Résoudre les messages d’erreur de l’extension de serveur NPS pour l’authentification multifacteur de Microsoft Entra
Si vous rencontrez des erreurs au niveau de l’extension NPS pour l’authentification multifacteur Microsoft Entra, utilisez cet article pour les résoudre plus rapidement. Les journaux d’extension NPS se trouvent dans l’observateur d’événements sous Journaux des applications et des services>Microsoft>AzureMfa>AuthN>AuthZ sur le serveur où est installée l’extension NPS.
Étapes de résolution des erreurs courantes
| Code d'erreur | Étapes de dépannage |
|---|---|
| CONTACT_SUPPORT | Contactez le support technique et mentionnez la liste des étapes de collecte des journaux d’activité. Fournissez autant d’informations que possible sur ce qui s’est produit avant l’erreur, y compris l’ID de locataire et le nom d’utilisateur principal (UPN). |
| CLIENT_CERT_INSTALL_ERROR | Il peut y avoir un problème avec la façon dont le certificat client a été installé ou associé à votre locataire. Suivez les instructions de Résolution des problèmes liés à l’extension NPS pour MFA pour explorer les problèmes de certificat client. |
| ESTS_TOKEN_ERROR | Suivez les instructions de Résolution des problèmes liés à l’extension NPS pour MFA pour explorer les problèmes de certificat client et de jeton de sécurité. |
| HTTPS_COMMUNICATION_ERROR | Le serveur NPS ne peut pas recevoir les réponses de l’authentification multifacteur Microsoft Entra. Vérifiez que vos pare-feux sont ouverts en mode bidirectionnel pour le trafic vers et à partir de https://adnotifications.windowsazure.com et que TLS 1.2 est activé (par défaut). Si TLS 1.2 est désactivé, l’authentification utilisateur échoue et l’ID d’événement 36871 avec le SChannel source est entré dans le journal système dans l’observateur d’événements. Pour vérifier que TLS 1.2 est activé, consultez Paramètres de Registre TLS. |
| HTTP_CONNECT_ERROR | Sur le serveur qui exécute l’extension NPS, vérifiez que vous pouvez atteindre https://adnotifications.windowsazure.com et https://login.microsoftonline.com/. Si ces sites ne se chargent pas, résolvez les problèmes de connectivité sur ce serveur. |
| Extension NPS pour l’authentification multifacteur Microsoft Entra (AccessReject) : L’extension NPS pour l’authentification multifacteur Microsoft Entra n’effectue que des requêtes Radius dans l’état AccessAccept. Demande reçue pour l’utilisateur « nom d’utilisateur » avec l’état de réponse AccessReject (demande ignorée). |
Cette erreur reflète généralement un échec d’authentification ou le fait que le serveur NPS est incapable de recevoir des réponses de Microsoft Entra ID. Vérifiez que vos pare-feu sont ouverts en mode bidirectionnel et qu’ils autorisent le trafic vers et depuis https://adnotifications.windowsazure.com et https://login.microsoftonline.com sur les ports 80 et 443. Il est également important de vérifier que sous l’onglet Appel entrant, dans la zone Autorisation d’accès réseau, le paramètre est défini sur « Contrôler l’accès via la Stratégie d’accès à distance ». Cette erreur peut également se déclencher si l’utilisateur ne dispose pas d’une licence. |
| Extension NPS pour l’authentification multifacteur Microsoft Entra (AccessChallenge) : L’extension NPS pour l’authentification multifacteur Microsoft Entra n’effectue que des requêtes Radius dans l’état AccessAccept. Requête reçue pour Nom d’utilisateur avec l’état de réponse AccessChallenge, ignorant la requête. |
Cette réponse est utilisée lorsque des informations supplémentaires sont exigées de la part de l’utilisateur pour terminer le processus d’authentification ou d’autorisation. Le serveur NPS envoie un défi à l’utilisateur, demandant des informations d’identification ou des informations supplémentaires. Il précède généralement une réponse Access-Accept ou Access-Reject. |
| REGISTRY_CONFIG_ERROR | Une clé est manquante dans le registre de l’application. Un script PowerShell n’a peut-être pas été exécuté après l’installation. Ce message d’erreur doit inclure la clé manquante. Assurez-vous que la clé se trouve dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa. |
| REQUEST_FORMAT_ERROR Attribut userName\Identifier Radius obligatoire manquant dans la demande Radius. Vérifiez que NPS reçoit les demandes RADIUS |
Cette erreur indique généralement un problème d’installation. L’extension NPS doit être installée sur des serveurs NPS pouvant recevoir des demandes RADIUS. Les serveurs NPS installés en tant que dépendances de services comme RDG et RRAS ne reçoivent pas les demandes RADIUS. L’extension NPS ne fonctionne pas dans le cadre d’une telle installation et retourne une erreur, car elle ne peut pas lire les détails de la demande d’authentification. |
| REQUEST_MISSING_CODE | Assurez-vous que le protocole de chiffrement du mot de passe entre les serveurs NPS et NAS prend en charge la méthode d’authentification secondaire que vous utilisez. PAP prend en charge toutes les méthodes d'authentification de l’authentification multifacteur Microsoft Entra dans le cloud : appel téléphonique, SMS à sens unique, notification d’application mobile, et code de vérification d’application mobile. CHAPv2 et EAP prennent en charge l’appel téléphonique et la notification d’application mobile. |
| USERNAME_CANONICALIZATION_ERROR | Vérifiez que l’utilisateur se trouve dans votre instance locale d’Active Directory et que le service NPS dispose des autorisations pour accéder au répertoire. Si vous utilisez des approbations de forêt, contactez le support technique pour obtenir une aide supplémentaire. |
| Défi présenté dans l’authentificateur externe pour l’utilisateur | Les organisations qui utilisent un protocole RADIUS autre que PAP observent l’échec de l’autorisation VPN utilisateur et l’apparition d’événements dans le journal des événements AuthZOptCh du serveur d’extension NPS. Vous pouvez configurer le serveur NPS pour prendre en charge PAP. Si PAP n’est pas une option, vous pouvez définir OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE pour revenir aux notifications Push Approuver/Refuser. Pour obtenir de l’aide, veuillez consulter Correspondance de nombre à l’aide de l’extension NPS. |
Erreurs d’ID de connexion de substitution
| Code d'erreur | Message d’erreur | Étapes de dépannage |
|---|---|---|
| ALTERNATE_LOGIN_ID_ERROR | Erreur : échec de la recherche userObjectSid | Vérifiez que l’utilisateur existe dans votre instance Active Directory locale. Si vous utilisez des approbations de forêt, contactez le support technique pour obtenir une aide supplémentaire. |
| ALTERNATE_LOGIN_ID_ERROR | Erreur : Échec de la recherche d’un ID de connexion de substitution | Vérifiez que LDAP_ALTERNATE_LOGINID_ATTRIBUTE est défini sur un attribut Active Directory valide. Si LDAP_FORCE_GLOBAL_CATALOG est défini sur True, ou si LDAP_LOOKUP_FORESTS est configuré avec une valeur non vide, vérifiez que vous avez configuré un catalogue global et que l’attribut AlternateLoginId y est ajouté. Si LDAP_LOOKUP_FORESTS est configuré avec une valeur non vide, vérifiez que la valeur est correcte. S’il existe plusieurs noms de forêt, ces noms doivent être séparés par des points-virgules, et non des espaces. Si ces étapes ne résolvent pas le problème, contactez le support technique pour plus d’informations. |
| ALTERNATE_LOGIN_ID_ERROR | Erreur : La valeur relative à l’ID de connexion de substitution est vide | Vérifiez que l’attribut AlternateLoginId est configuré pour l’utilisateur. |
Erreurs que vos utilisateurs pourraient rencontrer
| Code d'erreur | Message d’erreur | Étapes de dépannage |
|---|---|---|
| AccessDenied | Le locataire de l’appelant n’a pas les autorisations d’accès pour l’authentification de l’utilisateur | Vérifiez que le domaine du locataire et le domaine du nom d’utilisateur principal sont identiques. Par exemple, assurez-vous que user@contoso.com essaie de s’authentifier sur le locataire Contoso. Le nom d’utilisateur principal représente un utilisateur valide du locataire dans Azure. |
| AuthenticationMethodNotConfigured | La méthode d’authentification spécifiée n’est pas configurée pour l’utilisateur | Invitez l’utilisateur à ajouter ou vérifier ses méthodes de vérification en suivant les instructions de la page Gérer les paramètres de la vérification en deux étapes. |
| AuthenticationMethodNotSupported | La méthode d’authentification spécifiée n’est pas prise en charge. | Effectuez la collecte de tous les journaux d’activité incluant cette erreur et contactez le support technique. Lorsque vous contactez le support technique, indiquez le nom d’utilisateur et la méthode de vérification secondaire ayant déclenché l’erreur. |
| BecAccessDenied | L’appel de MSODS Bec a retourné une erreur de type accès refusé. Le nom d’utilisateur n’est probablement pas défini dans le locataire | L’utilisateur est présent dans Active Directory local, mais il n’est pas synchronisé dans Microsoft Entra ID par AD Connect. Ou bien, l’utilisateur est manquant pour le locataire. Ajoutez l’utilisateur dans Microsoft Entra ID et invitez-le à ajouter ses méthodes de vérification en suivant les instructions de la page Gérer les paramètres de la vérification en deux étapes. |
| InvalidFormat ou StrongAuthenticationServiceInvalidParameter | Le format du numéro de téléphone est inconnu | Demandez à l’utilisateur de corriger son numéro de téléphone de vérification. |
| InvalidSession | La session spécifiée n’est pas valide ou a expiré | La session a duré plus de trois minutes. Vérifiez que l’utilisateur entre le code de vérification ou répond à la notification de l’application dans les trois minutes suivant l’initiation de la demande d’authentification. Si le problème persiste, vérifiez qu’il n’existe aucune latence réseau entre le client, le serveur NAS, le serveur NPS et le point de terminaison d’authentification multifacteur Microsoft Entra. |
| NoDefaultAuthenticationMethodIsConfigured | Aucune méthode d’authentification par défaut n’est configurée pour l’utilisateur | Invitez l’utilisateur à ajouter ou vérifier ses méthodes de vérification en suivant les instructions de la page Gérer les paramètres de la vérification en deux étapes. Vérifiez que l’utilisateur a choisi une méthode d’authentification par défaut et configuré cette méthode pour son compte. |
| OathCodePinIncorrect | Code et PIN saisis erronés. | Cette erreur ne devrait pas se produire avec l’extension NPS. Si l’utilisateur la rencontre, contactez le support technique pour obtenir de l’aide. |
| ProofDataNotFound | Les données de vérification ne sont pas configurées pour la méthode d’authentification sélectionnée. | Invitez l’utilisateur à essayer une nouvelle méthode de vérification ou à en ajouter d’autres en suivant les instructions de la page Gérer les paramètres de la vérification en deux étapes. Si l’erreur persiste après que vous avez confirmé la bonne configuration de sa méthode de vérification, contactez le support technique. |
| SMSAuthFailedWrongCodePinEntered | Code et PIN saisis erronés. (OneWaySMS) | Cette erreur ne devrait pas se produire avec l’extension NPS. Si l’utilisateur la rencontre, contactez le support technique pour obtenir de l’aide. |
| TenantIsBlocked | Locataire bloqué | Contactez le support et indiquez l’ID de tenant figurant dans la page de propriétés Microsoft Entra du centre d’administration Microsoft Entra. |
| UserNotFound | L’utilisateur spécifié est introuvable | Le tenant n’apparaît plus comme étant actif dans Microsoft Entra ID. Vérifiez que votre abonnement est actif et que vous disposez des applications internes requises. Assurez-vous également que le locataire spécifié dans l’objet du certificat est le locataire attendu et que le certificat est toujours valide et enregistré sous le principal de service. |
Messages qui ne sont pas des erreurs que vos utilisateurs peuvent rencontrer
Il peut arriver que vos utilisateurs reçoivent des messages de l’authentification multifacteur en cas d’échec de leur demande d’authentification. Ceux-ci ne sont pas des erreurs de configuration. Il s’agit d’avertissements intentionnels expliquant pourquoi une demande d’authentification a été refusée.
| Code d'erreur | Message d’erreur | Étapes recommandées |
|---|---|---|
| OathCodeIncorrect | Code saisi erroné\Code OATH incorrect | L’utilisateur a entré un code erroné. Demandez-lui de réessayer en demandant un nouveau code ou en se reconnectant. |
| SMSAuthFailedMaxAllowedCodeRetryReached | Limite maximale autorisée de tentatives de saisie de code atteinte | L’utilisateur n’a pas rempli les conditions de vérification correctement un trop grand nombre de fois. En fonction de vos paramètres, un administrateur devra peut-être le débloquer. |
| SMSAuthFailedWrongCodeEntered | Code saisi erroné/Mot de passe SMS à usage unique incorrect | L’utilisateur a entré un code erroné. Demandez-lui de réessayer en demandant un nouveau code ou en se reconnectant. |
| AuthenticationThrottled | Trop de tentatives par l’utilisateur dans un court laps de temps. Limitation. | Microsoft peut limiter les tentatives d'authentification répétées effectuées par le même utilisateur sur une courte période. Cette limitation ne s’applique pas à Microsoft Authenticator ni au code de vérification. Si vous avez atteint ces limites, vous pouvez utiliser l'application Authenticator, le code de vérification ou essayer de vous reconnecter quelques minutes plus tard. |
| AuthenticationMethodLimitReached | Limite de méthode d’authentification atteinte. Limitation. | Microsoft peut limiter les tentatives d’authentification répétées effectuées par le même utilisateur à l’aide du même type de méthode d’authentification dans un court laps de temps, en particulier un appel vocal ou un SMS. Cette limitation ne s’applique pas à Microsoft Authenticator ni au code de vérification. Si vous avez atteint ces limites, vous pouvez utiliser l'application Authenticator, le code de vérification ou essayer de vous reconnecter quelques minutes plus tard. |
Erreurs qui nécessitent un support
Si vous rencontrez l’une de ces erreurs, nous vous recommandons de contacter le support technique pour un diagnostic. Il n’existe pas d’étapes standard à suivre pour résoudre ces erreurs. Lorsque vous contactez le support technique, veillez à inclure autant d’informations que possible sur les étapes ayant conduit à l’erreur, ainsi que les informations de votre locataire.
| Code d'erreur | Message d’erreur |
|---|---|
| InvalidParameter | Request ne doit pas être null |
| InvalidParameter | ObjectId ne doit pas être null ou vide pour ReplicationScope : {0} |
| InvalidParameter | La longueur de CompanyName {0}\ dépasse la longueur maximale autorisée {1} |
| InvalidParameter | UserPrincipalName ne doit pas être null ou vide |
| InvalidParameter | Le TenantId fourni n’est pas au bon format |
| InvalidParameter | SessionId ne doit pas être null ou vide |
| InvalidParameter | Résolution impossible des ProofData de la demande ou de Msods. Paramètre ProofData inconnu |
| InternalError | |
| OathCodePinIncorrect | |
| VersionNotSupported | |
| MFAPinNotSetup |
Étapes suivantes
Résoudre les problèmes relatifs aux comptes utilisateur
Si vos utilisateurs ont des difficultés avec la vérification en deux étapes, aidez-les à diagnostiquer eux-mêmes les problèmes.
Script de vérification d’intégrité
Le script de vérification de l’intégrité de l’extension NPS de l’authentification multifacteur Microsoft Entra effectue plusieurs vérifications de l’intégrité de base lors de la résolution des problèmes liés à l’extension NPS. Voici un résumé rapide de chaque option disponible lors de l’exécution du script :
- Option 1 : pour isoler la cause du problème : s’il s’agit d’un problème NPS ou MFA (Exporter des RegKeys MFA, Redémarrer NPS, Tester, Importer des RegKeys, Redémarrer NPS)
- Option 2 : pour vérifier un ensemble complet de tests, lorsque tous les utilisateurs ne peuvent pas utiliser l’extension NPS MFA (Test d’accès à Azure/Créer un rapport HTML)
- Option 3 : pour vérifier un ensemble spécifique de tests, lorsqu’un utilisateur spécifique ne peut pas utiliser l’extension NPS MFA (MFA de test pour un UPN spécifique)
- Option 4 : collecter les journaux pour contacter le support Microsoft (Activer la journalisation/Redémarrer NPS/Collecter les journaux)
Contact Microsoft support
Si vous avez besoin d’une assistance supplémentaire, contactez un professionnel du support par le biais du support MFA. Lorsque vous nous contactez, veillez à inclure autant d’informations que possible concernant votre problème. Vous pouvez notamment préciser la page sur laquelle vous avez rencontré l’erreur, le code d’erreur spécifique, l’ID de session spécifique, l’ID de l’utilisateur qui a vu l’erreur et les journaux d’activité de débogage.
Pour collecter les journaux de débogage pour les diagnostics de support, exécutez le script de vérification de l’intégrité de l’extension NPS de l’authentification multifacteur Microsoft Entra dans le serveur NPS et choisissez l’option 4 afin de rassembler les journaux pour les fournir au support Microsoft.
À la fin, chargez le fichier de sortie zip généré dans le dossier C:\NPS et joignez-le au cas de support.