Partager via


Régler les problèmes de réécriture de la réinitialisation de mot de passe en libre-service dans Microsoft Entra ID

La réinitialisation de mot de passe en libre-service (SSPR) Microsoft Entra permet aux utilisateurs de réinitialiser leur mot de passe dans le cloud. La réécriture du mot de passe est une fonctionnalité activée avec Microsoft Entra Connect ou la synchronisation cloud qui permet aux modifications de mot de passe dans le cloud d’être réécrites sur un annuaire local existant en temps réel.

Si vous rencontrez des problèmes avec l’écriture différée SSPR, les étapes de résolution des problèmes et les erreurs courantes suivantes peuvent vous aider. Si vous ne trouvez pas la réponse à votre problème, nos équipes de support technique sont toujours disponibles pour vous aider davantage.

Résoudre les problèmes de connectivité

Si vous rencontrez des problèmes de réécriture du mot de passe pour Microsoft Entra Connect, passez en revue les étapes suivantes qui pourraient vous aider à résoudre le problème. Pour récupérer votre service, nous vous recommandons de suivre les étapes ci-dessous dans l’ordre :

Vérifier la connectivité réseau

Le point de défaillance le plus courant est que le pare-feu, les ports de proxy, ou les délais d’inactivité sont mal configurés.

Pour Microsoft Entra Connect version 1.1.443.0 et versions ultérieures, vous avez besoin d’un accès HTTPS sortant pour les adresses suivantes :

  • *.passwordreset.microsoftonline.com
  • *.servicebus.windows.net

Points de terminaison Azure for US Government :

  • *.passwordreset.microsoftonline.us
  • *.servicebus.usgovcloudapi.net

Points de terminaison Azure China 21Vianet :

  • ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
  • ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn

Si vous avez besoin de plus de granularité, consultez la liste des plages d’adresses IP et des étiquettes de service Microsoft Azure pour le cloud public.

Pour Azure for US Government, consultez la liste des plages d’adresses IP et des étiquettes de service Azure for US Government Cloud.

Ces fichiers sont mis à jour chaque semaine.

Pour déterminer si l’accès à une URL et à un port est restreint dans un environnement, tel que le cloud public Azure, exécutez la cmdlet suivante :

Test-NetConnection -ComputerName ssprdedicatedsbprodscu.servicebus.windows.net -Port 443

Ou exécutez la commande suivante :

Invoke-WebRequest -Uri https://ssprdedicatedsbprodscu.servicebus.windows.net -Verbose

Pour plus d’informations, consultez les conditions préalables à la connectivité pour Microsoft Entra Connect.

Redémarrer le service de synchronisation Microsoft Entra Connect

Pour résoudre les problèmes de connectivité ou d’autres problèmes temporaires rencontrés avec le service, procédez comme suit pour redémarrer le service de synchronisation de Microsoft Entra Connect :

  1. En tant qu’administrateur sur le serveur qui exécute Microsoft Entra Connect, sélectionnez Démarrer.

  2. Entrez services.msc dans le champ de recherche, puis sélectionnez Entrée.

  3. Recherchez l’entrée Azure AD Sync.

  4. Cliquez avec le bouton droit sur l’entrée du service, sélectionnez Redémarrer, puis attendez que l’opération soit terminée.

    Redémarrer le service de synchronisation Azure AD à l’aide de l’interface graphique utilisateur

Ces étapes rétablissent votre connexion avec Microsoft Entra ID et devraient résoudre vos problèmes de connectivité.

Si le redémarrage du service de synchronisation Microsoft Entra Connect ne résout pas votre problème, essayez de désactiver, puis de réactiver la fonctionnalité de réécriture du mot de passe dans la section suivante.

Désactiver et réactiver la fonctionnalité de réécriture du mot de passe

Pour continuer à résoudre les problèmes, procédez comme suit pour désactiver, puis réactiver la fonctionnalité de réécriture du mot de passe :

  1. En tant qu’administrateur sur le serveur qui exécute Microsoft Entra Connect, ouvrez l’Assistant Configuration de la connexion Microsoft Entra.
  2. Dans Se connecter à Microsoft Entra ID, entrez vos informations d’identification d’administrateur général Microsoft Entra.
  3. Dans Se connecter à AD DS, entrez vos informations d’identification d’administrateur locales pour Active Directory Domain Services.
  4. Dans Identification de vos utilisateurs uniquement, sélectionnez le bouton Suivant.
  5. Dans Fonctionnalités facultatives, décochez la case Réécriture du mot de passe.
  6. Sélectionnez Suivant dans les pages restantes de la boîte de dialogue sans apporter de modification jusqu’à ce que vous atteigniez la page Prêt pour la configuration.
  7. Vérifiez que la page Prêt à configurer affiche l’option Réécriture du mot de passe comme Désactivée. Sélectionnez le bouton vert Configurer pour valider vos modifications.
  8. Dans Terminé, désactivez l’option Synchroniser maintenant, puis sélectionnez Terminer pour fermer l’Assistant.
  9. Rouvrez l’Assistant Configuration de la connexion Microsoft Entra.
  10. Répétez les étapes 2 à 8, en sélectionnant cette fois l’option Réécriture du mot de passe dans la page Fonctionnalités facultatives pour réactiver le service.

Ces étapes rétablissent votre connexion avec Microsoft Entra ID et devraient résoudre vos problèmes de connectivité.

Si la désactivation, puis la réactivation de la fonctionnalité de réécriture du mot de passe ne résout pas votre problème, réinstallez Microsoft Entra Connect dans la section suivante.

Installer la dernière version Microsoft Entra Connect

Réinstaller Microsoft Entra Connect peut résoudre les problèmes de configuration et de connectivité entre Microsoft Entra ID et votre environnement Active Directory Domain Services local. Nous vous recommandons d’effectuer cette étape uniquement après avoir essayé les étapes précédentes pour vérifier et résoudre les problèmes de connectivité.

Avertissement

Si vous avez personnalisé les règles de synchronisation par défaut, sauvegardez-les avant de procéder à la mise à niveau, puis redéployez-les manuellement après avoir terminé.

  1. Téléchargez la dernière version de Microsoft Entra Connect sur le Centre de téléchargement de Microsoft.

  2. Puisque vous avez déjà installé Microsoft Entra Connect, effectuez une mise à niveau sur place pour mettre à jour votre installation de Microsoft Entra Connect vers la dernière version.

    Exécutez le package téléchargé et suivez les instructions à l’écran pour mettre à jour Microsoft Entra Connect.

Ces étapes doivent rétablir votre connexion avec Microsoft Entra ID et résoudre vos problèmes de connectivité.

Si l’installation de la dernière version du serveur Microsoft Entra Connect ne résout pas votre problème, la dernière étape consiste à essayer la désactivation, puis la réactivation de la réécriture du mot de passe après avoir installé la dernière version.

Vérifier que Microsoft Entra Connect a les autorisations nécessaires

Microsoft Entra Connect a besoin de l’autorisation AD DS Réinitialiser le mot de passe pour effectuer une écriture différée du mot de passe. Pour savoir si Microsoft Entra Connect a l’autorisation pour un compte d’utilisateur AD DS local donné, utilisez la fonctionnalité d’autorisation effective de Windows :

  1. Connectez-vous au serveur Microsoft Entra Connect et démarrez Synchronization Service Manager en sélectionnant Démarrer>Service de synchronisation.

  2. Sous l’onglet Connecteurs, sélectionnez le connecteur Active Directory Domain Services, puis sélectionnez Propriétés.

    Gestionnaire de service de synchronisation montrant comment modifier des propriétés

  3. Dans la fenêtre indépendante, sélectionnez l’onglet Se connecter à la forêt Active Directory et prenez note de la propriété Nom d’utilisateur. Cette propriété est le compte AD DS utilisé par Microsoft Entra Connect pour effectuer la synchronisation d’annuaire.

    Pour que Microsoft Entra Connect effectue une écriture différée du mot de passe, il faut que le compte des services AD DS dispose de l’autorisation de réinitialiser le mot de passe. Pour vérifier les autorisations sur ce compte d’utilisateur, procédez comme suit.

    Rechercher le compte d’utilisateur Active Directory du service synchronisation

  4. Connectez-vous à un contrôleur de domaine local et démarrez l’application Utilisateurs et ordinateurs Active Directory.

  5. Sélectionnez Affichage et vérifiez que l’option Fonctionnalités avancées est activée.

    Utilisateurs et ordinateurs Active Directory montrant les fonctionnalités avancées

  6. Recherchez le compte d’utilisateur AD DS à vérifier. Cliquez avec le bouton droit sur le nom du compte et sélectionnez Propriétés.

  7. Dans la fenêtre indépendante, accédez à l’onglet Sécurité et sélectionnez Avancé.

  8. Dans la fenêtre indépendante Paramètres de sécurité avancés pour Administrateur, accédez à l’onglet Accès effectif.

  9. Choisissez Sélectionner un utilisateur, sélectionnez le compte AD DS utilisé par Microsoft Entra Connect, puis sélectionnez Afficher l’accès effectif.

    Onglet Accès effectif montrant le compte de synchronisation

  10. Faites défiler vers le bas et recherchez Réinitialiser le mot de passe. Si l’entrée a une coche, le compte AD DS est autorisé à réinitialiser le mot de passe du compte d’utilisateur Active Directory sélectionné.

    Validation du fait que le compte de synchronisation possède l’autorisation de réinitialisation du mot de passe

Erreurs courantes de réécriture du mot de passe

Les problèmes suivants peuvent se produire avec la réécriture du mot de passe. Si vous avez l’une de ces erreurs, passez en revue la solution proposée et vérifiez si la réécriture du mot de passe fonctionne alors correctement.

Error Solution
Le service de réinitialisation de mot de passe ne démarre pas localement. L’erreur 6800 apparaît dans le journal des événements de l’application de la machine Microsoft Entra Connect.

Après l’intégration, les utilisateurs fédérés ou qui ont recours à la synchronisation du hachage de mot de passe ou à l’authentification directe ne parviennent pas à réinitialiser leurs mots de passe.
Quand la réécriture du mot de passe est activée, le moteur de synchronisation appelle la bibliothèque de réécriture pour effectuer la configuration (intégration) en communiquant avec le service d’intégration cloud. Toutes les erreurs rencontrées au cours de l’intégration ou pendant le démarrage du point de terminaison WCF (Windows Communication Foundation) pour la réécriture du mot de passe entraînent une consignation dans le journal des événements de votre machine Microsoft Entra Connect.

Pendant le redémarrage du service Azure AD Sync (ADSync), si l’écriture différée a été configurée, le point de terminaison WCF démarre. Mais, si le démarrage du point de terminaison échoue, l’événement 6800 est journalisé et le service de synchronisation peut démarrer. La présence de cet événement signifie que le point de terminaison de la réécriture du mot de passe n’a pas démarré. Les détails du journal des événements pour cet événement 6800, ainsi que les entrées du journal des événements générées par le composant PasswordResetService, indiquent pour quelles raisons vous ne pouvez pas démarrer le point de terminaison. Passez en revue les erreurs du journal des événements et essayez de redémarrer Microsoft Entra Connect si la réécriture du mot de passe ne fonctionne toujours pas. Si le problème persiste, essayez de désactiver, puis de réactiver la réécriture du mot de passe.
Lorsqu’un utilisateur tente de réinitialiser un mot de passe ou de déverrouiller un compte avec l’écriture différée du mot de passe activée, l’opération échoue.

De plus, un événement est consigné dans le journal des événements de Microsoft Entra Connect : « Synchronization Engine returned an error (Le moteur de synchronisation a renvoyé une erreur) hr=800700CE, message=Nom de fichier ou extension trop long » après l’opération de déverrouillage.
Parcourez le compte Active Directory pour trouver Microsoft Entra Connect et réinitialisez le mot de passe de sorte qu’il ne contienne pas plus de 256 caractères. Ensuite, ouvrez le Service de synchronisation dans le menu Démarrer. Accédez à Connecteurs et recherchez le Connecteur Active Directory. Sélectionnez-le, puis sélectionnez Propriétés. Accédez à la page Informations d’identification et entrez le nouveau mot de passe. Cliquez sur OK pour fermer la page.
À la dernière étape du processus d’installation de Microsoft Entra Connect, une erreur indique que la réécriture du mot de passe n’a pas pu être configurée.

Le journal des événements de l’application Microsoft Entra Connect contient l’erreur 32009 avec le texte « Erreur lors de l’obtention du jeton d’authentification ».
Cette erreur se produit dans les deux cas suivants :
  • Vous avez spécifié un mot de passe incorrect pour le compte Administrateur général spécifié au début du processus d’installation de Microsoft Entra Connect.
  • Vous avez tenté d’utiliser un utilisateur fédéré pour le compte Administrateur général spécifié au début du processus d’installation de Microsoft Entra Connect.
Pour corriger ce problème, assurez-vous que vous n’utilisez pas un compte fédéré pour l’Administrateur général que vous avez spécifié au début du processus d’installation et que le mot de passe spécifié est correct.
Le journal des événements de la machine Microsoft Entra Connect contient l’erreur 32002 qui est levée en exécutant PasswordResetService.

Le message d’erreur : « Erreur de connexion à ServiceBus. Le fournisseur de jetons n’a pas pu fournir de jeton de sécurité. »
Votre environnement local n’est pas en mesure de se connecter au point de terminaison Service Bus dans le cloud. Cette erreur est due à une règle de pare-feu qui bloque une connexion sortante vers une adresse web ou un port spécifique. Consultez Prérequis de connectivité pour plus d’informations. Une fois que vous avez mis à jour ces règles, redémarrez le serveur Microsoft Entra Connect. La réécriture du mot de passe doit fonctionner de nouveau.
Après un certain temps, les utilisateurs fédérés ou qui ont recours à la synchronisation du hachage de mot de passe ou à l’authentification directe ne parviennent pas à réinitialiser leurs mots de passe. Dans certains cas rares, le service de réécriture du mot de passe peut ne pas réussir à redémarrer quand Microsoft Entra Connect a redémarré. Dans ces cas, commencez par vérifier si la réécriture du mot de passe est activée localement. Vous pouvez effectuer cette vérification à l’aide de l’Assistant Microsoft Entra Connect ou de PowerShell. Si la fonctionnalité semble activée, essayez de l’activer ou de la désactiver à nouveau. Si cette étape de résolution des problèmes ne fonctionne pas, essayez une désinstallation et une réinstallation complètes de Microsoft Entra Connect.
Les utilisateurs fédérés ou qui ont recours à la synchronisation du hachage de mot de passe ou à l’authentification directe qui tentent de réinitialiser leurs mots de passe voient une erreur quand ils essaient de soumettre ces derniers. L’erreur indique un problème de service.

En plus de ce problème, pendant les opérations de réinitialisation de mot de passe, une erreur peut figurer dans vos journaux des événements locaux, indiquant que l’agent de gestion s’est vu refuser l’accès.
Si vous voyez ces erreurs dans votre journal des événements, vérifiez que le compte de l’agent de gestion Active Directory (ADMA) qui a été spécifié dans l’Assistant au moment de la configuration dispose des autorisations nécessaires pour la réécriture du mot de passe.

Une fois cette autorisation accordée, cela peut prendre jusqu’à 1 heure pour que les autorisations arrivent via la tâche en arrière-plan sdprop sur le contrôleur de domaine.

Pour que la réinitialisation du mot de passe fonctionne, l’autorisation doit être marquée sur le descripteur de sécurité de l’objet utilisateur dont le mot de passe est réinitialisé. Tant que cette autorisation n’apparaît pas sur l’objet utilisateur, la réinitialisation du mot de passe continue d’échouer avec un message indiquant que l’accès a été refusé.
Les utilisateurs fédérés ou qui ont recours à la synchronisation du hachage de mot de passe ou à l’authentification directe qui tentent de réinitialiser leurs mots de passe voient une erreur lorsqu’ils soumettent ces derniers. L’erreur indique un problème de service.

En plus de ce problème, durant les opérations de réinitialisation de mot de passe, une erreur « Objet introuvable »peut apparaître dans vos journaux des événements du service Microsoft Entra Connect.
Cette erreur indique généralement que le moteur de synchronisation est incapable de trouver l’objet utilisateur dans l’espace du connecteur Microsoft Entra ou l’objet espace du connecteur méta-verse (MV) ou Microsoft Entra lié.

Pour résoudre ce problème, assurez-vous que l’utilisateur est véritablement synchronisé localement avec Microsoft Entra via l’instance actuelle de Microsoft Entra Connect et examinez l’état des objets dans les espaces du connecteur et MV. Vérifiez que l’objet AD CS (Active Directory Certificate Services) est connecté à l’objet MV via la règle « Microsoft.InfromADUserAccountEnabled.xxx ».
Les utilisateurs fédérés ou qui ont recours à la synchronisation du hachage de mot de passe ou à l’authentification directe qui tentent de réinitialiser leurs mots de passe voient une erreur lorsqu’ils soumettent ces derniers. L’erreur indique un problème de service.

En plus de ce problème, durant les opérations de réinitialisation de mot de passe, une erreur indiquant « Plusieurs correspondances trouvées » peut apparaître dans vos journaux des événements du service Microsoft Entra Connect.
Cette erreur indique que le moteur de synchronisation a détecté que l’objet MV est connecté à plusieurs objets AD CS via « Microsoft.InfromADUserAccountEnabled.xxx ». Cela signifie que l’utilisateur dispose d’un compte activé dans plusieurs forêts. Ce scénario n’est pas pris en charge pour la réécriture du mot de passe.
Les opérations nécessitant un mot de passe échouent en renvoyant un message d’erreur de configuration. Le journal des événements d’application contient le message d’erreur Microsoft Entra Connect 6329 dont le texte est libellé comme suit : « 0x8023061f (L’opération a échoué, car la synchronisation de mot de passe n’est pas activée pour cet agent de gestion) ». Cette erreur se produit si la configuration de Microsoft Entra Connect est changée pour ajouter une nouvelle forêt Active Directory (ou pour supprimer et rajouter une forêt existante) après l’activation de la fonctionnalité de réécriture du mot de passe. Les opérations nécessitant un mot de passe pour les utilisateurs dans ces forêts récemment ajoutées échouent. Pour résoudre le problème, désactivez, puis réactivez la fonctionnalité de réécriture du mot de passe une fois les modifications de configuration de la forêt effectuées.
SSPR_0029 : nous ne sommes pas en mesure de réinitialiser votre mot de passe en raison d’une erreur dans votre configuration locale. Veuillez contacter votre administrateur et demandez-lui d’étudier le problème. Problème : La réécriture du mot de passe a été activée en suivant toutes les étapes requises, mais lorsque vous tentez de modifier un mot de passe, vous recevez le message « SSPR_0029 : Votre organisation n’a pas défini correctement la configuration locale pour la réinitialisation de mot de passe. » La vérification des journaux des événements sur le système Microsoft Entra Connect indique que l’accès aux informations d’identification de l’agent de gestion a été refusé. Solution possible : Utilisez RSOP sur le système Microsoft Entra Connect et vos contrôleurs de domaine pour voir si la stratégie « Accès réseau : Restreindre les clients autorisés à effectuer des appels distants à SAM » qui se trouve sous Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité est activée. Modifiez la stratégie pour inclure le compte de gestion MSOL_XXXXXXX en tant qu’utilisateur autorisé. Pour plus d’informations, voirRésolution de l’erreur SSPR_0029 : Votre organisation n’a pas défini correctement la configuration locale pour la réinitialisation de mot de passe.

Codes d’erreur du journal des événements Écriture différée de mot de passe

Pour résoudre les problèmes liés à la réécriture du mot de passe, nous vous recommandons d’examiner le journal des événements de l’application sur votre machine Microsoft Entra Connect. Ce journal des événements contient des événements issus de deux sources pour la réécriture du mot de passe. La source PasswordResetService décrit les opérations et les problèmes liés au fonctionnement de la réécriture du mot de passe. La source ADSync décrit les opérations et les problèmes liés à la définition des mots de passe dans votre environnement Active Directory Domain Services.

Si la source de l’événement est ADSync

Code Nom ou message Description
6329 BAIL : MMS(4924) 0x80230619 : « Une restriction empêche le mot de passe d’être remplacé par le mot de passe actuel spécifié. » Cet événement se produit quand le service de réécriture du mot de passe tente de définir un mot de passe sur votre annuaire local qui ne respecte pas les critères d’ancienneté, d’historique, de complexité ou de filtrage du domaine. Cet événement peut également se produire si le mot de passe d’un utilisateur ne peut pas être modifié.

S’il existe une ancienneté minimale pour un mot de passe alors que vous l’avez changé avant le terme de cette ancienneté, vous ne pouvez pas le remodifier tant qu’il n’a pas atteint l’ancienneté spécifiée dans votre domaine. À des fins de test, l’ancienneté minimale doit être définie sur 0.

Si des critères d’historique de mot de passe sont activés, vous devez sélectionner un mot de passe qui n’a pas été utilisé au cours des N dernières fois, où N est le paramètre d’historique du mot de passe. Si vous sélectionnez un mot de passe qui a été utilisé au cours des N dernières fois, un échec se produit. À des fins de test, l’historique de mot de passe doit être défini sur 0.

S’il existe des critères de complexité des mots de passe, ils sont tous appliqués quand l’utilisateur tente de modifier ou réinitialiser un mot de passe.

Si des filtres de mots de passe sont activés et qu’un utilisateur sélectionne un mot de passe qui ne répond pas aux critères de filtrage, l’opération de réinitialisation ou de modification échoue.

Si l’utilisateur a défini l’indicateur de propriété PASSWD_CANT_CHANGE, son mot de passe ne peut pas être synchronisé. À des fins de test, supprimez l’indicateur de propriété PASSWD_CANT_CHANGE. Pour plus d’informations, consultez Description des indicateurs de propriété.
6329 MMS(3040) : admaexport.cpp(2837) : le serveur ne contient pas le contrôle de stratégie de mot de passe LDAP. Ce problème se produit si le contrôle LDAP_SERVER_POLICY_HINTS_OID (1.2.840.113556.1.4.2066) n’est pas activé sur les contrôleurs de domaine. Pour utiliser la fonctionnalité d’écriture différée du mot de passe, vous devez activer le contrôle. Pour cela, les contrôleurs de domaine doivent se trouver sur Windows Server 2016 ou version ultérieure.
HR 8023042 Le moteur de synchronisation a renvoyé une erreur hr=80230402, message = Une tentative visant à obtenir un objet a échoué, car il existe des entrées en double avec le même point d’ancrage. Cette erreur se produit quand le même identifiant utilisateur est activé dans plusieurs domaines. C’est, par exemple, le cas si vous synchronisez des forêts de comptes et de ressources et que le même identifiant utilisateur est présent et activé pour chacune des forêts.

Cette erreur peut également se produire si vous utilisez un attribut d’ancrage non unique (comme un alias ou un UPN) et que deux utilisateurs partagent ce même attribut d’ancrage.

Pour résoudre ce problème, assurez-vous de ne pas avoir d’utilisateurs en double dans vos domaines et d’utiliser un attribut d’ancrage unique pour chaque utilisateur.

Si la source de l’événement est PasswordResetService

Code Nom ou message Description
31001 PasswordResetStart Cet événement indique que le service local a détecté une demande de réinitialisation de mot de passe provenant du cloud pour un utilisateur fédéré ou qui a recours à la synchronisation du hachage de mot de passe ou à l’authentification directe. Cet événement est le premier de chaque opération d’écriture différée de réinitialisation de mot de passe.
31002 PasswordResetSuccess Cet événement indique qu’un utilisateur a sélectionné un nouveau mot de passe pendant une opération de réinitialisation de mot de passe. Nous avons déterminé que ce mot de passe répond aux exigences de mot de passe d’entreprise. Le mot de passe a été correctement écrit en différé dans l’environnement Active Directory local.
31003 PasswordResetFail Cet événement indique qu’un utilisateur a sélectionné un mot de passe et que le mot de passe est arrivé avec succès à l’environnement local. Toutefois, quand nous avons essayé de définir le mot de passe dans l’environnement Active Directory local, une erreur s’est produite. Cet échec peut se produire pour plusieurs raisons :
  • Le mot de passe de l’utilisateur ne répond pas aux critères d’ancienneté, d’historique, de complexité ou de filtrage du domaine. Pour résoudre ce problème, créez un mot de passe.
  • Le compte de service ADMA n’a pas les autorisations appropriées pour définir le nouveau mot de passe du compte d’utilisateur en question.
  • Le compte d’utilisateur est dans un groupe protégé, comme celui des administrateurs de domaine ou d’entreprise, ce qui n’autorise pas les opérations de définition de mots de passe.
31004 OnboardingEventStart Cet événement se produit si vous activez la réécriture du mot de passe avec Microsoft Entra Connect et que nous avons commencé à intégrer votre organisation au service web de réécriture du mot de passe.
31005 OnboardingEventSuccess Cet événement indique que le processus d’intégration a réussi et que la fonctionnalité de réécriture du mot de passe est prête à être utilisée.
31006 ChangePasswordStart Cet événement indique que le service local a détecté une demande de modification de mot de passe provenant du cloud pour un utilisateur fédéré ou qui a recours à la synchronisation du hachage de mot de passe ou à l’authentification directe. Cet événement est le premier de chaque opération d’écriture différée de modification de mot de passe.
31007 ChangePasswordSuccess Cet événement indique qu’un utilisateur a sélectionné un nouveau mot de passe pendant une opération de modification de mot de passe. Nous avons déterminé que le mot de passe répond aux critères définis pour les mots de passe de l’entreprise et que ce mot de passe a été correctement écrit dans l’environnement Active Directory local.
31008 ChangePasswordFail Cet événement indique qu’un utilisateur a sélectionné un mot de passe et que le mot de passe est arrivé correctement dans l’environnement local, mais quand nous avons essayé de définir le mot de passe dans l’environnement Active Directory local, une défaillance s’est produite. Cet échec peut se produire pour plusieurs raisons :
  • Le mot de passe de l’utilisateur ne répond pas aux critères d’ancienneté, d’historique, de complexité ou de filtrage du domaine. Pour résoudre ce problème, créez un mot de passe.
  • Le compte de service ADMA n’a pas les autorisations appropriées pour définir le nouveau mot de passe du compte d’utilisateur en question.
  • Le compte d’utilisateur est dans un groupe protégé, comme celui des administrateurs de domaine ou d’entreprise, qui n’autorisent pas les opérations de définition de mots de passe.
31009 ResetUserPasswordByAdminStart Le service local a détecté une demande de réinitialisation de mot de passe pour un utilisateur fédéré ou qui a recours à la synchronisation du hachage de mot de passe ou à l’authentification directe provenant de l’administrateur au nom d’un utilisateur. Cet événement est le premier de chaque opération d’écriture différée de réinitialisation de mot de passe qui est lancée par un administrateur.
31010 ResetUserPasswordByAdminSuccess L’administrateur a sélectionné un nouveau mot de passe durant une opération de réinitialisation de mot de passe lancée par l’administrateur. Nous avons déterminé que ce mot de passe répond aux exigences de mot de passe d’entreprise. Le mot de passe a été correctement écrit en différé dans l’environnement Active Directory local.
31011 ResetUserPasswordByAdminFail L’administrateur a sélectionné un mot de passe au nom d’un utilisateur. Le mot de passe est arrivé avec succès à l’environnement local. Toutefois, quand nous avons essayé de définir le mot de passe dans l’environnement Active Directory local, une erreur s’est produite. Cet échec peut se produire pour plusieurs raisons :
  • Le mot de passe de l’utilisateur ne répond pas aux critères d’ancienneté, d’historique, de complexité ou de filtrage du domaine. Pour résoudre ce problème, essayez un nouveau mot de passe.
  • Le compte de service ADMA n’a pas les autorisations appropriées pour définir le nouveau mot de passe du compte d’utilisateur en question.
  • Le compte d’utilisateur est dans un groupe protégé, comme celui des administrateurs de domaine ou d’entreprise, qui n’autorisent pas les opérations de définition de mots de passe.
31012 OffboardingEventStart Cet événement se produit si vous désactivez la réécriture du mot de passe avec Microsoft Entra Connect et indique que nous avons commencé à désintégrer votre organisation du service web de réécriture du mot de passe.
31013 OffboardingEventSuccess Cet événement indique que le processus de désintégration a réussi et que la fonctionnalité de réécriture du mot de passe a correctement été désactivée.
31014 OffboardingEventFail Cet événement indique que le processus de désintégration n’a pas réussi. Cela peut être dû à une erreur d’autorisations sur le compte d’administrateur cloud ou local spécifié durant la configuration. L’erreur peut également se produire si vous tentez d’utiliser un Administrateur général cloud fédéré quand vous désactivez la réécriture du mot de passe. Pour résoudre ce problème, vérifiez vos autorisations administratives et vérifiez que vous n’utilisez pas un compte fédéré pour configurer la fonctionnalité de réécriture du mot de passe.
31015 WriteBackServiceStarted Cet événement indique que le service de réécriture du mot de passe a démarré avec succès. Il est prêt à accepter les demandes de gestion de mot de passe provenant du cloud.
31016 WriteBackServiceStopped Cet événement indique que le service de réécriture du mot de passe s’est arrêté. Toute demande de gestion de mot de passe provenant du cloud est vouée à l’échec.
31017 AuthTokenSuccess Cet événement indique que nous avons correctement récupéré un jeton d’autorisation pour l’Administrateur général spécifié pendant l’installation de Microsoft Entra Connect afin de démarrer le processus d’intégration ou de retrait.
31018 KeyPairCreationSuccess Cet événement indique que nous avons correctement créé la clé de chiffrement de mot de passe. Cette clé est utilisée pour chiffrer les mots de passe à partir du cloud à envoyer à votre environnement local.
31019 ServiceBusHeartBeat Cet événement indique que nous avons envoyé une requête à l’instance Service Bus de votre locataire.
31034 ServiceBusListenerError Cet événement indique une erreur de connexion à l’écouteur Service Bus de votre locataire. Si le message d’erreur indique que le certificat distant n’est pas valide, vérifiez que votre serveur Microsoft Entra Connect dispose de toutes les autorités de certification racines requises, comme décrit dans Changements des certificats Azure TLS.
31044 PasswordResetService Cet événement indique que la réécriture du mot de passe ne fonctionne pas. Le Service Bus écoute les demandes sur deux relais distincts à des fins de redondance. Chaque connexion de relais est gérée par un hôte de service unique. Le client de réécriture renvoie une erreur si l’un des hôtes de service n’est pas en cours d’exécution.
32000 UnknownError Cet événement indique qu’une erreur inconnue s’est produite durant une opération de gestion de mot de passe. Examinez le texte de l’exception dans l’événement pour plus d’informations. Si vous rencontrez des problèmes, essayez de désactiver, puis de réactiver la réécriture du mot de passe. Si cela ne change rien, incluez une copie de votre journal des événements avec l’ID de suivi spécifié lorsque vous ouvrez une demande de support.
32001 ServiceError Cet événement indique une erreur de connexion au service de réinitialisation de mot de passe à partir du cloud. Cette erreur se produit généralement quand le service local n’a pas pu se connecter au service web de réinitialisation de mot de passe.
32002 ServiceBusError Cet événement indique une erreur de connexion à une instance Service Bus de votre locataire. Cela peut se produire si vous bloquez les connexions sortantes de votre environnement local. Vérifiez que votre pare-feu autorise les connexions sur TCP 443 et à https://ssprdedicatedsbprodncu.servicebus.windows.net, puis réessayez. Si vous rencontrez encore des problèmes, essayez de désactiver, puis de réactiver la réécriture du mot de passe.
32003 InPutValidationError Cet événement indique que l’entrée passée à l’API du service web n’est pas valide. Recommencez l’opération.
32004 DecryptionError Cet événement indique qu’une erreur de déchiffrement du mot de passe arrivé du cloud s’est produite. Cette erreur peut être due à une incompatibilité de la clé de déchiffrement entre le service cloud et votre environnement local. Pour résoudre ce problème, désactivez, puis réactivez la réécriture du mot de passe dans votre environnement local.
32005 ConfigurationError Au cours de l’intégration, nous enregistrons des informations propres au locataire dans un fichier de configuration dans votre environnement local. Cet événement indique qu’une erreur s’est produite durant l’enregistrement de ce fichier ou, quand le service a démarré, durant la lecture de ce fichier. Pour résoudre ce problème, essayez de désactiver, puis réactiver la réécriture du mot de passe pour forcer une réécriture du fichier de configuration.
32007 OnBoardingConfigUpdateError Pendant l’intégration, nous envoyons des données du cloud au service de réinitialisation du mot de passe local. Ces données sont ensuite écrites dans un fichier en mémoire avant d’être envoyées au service de synchronisation pour être stockées de manière sécurisée sur le disque. Cet événement indique un problème d’écriture ou de mise à jour de ces données en mémoire. Pour résoudre ce problème, essayez de désactiver, puis réactiver la réécriture du mot de passe pour forcer une réécriture de ce fichier de configuration.
32008 ValidationError Cet événement indique que nous avons reçu une réponse non valide du service web de réinitialisation du mot de passe. Pour résoudre ce problème, essayez de désactiver, puis réactiver la réécriture du mot de passe.
32009 AuthTokenError Cet évènement indique que nous n’avons pas réussi à obtenir de jeton d’autorisation pour le compte Administrateur général spécifié pendant l’installation de Microsoft Entra Connect. Cette erreur peut être due à un mauvais nom d’utilisateur ou mot de passe spécifié pour le compte Administrateur général. Elle peut également se produire si le compte Administrateur général spécifié est fédéré. Pour résoudre ce problème, réexécutez la configuration avec le nom d’utilisateur et le mot de passe corrects, puis assurez-vous que l’administrateur correspond à un compte managé (sur le cloud uniquement ou avec la synchronisation de mot de passe).
32010 CryptoError Cet événement indique une erreur liée à la génération de la clé de chiffrement du mot de passe ou au déchiffrement d’un mot de passe arrivé du service cloud. Cette erreur indique probablement un problème lié à votre environnement. Examinez les détails de votre journal des événements pour en savoir plus sur la résolution de ce problème. Vous pouvez également essayer de désactiver, puis réactiver le service de réécriture du mot de passe.
32011 OnBoardingServiceError Cet événement indique que le service local n’a pas pu communiquer correctement avec le service web de réinitialisation du mot de passe pour lancer le processus d’intégration. Cela peut être lié à une règle de pare-feu ou à un problème d’obtention d’un jeton d’authentification pour votre locataire. Pour résoudre ce problème, veillez à ne pas bloquer les connexions sortantes via TCP 443 et TCP 9350 à 9354 ou à https://ssprdedicatedsbprodncu.servicebus.windows.net. Vérifiez également que le compte d’administrateur Microsoft Entra que vous utilisez pour l’intégration n’est pas fédéré.
32013 OffBoardingError Cet événement indique que le service local n’a pas pu communiquer correctement avec le service web de réinitialisation du mot de passe pour lancer le processus de désintégration. Cette erreur peut être due à une règle de pare-feu ou à un problème d’obtention d’un jeton d’autorisation pour votre locataire. Pour résoudre ce problème, veillez à ne pas bloquer les connexions sortantes via 443 ou à https://ssprdedicatedsbprodncu.servicebus.windows.net et que le compte d’administrateur Microsoft Entra que vous utilisez pour la désintégration n’est pas fédéré.
32014 ServiceBusWarning Cet événement indique que nous avons dû réessayer de vous connecter à une instance Service Bus de votre locataire. Dans des conditions normales, cet événement n’est pas préoccupant, mais s’il se produit à de nombreuses reprises, envisagez de vérifier la connexion réseau à Service Bus, surtout s’il s’agit d’une connexion à latence élevée ou à faible bande passante.
32015 ReportServiceHealthError Pour analyser l’intégrité de votre service de réécriture du mot de passe, nous envoyons des données de pulsation à notre service web de réinitialisation du mot de passe toutes les cinq minutes. Cet événement indique qu’une erreur s’est produite lors du renvoi de ces informations d’intégrité au service web cloud. Ces informations d’intégrité n’incluent pas de données personnelles. Il s’agit uniquement de statistiques de pulsations et de services de base qui nous permettent de fournir des informations sur l’état du service dans le cloud.
33001 ADUnKnownError Cet événement indique qu’une erreur inconnue a été retournée par Active Directory. Pour plus d’informations, recherchez les événements issus de la source ADSync dans le journal des événements du serveur Microsoft Entra Connect.
33002 ADUserNotFoundError Cet événement indique que l’utilisateur qui essaie de réinitialiser ou modifier un mot de passe est introuvable dans l’annuaire local. Cette erreur peut se produire quand l’utilisateur a été supprimé localement, mais pas sur le cloud. Cette erreur peut également se produire s’il existe un problème de synchronisation. Vérifiez vos journaux d’activité de synchronisation, ainsi que les détails de la dernière synchronisation pour plus d’informations.
33003 ADMutliMatchError Quand une demande de réinitialisation ou modification de mot de passe vient du cloud, nous utilisons l’ancrage cloud spécifiée pendant le processus d’installation de Microsoft Entra Connect pour déterminer comment lier cette demande à un utilisateur dans votre environnement local. Cet événement indique que nous avons trouvé deux utilisateurs dans votre annuaire local avec le même attribut d’ancrage cloud. Vérifiez vos journaux d’activité de synchronisation, ainsi que les détails de la dernière synchronisation pour plus d’informations.
33004 ADPermissionsError Cet événement indique que le compte de service de l’agent de gestion Active Directory (ADMA) n’a pas les autorisations appropriées sur le compte en question pour définir un nouveau mot de passe. Assurez-vous que le compte ADMA dans la forêt de l’utilisateur possède des autorisations de réinitialisation de mot de passe sur tous les objets de la forêt. Pour obtenir plus d’informations sur la définition des autorisations, reportez-vous à l’étape 4 : Configuration des autorisations Active Directory adéquates. Cette erreur peut également se produire lorsque l’attribut AdminCount de l’utilisateur a la valeur 1.
33005 ADUserAccountDisabled Cet événement indique que nous avons tenté de réinitialiser ou changer un mot de passe pour un compte qui a été désactivé localement. Activez le compte et recommencez l’opération.
33006 ADUserAccountLockedOut Cet événement indique que nous avons tenté de réinitialiser ou changer un mot de passe pour un compte qui a été verrouillé localement. Des verrouillages peuvent se produire quand un utilisateur a tenté une opération de modification ou réinitialisation de mot de passe un nombre de fois trop élevé sur un court laps de temps. Déverrouillez le compte et recommencez l’opération.
33007 ADUserIncorrectPassword Cet événement indique que l’utilisateur a spécifié un mot de passe actuel incorrect lors de l’opération de modification du mot de passe. Spécifiez le mot de passe correct actuel et réessayez.
33008 ADPasswordPolicyError Cet événement se produit quand le service de réécriture du mot de passe tente de définir un mot de passe sur votre annuaire local qui ne respecte pas les critères d’ancienneté, d’historique, de complexité ou de filtrage du domaine.

S’il existe une ancienneté minimale pour un mot de passe alors que vous l’avez changé avant le terme de cette ancienneté, vous ne pouvez pas le remodifier tant qu’il n’a pas atteint l’ancienneté spécifiée dans votre domaine. À des fins de test, l’ancienneté minimale doit être définie sur 0.

Si des critères d’historique de mot de passe sont activés, vous devez sélectionner un mot de passe qui n’a pas été utilisé au cours des N dernières fois, où N est le paramètre d’historique du mot de passe. Si vous sélectionnez un mot de passe qui a été utilisé au cours des N dernières fois, un échec se produit. À des fins de test, l’historique de mot de passe doit être défini sur 0.

S’il existe des critères de complexité des mots de passe, ils sont tous appliqués quand l’utilisateur tente de modifier ou réinitialiser un mot de passe.

Si des filtres de mots de passe sont activés et qu’un utilisateur sélectionne un mot de passe qui ne répond pas aux critères de filtrage, l’opération de réinitialisation ou de modification échoue.
33009 ADConfigurationError Cet événement indique qu’un problème s’est produit durant l’écriture d’un mot de passe dans votre annuaire local en raison d’un problème de configuration avec Active Directory. Vérifiez les messages du service ADSync dans le journal d’évènement d’application de la machine Microsoft Entra Connect pour avoir plus d’informations sur l’erreur qui est survenue.

Caractères d’unité organisationnelle réservés empêchant la réécriture du mot de passe

Le tableau suivant répertorie les caractères réservés qui empêchent la réécriture du mot de passe. Si ces caractères apparaissent dans la structure de votre unité d’organisation locale, la réécriture du mot de passe peut échouer avec l’ID d’événement 33001.

Caractère réservé Description Valeur hexadécimale
caractère d’espace ou # au début d’une chaîne
caractère d’espace à la fin d’une chaîne
, virgule 0x2C
+ signe plus 0x2B
" guillemets 0x22
\ barre oblique inverse 0x5C
< crochet angulaire ouvrant 0x3C
> crochet angulaire fermant 0x3E
; point-virgule 0x3B
LF saut de ligne 0x0A
CR retour chariot 0x0D
= signe égal 0x3D
/ barre oblique 0x2F

Forums Microsoft Entra

Si vous avez des questions générales sur Microsoft Entra ID et la réinitialisation de mot de passe en libre-service, vous pouvez demander de l’aide à la communauté via la Page des questions Microsoft Q&A pour Microsoft Entra ID. Les membres de la communauté comprennent des ingénieurs, des chefs de produit, MVP et autres professionnels de l’informatique.

Contact Microsoft support

Si vous ne trouvez pas la réponse à un problème, nos équipes de support technique sont toujours disponibles pour vous aider davantage.

Pour que nous puissions mieux vous aider, nous vous demandons de fournir autant de détails que possible au moment de l’ouverture d’un dossier d’incident. Ces détails comprennent ce qui suit :

  • Description générale de l’erreur. Quelle est l’erreur ? Quel était le comportement que vous avez remarqué ? Comment pouvons-nous reproduire l’erreur ? Fournissez autant de détails que possible.
  • Page. Sur quelle page étiez-vous quand vous avez remarqué l’erreur ? Indiquez l’URL si possible, ainsi qu’une capture d’écran de la page.
  • Code de support. Quel était le code de support généré quand l’utilisateur a vu l’erreur ?
    • Pour trouver ce code, reproduisez l’erreur, puis sélectionnez le lien Code de support en bas de l’écran et envoyez à l’ingénieur du support technique le GUID obtenu.

      Le code de support se trouve en bas à droite de la fenêtre du navigateur web.

    • Si vous êtes dans une page sans code de support dans la partie inférieure, appuyez sur F12 et recherchez le SID et le CID et envoyez ces deux résultats à l’ingénieur de support.

  • Date, heure et fuseau horaire. Incluez la date et l’heure précises, avec le fuseau horaire, d’occurrence de l’erreur.
  • ID d’utilisateur. Quel était l’utilisateur qui a vu l’erreur ? par exemple user@contoso.com.
    • S’agit-il d’un utilisateur fédéré ?
    • S’agit-il d’un utilisateur de l’authentification directe ?
    • S’agit-il d’un utilisateur disposant de la synchronisation du hachage de mot de passe ?
    • S’agit-il d’un utilisateur cloud uniquement ?
  • Licences : l’utilisateur dispose-t-il d’une licence Microsoft Entra ID affectée ?
  • Journal des évènements de l’application : si vous utilisez la réécriture du mot de passe et que l’erreur se produit dans votre infrastructure locale, veuillez inclure une copie compressée du journal des évènements de l’application provenant de votre serveur Microsoft Entra Connect.

Étapes suivantes

Pour en savoir plus sur la SSPR, consultez Fonctionnement : réinitialisation de mot de passe en libre-service Microsoft Entra ou Comment fonctionne la réécriture de la réinitialisation de mot de passe en libre-service dans Microsoft Entra ID ?.