修改”。
在“ 值”数据 框中,键入 0,然后单击“ 确定”。
退出注册表编辑器。
LsaLookupCacheMaxSize 重新配置可能会影响登录性能,在症状消退后不需要此重新配置。 此方法应暂时使用,强烈建议在解决问题后删除 LsaLookupCacheMaxSize 值。 为此,请执行以下步骤:
打开注册表编辑器,然后找到以下子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
右键单击 LsaLookupCacheMaxSize,然后单击“ 删除”。
退出注册表编辑器。
解决方法 2:使用 Microsoft Entra ID 更新信赖方信任
若要更新信赖方信任,请参阅以下Microsoft文章中的“如何更新 Microsoft 365 联合域的配置”部分:
如何在 Microsoft 365、Azure 或 Intune 中更新或修复联合域的设置
详细信息
还需要帮助吗? 转到 Microsoft社区 或 Microsoft entra 论坛 网站。