Solução de problemas do write-back de redefinição de senha self-service no Microsoft Entra ID

A SSPR (redefinição de senha self-service) do Microsoft Entra permite que os usuários redefinam as respectivas senhas na nuvem. O write-back de senha é um recurso habilitado no Microsoft Entra Connect ou na Sincronização na nuvem, que permite que as alterações de senha na nuvem sejam gravadas novamente em um diretório local existente em tempo real.

Se você tiver problemas com o write-back da SSPR, as etapas de solução de problemas e os erros comuns incluídos a seguir poderão ser úteis. Se você não conseguir encontrar a resposta para o problema, nossas equipes de suporte estarão sempre disponíveis para ajudá-lo ainda mais.

Solucionar problemas de conectividade

Caso você tenha problemas com o write-back de senha do Microsoft Entra Connect, revise as etapas a seguir que podem ajudar a resolvê-los. Para recuperar o serviço, é recomendável que você siga as etapas nesta ordem:

Confirmar conectividade de rede
Verificar o TLS 1.2
Atualizar o Microsoft .NET 4.8
Reiniciar o serviço Sincronização do Microsoft Entra Connect
Desabilitar e reabilitar o recurso de write-back de senha
Instalar a versão mais recente do Microsoft Entra Connect
Solucionar problemas de write-back de senha

Verificar a conectividade de rede

O ponto de falha mais comum é que as portas de firewall ou proxy, ou os tempos de inatividade, estão configurados incorretamente.

Para o Microsoft Entra Connect versão 1.1.443.0 e superior, o acesso HTTPS de saída é necessário para os seguintes endereços:

*.passwordreset.microsoftonline.com
*.servicebus.windows.net

Pontos de extremidade do Azure para o governo dos EUA:

*.passwordreset.microsoftonline.us
*.servicebus.usgovcloudapi.net

Pontos de extremidade do Azure China 21Vianet:

ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn

Se você precisar de mais granularidade, consulte a lista de Intervalos de IP do Microsoft Azure e Marcas de Serviço para Nuvem Pública.

Para o Azure para o governo dos EUA, consulte a lista de Intervalos de IP e Marcas de Serviço do Microsoft Azure para a Nuvem do Governo dos EUA.

Estes arquivos são atualizados semanalmente.

Para determinar se o acesso a uma URL e porta é restrito em um ambiente como a nuvem global do Azure, siga estas etapas:

No servidor de conexão do Entra, abra os logs do Visualizador de Eventos (logs do Windows, aplicativo) e localize uma destas IDs de evento: 31034 ou 31019.
Nessas IDs de Evento, identifique o nome do ouvinte do barramento de serviço:

Execute o cmdlet a seguir:

Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443

Você também pode executar o seguinte:

Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -Verbose

Substitua o <namespace> pelo mesmo que você extraiu das IDs de evento anteriormente. Por exemplo, no caso anterior, o comando é:

Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443

Para obter mais informações, consulte os pré-requisitos de conectividade para o Microsoft Entra Connect.

Verificar se o TLS 1.2 está habilitado

Uma etapa adicional de solução de problemas é verificar se o TLS 1.2 está habilitado corretamente no Servidor de Sincronização. Execute o Script do PowerShell para verificar o TLS 1.2 no Entra Connect Server. Execute o script no modo admin.

A saída do script de verificação deve ter a aparência da imagem a seguir (com as colunas de caminho, nome e valor) para estar habilitada corretamente. Caso contrário, execute o Script do PowerShell para habilitar o TLS 1.2 no Entra Connect Server/ Reinicialize o servidor e execute o script para verificar o TLS 1.2 novamente.

Verifique se o Microsoft .NET Framework 4.8 ou superior está habilitado (Servidor de Sincronização)

Verifique se o Microsoft .NET Framework 4.8 ou superior está habilitado no Servidor de Sincronização.

Reiniciar o serviço de Sincronização do Microsoft Entra Connect

Para resolver problemas de conectividade ou outros problemas temporários com o serviço, realize as seguintes etapas para reiniciar o serviço de Sincronização do Microsoft Entra Connect:

Como administrador no servidor que executa o Microsoft Entra Connect, selecione Iniciar.
Insira services.msc no campo de pesquisa e selecione Enter.
Procure a entrada Sincronização do Azure AD.
Clique com o botão direito do mouse na entrada do serviço, selecione Reiniciar e aguarde a conclusão da operação.

Essas etapas restabelecem a conexão com o Microsoft Entra ID e devem resolver os problemas de conectividade.

Se a reinicialização do serviço de Sincronização do Microsoft Entra Connect não resolver o problema, tente desabilitar e, em seguida, reabilitar o recurso de write-back de senha na próxima seção.

Desabilitar e reabilitar o recurso de write-back de senha

Para continuar a solucionar problemas, siga estas etapas para desabilitar e reabilitar o recurso de write-back de senha:

Como administrador no servidor que executa o Microsoft Entra Connect, abra o assistente de Configuração do Microsoft Entra Connect.
Em Conectar-se à ID do Microsoft Entra, insira suas credenciais de Administrador Híbrido do Microsoft Entra.
Em Conectar-se ao AD DS, insira suas credenciais de administrador do Active Directory Domain Services local.
Na identificação exclusiva dos usuários, selecione o botão Avançar .
Em Recursos opcionais, desmarque a caixa de seleção write-back de senha.
Selecione Avançar por meio das páginas de diálogo restantes sem alterar nada até chegar à página Pronto para configurar .
Verifique se a página Pronto para configurar mostra a opção de write-back de senha como desabilitada. Selecione o botão Configurar verde para confirmar suas alterações.
Em Concluído, desmarque a opção Sincronizar agora e selecione Concluir para fechar o assistente.
Reabra o assistente de Configuração do Microsoft Entra Connect.
Repita as etapas 2 a 8, desta vez selecionando a opção gravação de senha na página funcionalidades opcionais a fim de reabilitar o serviço.

Essas etapas restabelecem a conexão com o Microsoft Entra ID e devem resolver os problemas de conectividade.

Se desabilitar e reabilitar o recurso de write-back de senha não resolver o problema, reinstale o Microsoft Entra Connect na próxima seção.

Instalar a última versão do Microsoft Entra Connect

A reinstalação do Microsoft Entra Connect pode resolver problemas de configuração e conectividade entre o Microsoft Entra ID e o ambiente do Active Directory Domain Services local. É recomendável que você execute essa etapa somente depois de tentar as etapas anteriores para verificar e solucionar problemas de conectividade.

Aviso

Se você personalizou as regras de sincronização prontas para uso, faça backup delas antes de prosseguir com a atualização e, em seguida, reimplante-as manualmente após a conclusão.

Baixe a versão mais recente do Microsoft Entra Admin Center na guia Gerenciar do Microsoft Entra Connect | Página Introdução .
Como você já instalou o Microsoft Entra Connect, execute uma atualização in-loco para atualizar sua instalação do Microsoft Entra Connect para a versão mais recente.

Execute o pacote baixado e siga as instruções na tela para atualizar o Microsoft Entra Connect.

Essas etapas devem restabelecer a conexão com o Microsoft Entra ID e resolver os problemas de conectividade.

Se a instalação da última versão do servidor do Microsoft Entra Connect não resolver o problema, tente desabilitar e reabilitar o write-back de senha como uma etapa final depois de instalar a última versão.

Verificar se o Microsoft Entra Connect tem as permissões necessárias

O Microsoft Entra Connect exige a permissão Redefinir senha do AD DS para executar o write-back de senha. Para verificar se o Microsoft Entra Connect tem a permissão necessária para uma determinada conta de usuário do AD DS local, use o recurso permissão efetiva do Windows :

Entre no servidor do Microsoft Entra Connect e inicie o Gerenciador de Serviços de Sincronização selecionando Iniciar>Serviço de Sincronização.
Na guia Conectores , selecione o conector do Active Directory Domain Services local e selecione Propriedades.
Na janela pop-up, selecione Conectar-se à Floresta do Active Directory e anote a propriedade User name. Essa propriedade é a conta do AD DS usada pelo Microsoft Entra Connect para executar a sincronização de diretório.

Para que o Microsoft Entra Connect execute o write-back de senha, a conta do AD DS precisa ter permissão para redefinir a senha. Nas etapas a seguir, você verifica as permissões nessa conta de usuário.
Entre em um controlador de domínio local e inicie o aplicativo Usuários e Computadores do Active Directory .
Selecione Exibir e verifique se a opção Recursos Avançados está habilitada.
Procure a conta de usuário do AD DS que você deseja verificar. Clique com o botão direito do mouse no nome da conta e selecione Propriedades.
Na janela pop-up, vá para a guia Segurança e selecione Avançado.
Na janela pop-up Configurações de Segurança Avançada para Administrador , vá para a guia Acesso Efetivo .
Escolha Selecionar um usuário, selecione a conta do AD DS usada pelo Microsoft Entra Connect e selecione Exibir acesso efetivo.
Role para baixo e procure Redefinir senha. Se a entrada tem uma marca de seleção, a conta do AD DS tem permissão para redefinir a senha da conta de usuário do Active Directory selecionada.

Erros comuns de write-back de senha

Podem ocorrer problemas mais específicos com o write-back de senha, como os descritos a seguir. Se você tiver um desses erros, analise a solução proposta e verifique se o write-back de senha funciona corretamente.

Erro	Solução
O serviço de redefinição de senha não é iniciado no local. O erro 6800 aparece no log de eventos do aplicativo do computador Microsoft Entra Connect. Após a integração, os usuários federados, com autenticação de passagem ou sincronizados com hash de senha não conseguem redefinir suas senhas.	Quando o write-back de senha é habilitado, o mecanismo de sincronização chama a biblioteca de write-back para realizar a configuração (integração) comunicando-se com o serviço de integração em nuvem. Os erros encontrados durante a integração ou a inicialização do ponto de extremidade do WCF (Windows Communication Foundation) para o write-back de senha resultam em erros no log de eventos e no computador do Microsoft Entra Connect. Durante a reinicialização do serviço ADSync (Sincronização do Azure AD), se o write-back tiver sido configurado, o ponto de extremidade do WCF será inicializado. No entanto, se ocorrer falha na inicialização do ponto de extremidade, registraremos o evento 6800 e permitiremos a inicialização do serviço de sincronização. A presença desse evento significa que o ponto de extremidade de write-back de senha não foi iniciado. Os detalhes do log de eventos desse evento (6800) juntamente com as entradas do log de eventos geradas pelo componente PasswordResetService indicam por que não é possível iniciar o ponto de extremidade. Analise esses erros do log de eventos e tente reiniciar o Microsoft Entra Connect caso o write-back de senha ainda não esteja funcionando. Se o problema persistir, tente desabilitar e reabilitar o write-back de senha.
Quando um usuário tenta redefinir uma senha ou desbloquear uma conta com write-back de senha habilitada, a operação falha. Além disso, depois que a operação de desbloqueio ocorrer, você verá um evento no log de eventos do Microsoft Entra Connect que contém: “O Mecanismo de Sincronização retornou um erro hr=800700CE, message=O nome de arquivo ou a extensão é muito longo”.	Encontre a conta do Active Directory para o Microsoft Entra Connect e redefina a senha para que ela contenha, no máximo, 256 caracteres. Em seguida, abra o Serviço de Sincronização no menu Iniciar . Navegue até Conectores e localize o Conector do Active Directory. Selecione-o e selecione Propriedades. Navegue até a página Credenciais e insira a nova senha. Selecione OK para fechar a página.
Na última etapa do processo de instalação do Microsoft Entra Connect, você verá um erro indicando que não é possível configurar o write-back de senha. O log de eventos do Aplicativo Microsoft Entra Connect contém o erro 32009 com o texto "Erro ao obter token de autenticação".	Esse erro ocorre nos seguintes casos: Você especificou uma senha incorreta para a conta de Administrador Híbrido fornecida no início do processo de instalação do Microsoft Entra Connect. Você tentou usar um usuário federado para a conta de Administrador Híbrido especificada no início do processo de instalação do Microsoft Entra Connect. Para corrigir esse problema, verifique se você não está usando uma conta federada para o Administrador Híbrido indicada no início do processo de instalação e se a senha especificada está correta.
O log de eventos do computador do Microsoft Entra Connect contém o erro 32002, gerado pela execução de PasswordResetService. O erro é: "Erro ao se conectar ao ServiceBus. O provedor de token não conseguiu fornecer um token de segurança".	O ambiente local não pode se conectar ao ponto de extremidade do Barramento de Serviço do Azure na nuvem. Uma regra de firewall que bloqueia uma conexão de saída com uma porta ou endereço Web específico normalmente causa esse erro. Consulte os pré-requisitos de conectividade para obter mais informações. Depois de atualizar essas regras, reinicie o servidor do Microsoft Entra Connect e o write-back de senha deverá começar a funcionar novamente.
Após trabalhar um pouco, os usuários federados, com autenticação de passagem ou sincronizados com hash de senha não conseguem redefinir suas senhas.	Em alguns casos raros, poderá ocorrer uma falha de reinicialização no serviço de write-back de senha quando o Microsoft Entra Connect for reiniciado. Nesses casos, primeiro verifique se o write-back de senha está habilitado localmente. Verifique isso usando o assistente do Microsoft Entra Connect ou o PowerShell. Se o recurso aparentemente estiver ativado, tente habilitá-lo ou desabilitá-lo novamente. Se essa etapa de solução de problemas não funcionar, tente fazer uma desinstalação e uma reinstalação completas do Microsoft Entra Connect.
Os usuários federados, com autenticação de passagem ou sincronizados por hash de senha que tentam redefinir suas senhas veem um erro quando tentam enviar a senha. O erro indica que houve um problema de serviço. Além disso, durante as operações de redefinição de senha, você pode ver um erro sobre o agente de gerenciamento ter acesso negado em seus logs de eventos no local.	Se você vir esses erros no log de eventos, verifique se a conta do Agente de Gerenciamento do Active Directory (ADMA) especificada durante a configuração tem as permissões necessárias para write-back de senha. Após a permissão ser concedida, poderá levar até uma hora para que as permissões sejam repassadas pela tarefa em segundo plano `sdprop` no DC (controlador de domínio). Para que a redefinição de senha funcione, a permissão deve ser marcada no descritor de segurança do objeto do usuário cuja senha esteja sendo redefinida. Até que essa permissão seja exibida no objeto do usuário, a redefinição de senha continuará falhando com uma mensagem de acesso negado.
Os usuários federados, com autenticação de passagem ou sincronizados por hash de senha que tentam redefinir suas senhas veem um erro quando enviam a senha. O erro indica que houve um problema de serviço. Além desse problema, durante as operações de redefinição de senha, você poderá ver um erro indicando “Objeto não encontrado” nos logs de eventos do serviço Microsoft Entra Connect.	Em geral, esse erro indica que o mecanismo de sincronização não consegue encontrar o objeto de usuário no espaço do conector do Microsoft Entra, no objeto de espaço do conector do Microsoft Entra ou no MV (metaverso) vinculado. Para resolver esse problema, verifique se o usuário está realmente sincronizado do local com o Microsoft Entra ID por meio da instância atual do Microsoft Entra Connect e inspecione o estado dos objetos nos espaços do conector e no MV. Confirme se o objeto AD CS (Serviços de Certificados do Active Directory) está conectado ao objeto MV por meio da regra "Microsoft.InfromADUserAccountEnabled.xxx".
Os usuários federados, com autenticação de passagem ou sincronizados por hash de senha que tentam redefinir suas senhas veem um erro quando enviam a senha. O erro indica que houve um problema de serviço. Além desse problema, durante as operações de redefinição de senha, você poderá ver um erro nos logs de eventos do serviço Microsoft Entra Connect indicando que há “Várias correspondências encontradas”.	Isso significa que o mecanismo de sincronização detectou que o objeto MV está conectado a mais de um objeto AD CS por meio de "Microsoft.InfromADUserAccountEnabled.xxx". Isso significa que o usuário tem uma conta habilitada em mais de uma floresta. Não há suporte para write-back de senha nesse cenário.
Falha nas operações de senha com um erro de configuração. O log de eventos do aplicativo contém o erro 6329 do Microsoft Entra Connect com o texto "0x8023061f (a operação falhou porque a sincronização de senha não está habilitada neste Agente de Gerenciamento)".	Esse erro ocorre quando a configuração do Microsoft Entra Connect é alterada para adicionar uma nova floresta do Active Directory (ou para remover e adicionar novamente uma floresta existente) após o recurso de write-back de senha já ter sido habilitado. As operações de senha para usuários em florestas recém-adicionadas como essas falharão. Para corrigir o problema, desabilite e reabilite o recurso de write-back de senha após as alterações de configuração da floresta serem concluídas.
SSPR_0029: Não é possível redefinir a senha devido a um erro na configuração local. Entre em contato com seu administrador e solicite uma investigação.	Problema: o write-back de senha está habilitado seguindo todas as etapas necessárias, mas ao tentar alterar uma senha, você recebe "SSPR_0029: sua organização não configurou corretamente a configuração local para redefinição de senha". Verificar os logs de eventos no sistema Microsoft Entra Connect mostra que a credencial do agente de gerenciamento teve acesso negado. Possível solução: use o RSoP no sistema Microsoft Entra Connect e nos seus controladores de domínio para verificar se a política "Acesso à rede: restringir clientes permitidos a fazer chamadas remotas para o SAM", encontrada em Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas Locais > Opções de Segurança, está habilitada. Edite a política para incluir a conta de gerenciamento MSOL_XXXXXXX como um usuário permitido. Para obter mais informações, consulte Solucionar problemas de erro SSPR_0029: sua organização não configurou corretamente a configuração local para redefinição de senha.

Códigos de erro do log de eventos de write-back de senha

Uma prática recomendada ao solucionar problemas com o write-back de senha é inspecionar o log de eventos do aplicativo no computador do Microsoft Entra Connect. Esse log de eventos contém eventos de duas fontes para write-back de senha. A fonte PasswordResetService descreve operações e problemas relacionados à operação de write-back de senha. A origem do ADSync descreve operações e problemas relacionados à configuração de senhas em seu ambiente do Active Directory Domain Services.

Se a origem do evento é ADSync

Code	Nome ou mensagem	Descrição
6329	BAIL: MMS(4924) 0x80230619: "Uma restrição impede que a senha seja alterada para a atual especificada".	Esse evento ocorre quando o serviço de write-back de senha tenta definir uma senha no diretório local que não atende aos requisitos de filtragem, complexidade, histórico e idade de senha relativos ao domínio. Esse evento também pode ocorrer se uma senha não puder ser alterada para um usuário. Se você tiver uma duração mínima da senha e tiver alterado a senha recentemente nessa janela de tempo, não poderá alterar a senha novamente até que ela atinja a duração especificada no domínio. Para fins de teste, a idade mínima deve ser definida como 0. Se você tiver os requisitos de histórico de senha habilitados, deverá selecionar uma senha que não tenha sido usada nas últimas N vezes, em que N é a configuração do histórico de senhas. Se você selecionar uma senha usada nas últimas N vezes, verá uma falha nesse caso. Para fins de teste, o histórico de senha deve ser definido como 0. Se você tiver requisitos de complexidade de senha, todos eles serão impostos quando o usuário tentar alterar ou redefinir uma senha. Se você tiver filtros de senha habilitados e um usuário selecionar uma senha que não atende aos critérios de filtragem, ocorrerá falha na operação de redefinição ou de alteração. Se o usuário tiver o sinalizador de propriedade PASSWD_CANT_CHANGE definido, sua senha não poderá ser sincronizada. Para fins de teste, remova o sinalizador de propriedade PASSWD_CANT_CHANGE. Para obter mais informações, consulte Descrições do sinalizador da propriedade.
6329	MMS(3040): admaexport.cpp(2837): o servidor não contém o controle da política de senha do LDAP.	Esse problema ocorre se o controle LDAP_SERVER_POLICY_HINTS_OID (1.2.840.113556.1.4.2066) não está habilitado nos controladores de domínio. Para usar o recurso de write-back de senha, é necessário habilitar o controle. Para isso, os DCs devem estar no Windows Server 2016 ou superior.
RH 8023042	O Mecanismo de Sincronização retornou um erro hr = 80230402, mensagem= Houve uma falha na tentativa de obter um objeto, porque existem entradas duplicadas com a mesma âncora.	Esse erro ocorre quando a mesma ID de usuário está habilitada em vários domínios. Por exemplo, se você estiver sincronizando florestas de contas e recursos e tiver a mesma ID de usuário presente e habilitada em cada uma delas, esse erro poderá ocorrer. Esse erro também pode ocorrer se você usa um atributo de âncora não exclusivo (como alias ou UPN) e dois usuários compartilham o mesmo atributo de âncora. Para resolver esse problema, verifique se você não tem nenhum usuário duplicado em seus domínios e se está usando um atributo de âncora exclusivo para cada usuário.

Se a origem do evento é PasswordResetService

Code	Nome ou mensagem	Descrição
31001	PasswordResetStart	Esse evento indica que o serviço local detectou uma solicitação de redefinição de senha de um usuário federado, com autenticação de passagem ou sincronizado com hash de senha proveniente da nuvem. Esse evento é o primeiro evento em cada operação de write-back de redefinição de senha.
31002	PasswordResetSuccess	Esse evento indica que o usuário selecionou uma nova senha durante uma operação de redefinição de senha. Determinamos que essa senha atende aos requisitos de senha corporativa. A senha é gravada com êxito no ambiente local do Active Directory.
31003	PasswordResetFail	Esse evento indica que o usuário selecionou uma senha e a senha chegou com sucesso ao ambiente local. Mas quando tentamos definir a senha no ambiente do Active Directory local, ocorreu uma falha. Essa falha pode ocorrer por diversos motivos: A senha do usuário não atende aos requisitos de idade, histórico, complexidade ou filtro relativos ao domínio. Para resolver esse problema, crie uma nova senha. A conta do serviço ADMA não tem as permissões apropriadas para definir a nova senha na conta de usuário em questão. A conta do usuário está em um grupo protegido (como um grupo de administradores corporativos ou de domínio) que não permite operações de definição de senha.
31004	InícioDoEventoDeIntegração	Esse evento ocorrerá se você habilitar o write-back de senha com o Microsoft Entra Connect e a integração da sua organização ao serviço Web de write-back de senha tiver sido iniciada.
31005	SucessoDoEventoDeIntegração	Esse evento indica que o processo de integração foi bem-sucedido e que a funcionalidade de write-back de senha está pronta para uso.
31006	ChangePasswordStart	Esse evento indica que o serviço local detectou uma solicitação de alteração de senha de um usuário federado, com autenticação de passagem ou sincronizado com hash de senha proveniente da nuvem. Esse evento é o primeiro evento em cada operação de write-back de alteração de senha.
31007	ChangePasswordSuccess	Esse evento indica que um usuário selecionou uma nova senha durante uma operação de alteração de senha, determinamos que a senha atende aos requisitos de senha corporativa e que a senha foi gravada com êxito no ambiente local do Active Directory.
31008	ChangePasswordFail	Esse evento indica que um usuário selecionou uma senha e que a senha chegou com sucesso ao ambiente local, mas, quando tentamos definir a senha no ambiente do Active Directory local, ocorreu uma falha. Essa falha pode ocorrer por diversos motivos: A senha do usuário não atende aos requisitos de idade, histórico, complexidade ou filtro relativos ao domínio. Para resolver esse problema, crie uma nova senha. A conta do serviço ADMA não tem as permissões apropriadas para definir a nova senha na conta de usuário em questão. A conta do usuário está em um grupo protegido (como um grupo de administradores corporativos ou de domínio) que não permite operações de definição de senha.
31009	ResetUserPasswordByAdminStart	O serviço local detectou uma solicitação de redefinição de senha de um usuário federado, com autenticação de passagem ou sincronizado com hash de senha proveniente do administrador em nome de um usuário. Esse evento é o primeiro evento em cada operação de write-back de redefinição de senha iniciada por um administrador.
31010	ResetUserPasswordByAdminSuccess	O administrador selecionou uma nova senha durante uma operação de redefinição de senha iniciada pelo administrador. Determinamos que essa senha atende aos requisitos de senha corporativa. A senha é gravada com êxito no ambiente local do Active Directory.
31011	ResetUserPasswordByAdminFail	O administrador selecionou uma senha em nome do usuário. A senha chegou com sucesso ao ambiente local. Mas quando tentamos definir a senha no ambiente do Active Directory local, ocorreu uma falha. Essa falha pode ocorrer por diversos motivos: A senha do usuário não atende aos requisitos de idade, histórico, complexidade ou filtro relativos ao domínio. Experimente uma nova senha para resolver esse problema. A conta do serviço ADMA não tem as permissões apropriadas para definir a nova senha na conta de usuário em questão. A conta do usuário está em um grupo protegido (como um grupo de administradores corporativos ou de domínio) que não permite operações de definição de senha.
31012	OffboardingEventStart	Esse evento ocorrerá se você desabilitar o write-back de senha com o Microsoft Entra Connect e indicará que a remoção da sua organização do serviço Web de write-back de senha foi iniciada.
31013	OffboardingEventSuccess	Esse evento indica que o processo de desligamento foi bem-sucedido e que a funcionalidade de gravação reversa de senha foi desabilitada com êxito.
31014	OffboardingEventFail	Esse evento indica que o processo de remoção não foi bem-sucedido. Isso pode ser devido a um erro de permissões na conta de administrador de nuvem ou local especificada durante a configuração. O erro também pode ocorrer se você está tentando usar um Administrador Híbrido federado na nuvem ao desabilitar o write-back de senha. Para corrigir esse problema, verifique suas permissões administrativas e se não está usando uma conta federada ao configurar a funcionalidade de write-back de senha.
31015	WriteBackServiceStarted	Esse evento indica que o serviço de write-back de senha foi iniciado com êxito. Ele está pronto para aceitar solicitações de gerenciamento de senha da nuvem.
31016	WriteBackServiceStopped	Esse evento indica que o serviço de write-back de senha foi interrompido. As solicitações de gerenciamento de senha da nuvem não terão êxito.
31017	AuthTokenSuccess	Esse evento indica que recuperamos com êxito um token de autorização para o Administrador Híbrido especificado durante a instalação do Microsoft Entra Connect para iniciar o processo de remoção ou integração.
31018	KeyPairCreationSuccess	Esse evento indica que criamos a chave de criptografia de senha com êxito. Essa chave é usada para criptografar senhas da nuvem para envio ao seu ambiente local.
31019	ServiceBusHeartBeat	Este evento indica que enviamos com êxito uma solicitação para a instância do Barramento de Serviço do Azure do seu locatário.
31034	ServiceBusListenerError	Esse evento indica que houve um erro ao se conectar ao ouvinte do Barramento de Serviço do locatário. Se a mensagem de erro incluir "O certificado remoto é inválido", verifique se o servidor do Microsoft Entra Connect tem todos os CAs raiz necessários, conforme descrito nas alterações de certificado do TLS do Azure.
31044	PasswordResetService (Serviço de Redefinição de Senha)	Esse evento indica que o write-back de senha não está funcionando. O Barramento de Serviço escuta solicitações em duas retransmissões separadas para fins de redundância. Cada conexão de retransmissão é gerenciada por um Host de Serviço exclusivo. O cliente de write-back retornará um erro se o Host de Serviço não estiver em execução.
32.000	ErroDesconhecido	Esse evento indica a ocorrência de um erro desconhecido durante uma operação de gerenciamento de senha. Examine o texto da exceção no evento para obter mais detalhes. Se você está tendo problemas, tente desabilitar e reabilitar o write-back de senha. Se isso não ajudar, inclua uma cópia do log de eventos junto com a ID de rastreamento especificada quando você abrir uma solicitação de suporte.
32001	Erro de Serviço	Esse evento indica que houve um erro de conexão com o serviço de nuvem de redefinição de senha. Esse erro geralmente ocorre quando o serviço local não pôde se conectar ao serviço Web de redefinição de senha.
32002	ServiceBusError	Esse evento indica que houve um erro ao se conectar à instância do Barramento de Serviço do locatário. Isso pode acontecer porque você está bloqueando as conexões de saída no seu ambiente local. Verifique se o firewall permite conexões via TCP 443 e para https://ssprdedicatedsbprodncu.servicebus.windows.net e tente novamente. Se você ainda está com problemas, tente desabilitar e reabilitar o write-back de senha.
32003	Erro de Validação de Entrada (InPutValidationError)	Esse evento indica que a entrada passada para a API do nosso serviço Web era inválida. Tente a operação novamente.
32004	DecryptionError	Esse evento indica que houve um erro ao descriptografar a senha que chegou da nuvem. Isso pode ser devido a uma falta de correspondência de chave de descriptografia entre o serviço de nuvem e o ambiente local. Para resolver o problema, desabilite e reabilite o write-back de senha no seu ambiente local.
32005	ErroDeConfiguração	Durante a migração, nós salvamos informações específicas de locatário em um arquivo de configuração no seu ambiente local. Esse evento indica que houve um erro ao salvar esse arquivo ou que, quando o serviço foi iniciado, havia erro na leitura do arquivo. Para corrigir o problema, tente desabilitar e reabilitar o write-back de senha para forçar uma regeneração do arquivo de configuração.
32007	OnBoardingConfigUpdateError	Durante a migração, podemos enviar dados da nuvem para o serviço de redefinição de senha local. Esses dados são gravados em um arquivo na memória antes de serem enviados para o serviço de sincronização para serem armazenados com segurança no disco. Esse evento indica que há um problema com a gravação ou a atualização desses dados na memória. Para corrigir esse problema, tente desabilitar e reabilitar o write-back de senha para forçar uma regeneração desse arquivo de configuração.
32008	ValidationError	Esse evento indica que recebemos uma resposta inválida do serviço Web de redefinição de senha. Para corrigir esse problema, tente desabilitar e reabilitar o write-back de senha.
32009	Erro de Token de Autenticação	Esse evento indica que não conseguimos obter um token de autorização para a conta de Administrador Híbrido especificada durante a instalação do Microsoft Entra Connect. Esse erro pode ser causado por um nome de usuário ou senha especificado para a conta de Administrador Híbrido. Esse erro também pode ocorrer se a conta de Administrador Híbrido especificada é federada. Para corrigir esse problema, execute a configuração novamente com o nome de usuário e senha corretos e verifique se o administrador é uma conta gerenciada (somente em nuvem ou sincronizada por senha).
32010	CryptoError	Esse evento indica que houve um erro ao gerar a chave de criptografia de senha ou ao descriptografar uma senha que chegou do serviço de nuvem. Esse erro provavelmente indica um problema com o seu ambiente. Examine os detalhes de seu log de eventos para saber mais sobre como resolver esse problema. Você também pode tentar desabilitar e reabilitar o serviço de write-back de senha.
32011	OnBoardingServiceError	Esse evento indica que o serviço local não pôde se comunicar corretamente com o serviço Web de redefinição de senha para iniciar o processo de integração. Isso pode acontecer como resultado de uma regra de firewall ou quando ocorre um problema ao obter um token de autenticação para o locatário. Para corrigir esse problema, verifique se você não está bloqueando as conexões de saída via TCP 443 e TCP 9350 a 9354 ou para https://ssprdedicatedsbprodncu.servicebus.windows.net. Verifique também se a conta de administrador do Microsoft Entra que você está usando para a integração não é federada.
32013	OffBoardingError	Esse evento indica que o serviço local não pôde se comunicar corretamente com o serviço Web de redefinição de senha para iniciar o processo de integração. Isso pode acontecer como resultado de uma regra de firewall ou quando há um problema ao obter um token de autorização para o locatário. Para corrigir esse problema, confirme que você não está bloqueando as conexões de saída por meio da porta 443 ou com https://ssprdedicatedsbprodncu.servicebus.windows.net e se a conta de administrador do Microsoft Entra que você está usando para a remoção não é federada.
32014	ServiceBusWarning	Esse evento indica que foi necessário fazer uma nova tentativa de se conectar à instância de Barramento de Serviço do locatário. Em condições normais, isso não deve ser uma preocupação, mas se você vir esse evento muitas vezes, considere verificar sua conexão de rede com o Service Bus, especialmente se for uma conexão de alta latência ou de baixa largura de banda.
32015	ReportServiceHealthError	Para monitorar a integridade do seu serviço de write-back de senha, enviamos dados de pulsação para o nosso serviço Web de redefinição de senha a cada cinco minutos. Esse evento indica que houve um erro ao enviar essas informações de integridade para o serviço Web em nuvem. Essas informações de integridade não incluem dados pessoais e são essencialmente uma pulsação e estatísticas básicas de serviço para que seja possível fornecer informações de status do serviço na nuvem.
33001	ADUnKnownError	Esse evento indica que houve um erro desconhecido retornado pelo Active Directory. Verifique o log de eventos do servidor do Microsoft Entra Connect em busca de eventos provenientes do ADSync para obter mais informações.
33002	ADUserNotFoundError	Esse evento indica que o usuário que está tentando redefinir ou alterar uma senha não foi encontrado no diretório local. Esse erro pode ocorrer quando o usuário é excluído localmente, mas não na nuvem. Esse erro também pode ocorrer quando há um problema com a sincronização. Para obter mais informações, verifique os logs de sincronização e os detalhes das últimas execuções de sincronizações.
33003	ADMutliMatchError	Quando uma solicitação de redefinição ou de alteração de senha são provenientes da nuvem, usamos a âncora de nuvem especificada durante o processo de instalação do Microsoft Entra Connect para determinar como vincular essa solicitação novamente a um usuário no seu ambiente local. Esse evento indica que encontramos dois usuários em seu diretório local com o mesmo atributo de âncora de nuvem. Verifique os logs de sincronização e os detalhes das últimas execuções de sincronizações para saber mais.
33004	ADPermissionsError	Esse evento indica que a conta do serviço ADMA (Agente de Gerenciamento do Active Directory) não tem as permissões apropriadas na conta em questão para definir uma nova senha. Verifique se a conta do ADMA na floresta do usuário tem permissões para redefinir a senha em todos os objetos na floresta. Para obter mais informações sobre como definir as permissões, confira a Etapa 4: Configurar as permissões apropriadas do Active Directory. Esse erro também pode ocorrer quando o atributo AdminCount do usuário é definido como 1.
33005	ADUserAccountDisabled	Esse evento indica que tentamos redefinir ou alterar uma senha de uma conta que foi desabilitada no local. Habilite a conta e tente a operação novamente.
33006	ADUserAccountLockedOut	Esse evento indica que tentamos redefinir ou alterar uma senha de uma conta que foi bloqueada no local. Bloqueios podem ocorrer quando um usuário tentou alterar ou redefinir a operação de senha muitas vezes em um curto período. Desbloqueie a conta e tente a operação novamente.
33007	ADUserIncorrectPassword	Esse evento indica que o usuário especificou uma senha atual incorreta durante a operação de alteração de senha. Especifique a senha atual correta e tente novamente.
33008	ADPasswordPolicyError	Esse evento ocorre quando o serviço de write-back de senha tenta definir uma senha no diretório local que não atende aos requisitos de filtragem, complexidade, histórico e idade de senha relativos ao domínio. Se você tiver uma duração mínima da senha e tiver alterado a senha recentemente nessa janela de tempo, não poderá alterar a senha novamente até que ela atinja a duração especificada no domínio. Para fins de teste, a idade mínima deve ser definida como 0. Se você tiver os requisitos de histórico de senha habilitados, deverá selecionar uma senha que não tenha sido usada nas últimas N vezes, em que N é a configuração do histórico de senhas. Se você selecionar uma senha usada nas últimas N vezes, verá uma falha nesse caso. Para fins de teste, o histórico de senha deve ser definido como 0. Se você tiver requisitos de complexidade de senha, todos eles serão impostos quando o usuário tentar alterar ou redefinir uma senha. Se você tiver filtros de senha habilitados e um usuário selecionar uma senha que não atende aos critérios de filtragem, ocorrerá falha na operação de redefinição ou de alteração.
33009	Erro de Configuração do AD	Esse evento indica que houve um problema na gravação de senha no seu diretório local devido a um problema de configuração com o Active Directory. Verifique o log de eventos de aplicativo do computador Microsoft Entra Connect em busca de mensagens do serviço ADSync para obter mais informações sobre qual erro ocorreu.

Caracteres de unidade organizacional reservados do write-back de senha

A tabela a seguir lista os caracteres reservados que impedem o write-back de senha. Se esses caracteres aparecerem na estrutura da unidade organizacional (UO) local, o write-back de senha poderá falhar com a ID do evento 33001.

Caractere reservado	Descrição	Valor hex.
	espaço ou caractere # no início de uma cadeia de caracteres
	caractere de espaço no final de uma cadeia de caracteres
,	vírgula	0x2C
+	sinal de adição	0x2B
"	aspas	0x22
\	barra invertida	0x5C
<	colchete angular esquerdo	0x3C
>	colchete angular direito	0x3E
;	ponto-e-vírgula	0x3B
LF	alimentação de linha	0x0A
CR	retorno de carro	0x0D
=	sinal de igual	0x3D
/	barra	0x2F

Fóruns do Microsoft Entra

Se você tiver dúvidas gerais sobre a ID do Microsoft Entra e a redefinição de senha de autoatendimento, poderá pedir assistência à comunidade na página de perguntas do Microsoft Q&A para o Microsoft Entra ID. Os membros da comunidade incluem engenheiros, gerentes de produto, MVPs e colegas profissionais de TI.

Entrar em contato com o suporte da Microsoft

Caso não encontre a resposta para um problema, nossas equipes de suporte sempre estarão disponíveis para fornecer assistência adicional.

Para uma assistência adequada, solicitamos que você forneça o máximo de detalhes possíveis ao abrir um caso. Esses detalhes incluem:

Descrição geral do erro: Qual é o erro? Qual foi o comportamento observado? Como podemos reproduzir o erro? Forneça o máximo de detalhes possível.
Página: Em que página você estava quando notou o erro? Se possível, inclua a URL e uma captura de tela da página.
Código de suporte: qual foi o código de suporte que foi gerado quando o usuário viu o erro?
- Para localizar esse código, reproduza o erro e, em seguida, selecione o link de código de suporte na parte inferior da tela e envie ao engenheiro de suporte o GUID resultante.
- Se você estiver em uma página sem um código de suporte na parte inferior, selecione F12 para o SID e o CID e envie esses dois resultados para o engenheiro de suporte.
Data, hora e fuso horário: inclua a data e a hora precisas com o fuso horário em que o erro ocorreu.
ID do usuário: Quem foi o usuário que viu o erro? Um exemplo é user@contoso.com.
- Trata-se de um usuário federado?
- Trata-se de um usuário de autenticação de passagem?
- Um usuário sincronizado com hash de senha?
- Ou de um usuário somente de nuvem?
Licenciamento: o usuário tem uma licença de ID do Microsoft Entra atribuída?
Log de eventos do aplicativo: se você está usando o write-back de senha e o erro está na infraestrutura local, inclua uma cópia compactada do log de eventos do aplicativo do servidor Microsoft Entra Connect.

Próximas etapas

Para saber mais sobre a SSPR, confira Como funciona a redefinição de senha self-service do Microsoft Entra ou Como funciona o write-back de redefinição de senha self-service no Microsoft Entra ID?.

Comentários

Esta página foi útil?

Last updated on 2025-07-16