Résoudre les problèmes de réinitialisation de mot de passe en libre-service en écriture différée dans Microsoft Entra ID

La réinitialisation de mot de passe en libre-service Microsoft Entra (SSPR) permet aux utilisateurs de réinitialiser leurs mots de passe dans le cloud. La réécriture du mot de passe est une fonctionnalité activée avec Microsoft Entra Connect ou la synchronisation cloud qui permet d’écrire des modifications de mot de passe dans le cloud dans un répertoire local existant en temps réel.

Si vous rencontrez des problèmes avec l’écriture différée SSPR, les étapes de résolution des problèmes et les erreurs courantes suivantes peuvent vous aider. Si vous ne trouvez pas la réponse à votre problème, nos équipes de support sont toujours disponibles pour vous aider davantage.

Résoudre les problèmes de connectivité

Si vous rencontrez des problèmes de réécriture du mot de passe pour Microsoft Entra Connect, passez en revue les étapes suivantes qui pourraient vous aider à résoudre le problème. Pour récupérer votre service, nous vous recommandons de suivre les étapes ci-dessous dans l’ordre :

Confirmer la connectivité réseau
Vérifier TLS 1.2
Mettre à jour Microsoft .NET 4.8
Redémarrer le service Microsoft Entra Connect Sync
Désactiver et réactiver la fonctionnalité d’écriture différée du mot de passe
Installer la dernière version de Microsoft Entra Connect
Résoudre les problèmes de réécriture du mot de passe

Vérifier la connectivité réseau

Le point de défaillance le plus courant est que le pare-feu ou les ports proxy, ou les délais d’inactivité sont configurés de manière incorrecte.

Pour Microsoft Entra Connect version 1.1.443.0 et ultérieure, l’accès HTTPS sortant est requis pour les adresses suivantes :

*.passwordreset.microsoftonline.com
*.servicebus.windows.net

Points de terminaison Azure for US Government :

*.passwordreset.microsoftonline.us
*.servicebus.usgovcloudapi.net

Points de terminaison Azure China 21Vianet :

ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn

Si vous avez besoin d’une granularité plus précise, consultez la liste des plages d’adresses IP microsoft Azure et des étiquettes de service pour le cloud public.

Pour Azure pour le Gouvernement des États-Unis, consultez la liste des plages d’adresses IP Microsoft Azure et des étiquettes de service pour Azure pour le cloud US Government.

Ces fichiers sont mis à jour chaque semaine.

Pour déterminer si l’accès à une URL et un port est restreint dans un environnement tel que le cloud Azure global, procédez comme suit :

Sur le serveur Entra Connect, ouvrez les journaux de l’observateur d’événements (journaux Windows, application) et recherchez l’un de ces ID d’événement : 31034 ou 31019.
À partir de ces ID d’événement, identifiez le nom de l’écouteur Service Bus :

Exécutez la l’applet commande suivant :

Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443

Ou exécutez la commande suivante :

Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -Verbose

Remplacez l'<espace de noms> par celui que vous avez extrait des ID d'événement précédemment. Par exemple, dans le cas précédent, la commande est :

Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443

Pour plus d’informations, consultez les conditions préalables à la connectivité pour Microsoft Entra Connect.

Vérifier si TLS 1.2 est activé

Une étape supplémentaire de dépannage consiste à vérifier que TLS 1.2 est activé correctement sur le serveur de synchronisation. Exécutez le script PowerShell pour vérifier TLS 1.2 sur Entra Connect Server. Veillez à exécuter le script en mode Administrateur.

La sortie du script de vérification doit ressembler à l'image suivante (colonnes chemin, nom et valeur) pour être correctement activée. Si ce n’est pas le cas, exécutez le script PowerShell pour activer TLS 1.2 sur Entra Connect Server/ Redémarrez ensuite le serveur, puis réexécutez le script pour vérifier TLS 1.2.

Vérifier que Microsoft .NET Framework version 4.8 ou ultérieure est activé (serveur de synchronisation)

Vérifiez que Microsoft .NET Framework version 4.8 ou ultérieure est activé sur le serveur de synchronisation.

Redémarrer le service de synchronisation Microsoft Entra Connect

Pour résoudre les problèmes de connectivité ou d’autres problèmes temporaires rencontrés avec le service, procédez comme suit pour redémarrer le service de synchronisation Microsoft Entra Connect :

En tant qu’administrateur sur le serveur qui exécute Microsoft Entra Connect, sélectionnez Démarrer.
Entrez services.msc dans le champ de recherche, puis sélectionnez Entrée.
Recherchez l’entrée Azure AD Sync .
Cliquez avec le bouton droit sur l’entrée de service, sélectionnez Redémarrer, puis attendez que l’opération se termine.

Ces étapes rétablissent votre connexion avec Microsoft Entra ID et devraient résoudre vos problèmes de connectivité.

Si le redémarrage du service de synchronisation Microsoft Entra Connect ne résout pas votre problème, essayez de désactiver, puis de réactiver la fonctionnalité de réécriture du mot de passe dans la section suivante.

Désactiver et réactiver la fonctionnalité de réécriture du mot de passe

Pour continuer à résoudre les problèmes, procédez comme suit pour désactiver, puis réactiver la fonctionnalité de réécriture du mot de passe :

En tant qu'administrateur du serveur exécutant Microsoft Entra Connect, ouvrez l'Assistant de configuration Microsoft Entra Connect.
Dans Se connecter à l’ID Microsoft Entra, entrez vos informations d’identification d’administrateur hybride Microsoft Entra.
Dans Se connecter à AD DS, entrez vos informations d’identification d’administrateur des services de domaine Active Directory locales.
Dans l’identification unique de vos utilisateurs, sélectionnez le bouton Suivant .
Dans les fonctionnalités facultatives, désactivez la case à cocher Réécriture du mot de passe .
Sélectionnez Suivant dans les pages de boîte de dialogue restantes sans modifier quoi que ce soit jusqu’à ce que vous soyez prêt à configurer la page.
Vérifiez que la page Prêt à configurer affiche l'option de réécriture de mot de passe comme désactivée. Sélectionnez le bouton Configurer vert pour valider vos modifications.
Dans Terminé, désactivez l’option Synchroniser maintenant, puis sélectionnez Terminer pour fermer l’assistant.
Rouvrez l’Assistant de configuration de Microsoft Entra Connect.
Répétez les étapes 2 à 8, cette fois en sélectionnant l’option d’écriture différée du mot de passe dans la page Fonctionnalités facultatives pour réactiver le service.

Ces étapes rétablissent votre connexion avec Microsoft Entra ID et devraient résoudre vos problèmes de connectivité.

Si la désactivation, puis la réactivation de la fonctionnalité de réécriture du mot de passe ne résout pas votre problème, réinstallez Microsoft Entra Connect dans la section suivante.

Installer la version la plus récente de Microsoft Entra Connect

Réinstaller Microsoft Entra Connect peut résoudre les problèmes de configuration et de connectivité entre Microsoft Entra ID et votre environnement Active Directory Domain Services local. Nous vous recommandons d’effectuer cette étape uniquement après avoir essayé les étapes précédentes pour vérifier et résoudre les problèmes de connectivité.

Warning

Si vous avez personnalisé les règles de synchronisation prêtes à l’emploi, sauvegardez-les avant de poursuivre la mise à niveau, puis redéployez-les manuellement une fois que vous avez terminé.

Téléchargez la dernière version de Microsoft Entra Connect à partir du Centre de téléchargement Microsoft.
Lorsque vous avez déjà installé Microsoft Entra Connect, effectuez une mise à niveau sur place pour mettre à jour votre installation de Microsoft Entra Connect vers la dernière version.

Exécutez le package téléchargé et suivez les instructions à l’écran pour mettre à jour Microsoft Entra Connect.

Ces étapes devraient rétablir votre connexion avec Microsoft Entra ID et résoudre vos problèmes de connectivité.

Si l’installation de la dernière version du serveur Microsoft Entra Connect ne résout pas votre problème, la dernière étape consiste à essayer la désactivation, puis la réactivation de la réécriture du mot de passe après avoir installé la dernière version.

Vérifier que Microsoft Entra Connect dispose des autorisations nécessaires

Microsoft Entra Connect nécessite l’autorisation de réinitialisation du mot de passe pour Active Directory Domain Services afin d'effectuer la réécriture du mot de passe. Pour vérifier si Microsoft Entra Connect dispose de l’autorisation requise pour un compte d’utilisateur AD DS local donné, utilisez la fonctionnalité d’autorisation effective Windows :

Connectez-vous au serveur Microsoft Entra Connect et démarrez le Gestionnaire du service de synchronisation en sélectionnant Démarrer> leservice de synchronisation.
Sous l’onglet Connecteurs , sélectionnez le connecteur Active Directory Domain Services local, puis sélectionnez Propriétés.
Dans la fenêtre contextuelle, sélectionnez Se connecter à la forêt Active Directory et notez la propriété Nom d’utilisateur . Cette propriété est le compte AD DS utilisé par Microsoft Entra Connect pour effectuer la synchronisation d’annuaire.

Pour que Microsoft Entra Connect effectue une écriture différée du mot de passe, il faut que le compte des services AD DS dispose de l’autorisation de réinitialiser le mot de passe. Pour vérifier les autorisations sur ce compte d’utilisateur, procédez comme suit.
Connectez-vous à un contrôleur de domaine local et démarrez l’application Utilisateurs et ordinateurs Active Directory .
Sélectionnez Affichage et vérifiez que l’option Fonctionnalités avancées est activée.
Recherchez le compte d’utilisateur AD DS à vérifier. Cliquez avec le bouton droit sur le nom du compte et sélectionnez Propriétés.
Dans la fenêtre contextuelle, accédez à l’onglet Sécurité et sélectionnez Avancé.
Dans la fenêtre contextuelle Paramètres de sécurité avancés pour l’administrateur , accédez à l’onglet Accès effectif .
Choisissez Sélectionner un utilisateur, sélectionnez le compte AD DS utilisé par Microsoft Entra Connect, puis sélectionnez Afficher l’accès effectif.
Faites défiler vers le bas et cherchez l'option Réinitialiser le mot de passe. Si l’entrée a une coche, le compte AD DS est autorisé à réinitialiser le mot de passe du compte d’utilisateur Active Directory sélectionné.

Erreurs courantes de réécriture du mot de passe

Les problèmes suivants peuvent se produire avec la réécriture du mot de passe. Si vous avez l’une de ces erreurs, passez en revue la solution proposée et vérifiez si la réécriture du mot de passe fonctionne alors correctement.

Erreur	Solution
Le service de réinitialisation de mot de passe ne démarre pas localement. L’erreur 6800 apparaît dans le journal des événements de l’application de l’ordinateur Microsoft Entra Connect. Après l’intégration, les utilisateurs fédérés ou qui ont recours à la synchronisation du hachage de mot de passe ou à l’authentification directe ne parviennent pas à réinitialiser leurs mots de passe.	Quand la réécriture du mot de passe est activée, le moteur de synchronisation appelle la bibliothèque de réécriture pour effectuer la configuration (intégration) en communiquant avec le service d’intégration cloud. Toutes les erreurs rencontrées au cours de l’intégration ou pendant le démarrage du point de terminaison WCF (Windows Communication Foundation) pour la réécriture du mot de passe entraînent une consignation dans le journal des événements de votre machine Microsoft Entra Connect. Pendant le redémarrage du service Azure AD Sync (ADSync), si l’écriture différée a été configurée, le point de terminaison WCF démarre. Mais, si le démarrage du point de terminaison échoue, l’événement 6800 est journalisé et le service de synchronisation peut démarrer. La présence de cet événement signifie que le point de terminaison de la réécriture du mot de passe n’a pas démarré. Les détails du journal des événements pour cet événement 6800, ainsi que les entrées du journal des événements générées par le composant PasswordResetService, indiquent pour quelles raisons vous ne pouvez pas démarrer le point de terminaison. Passez en revue les erreurs du journal des événements et essayez de redémarrer Microsoft Entra Connect si la réécriture du mot de passe ne fonctionne toujours pas. Si le problème persiste, essayez de désactiver, puis de réactiver la réécriture du mot de passe.
Lorsqu’un utilisateur tente de réinitialiser un mot de passe ou de déverrouiller un compte avec l’écriture différée du mot de passe activée, l’opération échoue. De plus, un événement est consigné dans le journal des événements de Microsoft Entra Connect : « Synchronization Engine returned an error (Le moteur de synchronisation a retourné une erreur) hr=800700CE, message=L’extension ou le nom de fichier est trop long » après l’opération de déverrouillage.	Parcourez le compte Active Directory pour trouver Microsoft Entra Connect et réinitialisez le mot de passe de sorte qu’il ne contienne pas plus de 256 caractères. Ensuite, ouvrez le service de synchronisation à partir du menu Démarrer . Accédez aux connecteurs et recherchez le connecteur Active Directory. Sélectionnez-le, puis sélectionnez Propriétés. Accédez à la page Informations d’identification et entrez le nouveau mot de passe. Sélectionnez OK pour fermer la page.
À la dernière étape du processus d’installation de Microsoft Entra Connect, une erreur indique que la réécriture du mot de passe n’a pas pu être configurée. Le journal des événements de l’application Microsoft Entra Connect contient l’erreur 32009 avec le texte « Erreur d’obtention du jeton d’authentification ».	Cette erreur se produit dans les deux cas suivants : Vous avez spécifié un mot de passe incorrect pour le compte d’administrateur hybride spécifié au début du processus d’installation de Microsoft Entra Connect. Vous avez tenté d’utiliser un utilisateur fédéré pour le compte d’administrateur hybride spécifié au début du processus d’installation de Microsoft Entra Connect. Pour corriger ce problème, assurez-vous que vous n’utilisez pas un compte fédéré pour l’administrateur hybride que vous avez spécifié au début du processus d’installation et que le mot de passe spécifié est correct.
Le journal des événements de la machine Microsoft Entra Connect contient l’erreur 32002 qui est levée en exécutant PasswordResetService. Le message d’erreur : « Erreur de connexion à ServiceBus. Le fournisseur de jetons n’a pas pu fournir de jeton de sécurité. »	Votre environnement local n’est pas en mesure de se connecter au point de terminaison Service Bus dans le cloud. Une règle de pare-feu bloquant une connexion sortante à un port ou une adresse web spécifique provoque normalement cette erreur. Pour plus d’informations, consultez les conditions préalables à la connectivité . Une fois que vous avez mis à jour ces règles, redémarrez le serveur Microsoft Entra Connect. La réécriture du mot de passe doit fonctionner de nouveau.
Après un certain temps, les utilisateurs fédérés ou qui ont recours à la synchronisation du hachage de mot de passe ou à l’authentification directe ne parviennent pas à réinitialiser leurs mots de passe.	Dans certains cas rares, le service de réécriture du mot de passe peut ne pas réussir à redémarrer quand Microsoft Entra Connect a redémarré. Dans ces cas, commencez par vérifier si la réécriture du mot de passe est activée localement. Vous pouvez effectuer cette vérification à l’aide de l’Assistant Microsoft Entra Connect ou de PowerShell. Si la fonctionnalité semble activée, essayez de l’activer ou de la désactiver à nouveau. Si cette étape de résolution des problèmes ne fonctionne pas, essayez une désinstallation et une réinstallation complètes de Microsoft Entra Connect.
Les utilisateurs fédérés ou qui ont recours à la synchronisation du hachage de mot de passe ou à l’authentification directe qui tentent de réinitialiser leurs mots de passe voient une erreur quand ils essaient de soumettre ces derniers. L’erreur indique un problème de service. En plus de ce problème, pendant les opérations de réinitialisation de mot de passe, une erreur peut figurer dans vos journaux des événements locaux, indiquant que l’agent de gestion s’est vu refuser l’accès.	Si vous voyez ces erreurs dans votre journal des événements, vérifiez que le compte ADMA (Active Directory Management Agent) spécifié pendant la configuration dispose des autorisations nécessaires pour la réécriture du mot de passe. Une fois cette autorisation accordée, cela peut prendre jusqu’à 1 heure pour que les autorisations arrivent via la tâche en arrière-plan `sdprop` sur le contrôleur de domaine. Pour que la réinitialisation du mot de passe fonctionne, l’autorisation doit être marquée sur le descripteur de sécurité de l’objet utilisateur dont le mot de passe est réinitialisé. Tant que cette autorisation n’apparaît pas sur l’objet utilisateur, la réinitialisation du mot de passe continue d’échouer avec un message indiquant que l’accès a été refusé.
Les utilisateurs fédérés ou qui ont recours à la synchronisation du hachage de mot de passe ou à l’authentification directe qui tentent de réinitialiser leurs mots de passe voient une erreur lorsqu’ils soumettent ces derniers. L’erreur indique un problème de service. En plus de ce problème, durant les opérations de réinitialisation de mot de passe, une erreur « Objet introuvable » peut apparaître dans vos journaux des événements du service Microsoft Entra Connect.	Cette erreur indique généralement que le moteur de synchronisation est incapable de trouver l’objet utilisateur dans l’espace du connecteur Microsoft Entra ou l’objet espace du connecteur métaverse (MV) ou Microsoft Entra lié. Pour résoudre ce problème, assurez-vous que l’utilisateur est véritablement synchronisé localement avec Microsoft Entra ID via l’instance actuelle de Microsoft Entra Connect et examinez l’état des objets dans les espaces du connecteur et MV. Vérifiez que l’objet AD CS (Active Directory Certificate Services) est connecté à l’objet MV via la règle « Microsoft.InfromADUserAccountEnabled.xxx ».
Les utilisateurs fédérés ou qui ont recours à la synchronisation du hachage de mot de passe ou à l’authentification directe qui tentent de réinitialiser leurs mots de passe voient une erreur lorsqu’ils soumettent ces derniers. L’erreur indique un problème de service. En plus de ce problème, durant les opérations de réinitialisation de mot de passe, une erreur indiquant « Plusieurs correspondances trouvées » peut apparaître dans vos journaux des événements du service Microsoft Entra Connect.	Cette erreur indique que le moteur de synchronisation a détecté que l’objet MV est connecté à plusieurs objets AD CS via « Microsoft.InfromADUserAccountEnabled.xxx ». Cela signifie que l’utilisateur dispose d’un compte activé dans plusieurs forêts. Ce scénario n’est pas pris en charge pour la réécriture du mot de passe.
Les opérations nécessitant un mot de passe échouent en renvoyant un message d’erreur de configuration. Le journal des événements de l’application contient l’erreur Microsoft Entra Connect 6329 avec le texte « 0x8023061f (L’opération a échoué, car la synchronisation de mot de passe n’est pas activée sur cet agent de gestion) ».	Cette erreur se produit si la configuration de Microsoft Entra Connect est changée pour ajouter une nouvelle forêt Active Directory (ou pour supprimer et lire une forêt existante) après l’activation de la fonctionnalité de réécriture du mot de passe. Les opérations nécessitant un mot de passe pour les utilisateurs dans ces forêts récemment ajoutées échouent. Pour résoudre le problème, désactivez et réactivez la fonctionnalité d’écriture différée du mot de passe une fois les modifications apportées à la configuration de la forêt terminées.
SSPR_0029 : nous ne sommes pas en mesure de réinitialiser votre mot de passe en raison d’une erreur dans votre configuration locale. Veuillez contacter votre administrateur et demandez-lui d’étudier le problème.	Problème : l’écriture différée du mot de passe est activée en suivant toutes les étapes requises, mais lors de la tentative de modification d’un mot de passe, vous recevez « SSPR_0029 : votre organisation n’a pas correctement configuré la configuration locale pour la réinitialisation du mot de passe ». La vérification des journaux des événements sur le système Microsoft Entra Connect indique que les informations d’identification de l’agent de gestion ont été refusées. Solution possible : Utilisez RSOP sur le système Microsoft Entra Connect et vos contrôleurs de domaine pour vérifier si la stratégie « Accès réseau : Restreindre les clients autorisés à effectuer des appels distants à SAM », qui se trouve sous Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité, est activée. Modifiez la stratégie pour inclure le compte de gestion MSOL_XXXXXXX en tant qu’utilisateur autorisé. Pour plus d’informations, consultez Résoudre les problèmes d’erreur SSPR_0029 : votre organisation n’a pas correctement configuré la configuration locale pour la réinitialisation du mot de passe.

Codes d’erreur du journal des événements Écriture différée de mot de passe

Une bonne pratique lorsque vous résolvez les problèmes liés à la réécriture du mot de passe consiste à inspecter le journal des événements de l’application sur votre ordinateur Microsoft Entra Connect. Ce journal des événements contient des événements issus de deux sources pour la réécriture du mot de passe. La source PasswordResetService décrit les opérations et les problèmes liés à l’opération de réécriture du mot de passe. La source ADSync décrit les opérations et les problèmes liés à la définition de mots de passe dans votre environnement Services de domaine Active Directory.

Si la source de l’événement est ADSync

Code	Nom ou message	Descriptif
6329	BAIL : MMS(4924) 0x80230619 : « Une restriction empêche le mot de passe d’être remplacé par le mot de passe actuel spécifié. »	Cet événement se produit quand le service de réécriture du mot de passe tente de définir un mot de passe sur votre annuaire local qui ne respecte pas les critères d’ancienneté, d’historique, de complexité ou de filtrage du domaine. Cet événement peut également se produire si le mot de passe d’un utilisateur ne peut pas être modifié. S’il existe une ancienneté minimale pour un mot de passe alors que vous l’avez changé avant le terme de cette ancienneté, vous ne pouvez pas le remodifier tant qu’il n’a pas atteint l’ancienneté spécifiée dans votre domaine. À des fins de test, l’ancienneté minimale doit être définie sur 0. Si vous avez activé la configuration requise pour l’historique des mots de passe, vous devez sélectionner un mot de passe qui n’a pas été utilisé au cours des dernières N fois, où N est le paramètre d’historique des mots de passe. Si vous sélectionnez un mot de passe utilisé dans les dernières N fois, vous voyez un échec dans ce cas. À des fins de test, l’historique de mot de passe doit être défini sur 0. S’il existe des critères de complexité des mots de passe, ils sont tous appliqués quand l’utilisateur tente de modifier ou réinitialiser un mot de passe. Si des filtres de mots de passe sont activés et qu’un utilisateur sélectionne un mot de passe qui ne répond pas aux critères de filtrage, l’opération de réinitialisation ou de modification échoue. Si l’utilisateur a défini l’indicateur de propriété PASSWD_CANT_CHANGE, son mot de passe ne peut pas être synchronisé. À des fins de test, supprimez l’indicateur de propriété PASSWD_CANT_CHANGE. Pour plus d’informations, consultez les descriptions des indicateurs de propriété.
6329	MMS(3040) : admaexport.cpp(2837) : le serveur ne contient pas le contrôle de stratégie de mot de passe LDAP.	Ce problème se produit si le contrôle LDAP_SERVER_POLICY_HINTS_OID (1.2.840.113556.1.4.2066) n’est pas activé sur les contrôleurs de domaine. Pour utiliser la fonctionnalité d’écriture différée du mot de passe, vous devez activer le contrôle. Pour cela, les contrôleurs de domaine doivent se trouver sur Windows Server 2016 ou version ultérieure.
HR 8023042	Le moteur de synchronisation a renvoyé une erreur hr=80230402, message = Une tentative visant à obtenir un objet a échoué, car il existe des entrées en double avec le même point d’ancrage.	Cette erreur se produit quand le même identifiant utilisateur est activé dans plusieurs domaines. C’est, par exemple, le cas si vous synchronisez des forêts de comptes et de ressources et que le même identifiant utilisateur est présent et activé pour chacune des forêts. Cette erreur peut également se produire si vous utilisez un attribut d’ancrage non unique (comme un alias ou un UPN) et que deux utilisateurs partagent ce même attribut d’ancrage. Pour résoudre ce problème, assurez-vous de ne pas avoir d’utilisateurs en double dans vos domaines et d’utiliser un attribut d’ancrage unique pour chaque utilisateur.

Si la source de l’événement est PasswordResetService

Code	Nom ou message	Descriptif
31001	PasswordResetStart	Cet événement indique que le service local a détecté une demande de réinitialisation de mot de passe provenant du cloud pour un utilisateur fédéré ou qui a recours à la synchronisation du hachage de mot de passe ou à l’authentification directe. Cet événement est le premier de chaque opération d’écriture différée de réinitialisation de mot de passe.
31002	Réinitialisation du mot de passe réussie	Cet événement indique qu’un utilisateur a sélectionné un nouveau mot de passe pendant une opération de réinitialisation de mot de passe. Nous avons déterminé que ce mot de passe répond aux exigences de mot de passe d’entreprise. Le mot de passe est correctement réécrit dans l’environnement Active Directory local.
31003	Échec de la réinitialisation du mot de passe	Cet événement indique qu’un utilisateur a sélectionné un mot de passe et que le mot de passe est arrivé avec succès à l’environnement local. Toutefois, quand nous avons essayé de définir le mot de passe dans l’environnement Active Directory local, une erreur s’est produite. Cet échec peut se produire pour plusieurs raisons : Le mot de passe de l’utilisateur ne répond pas aux critères d’ancienneté, d’historique, de complexité ou de filtrage du domaine. Pour résoudre ce problème, créez un mot de passe. Le compte de service ADMA n’a pas les autorisations appropriées pour définir le nouveau mot de passe du compte d’utilisateur en question. Le compte d’utilisateur est dans un groupe protégé, comme celui des administrateurs de domaine ou d’entreprise, ce qui n’autorise pas les opérations de définition de mots de passe.
31004	OnboardingEventStart	Cet événement se produit si vous activez la réécriture du mot de passe avec Microsoft Entra Connect et que nous avons commencé à intégrer votre organisation au service web de réécriture du mot de passe.
31005	OnboardingEventSuccess	Cet événement indique que le processus d’intégration a réussi et que la fonctionnalité de réécriture du mot de passe est prête à être utilisée.
31006	ChangePasswordStart	Cet événement indique que le service local a détecté une demande de modification de mot de passe provenant du cloud pour un utilisateur fédéré ou qui a recours à la synchronisation du hachage de mot de passe ou à l’authentification directe. Cet événement est le premier de chaque opération d’écriture différée de modification de mot de passe.
31007	ChangePasswordSuccess	Cet événement indique qu’un utilisateur a sélectionné un nouveau mot de passe pendant une opération de modification de mot de passe, nous avons déterminé que le mot de passe répond aux exigences de mot de passe de l’entreprise et que le mot de passe est correctement réécrit dans l’environnement Active Directory local.
31008	Échec du changement de mot de passe	Cet événement indique qu’un utilisateur a sélectionné un mot de passe et que le mot de passe est arrivé correctement dans l’environnement local, mais quand nous avons essayé de définir le mot de passe dans l’environnement Active Directory local, une défaillance s’est produite. Cet échec peut se produire pour plusieurs raisons : Le mot de passe de l’utilisateur ne répond pas aux critères d’ancienneté, d’historique, de complexité ou de filtrage du domaine. Pour résoudre ce problème, créez un mot de passe. Le compte de service ADMA n’a pas les autorisations appropriées pour définir le nouveau mot de passe du compte d’utilisateur en question. Le compte d’utilisateur est dans un groupe protégé, comme celui des administrateurs de domaine ou d’entreprise, qui n’autorisent pas les opérations de définition de mots de passe.
31009	ResetUserPasswordByAdminStart	Le service local a détecté une demande de réinitialisation de mot de passe pour un utilisateur fédéré ou qui a recours à la synchronisation du hachage de mot de passe ou à l’authentification directe provenant de l’administrateur au nom d’un utilisateur. Cet événement est le premier de chaque opération d’écriture différée de réinitialisation de mot de passe qui est lancée par un administrateur.
31010	ResetUserPasswordByAdminSuccess	L’administrateur a sélectionné un nouveau mot de passe durant une opération de réinitialisation de mot de passe lancée par l’administrateur. Nous avons déterminé que ce mot de passe répond aux exigences de mot de passe d’entreprise. Le mot de passe est correctement réécrit dans l’environnement Active Directory local.
31011	Échec de réinitialisation du mot de passe utilisateur par l'administrateur	L’administrateur a sélectionné un mot de passe au nom d’un utilisateur. Le mot de passe est arrivé avec succès à l’environnement local. Toutefois, quand nous avons essayé de définir le mot de passe dans l’environnement Active Directory local, une erreur s’est produite. Cet échec peut se produire pour plusieurs raisons : Le mot de passe de l’utilisateur ne répond pas aux critères d’ancienneté, d’historique, de complexité ou de filtrage du domaine. Pour résoudre ce problème, essayez un nouveau mot de passe. Le compte de service ADMA n’a pas les autorisations appropriées pour définir le nouveau mot de passe du compte d’utilisateur en question. Le compte d’utilisateur est dans un groupe protégé, comme celui des administrateurs de domaine ou d’entreprise, qui n’autorisent pas les opérations de définition de mots de passe.
31012	OffboardingEventStart	Cet événement se produit si vous désactivez la réécriture du mot de passe avec Microsoft Entra Connect et indique que nous avons commencé à désintégrer votre organisation du service web de réécriture du mot de passe.
31013	OffboardingEventSuccess	Cet événement indique que le processus de départ a réussi et que la fonctionnalité de réécriture du mot de passe est désactivée avec succès.
31014	OffboardingEventFail	Cet événement indique que le processus de désintégration n’a pas réussi. Cela peut être dû à une erreur d’autorisations sur le compte d’administrateur cloud ou local spécifié durant la configuration. L’erreur peut également se produire si vous tentez d’utiliser un administrateur hybride cloud fédéré quand vous désactivez la réécriture du mot de passe. Pour résoudre ce problème, vérifiez vos autorisations administratives et vérifiez que vous n’utilisez pas un compte fédéré pour configurer la fonctionnalité de réécriture du mot de passe.
31015	WriteBackServiceStarted	Cet événement indique que le service de réécriture du mot de passe a démarré correctement. Il est prêt à accepter les demandes de gestion de mot de passe provenant du cloud.
31016	WriteBackServiceStopped	Cet événement indique que le service d’écriture différée du mot de passe s’est arrêté. Toute demande de gestion de mot de passe provenant du cloud est vouée à l’échec.
31017	AuthTokenSuccess	Cet événement indique que nous avons correctement récupéré un jeton d’autorisation pour l’administrateur hybride spécifié pendant l’installation de Microsoft Entra Connect afin de démarrer le processus d’intégration ou de retrait.
31018	KeyPairCreationSuccess	Cet événement indique que nous avons correctement créé la clé de chiffrement de mot de passe. Cette clé est utilisée pour chiffrer les mots de passe à partir du cloud à envoyer à votre environnement local.
31019	ServiceBusHeartBeat	Cet événement indique que nous avons envoyé une requête à l’instance Service Bus de votre locataire.
31034	ServiceBusListenerError	Cet événement indique une erreur de connexion à l’écouteur Service Bus de votre locataire. Si le message d’erreur inclut « Le certificat distant n’est pas valide », vérifiez que votre serveur Microsoft Entra Connect dispose de toutes les autorités de certification racines requises, comme décrit dans les modifications de certificat Azure TLS.
31044	ServiceDeRéinitialisationDuMotDePasse	Cet événement indique que la réécriture du mot de passe ne fonctionne pas. Le Service Bus écoute les demandes sur deux relais distincts à des fins de redondance. Chaque connexion de relais est gérée par un hôte de service unique. Le client de writeback retourne une erreur si l’un ou l’autre des hôtes de service n’est pas en cours d’exécution.
32 000	Erreur inconnue	Cet événement indique qu’une erreur inconnue s’est produite durant une opération de gestion de mot de passe. Examinez le texte de l’exception dans l’événement pour plus d’informations. Si vous rencontrez des problèmes, essayez de désactiver, puis de réactiver la réécriture du mot de passe. Si cela ne change rien, incluez une copie de votre journal des événements avec l’ID de suivi spécifié lorsque vous ouvrez une demande de support.
32001	Erreur de Service	Cet événement indique une erreur de connexion au service de réinitialisation de mot de passe à partir du cloud. Cette erreur se produit généralement quand le service local n’a pas pu se connecter au service web de réinitialisation de mot de passe.
32002	ServiceBusError	Cet événement indique une erreur de connexion à une instance Service Bus de votre locataire. Cela peut se produire si vous bloquez les connexions sortantes de votre environnement local. Vérifiez que votre pare-feu autorise les connexions sur TCP 443 et à https://ssprdedicatedsbprodncu.servicebus.windows.net, puis réessayez. Si vous rencontrez encore des problèmes, essayez de désactiver, puis de réactiver la réécriture du mot de passe.
32003	InPutValidationError	Cet événement indique que l’entrée passée à l’API du service web n’est pas valide. Recommencez l’opération.
32004	Erreur de déchiffrement	Cet événement indique qu’une erreur de déchiffrement du mot de passe arrivé du cloud s’est produite. Cette erreur peut être due à une incompatibilité de la clé de déchiffrement entre le service cloud et votre environnement local. Pour résoudre ce problème, désactivez, puis réactivez la réécriture du mot de passe dans votre environnement local.
32005	Erreur de configuration	Au cours de l’intégration, nous enregistrons des informations propres au locataire dans un fichier de configuration dans votre environnement local. Cet événement indique qu’une erreur s’est produite durant l’enregistrement de ce fichier ou, quand le service a démarré, durant la lecture de ce fichier. Pour résoudre ce problème, essayez de désactiver, puis réactiver la réécriture du mot de passe pour forcer une réécriture du fichier de configuration.
32007	OnBoardingConfigUpdateError	Pendant l’intégration, nous envoyons des données du cloud au service de réinitialisation du mot de passe local. Ces données sont ensuite écrites dans un fichier en mémoire avant qu’elles ne soient envoyées au service de synchronisation pour être stockées en toute sécurité sur le disque. Cet événement indique un problème d’écriture ou de mise à jour de ces données en mémoire. Pour résoudre ce problème, essayez de désactiver, puis réactiver la réécriture du mot de passe pour forcer une réécriture de ce fichier de configuration.
32008	ValidationError	Cet événement indique que nous avons reçu une réponse non valide du service web de réinitialisation du mot de passe. Pour résoudre ce problème, essayez de désactiver, puis réactiver la réécriture du mot de passe.
32009	AuthTokenError	Cet événement indique que nous n’avons pas réussi à obtenir un jeton d’autorisation pour le compte d’administrateur hybride spécifié pendant l’installation de Microsoft Entra Connect. Cette erreur peut être due à un mauvais nom d’utilisateur ou mot de passe spécifié pour le compte d'administrateur hybride. Elle peut également se produire si le compte d'administrateur hybride spécifié est fédéré. Pour résoudre ce problème, réexécutez la configuration avec le nom d’utilisateur et le mot de passe corrects, puis assurez-vous que l’administrateur correspond à un compte managé (sur le cloud uniquement ou avec la synchronisation de mot de passe).
32010	CryptoError	Cet événement indique une erreur liée à la génération de la clé de chiffrement du mot de passe ou au déchiffrement d’un mot de passe arrivé du service cloud. Cette erreur indique probablement un problème lié à votre environnement. Examinez les détails de votre journal des événements pour en savoir plus sur la résolution de ce problème. Vous pouvez également essayer de désactiver, puis réactiver le service de réécriture du mot de passe.
32011	OnBoardingServiceError	Cet événement indique que le service local n’a pas pu communiquer correctement avec le service web de réinitialisation du mot de passe pour lancer le processus d’intégration. Cela peut être lié à une règle de pare-feu ou à un problème d’obtention d’un jeton d’authentification pour votre locataire. Pour résoudre ce problème, veillez à ne pas bloquer les connexions sortantes via TCP 443 et TCP 9350 à 9354 ou à https://ssprdedicatedsbprodncu.servicebus.windows.net. Vérifiez également que le compte d’administrateur Microsoft Entra que vous utilisez pour l’intégration n’est pas fédéré.
32013	OffBoardingError	Cet événement indique que le service local n’a pas pu communiquer correctement avec le service web de réinitialisation du mot de passe pour lancer le processus de désintégration. Cette erreur peut être due à une règle de pare-feu ou à un problème d’obtention d’un jeton d’autorisation pour votre locataire. Pour résoudre ce problème, veillez à ne pas bloquer les connexions sortantes via 443 ou à https://ssprdedicatedsbprodncu.servicebus.windows.net et que le compte d’administrateur Microsoft Entra que vous utilisez pour la désintégration n’est pas fédéré.
32014	ServiceBusWarning	Cet événement indique que nous avons dû réessayer de vous connecter à une instance Service Bus de votre locataire. Dans des conditions normales, cela ne doit pas être un problème, mais si vous voyez cet événement plusieurs fois, envisagez de vérifier votre connexion réseau à Service Bus, en particulier s’il s’agit d’une connexion à latence élevée ou à faible bande passante.
32015	ReportServiceHealthError	Pour analyser l’intégrité de votre service de réécriture du mot de passe, nous envoyons des données de pulsation à notre service web de réinitialisation du mot de passe toutes les cinq minutes. Cet événement indique qu’une erreur s’est produite lors du renvoi de ces informations d’intégrité au service web cloud. Ces informations d’intégrité n’incluent pas de données personnelles. Il s’agit uniquement de statistiques de pulsations et de services de base qui nous permettent de fournir des informations sur l’état du service dans le cloud.
33001	ADUnKnownError	Cet événement indique qu’une erreur inconnue a été retournée par Active Directory. Pour plus d’informations, recherchez les événements issus de la source ADSync dans le journal des événements du serveur Microsoft Entra Connect.
33002	ADUserNotFoundError	Cet événement indique que l’utilisateur qui tente de réinitialiser ou de modifier un mot de passe n’a pas été trouvé dans le répertoire local. Cette erreur peut se produire lorsque l’utilisateur est supprimé localement, mais pas dans le cloud. Cette erreur peut également se produire s’il existe un problème de synchronisation. Vérifiez vos journaux d’activité de synchronisation, ainsi que les détails de la dernière synchronisation pour plus d’informations.
33003	ADMutliMatchError	Quand une demande de réinitialisation ou modification de mot de passe vient du cloud, nous utilisons l’ancrage cloud spécifiée pendant le processus d’installation de Microsoft Entra Connect pour déterminer comment lier cette demande à un utilisateur dans votre environnement local. Cet événement indique que nous avons trouvé deux utilisateurs dans votre annuaire local avec le même attribut d’ancrage cloud. Vérifiez vos journaux d’activité de synchronisation, ainsi que les détails de la dernière synchronisation pour plus d’informations.
33004	ADPermissionsError	Cet événement indique que le compte de service de l’agent de gestion Active Directory (ADMA) n’a pas les autorisations appropriées sur le compte en question pour définir un nouveau mot de passe. Assurez-vous que le compte ADMA dans la forêt de l’utilisateur possède des autorisations de réinitialisation de mot de passe sur tous les objets de la forêt. Pour obtenir plus d’informations sur la définition des autorisations, reportez-vous à l’étape 4 : Configuration des autorisations Active Directory adéquates. Cette erreur peut également se produire lorsque l’attribut AdminCount de l’utilisateur a la valeur 1.
33005	ADUserAccountDisabled	Cet événement indique que nous avons tenté de réinitialiser ou changer un mot de passe pour un compte qui a été désactivé localement. Activez le compte et recommencez l’opération.
33006	ADUserAccountLockedOut	Cet événement indique que nous avons tenté de réinitialiser ou changer un mot de passe pour un compte qui a été verrouillé localement. Les verrous peuvent se produire lorsqu’un utilisateur a essayé de modifier ou de réinitialiser une opération de mot de passe trop de fois pendant une courte période. Déverrouillez le compte et recommencez l’opération.
33007	ADUserIncorrectPassword	Cet événement indique que l’utilisateur a spécifié un mot de passe actuel incorrect lors de l’opération de modification du mot de passe. Spécifiez le mot de passe correct actuel et réessayez.
33008	ADPasswordPolicyError	Cet événement se produit quand le service de réécriture du mot de passe tente de définir un mot de passe sur votre annuaire local qui ne respecte pas les critères d’ancienneté, d’historique, de complexité ou de filtrage du domaine. S’il existe une ancienneté minimale pour un mot de passe alors que vous l’avez changé avant le terme de cette ancienneté, vous ne pouvez pas le remodifier tant qu’il n’a pas atteint l’ancienneté spécifiée dans votre domaine. À des fins de test, l’ancienneté minimale doit être définie sur 0. Si vous avez activé la configuration requise pour l’historique des mots de passe, vous devez sélectionner un mot de passe qui n’a pas été utilisé au cours des dernières N fois, où N est le paramètre d’historique des mots de passe. Si vous sélectionnez un mot de passe utilisé dans les dernières N fois, vous voyez un échec dans ce cas. À des fins de test, l’historique de mot de passe doit être défini sur 0. S’il existe des critères de complexité des mots de passe, ils sont tous appliqués quand l’utilisateur tente de modifier ou réinitialiser un mot de passe. Si des filtres de mots de passe sont activés et qu’un utilisateur sélectionne un mot de passe qui ne répond pas aux critères de filtrage, l’opération de réinitialisation ou de modification échoue.
33009	Erreur de configuration AD	Cet événement indique qu’un problème s’est produit durant l’écriture d’un mot de passe dans votre annuaire local en raison d’un problème de configuration avec Active Directory. Pour plus d’informations sur l’erreur qui s’est produite, consultez le journal des événements d’application de l’ordinateur Microsoft Entra Connect pour obtenir des messages du service ADSync.

Caractères réservés empêchant la réécriture du mot de passe lorsqu'ils se trouvent dans une unité d'organisation

Le tableau suivant répertorie les caractères réservés qui empêchent la réécriture du mot de passe. Si ces caractères apparaissent dans la structure de votre unité d’organisation locale, la réécriture du mot de passe peut échouer avec l’ID d’événement 33001.

Caractère réservé	Descriptif	Valeur hexadécimale
	caractère d’espace ou # au début d’une chaîne
	caractère d’espace à la fin d’une chaîne
,	virgule	0x2C
+	signe plus	0x2B
""	guillemet	0x22
\	barre oblique inverse	0x5C
<	chevron ouvrant	0x3C
>	chevron fermant	0x3E
;	point-virgule	0x3B
LF	saut de ligne	0x0A
CR	retour chariot	0x0D
=	signe égal	0x3D
/	barre oblique	0x2F

Forums Microsoft Entra

Si vous avez des questions générales sur l’ID Microsoft Entra et la réinitialisation de mot de passe en libre-service, vous pouvez demander de l’aide à la communauté sur la page de questions Microsoft Q&A pour Microsoft Entra ID. Les membres de la communauté comprennent des ingénieurs, des chefs de produit, MVP et autres professionnels de l’informatique.

Contactez le support Microsoft

Si vous ne trouvez pas la réponse à un problème, nos équipes de support technique sont toujours disponibles pour vous aider davantage.

Pour que nous puissions mieux vous aider, nous vous demandons de fournir autant de détails que possible au moment de l’ouverture d’un dossier d’incident. Ces détails comprennent ce qui suit :

Description générale de l’erreur : Qu’est-ce que l’erreur ? Quel était le comportement que vous avez remarqué ? Comment pouvons-nous reproduire l’erreur ? Fournissez autant de détails que possible.
Page : Sur quelle page étiez-vous lorsque vous avez remarqué l'erreur ? Indiquez l’URL si possible, ainsi qu’une capture d’écran de la page.
Code de support : Quel est le code de support généré lorsque l’utilisateur a vu l’erreur ?
- Pour trouver ce code, reproduisez l’erreur, puis sélectionnez le lien code support en bas de l’écran et envoyez le GUID qui en résulte à l’ingénieur du support technique.
- Si vous êtes dans une page sans code de support dans la partie inférieure, appuyez sur F12 et recherchez le SID et le CID et envoyez ces deux résultats à l’ingénieur de support.
Date, heure et fuseau horaire : incluez la date et l’heure précises avec le fuseau horaire que l’erreur s’est produite.
ID utilisateur : Qui était l’utilisateur qui a vu l’erreur ? par exemple user@contoso.com.
- S’agit-il d’un utilisateur fédéré ?
- S’agit-il d’un utilisateur de l’authentification directe ?
- S’agit-il d’un utilisateur disposant de la synchronisation du hachage de mot de passe ?
- S’agit-il d’un utilisateur cloud uniquement ?
Licences : l’utilisateur dispose-t-il d’une licence Microsoft Entra ID affectée ?
Journal des événements d’application : si vous utilisez la réécriture du mot de passe et que l’erreur se trouve dans votre infrastructure locale, incluez une copie compressée du journal des événements d’application à partir du serveur Microsoft Entra Connect.

Étapes suivantes

Pour en savoir plus sur la réinitialisation de mot de passe en libre-service, consultez Comment fonctionne la réinitialisation de mot de passe en libre-service de Microsoft Entra ou Comment fonctionne la réécriture de la réinitialisation de mot de passe en libre-service dans Microsoft Entra ID ?.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-03-04