Résoudre les SSPR_0029 d’erreur : votre organization n’a pas correctement configuré la configuration locale pour la réinitialisation du mot de passe

Cet article vous aide à résoudre l’erreur de réinitialisation de mot de passe en libre-service (SSPR) « SSPR_0029 : Votre organization n’a pas correctement configuré la configuration locale pour la réinitialisation du mot de passe » qui se produit après que l’utilisateur ou l’administrateur a entré et confirmé un nouveau mot de passe sur la page SSPR.

Symptômes

Un utilisateur ou un administrateur effectue les étapes suivantes, puis reçoit une SSPR_0029 erreur :

1. Dans une page de connexion de compte Microsoft ou une page de connexion à Microsoft Azure dans le https://login.microsoftonline.com domaine, un utilisateur ou un administrateur sélectionne Vous ne pouvez pas accéder à votre compte ?, J’ai oublié mon mot de passe ou le réinitialiser maintenant.

2. L’utilisateur ou l’administrateur sélectionne le type de compte professionnel ou scolaire . Ensuite, ils sont redirigés vers la page SSPR à l’adresse https://passwordreset.microsoftonline.com pour démarrer le flux Revenir à votre compte .

3. Dans l’écran Qui êtes-vous ? , l’utilisateur ou l’administrateur entre son ID utilisateur, effectue un défi de sécurité captcha sans respect de la casse, puis sélectionne Suivant.

4. Dans l’écran Pourquoi avez-vous des problèmes de connexion ? , l’utilisateur ou l’administrateur sélectionne J’ai oublié mon mot de passe>Suivant.

5. Dans l’écran Choisir un nouveau mot de passe , l’utilisateur ou l’administrateur entre et confirme une nouvelle chaîne de mot de passe, puis sélectionne Terminer. Ensuite, un écran Nous sommes désolés s’affiche et présente le message suivant :

   SSPR_0029 : votre organization n’a pas correctement configuré la configuration locale pour la réinitialisation du mot de passe.

   Si vous êtes administrateur, vous pouvez obtenir plus d’informations dans l’article Résoudre les problèmes de réécriture du mot de passe. Si vous n’êtes pas administrateur, vous pouvez fournir ces informations lorsque vous contactez votre administrateur.

Cause 1 : Impossible d’utiliser la réécriture du mot de passe pour réinitialiser le mot de passe d’un administrateur Windows Active Directory synchronisé

Vous êtes un administrateur Windows Active Directory synchronisé qui appartient (ou a utilisé pour appartenir) à un groupe protégé Active Directory local, et vous ne pouvez pas utiliser SSPR et réécriture du mot de passe pour réinitialiser votre mot de passe local.

Solution : Aucun (le comportement est par conception)

Pour des questions de sécurité, les comptes d’administrateur qui existent dans un groupe protégé Active Directory local ne peuvent pas être utilisés avec la réécriture du mot de passe. Les administrateurs peuvent modifier leur mot de passe dans le cloud, mais ne peuvent pas réinitialiser un mot de passe oublié. Pour plus d’informations, consultez Fonctionnement de la réécriture de la réinitialisation de mot de passe en libre-service dans Microsoft Entra ID.

Cause 2 : le compte de connecteur AD DS ne dispose pas des autorisations Active Directory appropriées

L’utilisateur synchronisé ne dispose pas des autorisations appropriées dans Active Directory.

Solution : Résoudre les problèmes d’autorisation Active Directory

Pour résoudre les problèmes qui affectent les autorisations Active Directory, consultez Autorisations et droits d’accès de réécriture de mot de passe.

Solution de contournement : Cibler un autre contrôleur de domaine Active Directory

Remarque

La réécriture du mot de passe dépend de l’API héritée NetUserGetInfo. L’API NetUserGetInfo nécessite un ensemble complexe d’autorisations autorisées dans Active Directory qui peuvent être difficiles à identifier, en particulier lorsqu’un serveur Microsoft Entra Connect s’exécute sur un contrôleur de domaine. Pour plus d’informations, consultez Les applications utilisant NetUserGetInfo et des API similaires s’appuient sur l’accès en lecture à certains objets Active Directory.

Avez-vous un scénario dans lequel un serveur Microsoft Entra Connect s’exécute sur un contrôleur de domaine et il n’est pas possible de résoudre les autorisations Active Directory ? Dans ce cas, nous vous recommandons de déployer Microsoft Entra serveur Connect sur un serveur membre au lieu d’un contrôleur de domaine. Vous pouvez également configurer votre connecteur Active Directory pour utiliser uniquement les contrôleurs de domaine préférés en procédant comme suit :

1. Dans le menu Démarrer, recherchez et sélectionnez Synchronisation Service Manager.

2. Dans la fenêtre Synchronisation Service Manager, sélectionnez l’onglet Connecteurs.

3. Cliquez avec le bouton droit sur le connecteur Active Directory dans la liste des connecteurs, puis sélectionnez Propriétés.

4. Dans le volet Connecteur Designer de la boîte de dialogue Propriétés, sélectionnez Configurer les partitions d’annuaire.

5. Dans le volet Configurer les partitions d’annuaire , sélectionnez l’option Utiliser uniquement les contrôleurs de domaine préférés , puis sélectionnez Configurer.

6. Dans la boîte de dialogue Configurer les contrôleurs de domaine préférés , ajoutez un ou plusieurs noms de serveur qui pointent vers un contrôleur de domaine (ou des contrôleurs de domaine) différent de l’hôte local.

7. Pour enregistrer vos modifications et revenir à la fenêtre main, sélectionnez OK trois fois, y compris dans la boîte de dialogue Avertissement qui affiche une exclusion de responsabilité de configuration avancée.

Cause 3 : Les serveurs ne sont pas autorisés à effectuer des appels distants au Gestionnaire des comptes de sécurité (SAM)

Dans ce cas, deux événements d’erreur d’application similaires sont enregistrés : ID d’événement 33004 et 6329. L’ID d’événement 6329 diffère de 33004, car il contient un code d’erreur ERROR_ACCESS_DENIED dans la trace de pile lorsque le serveur tente d’effectuer un appel distant à SAM :

ERR_ : MMS(####) : admaexport.cpp(2944) : Échec de l’acquisition des informations utilisateur : Contoso\MSOL_############. Code d’erreur : ERROR_ACCESS_DENIED

Cette situation peut se produire si le serveur Microsoft Entra Connect ou le contrôleur de domaine a ou fait l’objet d’un paramètre de sécurité de renforcement appliqué avec un objet de stratégie de groupe de domaine (GPO) ou dans la stratégie de sécurité locale du serveur. Pour case activée si c’est le cas, procédez comme suit :

1. Ouvrez une fenêtre d’invite de commandes d’administration et exécutez les commandes suivantes :

   md C:\Temp
   gpresult /h C:\Temp\GPreport.htm
   start C:\Temp\GPreport.htm
   

2. Ouvrez le fichier C:\Temp\gpresult.htm dans votre navigateur web, puis développez Détails> de l’ordinateurParamètres>Stratégies>Paramètres Windows Paramètres>de sécurité Stratégies>locales/Options> de sécuritéAccès réseau. Ensuite, case activée si vous disposez d’un paramètre nommé Accès réseau : Restreindre les clients autorisés à effectuer des appels distants à SAM.

3. Pour ouvrir le composant logiciel enfichable Stratégie de sécurité locale, sélectionnez Démarrer, entrez secpol.msc, appuyez sur Entrée, puis développez Stratégies> localesDévelopper les options de sécurité.

4. Dans la liste des stratégies, sélectionnez Accès réseau : Restreindre les clients autorisés à passer des appels distants à SAM. La colonne Paramètre de sécurité affiche Non défini si le paramètre n’est pas activé, ou affiche une O:BAG:... valeur de descripteur de sécurité si le paramètre est activé. Si le paramètre est activé, vous pouvez également sélectionner l’icône Propriétés pour afficher la liste de Access Control (ACL) actuellement appliquée.

   Remarque

   Par défaut, ce paramètre de stratégie est désactivé. Lorsque ce paramètre est appliqué sur un appareil par le biais d’un objet de stratégie de groupe ou d’un paramètre de stratégie locale, une valeur de Registre nommée RestrictRemoteSam est créée dans le chemin du RegistreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ . Toutefois, ce paramètre de Registre peut être difficile à effacer une fois qu’il a été défini et appliqué au serveur. La désactivation du paramètre stratégie de groupe ou la désactivation de l’option Définir ce paramètre de stratégie dans stratégie de groupe Console de gestion (GPMC) ne supprime pas l’entrée de Registre. Par conséquent, le serveur limite toujours les clients autorisés à effectuer des appels distants à SAM.

   Comment vérifier avec précision que le serveur Microsoft Entra Connect ou le contrôleur de domaine limite toujours les appels distants à SAM ? Vous case activée si l’entrée de Registre reste présente en exécutant l’applet de commande Get-ItemProperty dans PowerShell :

   Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
   

La sortie PowerShell indique-t-elle qu’une entrée de Registre RestrictRemoteSam est toujours présente ? Si c’est le cas, vous avez deux solutions possibles.

Solution 1 : Ajouter le compte de connecteur AD DS à la liste des utilisateurs autorisés

Conservez le paramètre de stratégie Accès réseau : Limitez les clients autorisés à effectuer des appels distants à SAM activés et appliqués sur le serveur Microsoft Entra Connect, mais ajoutez le compte de connecteur services de domaine Active Directory (AD DS) (compte MSOL_) à la liste des utilisateurs autorisés. Pour obtenir des instructions, consultez les étapes suivantes :

1. Si vous ne connaissez pas le nom de votre compte de connecteur AD DS, consultez Identifier le compte de connecteur AD DS.

2. Dans le composant logiciel enfichable GPMC ou Stratégie de sécurité locale, revenez à la boîte de dialogue de propriété pour ce paramètre de stratégie.

3. Sélectionnez Modifier la sécurité pour afficher la boîte de dialogue Paramètres de sécurité pour l’accès à distance à SAM .

4. Dans la liste Noms de groupe ou d’utilisateur , sélectionnez Ajouter pour afficher la boîte de dialogue Sélectionner des utilisateurs ou des groupes . Dans la zone Entrez les noms d’objets à sélectionner , entrez le nom du compte de connecteur AD DS (MSOL_ compte), puis sélectionnez OK pour quitter cette boîte de dialogue.

5. Sélectionnez le compte de connecteur AD DS dans la liste. Sous Autorisations pour <le nom> du compte, dans la ligne Accès à distance, sélectionnez Autoriser.

6. Sélectionnez OK deux fois pour accepter les modifications apportées aux paramètres de stratégie et revenir à la liste des paramètres de stratégie.

7. Ouvrez une fenêtre d’invite de commandes d’administration et exécutez la commande gpupdate pour forcer une mise à jour stratégie de groupe :

   gpupdate /force
   

Solution 2 : Supprimer le paramètre de stratégie Accès réseau : Restreindre les clients autorisés à effectuer des appels distants à SAM , puis supprimer manuellement l’entrée de Registre RestrictRemoteSam

1. Si le paramètre de sécurité est appliqué à partir de la stratégie de sécurité locale, passez à l’étape 4.

2. Ouvrez le composant logiciel enfichable GPMC à partir d’un contrôleur de domaine et modifiez l’objet de stratégie de groupe de domaine respectif.

3. Développez Stratégies de configuration>> ordinateurParamètres Windows Paramètres>de sécurité Configuration>>de l’ordinateurStratégies> localesOptions de sécurité.

4. Dans la liste des options de sécurité, sélectionnez Accès réseau : Restreindre les clients autorisés à passer des appels distants à SAM, ouvrez Propriétés, puis désactivez Définir ce paramètre de stratégie.

5. Ouvrez une fenêtre d’invite de commandes d’administration et exécutez la commande gpupdate pour forcer une mise à jour stratégie de groupe :

   gpupdate /force
   

6. Pour générer un nouveau rapport de résultats stratégie de groupe (GPreport.htm), exécutez la commande gpresult, puis ouvrez le nouveau rapport dans un navigateur web :

   md C:\Temp
   gpresult /h C:\Temp\GPreport.htm
   start C:\Temp\GPreport.htm
   

7. Vérifiez le rapport pour vous assurer que le paramètre de stratégie Accès réseau : Restreindre les clients autorisés à effectuer des appels distants à SAM n’est pas défini.

8. Ouvrez une console d’administration PowerShell.

9. Pour supprimer l’entrée de Registre RestrictRemoteSam , exécutez l’applet de commande Remove-ItemProperty :

   Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
   

   Remarque

   Si vous supprimez l’entrée de Registre RestrictRemoteSam sans supprimer le paramètre d’objet de stratégie de groupe de domaine, cette entrée de Registre est recréé au prochain cycle d’actualisation stratégie de groupe, et l’erreur SSPR_0029 se reproduit.

Contactez-nous pour obtenir de l’aide

Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.