Résoudre les problèmes de réécriture de la réinitialisation de mot de passe en libre-service dans Microsoft Entra ID
La réinitialisation de mot de passe en libre-service (SSPR) Microsoft Entra permet aux utilisateurs de réinitialiser leur mot de passe dans le cloud. La réécriture du mot de passe est une fonctionnalité activée avec Microsoft Entra Connect ou la synchronisation cloud qui permet aux modifications de mot de passe dans le cloud d’être réécrites sur un annuaire local existant en temps réel.
Si vous rencontrez des problèmes avec l’écriture différée SSPR, les étapes de résolution des problèmes et les erreurs courantes suivantes peuvent vous aider. Si vous ne trouvez pas de réponse à votre problème, nos équipes du support technique sont toujours disponibles pour vous aider davantage.
Résolution des problèmes de connectivité
Si vous rencontrez des problèmes de réécriture du mot de passe pour Microsoft Entra Connect, passez en revue les étapes suivantes qui pourraient vous aider à résoudre le problème. Pour récupérer votre service, nous vous recommandons de suivre les étapes ci-dessous dans l’ordre :
- Vérifier la connectivité réseau
- Vérifier TLS 1.2
- Mettre à jour Microsoft .NET 4.8
- Redémarrer le service de synchronisation Microsoft Entra Connect
- Désactiver et réactiver la fonctionnalité de réécriture du mot de passe
- Installer la dernière version Microsoft Entra Connect
- Résoudre les problèmes de réécriture du mot de passe
Vérifier la connectivité réseau
Le point de défaillance le plus courant est que le pare-feu, les ports de proxy, ou les délais d’inactivité sont mal configurés.
Pour Microsoft Entra Connect version 1.1.443.0 et versions ultérieures, vous avez besoin d’un accès HTTPS sortant pour les adresses suivantes :
- *.passwordreset.microsoftonline.com
- *.servicebus.windows.net
Points de terminaison Azure de l’administration américaine :
- *.passwordreset.microsoftonline.us
- *.servicebus.usgovcloudapi.net
Points de terminaison Azure China 21Vianet :
- ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
- ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn
Si vous avez besoin de plus de granularité, consultez la liste des plages d’adresses IP et des étiquettes de service Microsoft Azure pour le cloud public.
Pour Azure dédié au administration américaine, consultez la liste des plages d’adresses IP et des étiquettes de service Microsoft Azure pour Azure dédié au cloud de l’administration américaine.
Ces fichiers sont mis à jour chaque semaine.
Pour déterminer si l’accès à une URL et à un port est restreint dans un environnement, tel que le cloud public Azure, suivez ces étapes :
Sur le serveur Entra Connect, ouvrez les journaux de l’observateur d’événements (journaux Windows, application) et recherchez l’un de ces ID d’événement : 31034 ou 31019.
À partir de ces ID d’événement, identifiez le nom de l’écouteur Service Bus :
Exécutez la commande cmdlet de commande suivante :
Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443
Ou exécutez la commande suivante :
Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -Verbose
Remplacez l’<espace de noms> par le même que celui que vous avez extrait des ID d’événement ci-dessus. Par exemple, dans le cas précédent, la commande est :
Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443
Pour plus d’informations, consultez les conditions préalables à la connectivité pour Microsoft Entra Connect.
Vérifier si TLS 1.2 est activé
Une étape de résolution supplémentaire consiste à vérifier que TLS 1.2 est activé correctement sur le serveur de synchronisation. Exécutez le script PowerShell pour vérifier TLS 1.2 sur le serveur Entra Connect. Veillez à exécuter le script en mode Administrateur.
Sortie du script de vérification qui doit ressembler à l’image suivante (colonnes chemin, nom et valeur) à activer correctement. Si ce n’est pas le cas, exécutez le script PowerShell pour activer TLS 1.2 sur le serveur Entra Connect/ Redémarrez ensuite le serveur, puis réexécutez le script pour vérifier TLS 1.2.
Vérifier que Microsoft .NET Framework 4.8 ou ultérieur est activé (serveur de synchronisation)
Vérifiez que Microsoft .NET Framework 4.8 ou ultérieur est activé sur le serveur de synchronisation.
- Comment vérifier que .NET est déjà installé
- Interroger le Registre avec PowerShell
- Télécharger .NET Framework
Redémarrer le service de synchronisation Microsoft Entra Connect
Pour résoudre les problèmes de connectivité ou d’autres problèmes temporaires rencontrés avec le service, procédez comme suit pour redémarrer le service de synchronisation de Microsoft Entra Connect :
En tant qu’administrateur sur le serveur qui exécute Microsoft Entra Connect, sélectionnez Démarrer.
Saisissez services.msc dans le champ de recherche, puis sélectionnez Entrée.
Recherchez l’entrée Azure AD Sync.
Faites un clic droit sur l’entrée du service, sélectionnez Redémarrer, puis attendez que l’opération soit terminée.
Ces étapes rétablissent votre connexion avec Microsoft Entra ID et devraient résoudre vos problèmes de connectivité.
Si le redémarrage du service de synchronisation Microsoft Entra Connect ne résout pas votre problème, essayez de désactiver, puis de réactiver la fonctionnalité de réécriture du mot de passe dans la section suivante.
Désactiver et réactiver la fonctionnalité de réécriture du mot de passe
Pour continuer à résoudre les problèmes, procédez comme suit pour désactiver, puis réactiver la fonctionnalité de réécriture du mot de passe :
- En tant qu’administrateur sur le serveur qui exécute Microsoft Entra Connect, ouvrez l’Assistant Configuration de la connexion Microsoft Entra.
- Dans Se connecter à Microsoft Entra ID, saisissez vos identifiants d’administrateur hybride Microsoft Entra.
- Dans Se connecter à AD DS, saisissez vos identifiants d’administrateur locales pour Active Directory Domain Services.
- Dans Identification de vos utilisateurs uniquement, sélectionnez le bouton Suivant.
- Dans Fonctionnalités facultatives, décochez la case Réécriture du mot de passe.
- Sélectionnez Suivant dans les pages restantes de la boîte de dialogue sans apporter de modification jusqu’à ce que vous atteigniez la page Prêt pour la configuration.
- Vérifiez que la page Prêt à configurer affiche l’option Réécriture du mot de passe comme Désactivée. Sélectionnez le bouton vert Configurer pour valider vos modifications.
- Dans Terminé, désactivez l’option Synchroniser maintenant, puis sélectionnez Terminer pour fermer l’Assistant.
- Rouvrez l’Assistant Configuration de la connexion Microsoft Entra.
- Répétez les étapes 2 à 8, en sélectionnant cette fois l’option Réécriture du mot de passe dans la page Fonctionnalités facultatives pour réactiver le service.
Ces étapes rétablissent votre connexion avec Microsoft Entra ID et devraient résoudre vos problèmes de connectivité.
Si la désactivation, puis la réactivation de la fonctionnalité de réécriture du mot de passe ne résout pas votre problème, réinstallez Microsoft Entra Connect dans la section suivante.
Installer la dernière version Microsoft Entra Connect
Réinstaller Microsoft Entra Connect peut résoudre les problèmes de configuration et de connectivité entre Microsoft Entra ID et votre environnement Active Directory Domain Services local. Nous vous recommandons d’effectuer cette étape uniquement après avoir essayé les étapes précédentes pour vérifier et résoudre les problèmes de connectivité.
Avertissement
Si vous avez personnalisé les règles de synchronisation par défaut, sauvegardez-les avant de procéder à la mise à niveau, puis redéployez-les manuellement après avoir terminé.
Téléchargez la dernière version de Microsoft Entra Connect sur le Centre de téléchargement Microsoft.
Puisque vous avez déjà installé Microsoft Entra Connect, effectuez une mise à niveau sur place pour mettre à jour votre installation de Microsoft Entra Connect vers la dernière version.
Exécutez le package téléchargé et suivez les instructions à l’écran pour mettre à jour Microsoft Entra Connect.
Ces étapes doivent rétablir votre connexion avec Microsoft Entra ID et résoudre vos problèmes de connectivité.
Si l’installation de la dernière version du serveur Microsoft Entra Connect ne résout pas votre problème, la dernière étape consiste à essayer la désactivation, puis la réactivation de la réécriture du mot de passe après avoir installé la dernière version.
Vérifier que Microsoft Entra Connect a les autorisations nécessaires
Microsoft Entra Connect a besoin de l’autorisation AD DS Réinitialiser le mot de passe pour effectuer une écriture différée du mot de passe. Pour savoir si Microsoft Entra Connect a l’autorisation pour un compte d’utilisateur AD DS local donné, utilisez la fonctionnalité d’Autorisation effective de Windows :
Connectez-vous au serveur Microsoft Entra Connect et démarrez Synchronization Service Manager en sélectionnant Démarrer>Service de synchronisation.
Sous l’onglet Connecteurs, sélectionnez le connecteur Active Directory Domain Services local, puis sélectionnez Propriétés.
Dans la fenêtre indépendante, sélectionnez l’onglet Se connecter à la forêt Active Directory et prenez note de la propriété Nom d’utilisateur. Cette propriété est le compte AD DS utilisé par Microsoft Entra Connect pour effectuer la synchronisation d’annuaire.
Pour que Microsoft Entra Connect effectue une réécriture du mot de passe, il faut que le compte des services AD DS dispose de l’autorisation de réinitialiser le mot de passe. Pour vérifier les autorisations sur ce compte d’utilisateur, procédez comme suit.
Connectez-vous à un contrôleur de domaine local et démarrez l’application Utilisateurs et ordinateurs Active Directory.
Sélectionnez Affichage et vérifiez que l’option Fonctions avancées est activée.
Recherchez le compte d’utilisateur AD DS à vérifier. Faites un clic droit sur le nom de compte et sélectionnez Propriétés.
Dans la fenêtre indépendante, accédez à l’onglet Sécurité et sélectionnez Avancé.
Dans la fenêtre indépendante Paramètres de sécurité avancés pour Administrateur, accédez à l’onglet Accès effectif.
Choisissez Sélectionner un utilisateur, sélectionnez le compte AD DS utilisé par Microsoft Entra Connect, puis sélectionnez Afficher l’accès effectif.
Faites défiler vers le bas et recherchez Réinitialiser le mot de passe. Si l’entrée a une coche, le compte AD DS est autorisé à réinitialiser le mot de passe du compte d’utilisateur Active Directory sélectionné.
Erreurs courantes de réécriture du mot de passe
Les problèmes suivants peuvent se produire avec la réécriture du mot de passe. Si vous avez l’une de ces erreurs, passez en revue la solution proposée et vérifiez si la réécriture du mot de passe fonctionne alors correctement.
Erreur | Solution |
---|---|
Le service de réinitialisation de mot de passe ne démarre pas localement. L’erreur 6800 apparaît dans le journal des événements de l’application de la machine Microsoft Entra Connect. Après l’intégration, les utilisateurs fédérés ou qui ont recours à la synchronisation du hachage de mot de passe ou à l’authentification directe ne parviennent pas à réinitialiser leurs mots de passe. |
Quand la réécriture du mot de passe est activée, le moteur de synchronisation appelle la bibliothèque de réécriture pour effectuer la configuration (intégration) en communiquant avec le service d’intégration cloud. Toutes les erreurs rencontrées au cours de l’intégration ou pendant le démarrage du point de terminaison WCF (Windows Communication Foundation) pour la réécriture du mot de passe entraînent une consignation dans le journal des événements de votre machine Microsoft Entra Connect. Pendant le redémarrage du service Azure AD Sync (ADSync), si la réécriture a été configurée, le point de terminaison WCF démarre. Mais, si le démarrage du point de terminaison échoue, l’événement 6800 est journalisé et le service de synchronisation peut démarrer. La présence de cet événement signifie que le point de terminaison de la réécriture du mot de passe n’a pas démarré. Les détails du journal des événements pour cet événement 6800, ainsi que les entrées du journal des événements générées par le composant PasswordResetService, indiquent pour quelles raisons vous ne pouvez pas démarrer le point de terminaison. Passez en revue les erreurs du journal des événements et essayez de redémarrer Microsoft Entra Connect si la réécriture du mot de passe ne fonctionne toujours pas. Si le problème persiste, essayez de désactiver, puis de réactiver la réécriture du mot de passe. |
Lorsqu’un utilisateur tente de réinitialiser un mot de passe ou de déverrouiller un compte avec la réécriture du mot de passe activée, l’opération échoue. De plus, un événement est consigné dans le journal des événements de Microsoft Entra Connect : « Moteur de synchronisation a renvoyé une erreur hr = 800700CE, message = Nom de fichier ou extension trop long » après l’opération de déverrouillage. |
Parcourez le compte Active Directory pour trouver Microsoft Entra Connect et réinitialisez le mot de passe de sorte qu’il ne contienne pas plus de 256 caractères. Ensuite, ouvrez le Service de synchronisation dans le menu Démarrer. Accédez à Connecteurs et recherchez le Connecteur Active Directory. Sélectionnez-le, puis sélectionnez Propriétés. Accédez à la page Identifiants et saisissez le nouveau mot de passe. Cliquez sur OK pour fermer la page. |
À la dernière étape du processus d’installation de Microsoft Entra Connect, une erreur indique que la réécriture du mot de passe n’a pas pu être configurée. Le journal des événements de l’application Microsoft Entra Connect contient l’erreur 32009 avec le texte « Erreur lors de l’obtention du jeton d’authentification. » |
Cette erreur se produit dans les deux cas suivants :
|
Le journal des événements de la machine Microsoft Entra Connect contient l’erreur 32002 qui est levée en exécutant PasswordResetService. Le message d’erreur : « Erreur de connexion à ServiceBus. Le fournisseur de jetons n’a pas pu fournir de jeton de sécurité. » |
Votre environnement local n’est pas en mesure de se connecter au point de terminaison Azure Service Bus dans le cloud. Cette erreur est due à une règle de pare-feu qui bloque une connexion sortante vers une adresse Web ou un port spécifique. Consultez Prérequis de connectivité pour plus d’informations. Une fois que vous avez mis à jour ces règles, redémarrez le serveur Microsoft Entra Connect. La réécriture du mot de passe doit fonctionner de nouveau. |
Après un certain temps, les utilisateurs fédérés ou qui ont recours à la synchronisation du hachage de mot de passe ou à l’authentification directe ne parviennent pas à réinitialiser leurs mots de passe. | Dans certains cas rares, le service de réécriture du mot de passe peut ne pas réussir à redémarrer quand Microsoft Entra Connect a redémarré. Dans ces cas, commencez par vérifier si la réécriture du mot de passe est activée localement. Vous pouvez effectuer cette vérification à l’aide de l’Assistant Microsoft Entra Connect ou de PowerShell. Si la fonctionnalité semble activée, essayez de l’activer ou de la désactiver à nouveau. Si cette étape de résolution des problèmes ne fonctionne pas, essayez une désinstallation et une réinstallation complètes de Microsoft Entra Connect. |
Les utilisateurs fédérés ou qui ont recours à la synchronisation du hachage de mot de passe ou à l’authentification directe qui tentent de réinitialiser leurs mots de passe voient une erreur quand ils essaient de soumettre ces derniers. L’erreur indique un problème de service. En plus de ce problème, pendant les opérations de réinitialisation de mot de passe, une erreur peut figurer dans vos journaux des événements locaux, indiquant que l’agent de gestion s’est vu refuser l’accès. |
Si vous voyez ces erreurs dans votre journal des événements, vérifiez que le compte de l’agent de gestion Active Directory (ADMA) qui a été spécifié dans l’Assistant au moment de la configuration dispose des autorisations nécessaires pour la réécriture du mot de passe. Une fois cette autorisation accordée, cela peut prendre jusqu’à 1 heure pour que les autorisations arrivent via la tâche en arrière-plan sdprop sur le contrôleur de domaine. Pour que la réinitialisation de mot de passe fonctionne, l’autorisation doit être marquée sur le descripteur de sécurité de l’objet utilisateur dont le mot de passe est réinitialisé. Tant que cette autorisation n’apparaît pas sur l’objet utilisateur, la réinitialisation de mot de passe continue d’échouer avec un message indiquant que l’accès a été refusé. |
Les utilisateurs fédérés ou qui ont recours à la synchronisation du hachage de mot de passe ou à l’authentification directe qui tentent de réinitialiser leurs mots de passe voient une erreur lorsqu’ils soumettent ces derniers. L’erreur indique un problème de service. En plus de ce problème, durant les opérations de réinitialisation de mot de passe, une erreur « Objet introuvable » peut apparaître dans vos journaux des événements du service Microsoft Entra Connect. |
Cette erreur indique généralement que le moteur de synchronisation est incapable de trouver l’objet utilisateur dans l’espace connecteur Microsoft Entra ou l’objet lié au métaverse (MV) ou à l’espace connecteur Microsoft Entra. Pour résoudre ce problème, assurez-vous que l’utilisateur est véritablement synchronisé localement avec Microsoft Entra ID via l’instance actuelle de Microsoft Entra Connect et examinez l’état des objets dans les espaces du connecteur et MV. Vérifiez que l’objet AD CS (services de certificats Active Directory) est connecté à l’objet MV via la règle « Microsoft.InfromADUserAccountEnabled.xxx ». |
Les utilisateurs fédérés ou qui ont recours à la synchronisation du hachage de mot de passe ou à l’authentification directe qui tentent de réinitialiser leurs mots de passe voient une erreur lorsqu’ils soumettent ces derniers. L’erreur indique un problème de service. En plus de ce problème, durant les opérations de réinitialisation de mot de passe, une erreur indiquant « Plusieurs correspondances trouvées » peut apparaître dans vos journaux des événements du service Microsoft Entra Connect. |
Cette erreur indique que le moteur de synchronisation a détecté que l’objet MV est connecté à plusieurs objets AD CS via « Microsoft.InfromADUserAccountEnabled.xxx ». Cela signifie que l’utilisateur dispose d’un compte activé dans plusieurs forêts. Ce scénario n’est pas pris en charge pour la réécriture du mot de passe. |
Les opérations nécessitant un mot de passe échouent en renvoyant un message d’erreur de configuration. Le journal des événements d’application contient le message d’erreur Microsoft Entra Connect 6329 dont le texte est libellé comme suit : « 0x8023061f (L’opération a échoué, car la synchronisation de mot de passe n’est pas activée pour cet agent de gestion) ». | Cette erreur se produit si la configuration de Microsoft Entra Connect est modifiée pour ajouter une nouvelle forêt Active Directory (ou pour supprimer et lire une forêt existante) après l’activation de la fonctionnalité de réécriture du mot de passe. Les opérations nécessitant un mot de passe pour les utilisateurs dans ces forêts récemment ajoutées échouent. Pour résoudre le problème, désactivez, puis réactivez la fonctionnalité de réécriture du mot de passe une fois les modifications de configuration de forêt effectuées. |
SSPR_0029 : nous ne sommes pas en mesure de réinitialiser votre mot de passe en raison d’une erreur dans votre configuration locale. Veuillez contacter votre administrateur et demandez-lui d’étudier le problème. | Problème : la réécriture du mot de passe a été activée en suivant toutes les étapes requises, mais lorsque vous tentez de modifier un mot de passe, vous recevez le message « SSPR_0029 : votre organisation n’a pas défini correctement la configuration locale pour la réinitialisation de mot de passe. » Les journaux des événements sur le système Microsoft Entra Connect indiquent que les identifiants de l’agent de gestion ont été refusées. Solution possible : Utilisez RSOP sur le système Microsoft Entra Connect et vos contrôleurs de domaine pour voir si la stratégie « Accès réseau : Restreindre les clients autorisés à passer des appels distants à SAM », qui se trouve sous Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité, est activée. Modifiez la stratégie pour inclure le compte de gestion MSOL_XXXXXXX en tant qu’utilisateur autorisé. Pour plus d’informations, voirRésolution de l’erreur SSPR_0029 : Votre organisation n’a pas défini correctement la configuration locale pour la réinitialisation de mot de passe. |
Codes d’erreur du journal des événements Réécriture du mot de passe
Pour résoudre les problèmes liés à la réécriture du mot de passe, nous vous recommandons d’examiner le journal des événements de l’application sur votre machine Microsoft Entra Connect. Ce journal des événements contient des événements issus de deux sources pour la réécriture du mot de passe. La source PasswordResetService décrit les opérations et les problèmes liés au fonctionnement de la réécriture du mot de passe. La source ADSync décrit les opérations et les problèmes liés à la définition des mots de passe dans votre environnement Active Directory Domain Services.
Si la source de l’événement est ADSync
Code | Nom ou message | Description |
---|---|---|
6329 | BAIL : MMS(4924) 0x80230619 : « Une restriction empêche le mot de passe d’être remplacé par le mot de passe actuel spécifié. » | Cet événement se produit quand le service de réécriture du mot de passe tente de définir un mot de passe sur votre annuaire local qui ne respecte pas les critères d’ancienneté, d’historique, de complexité ou de filtrage du domaine. Cet événement peut également se produire si le mot de passe d’un utilisateur ne peut pas être modifié. S’il existe une ancienneté minimale pour un mot de passe alors que vous l’avez changé avant le terme de cette ancienneté, vous ne pouvez pas le remodifier tant qu’il n’a pas atteint l’ancienneté spécifiée dans votre domaine. À des fins de test, l’ancienneté minimale doit être définie sur 0. Si des critères d’historique de mot de passe sont activés, vous devez sélectionner un mot de passe qui n’a pas été utilisé au cours des N dernières fois, où N est le paramètre d’historique du mot de passe. Si vous sélectionnez un mot de passe qui a été utilisé au cours des N dernières fois, un échec se produit. À des fins de test, l’historique de mot de passe doit être défini sur 0. S’il existe des critères de complexité des mots de passe, ils sont tous appliqués quand l’utilisateur tente de modifier ou réinitialiser un mot de passe. Si des filtres de mots de passe sont activés et qu’un utilisateur sélectionne un mot de passe qui ne répond pas aux critères de filtrage, l’opération de réinitialisation ou de modification échoue. Si l’utilisateur a défini l’indicateur de propriété PASSWD_CANT_CHANGE, son mot de passe ne peut pas être synchronisé. À des fins de test, supprimez l’indicateur de propriété PASSWD_CANT_CHANGE. Pour plus d’informations, consultez Description des indicateurs de propriété. |
6329 | MMS(3040) : admaexport.cpp(2837) : le serveur ne contient pas le contrôle de stratégie de mot de passe LDAP. | Ce problème se produit si le contrôle LDAP_SERVER_POLICY_HINTS_OID (1.2.840.113556.1.4.2066) n’est pas activé sur les contrôleurs de domaine. Pour utiliser la fonctionnalité de réécriture du mot de passe, vous devez activer le contrôle. Pour cela, les contrôleurs de domaine doivent se trouver sur Windows Server 2016 ou version ultérieure. |
HR 8023042 | Le moteur de synchronisation a renvoyé une erreur hr = 80230402, message = Une tentative visant à obtenir un objet a échoué, car il existe des entrées en double avec le même point d’ancrage. | Cette erreur se produit quand le même identifiant utilisateur est activé dans plusieurs domaines. C’est, par exemple, le cas si vous synchronisez des forêts de comptes et de ressources et que le même identifiant utilisateur est présent et activé pour chacune des forêts. Cette erreur peut également se produire si vous utilisez un attribut d’ancrage non unique (comme un alias ou un UPN) et que deux utilisateurs partagent ce même attribut d’ancrage. Pour résoudre ce problème, assurez-vous de ne pas avoir d’utilisateurs en double dans vos domaines et d’utiliser un attribut d’ancrage unique pour chaque utilisateur. |
Si la source de l’événement est PasswordResetService
Code | Nom ou message | Description |
---|---|---|
31001 | PasswordResetStart | Cet événement indique que le service local a détecté une demande de réinitialisation de mot de passe provenant du cloud pour un utilisateur fédéré ou qui a recours à la synchronisation du hachage de mot de passe ou à l’authentification directe. Cet événement est le premier de chaque opération d’écriture différée de réinitialisation de mot de passe. |
31002 | PasswordResetSuccess | Cet événement indique qu’un utilisateur a sélectionné un nouveau mot de passe pendant une opération de réinitialisation de mot de passe. Nous avons déterminé que ce mot de passe répond aux exigences de mot de passe d’entreprise. Le mot de passe a été correctement écrit en différé dans l’environnement Active Directory local. |
31003 | PasswordResetFail | Cet événement indique qu’un utilisateur a sélectionné un mot de passe et que le mot de passe est arrivé avec succès à l’environnement local. Toutefois, quand nous avons essayé de définir le mot de passe dans l’environnement Active Directory local, une erreur s’est produite. Cet échec peut se produire pour plusieurs raisons :
|
31004 | OnboardingEventStart | Cet événement se produit si vous activez la réécriture du mot de passe avec Microsoft Entra Connect et que nous avons commencé à intégrer votre organisation au service web de réécriture du mot de passe. |
31005 | OnboardingEventSuccess | Cet événement indique que le processus d’intégration a réussi et que la fonctionnalité de réécriture du mot de passe est prête à être utilisée. |
31006 | ChangePasswordStart | Cet événement indique que le service local a détecté une demande de modification de mot de passe provenant du cloud pour un utilisateur fédéré ou qui a recours à la synchronisation du hachage de mot de passe ou à l’authentification directe. Cet événement est le premier de chaque opération d’écriture différée de modification de mot de passe. |
31007 | ChangePasswordSuccess | Cet événement indique qu’un utilisateur a sélectionné un nouveau mot de passe pendant une opération de modification de mot de passe. Nous avons déterminé que le mot de passe répond aux critères définis pour les mots de passe de l’entreprise et que ce mot de passe a été correctement écrit dans l’environnement Active Directory local. |
31008 | ChangePasswordFail | Cet événement indique qu’un utilisateur a sélectionné un mot de passe et que le mot de passe est arrivé correctement dans l’environnement local, mais quand nous avons essayé de définir le mot de passe dans l’environnement Active Directory local, une défaillance s’est produite. Cet échec peut se produire pour plusieurs raisons :
|
31009 | ResetUserPasswordByAdminStart | Le service local a détecté une demande de réinitialisation de mot de passe pour un utilisateur fédéré ou qui a recours à la synchronisation du hachage de mot de passe ou à l’authentification directe provenant de l’administrateur au nom d’un utilisateur. Cet événement est le premier de chaque opération d’écriture différée de réinitialisation de mot de passe qui est lancée par un administrateur. |
31010 | ResetUserPasswordByAdminSuccess | L’administrateur a sélectionné un nouveau mot de passe durant une opération de réinitialisation de mot de passe lancée par l’administrateur. Nous avons déterminé que ce mot de passe répond aux exigences de mot de passe d’entreprise. Le mot de passe a été correctement écrit en différé dans l’environnement Active Directory local. |
31011 | ResetUserPasswordByAdminFail | L’administrateur a sélectionné un mot de passe au nom d’un utilisateur. Le mot de passe est arrivé avec succès à l’environnement local. Toutefois, quand nous avons essayé de définir le mot de passe dans l’environnement Active Directory local, une erreur s’est produite. Cet échec peut se produire pour plusieurs raisons :
|
31012 | OffboardingEventStart | Cet événement se produit si vous désactivez la réécriture du mot de passe avec Microsoft Entra Connect et indique que nous avons commencé à désintégrer votre organisation du service web de réécriture du mot de passe. |
31013 | OffboardingEventSuccess | Cet événement indique que le processus de désintégration a réussi et que la fonctionnalité de réécriture du mot de passe a correctement été désactivée. |
31014 | OffboardingEventFail | Cet événement indique que le processus de désintégration n’a pas réussi. Cela peut être dû à une erreur d’autorisations sur le compte d’administrateur cloud ou local spécifié durant la configuration. L’erreur peut également se produire si vous tentez d’utiliser un Administrateur hybride cloud fédéré quand vous désactivez la réécriture du mot de passe. Pour résoudre ce problème, vérifiez vos autorisations administratives et vérifiez que vous n’utilisez pas un compte fédéré pour configurer la fonctionnalité de réécriture du mot de passe. |
31015 | WriteBackServiceStarted | Cet événement indique que le service de réécriture du mot de passe a démarré avec succès. Il est prêt à accepter les demandes de gestion de mot de passe provenant du cloud. |
31016 | WriteBackServiceStopped | Cet événement indique que le service de réécriture du mot de passe s’est arrêté. Toute demande de gestion de mot de passe provenant du cloud est vouée à l’échec. |
31017 | AuthTokenSuccess | Cet événement indique que nous avons correctement récupéré un jeton d’autorisation pour l’Administrateur hybride spécifié pendant l’installation de Microsoft Entra Connect afin de démarrer le processus d’intégration ou de retrait. |
31018 | KeyPairCreationSuccess | Cet événement indique que nous avons correctement créé la clé de chiffrement de mot de passe. Cette clé est utilisée pour chiffrer les mots de passe à partir du cloud à envoyer à votre environnement local. |
31019 | ServiceBusHeartBeat | Cet événement indique que nous avons envoyé une requête à l’instance Service Bus de votre locataire. |
31034 | ServiceBusListenerError | Cet événement indique une erreur de connexion à l’écouteur Service Bus de votre locataire. Si le message d’erreur indique que « Le certificat distant n’est pas valide », vérifiez que votre serveur Microsoft Entra Connect dispose de toutes les autorités de certification racines requises, comme décrit dans Changements des certificats Azure TLS. |
31044 | PasswordResetService | Cet événement indique que la réécriture du mot de passe ne fonctionne pas. Le Service Bus écoute les demandes sur deux relais distincts à des fins de redondance. Chaque connexion de relais est gérée par un hôte de service unique. Le client de réécriture renvoie une erreur si l’un des hôtes de service n’est pas en cours d’exécution. |
32000 | UnknownError | Cet événement indique qu’une erreur inconnue s’est produite durant une opération de gestion de mot de passe. Examinez le texte de l’exception dans l’événement pour plus d’informations. Si vous rencontrez des problèmes, essayez de désactiver, puis de réactiver la réécriture du mot de passe. Si cela ne change rien, incluez une copie de votre journal des événements avec l’ID de suivi spécifié lorsque vous ouvrez une demande de support. |
32001 | ServiceError | Cet événement indique une erreur de connexion au service de réinitialisation de mot de passe à partir du cloud. Cette erreur se produit généralement quand le service local n’a pas pu se connecter au service web de réinitialisation de mot de passe. |
32002 | ServiceBusError | Cet événement indique une erreur de connexion à une instance Service Bus de votre locataire. Cela peut se produire si vous bloquez les connexions sortantes de votre environnement local. Vérifiez que votre pare-feu autorise les connexions sur TCP 443 et à https://ssprdedicatedsbprodncu.servicebus.windows.net, puis réessayez. Si vous rencontrez encore des problèmes, essayez de désactiver, puis de réactiver la réécriture du mot de passe. |
32003 | InPutValidationError | Cet événement indique que l’entrée passée à l’API du service web n’est pas valide. Recommencez l’opération. |
32004 | DecryptionError | Cet événement indique qu’une erreur de déchiffrement du mot de passe arrivé du cloud s’est produite. Cette erreur peut être due à une incompatibilité de la clé de déchiffrement entre le service cloud et votre environnement local. Pour résoudre ce problème, désactivez, puis réactivez la réécriture du mot de passe dans votre environnement local. |
32005 | ConfigurationError | Au cours de l’intégration, nous enregistrons des informations propres au locataire dans un fichier de configuration dans votre environnement local. Cet événement indique qu’une erreur s’est produite durant l’enregistrement de ce fichier ou, quand le service a démarré, durant la lecture de ce fichier. Pour résoudre ce problème, essayez de désactiver, puis réactiver la réécriture du mot de passe pour forcer une réécriture du fichier de configuration. |
32007 | OnBoardingConfigUpdateError | Pendant l’intégration, nous envoyons des données du cloud au service de réinitialisation du mot de passe local. Ces données sont ensuite écrites dans un fichier en mémoire avant d’être envoyées au service de synchronisation pour être stockées de manière sécurisée sur le disque. Cet événement indique un problème d’écriture ou de mise à jour de ces données en mémoire. Pour résoudre ce problème, essayez de désactiver, puis réactiver la réécriture du mot de passe pour forcer une réécriture de ce fichier de configuration. |
32008 | ValidationError | Cet événement indique que nous avons reçu une réponse non valide du service web de réinitialisation du mot de passe. Pour résoudre ce problème, essayez de désactiver, puis réactiver la réécriture du mot de passe. |
32009 | AuthTokenError | Cet évènement indique que nous n’avons pas réussi à obtenir de jeton d’autorisation pour le compte Administrateur hybride spécifié pendant l’installation de Microsoft Entra Connect. Cette erreur peut être due à un mauvais nom d’utilisateur ou mot de passe spécifié pour le compte Administrateur hybride. Elle peut également se produire si le compte Administrateur hybride spécifié est fédéré. Pour résoudre ce problème, réexécutez la configuration avec le nom d’utilisateur et le mot de passe corrects, puis assurez-vous que l’administrateur correspond à un compte managé (sur le cloud uniquement ou avec la synchronisation de mot de passe). |
32010 | CryptoError | Cet événement indique une erreur liée à la génération de la clé de chiffrement du mot de passe ou au déchiffrement d’un mot de passe arrivé du service cloud. Cette erreur indique probablement un problème lié à votre environnement. Examinez les détails de votre journal des événements pour en savoir plus sur la résolution de ce problème. Vous pouvez également essayer de désactiver, puis réactiver le service de réécriture du mot de passe. |
32011 | OnBoardingServiceError | Cet événement indique que le service local n’a pas pu communiquer correctement avec le service web de réinitialisation du mot de passe pour lancer le processus d’intégration. Cela peut être lié à une règle de pare-feu ou à un problème d’obtention d’un jeton d’authentification pour votre locataire. Pour résoudre ce problème, veillez à ne pas bloquer les connexions sortantes via TCP 443 et TCP 9350 à 9354 ou à https://ssprdedicatedsbprodncu.servicebus.windows.net. Vérifiez également que le compte d’administrateur Microsoft Entra que vous utilisez pour l’intégration n’est pas fédéré. |
32013 | OffBoardingError | Cet événement indique que le service local n’a pas pu communiquer correctement avec le service web de réinitialisation du mot de passe pour lancer le processus de désintégration. Cette erreur peut être due à une règle de pare-feu ou à un problème d’obtention d’un jeton d’autorisation pour votre locataire. Pour résoudre ce problème, veillez à ne pas bloquer les connexions sortantes via 443 ou à https://ssprdedicatedsbprodncu.servicebus.windows.net et que le compte d’administrateur Microsoft Entra que vous utilisez pour la désintégration n’est pas fédéré. |
32014 | ServiceBusWarning | Cet événement indique que nous avons dû réessayer de vous connecter à une instance Service Bus de votre locataire. Dans des conditions normales, cet événement n’est pas préoccupant, mais s’il se produit à de nombreuses reprises, envisagez de vérifier la connexion réseau à Service Bus, surtout s’il s’agit d’une connexion à latence élevée ou à faible bande passante. |
32015 | ReportServiceHealthError | Pour analyser l’intégrité de votre service de réécriture du mot de passe, nous envoyons des données de pulsation à notre service web de réinitialisation du mot de passe toutes les cinq minutes. Cet événement indique qu’une erreur s’est produite lors du renvoi de ces informations d’intégrité au service web cloud. Ces informations d’intégrité n’incluent pas de données personnelles. Il s’agit uniquement de statistiques de pulsations et de services de base qui nous permettent de fournir des informations sur l’état du service dans le cloud. |
33001 | ADUnKnownError | Cet événement indique qu’une erreur inconnue a été retournée par Active Directory. Pour plus d’informations, recherchez les événements issus de la source ADSync dans le journal des événements du serveur Microsoft Entra Connect. |
33002 | ADUserNotFoundError | Cet événement indique que l’utilisateur qui essaie de réinitialiser ou modifier un mot de passe est introuvable dans l’annuaire local. Cette erreur peut se produire quand l’utilisateur a été supprimé localement, mais pas sur le cloud. Cette erreur peut également se produire s’il existe un problème de synchronisation. Vérifiez vos journaux d’activité de synchronisation, ainsi que les détails de la dernière synchronisation pour plus d’informations. |
33003 | ADMutliMatchError | Quand une demande de réinitialisation ou modification de mot de passe vient du cloud, nous utilisons l’ancrage cloud spécifiée pendant le processus d’installation de Microsoft Entra Connect pour déterminer comment lier cette demande à un utilisateur dans votre environnement local. Cet événement indique que nous avons trouvé deux utilisateurs dans votre annuaire local avec le même attribut d’ancrage cloud. Vérifiez vos journaux d’activité de synchronisation, ainsi que les détails de la dernière synchronisation pour plus d’informations. |
33004 | ADPermissionsError | Cet événement indique que le compte de service de l’agent de gestion Active Directory (ADMA) n’a pas les autorisations appropriées sur le compte en question pour définir un nouveau mot de passe. Assurez-vous que le compte ADMA dans la forêt de l’utilisateur possède des autorisations de réinitialisation de mot de passe sur tous les objets de la forêt. Pour obtenir plus d’informations sur la définition des autorisations, reportez-vous à l’étape 4 : Configuration des autorisations Active Directory adéquates. Cette erreur peut également se produire lorsque l’attribut AdminCount de l’utilisateur a la valeur 1. |
33005 | ADUserAccountDisabled | Cet événement indique que nous avons tenté de réinitialiser ou changer un mot de passe pour un compte qui a été désactivé localement. Activez le compte et recommencez l’opération. |
33006 | ADUserAccountLockedOut | Cet événement indique que nous avons tenté de réinitialiser ou changer un mot de passe pour un compte qui a été verrouillé localement. Des verrouillages peuvent se produire quand un utilisateur a tenté une opération de modification ou réinitialisation de mot de passe un nombre de fois trop élevé sur un court laps de temps. Déverrouillez le compte et recommencez l’opération. |
33007 | ADUserIncorrectPassword | Cet événement indique que l’utilisateur a spécifié un mot de passe actuel incorrect lors de l’opération de modification du mot de passe. Spécifiez le mot de passe correct actuel et réessayez. |
33008 | ADPasswordPolicyError | Cet événement se produit quand le service de réécriture du mot de passe tente de définir un mot de passe sur votre annuaire local qui ne respecte pas les critères d’ancienneté, d’historique, de complexité ou de filtrage du domaine. S’il existe une ancienneté minimale pour un mot de passe alors que vous l’avez changé avant le terme de cette ancienneté, vous ne pouvez pas le remodifier tant qu’il n’a pas atteint l’ancienneté spécifiée dans votre domaine. À des fins de test, l’ancienneté minimale doit être définie sur 0. Si des critères d’historique de mot de passe sont activés, vous devez sélectionner un mot de passe qui n’a pas été utilisé au cours des N dernières fois, où N est le paramètre d’historique du mot de passe. Si vous sélectionnez un mot de passe qui a été utilisé au cours des N dernières fois, un échec se produit. À des fins de test, l’historique de mot de passe doit être défini sur 0. S’il existe des critères de complexité des mots de passe, ils sont tous appliqués quand l’utilisateur tente de modifier ou réinitialiser un mot de passe. Si des filtres de mots de passe sont activés et qu’un utilisateur sélectionne un mot de passe qui ne répond pas aux critères de filtrage, l’opération de réinitialisation ou de modification échoue. |
33009 | ADConfigurationError | Cet événement indique qu’un problème s’est produit durant l’écriture d’un mot de passe dans votre annuaire local en raison d’un problème de configuration avec Active Directory. Vérifiez les messages du service ADSync dans le journal des évènements de l’application de la machine Microsoft Entra Connect pour avoir plus d’informations sur l’erreur qui est survenue. |
Caractères d’unité d’organisation réservés empêchant la réécriture du mot de passe
Le tableau suivant répertorie les caractères réservés qui empêchent la réécriture du mot de passe. Si ces caractères apparaissent dans la structure de votre unité d’organisation locale, la réécriture du mot de passe peut échouer avec l’ID d’événement 33001.
Caractère réservé | Description | Valeur hexadécimale |
---|---|---|
caractère d’espace ou # au début d’une chaîne | ||
caractère d’espace à la fin d’une chaîne | ||
, | virgule | 0x2C |
+ | signe plus | 0x2B |
« | guillemets | 0x22 |
\ | barre oblique inverse | 0x5C |
< | crochet angulaire à gauche | 0x3C |
> | crochet angulaire à droite | 0x3E |
; | point-virgule | 0x3B |
LF | saut de ligne | 0x0A |
CR | retour chariot | 0x0D |
= | signe égal | 0x3D |
/ | Barre oblique | 0x2F |
Forums Microsoft Entra
Si vous avez des questions générales sur Microsoft Entra ID et la réinitialisation de mot de passe en libre-service, vous pouvez demander de l’aide à la communauté via la Page des questions Microsoft Q&A pour Microsoft Entra ID. Les membres de la communauté comprennent des ingénieurs, des chefs de produit, MVP et autres professionnels de l’informatique.
Contactez le support Microsoft
Si vous ne trouvez pas la réponse à un problème, nos équipes de support technique sont toujours disponibles pour vous aider davantage.
Pour que nous puissions mieux vous aider, nous vous demandons de fournir autant de détails que possible au moment de l’ouverture d’un dossier d’incident. Ces détails comprennent ce qui suit :
- Description générale de l’erreur : quelle est l’erreur ? Quel était le comportement que vous avez remarqué ? Comment pouvons-nous reproduire l’erreur ? Fournissez autant de détails que possible.
- Page : sur quelle page étiez-vous quand vous avez remarqué l’erreur ? Indiquez l’URL si possible, ainsi qu’une capture d’écran de la page.
- Code de support : quel était le code de support généré quand l’utilisateur a vu l’erreur ?
Pour trouver ce code, reproduisez l’erreur, puis sélectionnez le lien Code de support en bas de l’écran et envoyez à l’ingénieur du support technique le GUID obtenu.
Si vous êtes dans une page sans code de support dans la partie inférieure, appuyez sur F12 et recherchez le SID et le CID et envoyez ces deux résultats à l’ingénieur de support.
- Date, heure et fuseau horaire : incluez la date et l’heure précises, avec le fuseau horaire, d’occurrence de l’erreur.
- ID d’utilisateur : quel était l’utilisateur qui a vu l’erreur ? par exemple user@contoso.com.
- S’agit-il d’un utilisateur fédéré ?
- S’agit-il d’un utilisateur de l’authentification directe ?
- S’agit-il d’un utilisateur disposant de la synchronisation du hachage de mot de passe ?
- S’agit-il d’un utilisateur cloud uniquement ?
- Licences : l’utilisateur dispose-t-il d’une licence Microsoft Entra ID affectée ?
- Journal des évènements de l’application : si vous utilisez la réécriture du mot de passe et que l’erreur se produit dans votre infrastructure locale, veuillez inclure une copie compressée du journal des évènements de l’application provenant de votre serveur Microsoft Entra Connect.
Étapes suivantes
Pour en savoir plus sur la SSPR, consultez Fonctionnement : réinitialisation de mot de passe en libre-service Microsoft Entra ou Comment fonctionne la réécriture de la réinitialisation de mot de passe en libre-service dans Microsoft Entra ID ?.