フェデレーション ユーザーが Microsoft 365、Azure、または Intune にサインインしようとしたときにエラー 80048163

  • [アーティクル]
  • 適用対象:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365, Microsoft Intune, CRM Online via Office 365 E Plans, Azure Backup

問題

フェデレーション ユーザーが、 で始まるhttps://login.microsoftonline.comサインイン Web ページから Microsoft 365、Microsoft Azure、Microsoft Intuneなどの Microsoft クラウド サービスにサインインしようとすると、そのユーザーの認証が失敗します。 ユーザーは次のエラー メッセージを受け取ります。

Sorry, but we're having trouble signing you in

Please try again in a few minutes. If this doesn't work, you might want to contact your admin and report the following error:
80048163

原因

この問題は、次のいずれかの条件に該当する場合に発生する可能性があります。

  • ユーザーの UPN が更新され、古いサインイン情報がActive Directory フェデレーション サービス (AD FS) (AD FS) サーバーにキャッシュされました。 ユーザーの SAM アカウントが変更されると、キャッシュされたサインイン情報によって、次回ユーザーがサービスにアクセスしようとしたときに問題が発生する可能性があります。
  • 証明書利用者信頼で設定されている要求は、予期しないデータMicrosoft Entra ID返します。 この動作は、証明書利用者信頼に関連付けられている要求が手動で編集または削除された場合に発生する可能性があります。

ソリューション

解決策 1: AD FS サーバーでローカル セキュリティ機関 (LSA) 資格情報のキャッシュを無効にする

AD FS サーバーの LSA キャッシュ タイムアウト設定を更新して、Active Directory 資格情報のキャッシュを無効にすることができます。 この方法は注意して使用してください。 サーバーと Active Directory に追加の負荷がかかる場合があります。

重要

このメソッドには、レジストリを変更する方法を示す手順が含まれています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、次の記事番号をクリックして、 Windows でレジストリをバックアップおよび復元する方法に関する記事を参照してください。

この問題を解決するには、次の手順を実行します。

  1. ユーザーの UPN への変更がディレクトリ同期によって同期されていることを確認します。

  2. コンピューターからログオフし、もう一度ログオンするようにユーザーに指示します。

  3. 手順 1 と 2 で問題が解決しない場合は、次の手順に従います。

    1. レジストリ エディターを開き、次のサブキーを見つけます。

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

    2. [Lsa] を右クリックし、[新規] をクリックし、[DWORD 値] をクリックします。

    3. 「LsaLookupCacheMaxSize」と入力し、Enter キーを押して新しい値に名前を付けます。

    4. LsaLookupCacheMaxSize を右クリックし、[変更] をクリックします。

    5. [ 値データ ] ボックスに「 0」と入力し、[ OK] をクリックします。

    6. レジストリ エディターを終了します。

LsaLookupCacheMaxSize 再構成はサインイン のパフォーマンスに影響を与える可能性があり、症状が収まった後にこの再構成は必要ありません。 このメソッドは一時的にのみ使用する必要があり、問題が解決された後に LsaLookupCacheMaxSize 値を削除することを強くお勧めします。 これを行うには、次の手順を実行します。

  1. レジストリ エディターを開き、次のサブキーを見つけます。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  2. LsaLookupCacheMaxSize を右クリックし、[削除] をクリックします

  3. レジストリ エディターを終了します。

解決策 2: 証明書利用者の信頼を Microsoft Entra ID で更新する

証明書利用者の信頼を更新するには、次の Microsoft 記事の「Microsoft 365 フェデレーション ドメインの構成を更新する方法」セクションを参照してください。

Microsoft 365、Azure、またはIntuneでフェデレーション ドメインの設定を更新または修復する方法

詳細

さらにヘルプが必要ですか? Microsoft コミュニティまたはMicrosoft Entra フォーラム Web サイトに移動します。