Problembehandlung SSPR_009: Synchronisierter Azure AD Administrator kann Kennwort nicht aus der Cloud zurücksetzen
In diesem Artikel wird erläutert, wie Sie einen Kennwortzurücksetzungsfehler beheben, der auftritt, wenn ein synchronisierter Benutzer mit einer Azure Active Directory (Azure AD) Administratorrolle versucht, sein Kennwort nicht erfolgreich zurückzusetzen.
Dieses Szenario tritt auf, nachdem der Benutzer die Anmeldeseite besucht https://login.microsoftonline.com und " Kann nicht auf Ihr Konto zugreifen?", "Mein Kennwort vergessen" oder jetzt zurücksetzen auswählen. Anschließend leitet der Browser den Benutzer zur SSPR-Seite (Self-Service Password Reset) um https://passwordreset.microsoftonline.com , um den SSPR-Prozess zu starten. Dieser Vorgang erfordert, dass der Benutzer einen "Csv"-Code eingibt. Wenn der Vorgang erfolgreich ist, sendet das Kennwortrückschreiben eine Anforderung zur Kennwortzurücksetzung für den Benutzer an eine lokale Active Directory-Domäne. Gleichzeitig legt SSPR das neue Kennwort in Azure AD fest. Wenn der Vorgang nicht erfolgreich ist, wird stattdessen der Fehler "SSPR_009" zurückgegeben. Wenn der Fehler auftritt, verwenden Sie diesen Artikel, um das Problem zu beheben.
Problembeschreibung
Nachdem ein synchronisierter Benutzer erfolglos versucht hat, ein Kennwort durch Eingabe eines Barcodes zurückzusetzen, zeigt der Browser die folgende Fehlermeldung an:
Sie können Ihr eigenes Kennwort nicht zurücksetzen, da die Kennwortzurücksetzung für Ihre Organisation nicht aktiviert ist.
SSPR_009: Ihre Organisation hat die Kennwortzurücksetzung nicht aktiviert. Wenn Sie Administrator sind, erhalten Sie weitere Informationen im Artikel "Aktivieren der Kennwortzurücksetzung" . Wenn Sie kein Administrator sind, können Sie diese Informationen angeben, wenn Sie sich an Ihren Administrator wenden.
Hinweis
Dieses Szenario tritt nur für Azure AD Benutzer auf, denen eine Azure AD Administratorrolle zugewiesen ist. Der Kennwortänderungs- oder Zurücksetzungsfluss funktioniert für Standardkonten wie erwartet.
Ursache
SSPR für Administratoren ist für den Mandanten nicht aktiviert. SSPR für Administratoren (SSPR-A) war die erste Implementierung von SSPR. Nachdem SSPR für Benutzer (SSPR-U) eingeführt wurde, konnten Benutzer zwei separate Konfigurationen haben.
Die alte SSPR-A-Implementierung wird verwendet, wenn ein Azure AD Konto über eine Administratorrolle verfügt, z. B. globaler Administrator oder Abrechnungsadministrator. Die SSPR-Verwaltung im Azure-Portal ist jedoch nur für SSPR-U vorgesehen. Daher ist SSPR-A möglicherweise nicht für den Mandanten aktiviert.
Lösung
Aktivieren Sie SSPR-A auf dem Mandanten, indem Sie das PowerShell-Cmdlet "Set-MsolCompanySettings " wie folgt ausführen:
Set-MsolCompanySettings -SelfServePasswordResetEnabled $true