Come risolvere i problemi di reimpostazione della password self-service

Se si verificano problemi di reimpostazione della password self-service, gli elementi che seguono possono aiutare a riprendere rapidamente il normale funzionamento.

Risolvere i problemi di reimpostazione della password self-service

Errore Dettagli Dettagli tecnici
TenantSSPRFlagDisabled = 9 Spiacenti
Al momento non è possibile reimpostare la password perché l'amministratore ha disabilitato la reimpostazione della password per l'organizzazione. Non c'è alcuna azione aggiuntiva da eseguire per risolvere questa situazione. Contattare l'amministratore e chiedere di abilitare questa funzionalità. Per altre informazioni, vedere Password di Azure AD dimenticata.
SSPR_0009: È stato rilevato che la reimpostazione della password non è stata abilitata dall'amministratore. Contattare l'amministratore e chiedere di abilitare la reimpostazione della password per l'organizzazione.
WritebackNotEnabled = 10 Spiacenti
Al momento non è possibile reimpostare la password perché l'amministratore non ha abilitato un servizio necessario per l'organizzazione. Non c'è alcuna azione aggiuntiva da eseguire per risolvere questa situazione. Contattare l'amministratore e chiedere di controllare la configurazione dell'organizzazione. Per altre informazioni su questo servizio necessario, vedere Configurazione del writeback delle password.
SSPR_0010: È stato rilevato che il writeback delle password non è stato abilitato. Contattare l'amministratore e chiedere di abilitare il writeback delle password.
SsprNotEnabledInUserPolicy = 11 Spiacenti
Al momento non è possibile reimpostare la password perché l'amministratore non ha configurato la reimpostazione della password per l'organizzazione. Non c'è alcuna azione aggiuntiva da eseguire per risolvere questa situazione. Contattare l'amministratore e chiedere di configurare la reimpostazione della password. Per altre informazioni sulla configurazione della reimpostazione della password, leggere l'articolo Guida introduttiva: Reimpostazione self-service della password di Azure AD.
SSPR_0011: L'organizzazione non ha definito criteri di reimpostazione della password. Contattare l'amministratore e chiedere di definire i criteri di reimpostazione della password.
UserNotLicensed = 12 Spiacenti
Al momento non è possibile reimpostare la password perché l'organizzazione non ha le licenze necessarie. Non c'è alcuna azione aggiuntiva da eseguire per risolvere questa situazione. Contattare l'amministratore e chiedere di controllare l'assegnazione delle licenze. Per altre informazioni sulle licenze, leggere l'articolo Requisiti di licenza per la reimpostazione password self-service di Azure AD.
SSPR_0012: L'organizzazione non ha le licenze necessarie per la reimpostazione della password. Contattare l'amministratore e chiedere di esaminare le assegnazioni delle licenze.
UserNotMemberOfScopedAccessGroup = 13 Spiacenti
Al momento non è possibile reimpostare la password perché l'amministratore non ha configurato l'account per l'uso della reimpostazione della password. Non c'è alcuna azione aggiuntiva da eseguire per risolvere questa situazione. Contattare l'amministratore e chiedere di configurare l'account per la reimpostazione della password. Per altre informazioni sulla configurazione dell'account per la reimpostazione della password, leggere l'articolo Implementare la reimpostazione della password per gli utenti.
SSPR_0012: Non si è membri di un gruppo abilitato per la reimpostazione della password. Contattare l'amministratore e richiedere di essere aggiunti al gruppo.
UserNotProperlyConfigured = 14 Spiacenti
Al momento non è possibile reimpostare la password perché nell'account mancano le informazioni necessarie. Non c'è alcuna azione aggiuntiva da eseguire per risolvere questa situazione. Contattare l'amministratore e chiedergli di reimpostare la password. Quando si ha di nuovo accesso all'account, è possibile capire come registrare le informazioni necessarie seguendo i passaggi descritti nell'articolo Eseguire la registrazione per la reimpostazione password self-service.
SSPR_0014: Per reimpostare la password sono necessarie informazioni di sicurezza aggiuntive. Per procedere, contattare l'amministratore e chiedergli di reimpostare la password. Quando si ha di nuovo accesso all'account, è possibile registrare le informazioni di sicurezza aggiuntive all'indirizzo https://aka.ms/ssprsetup. L'amministratore può aggiungere informazioni di sicurezza aggiuntive all'account seguendo i passaggi descritti in Impostare e leggere i dati di autenticazione tramite reimpostazione della password.
OnPremisesAdminActionRequired = 29 Spiacenti
Al momento non è possibile reimpostare la password a causa di un problema con la configurazione della reimpostazione della password per l'organizzazione. Non c'è alcuna azione aggiuntiva da eseguire per risolvere questa situazione. Contattare l'amministratore e chiedere di esaminare la situazione. Per altre informazioni sul potenziale problema, leggere l'articolo Risolvere i problemi relativi al writeback delle password.
SSPR_0029: Non è possibile reimpostare la password a causa di un errore nella configurazione locale. Contattare l'amministratore e chiedere di esaminare la situazione.
OnPremisesConnectivityError = 30 Spiacenti
Al momento non è possibile reimpostare la password a causa di problemi di connettività con l'organizzazione. Non c'è alcuna azione da eseguire al momento, ma il problema potrebbe venire risolto se si riprova più tardi. Se il problema persiste, contattare l'amministratore e chiedere di esaminare la situazione. Per altre informazioni sui problemi di connettività, vedere Risolvere i problemi relativi alla connettività di writeback della password.
SSPR_0030: Non è possibile reimpostare la password a causa di una connessione scarsa con l'ambiente locale. Contattare l'amministratore e chiedere di esaminare la situazione.

Risolvere problemi relativi alla configurazione della funzione di reimpostazione della password nel portale di Azure

Errore Soluzione
Non viene visualizzata la sezione Reimpostazione della password in Azure AD nel portale di Azure Questo problema può verificarsi se all'amministratore che esegue l'operazione non è stata assegnata una licenza Azure AD Premium o Basic.
Può essere risolto assegnando una licenza all'account amministratore in questione usando l'articolo Assegnare, verificare e risolvere i problemi di licenze
Non è possibile visualizzare un'opzione di configurazione specifica Molti elementi dell'interfaccia utente rimangono nascosti finché non sono necessari. Provare ad abilitare tutte le opzioni che si desidera visualizzare.
Non possibile visualizzare la scheda Integrazione locale Questa opzione è visibile solo se è stato scaricato Azure AD Connect ed è stata eseguita la configurazione del writeback delle password. Per altre informazioni su questo argomento, vedere l'articolo Introduzione alle impostazioni rapide per Azure AD Connect.

Risolvere i problemi di segnalazione relativi alla reimpostazione della password

Errore Soluzione
Nella categoria degli eventi di controllo Self-Service Password Management (Gestione delle password self-service) non viene visualizzato alcun tipo di attività di gestione della password Questo problema può verificarsi se all'amministratore che esegue l'operazione non è stata assegnata una licenza Azure AD Premium o Basic.
Può essere risolto assegnando una licenza all'account amministratore in questione grazie all'articolo [Assegnare, verificare e risolvere i problemi di licenze]
Le registrazioni utente vengono visualizzate più volte Quando un utente si registra, ogni singolo dato inserito viene attualmente registrato come un evento distinto.
Per aggregare i dati, è possibile scaricare il report e aprire i dati come tabella pivot in Excel per una maggiore flessibilità.

Risoluzione dei problemi del portale per la registrazione della reimpostazione della password

Errore Soluzione
La directory non è abilitata alla reimpostazione della password L'amministratore non ha abilitato l'utente all'uso di questa funzionalità Cambiare il contrassegno Reimpostazione password self-service abilitata in A group (Un gruppo) o Tutti e fare clic su Salva
All'utente non è stata assegnata una licenza per Azure AD Premium o Basic L'amministratore non ha abilitato l'uso di questa funzionalità Questo problema può verificarsi se all'amministratore che esegue l'operazione non è stata assegnata una licenza Azure AD Premium o Basic.
Può essere risolto assegnando una licenza all'account amministratore in questione usando l'articolo Assegnare, verificare e risolvere i problemi di licenze
Errore di elaborazione della richiesta Questo errore può essere causato da molti problemi, ma in genere è dovuto a un'interruzione del servizio o a un problema di configurazione. Se viene visualizzato questo errore e il suo impatto sull'attività aziendale è significativo, contattare il supporto tecnico Microsoft per assistenza.

Risolvere i problemi del portale per la reimpostazione della password

Errore Soluzione
La directory non è abilitata per la reimpostazione della password. Cambiare il contrassegno Reimpostazione password self-service abilitata in A group (Un gruppo) o Tutti e fare clic su Salva
All'utente non è stata assegnata una licenza Azure AD Premium o Basic Questo problema può verificarsi se all'amministratore che esegue l'operazione non è stata assegnata una licenza Azure AD Premium o Basic.
Può essere risolto assegnando una licenza all'account amministratore in questione usando l'articolo Assegnare, verificare e risolvere i problemi di licenze
La directory è abilitata per la reimpostazione della password, ma le informazioni di autenticazione dell'utente sono mancanti o errate. Prima di procedere, verificare che i dati di contatto dell'utente archiviati nella directory siano corretti. Per altre informazioni su questo argomento, vedere l'articolo Dati utilizzati dal servizio di reimpostazione della password self-service di Azure AD.
La directory è abilitata per la reimpostazione della password, ma per l'utente è archiviato un solo metodo di contatto mentre i criteri sono impostati in modo da richiedere due passaggi di verifica Prima di procedere verificare che per l'utente siano disponibili almeno due metodi di contatto configurati correttamente, ad esempio Cellulare e Telefono ufficio.
La directory è abilitata per la reimpostazione della password, ma non è possibile contattare l'utente anche se questo è configurato correttamente Questo errore può essere causato da un problema temporaneo del servizio o da dati di contatto errati che non sono stati rilevati correttamente.

Se l'utente attende 10 secondi, verrà visualizzato un messaggio in cui si chiede di riprovare, con un collegamento per «contattare l'amministratore». Per rieseguire la chiamata fare clic su Riprova, mentre per inviare un messaggio di posta elettronica del modulo agli amministratori che richiedono la reimpostazione della password per un determinato account utente fare clic su "Contattare l'amministratore".
L'utente non riceve mai un SMS o una telefonata per la reimpostazione della password Il numero di telefono nella directory potrebbe non essere corretto. Verificare che il numero di telefono sia nel formato "+ccc xxxyyyzzzzXeeee".

La reimpostazione della password non supporta le estensioni, anche se ne viene specificata una nella directory, queste vengono rimosse prima dell'invio della chiamata. Provare a usare un numero senza interno o a integrare l'interno nel numero di telefono nel proprio PBX.
L'utente non riceve mai il messaggio di posta elettronica relativo alla reimpostazione della password La causa più comune di questo problema è il rifiuto del messaggio da parte di un filtro protezione da posta indesiderata. Cercare il messaggio di posta elettronica nella cartella della posta indesiderata o della posta eliminata.
Assicurarsi anche che si stia controllando il messaggio di posta elettronica corretto.
Sono stati impostati criteri di reimpostazione password, ma quando la funzionalità viene usata con un account amministratore i criteri non vengono applicati Microsoft gestisce e controlla i criteri di reimpostazione delle password amministratore per assicurare il massimo livello di sicurezza.
All'utente viene impedito di provare a reimpostare la password troppe volte in uno stesso giorno Per impedire agli utenti di provare a reimpostare le password troppe volte in un breve intervallo di tempo, viene applicato un meccanismo di limitazione automatico. Il meccanismo viene applicato quando:
1. L'utente tenta di convalidare un numero di telefono 5 volte in un'ora.
2. L'utente tenta di usare il controllo per le domande di sicurezza 5 volte in un'ora.
3. L'utente tenta di reimpostare una password per lo stesso account utente 5 volte in un'ora.
Per correggere l'errore, chiedere all'utente di attendere 24 ore dopo l'ultimo tentativo, dopodiché sarà in grado di reimpostare la password.
L'utente visualizza un errore quando convalida il numero di telefono Questo errore si verifica quando il numero di telefono immesso non corrisponde a quello archiviato. Assicurarsi che l'utente immetta il numero di telefono completo, inclusi il codice paese e il prefisso, quando tenta di usare un metodo basato sul telefono per la reimpostazione della password.
Errore di elaborazione della richiesta Questo errore può essere causato da molti problemi, ma in genere è dovuto a un'interruzione del servizio o a un problema di configurazione. Se viene visualizzato questo errore e il suo impatto sull'attività aziendale è significativo, contattare il supporto tecnico Microsoft per assistenza.

Risolvere i problemi relativi al writeback delle password

Errore Soluzione
Il servizio di reimpostazione della password non si avvia in locale con l'errore 6800 nel registro eventi dell'applicazione del computer che esegue Azure AD Connect.

Dopo il caricamento, gli utenti federati o con sincronizzazione di hash della password non possono reimpostare le password.
Quando è abilitato il writeback delle password, il motore di sincronizzazione chiama la libreria di writeback per eseguire la configurazione, ossia il caricamento, interagendo con il servizio di caricamento cloud. Gli eventuali errori che si verificano durante il caricamento o durante l'avvio dell'endpoint WCF per il writeback delle password si riflettono nel registro eventi del computer che esegue Azure AD Connect.

Se è stato configurato il writeback, durante il riavvio del servizio ADSync, verrà avviato l'endpoint WCF. Se tuttavia l'avvio dell'endpoint non riesce, il servizio di sincronizzazione viene avviato e viene registrato l'evento 6800. La presenza di questo evento indica che l'endpoint di writeback della password non è stato avviato. I dettagli del registro eventi per questo evento, ovvero per l'evento 6800, e le voci del registro eventi generate dal componente PasswordResetService indicano i motivi per cui non è stato possibile avviare l'endpoint. Esaminare gli errori nel registro eventi e provare a riavviare Azure AD Connect se il writeback delle password ancora non funziona. Se il problema persiste, provare a disabilitare e riabilitare il writeback della password.
Quando un utente prova a reimpostare una password o a sbloccare un account con il writeback delle password abilitato, l'operazione non riesce.

Inoltre, dopo l'esecuzione dell'operazione di sblocco, nel log eventi di Azure AD Connect viene visualizzato un evento simile a: "Il motore di sincronizzazione ha restituito un errore hr=800700CE, messaggio=Nome del file o estensione troppo lunga".
Trovare l'account Active Directory per Azure AD Connect e reimpostare la password in modo che non contenga più di 127 caratteri. Quindi scegliere Servizio di sincronizzazione dal menu Inizia. Passare a Connettori e trovare Active Directory Connector. Selezionarlo e fare clic su Proprietà. Passare alla pagina Credenziali e immettere la nuova password. Fare clic su OK per chiudere la pagina.
Nell'ultimo passaggio del processo di installazione di Azure AD Connect viene visualizzato un errore che indica che non è stato possibile configurare il writeback della password.

Il registro eventi dell'applicazione Azure AD Connect contiene l'errore 32009 il cui testo indica che non è stato possibile recuperare il token di autenticazione.
Questo errore si verifica nei due casi seguenti:

a. È stata specificata una password non corretta per l'account amministratore globale specificato all'inizio del processo di installazione di Azure AD Connect.
b. È stato eseguito un tentativo di usare un utente federato per l'account amministratore globale specificato all'inizio del processo di installazione di Azure AD Connect.

Per correggere l'errore, accertarsi di non usare un account federato per l'amministratore globale specificato all'inizio del processo di installazione di Azure AD Connect e che la password specificata sia corretta.
Il registro eventi del computer che esegue Azure AD Connect contiene l'errore 32002 generato da PasswordResetService.

L'errore indica: "Errore di connessione al bus di servizio. Il provider del token non è stato in grado di fornire un token di sicurezza".
L'ambiente locale non è in grado di connettersi all'endpoint del bus di servizio nel cloud. Questo errore è in genere causato da una regola del firewall che blocca la connessione in uscita a una porta o a un indirizzo Web specifico. Per altre informazioni vedere Network requirements (Requisiti di rete). Dopo aver aggiornato queste regole, riavviare il computer che esegue Azure AD Connect. Il writeback della password dovrebbe funzionare di nuovo.
Dopo un certo periodo di tempo, gli utenti federati o con sincronizzazione di hash della password non possono reimpostare le password. In rari casi, è possibile che il servizio di writeback delle password non venga riavviato quando si riavvia Azure AD Connect. In questi casi, controllare innanzitutto se il writeback della password risulta abilitato in locale. A tale scopo, è possibile usare la procedura guidata di Azure AD Connect o PowerShell (vedere la sezione precedente relativa alle procedure). Se la funzionalità appare abilitata, provare ad abilitarla o a disabilitarla di nuovo tramite l'interfaccia utente o PowerShell. Se il problema persiste, provare a disinstallare completamente e a reinstallare Azure AD Connect.
Gli utenti federati o con sincronizzazione di hash della password che tentano di reimpostare le password visualizzano un errore, dopo l'invio della password, che indica che si è verificato un problema del servizio.

Inoltre, durante le operazioni di reimpostazione della password è possibile che nei registri eventi locali venga visualizzato un errore di accesso negato per l'agente di gestione.
Se nel registro eventi sono presenti errori di questo tipo, verificare che l'account AD MA, specificato nella procedura guidata al momento della configurazione, disponga delle autorizzazioni necessarie per il writeback delle password.

Dopo aver concesso l'autorizzazione, la relativa propagazione nel controller di dominio tramite l'attività in background sdprop può richiedere fino a un'ora.

Per il funzionamento della reimpostazione della password, è necessario che l'autorizzazione sia indicata nel descrittore di sicurezza dell'oggetto utente per il quale viene reimpostata la password. Finché l'autorizzazione non sarà indicata nell'oggetto utente, per la reimpostazione della password continuerà a verificarsi un errore di accesso negato.
Gli utenti federati o con sincronizzazione di hash della password che tentano di reimpostare le password visualizzano un errore, dopo l'invio della password, che indica che si è verificato un problema del servizio.

Inoltre, durante le operazioni di reimpostazione della password, è possibile che venga visualizzato un errore nei registri eventi del servizio Azure AD Connect che indica che non è stato possibile trovare l'oggetto.
Questo errore indica di solito che il motore di sincronizzazione non è in grado di trovare l'oggetto utente nello spazio connettore AAD o nell'oggetto spazio connettore AD o MV collegato.

Per risolvere il problema, assicurarsi che l'utente sia effettivamente sincronizzato dall'ambiente locale ad AAD tramite l'istanza corrente di Azure AD Connect e controllare lo stato degli oggetti negli spazi connettore e nell'oggetto MV. Verificare che l'oggetto Servizi certificati Active Directory sia connesso all'oggetto MV tramite la regola "Microsoft.InfromADUserAccountEnabled.xxx".
Gli utenti federati o con sincronizzazione di hash della password che tentano di reimpostare le password visualizzano un errore, dopo l'invio della password, che indica che si è verificato un problema del servizio.

Inoltre, durante le operazioni di reimpostazione della password, è possibile che venga visualizzato un errore nei registri degli eventi del servizio Azure AD Connect che indica che sono state trovate più corrispondenze.
Ciò indica che il motore di sincronizzazione ha rilevato che l'oggetto MV è connesso a più oggetti Servizi certificati Active Directory tramite "Microsoft.InfromADUserAccountEnabled.xxx". Questo significa che l'utente dispone di un account abilitato in più foreste. Questo scenario non è attualmente supportato per il writeback delle password.
Le operazioni con le password non riescono a causa di un errore di configurazione. Il log eventi dell'applicazione contiene

l'errore 6329 di Azure AD Connect con il testo: 0x8023061f - The operation failed because password synchronization is not enabled on this Management Agent (Operazione non riuscita perché la sincronizzazione della password non è abilitata in questo agente di gestione).
Ciò si verifica se si modifica la configurazione di Azure AD Connect per aggiungere una nuova foresta AD, o per rimuovere e aggiungere nuovamente una foresta esistente, dopo aver abilitato la funzionalità di writeback delle password. Le operazioni con le password per gli utenti in queste foreste appena aggiunte hanno esito negativo. Per risolvere il problema, disabilitare e riabilitare la funzionalità di writeback della password dopo avere completato le modifiche di configurazione della foresta.

Codici errore del registro eventi di writeback della password

Una procedura consigliata per la risoluzione dei problemi relativi al writeback della password consiste nell'esaminare il registro eventi dell'applicazione nel computer che esegue Azure AD Connect. Questo registro conterrà eventi di due origini di interesse per il writeback delle password. L'origine PasswordResetService descrive le operazioni e i problemi correlati all'operazione di writeback delle password. L'origine ADSync descrive le operazioni e i problemi correlati all'impostazione delle password nell'ambiente AD.

L'origine dell'evento è ADSync

Codice Nome/messaggio Descrizione
6329 BAIL: MMS(4924) 0x80230619 - "Una restrizione impedisce la modifica della password in quella corrente specificata." Questo evento si verifica quando il servizio di writeback delle password tenta di impostare una password nella directory locale che non soddisfa i requisiti di validità, cronologia, complessità o filtro del dominio.

Se è prevista una validità minima della password e di recente la password è stata modificata in tale intervallo di tempo, non sarà possibile modificarla di nuovo finché non si raggiunge il periodo di validità specificato nel dominio. A scopo di test, è consigliabile impostare la validità minima su 0.

Se sono abilitati requisiti per la cronologia delle password, sarà necessario selezionare una password che non sia stata usata nelle ultime N volte, dove N è l'impostazione della cronologia delle password. Se si seleziona una password che è stata usata nelle ultime N volte, si verifica un errore. A scopo di test, è consigliabile impostare la cronologia su 0.

Se abilitati, tutti i requisiti di complessità della password vengono applicati quando l'utente tenta di modificare o reimpostare la password.

Se sono abilitati i filtri delle password e un utente sceglie una password che non soddisfa i criteri di filtro, l'operazione di reimpostazione o di modifica non riuscirà.
HR 8023042 Il motore di sincronizzazione ha restituito un errore hr = 80230402, messaggio = Tentativo di ottenere un oggetto non riuscito. Sono presenti voci duplicate con lo stesso ancoraggio Questo evento si verifica quando lo stesso id utente è abilitato in più domini. Ad esempio, se si esegue la sincronizzazione di foreste di Account/Resource e lo stesso id utente è presente e abilitato in ciascuna di esse, questo errore può verificarsi.

Questo errore può verificarsi anche se si utilizza un attributo di ancoraggio non univoco (come alias o UPN) e due utenti condividono lo stesso attributo di ancoraggio.

Per risolvere questo problema, assicurarsi di non avere alcun utente duplicato all'interno dei domini e di utilizzare un attributo di ancoraggio univoco per ogni utente.

L'origine dell'evento è PasswordResetService

Codice Nome/messaggio Descrizione
31001 PasswordResetStart Questo evento indica che il servizio locale ha rilevato una richiesta di reimpostazione della password per un utente federato o con sincronizzazione di hash della password originata dal cloud. Si tratta del primo evento di ogni operazione di writeback per la reimpostazione della password.
31002 PasswordResetSuccess Questo evento indica che un utente ha selezionato una nuova password durante un'operazione di reimpostazione della password, è stato determinato che la password soddisfa i relativi requisiti aziendali e la password è stata scritta correttamente nell'ambiente AD locale.
31003 PasswordResetFail Questo evento indica che un utente ha selezionato una password che è pervenuta correttamente all'ambiente locale, ma quando si è tentato di impostare la password nell'ambiente AD locale si è verificato un errore. Questo problema può verificarsi per diversi motivi:

La password dell'utente non soddisfa i requisiti di validità, cronologia, complessità o filtro per il dominio. Per risolvere il problema, provare a usare una password completamente nuova.

L'account del servizio dell'agente di gestione non dispone delle autorizzazioni appropriate per impostare la nuova password per l'account utente specifico.

L'account dell'utente appartiene a un gruppo protetto, ad esempio Domain Admins o Enterprise Admins, che non consente operazioni di impostazione delle password.
31004 OnboardingEventStart Questo evento si verifica se si abilita il writeback della password con Azure AD Connect e indica che è stato avviato il caricamento dell'organizzazione nel servizio Web di writeback della password.
31005 OnboardingEventSuccess Questo evento indica che il processo di caricamento è stato completato e che la funzionalità di writeback della password è pronta per l'uso.
31006 ChangePasswordStart Questo evento indica che il servizio locale ha rilevato una richiesta di modifica della password per un utente federato o con sincronizzazione di hash della password originata dal cloud. Si tratta del primo evento di ogni operazione di writeback per la modifica della password.
31007 ChangePasswordSuccess Questo evento indica che un utente ha selezionato una nuova password durante un'operazione di modifica della password, è stato determinato che la password soddisfa i relativi requisiti aziendali e la password è stata scritta correttamente nell'ambiente AD locale.
31008 ChangePasswordFail Questo evento indica che un utente ha selezionato una password che è pervenuta correttamente all'ambiente locale, ma quando si è tentato di impostare la password nell'ambiente AD locale si è verificato un errore. Questo problema può verificarsi per diversi motivi:

La password dell'utente non soddisfa i requisiti di validità, cronologia, complessità o filtro per il dominio. Per risolvere il problema, provare a usare una password completamente nuova.

L'account del servizio dell'agente di gestione non dispone delle autorizzazioni appropriate per impostare la nuova password per l'account utente specifico.

L'account dell'utente appartiene a un gruppo protetto, ad esempio Domain Admins o Enterprise Admins, che non consente operazioni di impostazione delle password.
31009 ResetUserPasswordByAdminStart Il servizio locale ha rilevato una richiesta di reimpostazione della password per un utente federato o con sincronizzazione di hash della password originata dall'amministratore per conto di un utente. Si tratta del primo evento di ogni operazione di writeback per la reimpostazione della password avviata dall'amministratore.
31010 ResetUserPasswordByAdminSuccess L'amministratore ha selezionato una nuova password durante un'operazione di reimpostazione della password avviata dall'amministratore, è stato determinato che la password soddisfa i relativi requisiti aziendali e la password è stata scritta correttamente nell'ambiente AD locale.
31011 ResetUserPasswordByAdminFail L'amministratore ha selezionato una password per conto di un utente, che è pervenuta correttamente all'ambiente locale, ma quando si è tentato di impostare la password nell'ambiente AD locale si è verificato un errore. Questo problema può verificarsi per diversi motivi:

La password dell'utente non soddisfa i requisiti di validità, cronologia, complessità o filtro per il dominio. Per risolvere il problema, provare a usare una password completamente nuova.

L'account del servizio dell'agente di gestione non dispone delle autorizzazioni appropriate per impostare la nuova password per l'account utente specifico.

L'account dell'utente appartiene a un gruppo protetto, ad esempio Domain Admins o Enterprise Admins, che non consente operazioni di impostazione delle password.
31012 OffboardingEventStart Questo evento si verifica se si disabilita il writeback della password con Azure AD Connect e indica che è stato avviato lo scaricamento dell'organizzazione nel servizio Web di writeback della password.
31013 OffboardingEventSuccess Questo evento indica che il processo di scaricamento è stato completato e che la funzionalità di writeback della password è stata disabilitata.
31014 OffboardingEventFail Questo evento indica che il processo di scaricamento non è riuscito. Il problema potrebbe essere causato da un errore di autorizzazione nell'account amministratore locale o cloud specificato durante la configurazione o dal tentativo di usare un account amministratore globale cloud federato quando si disabilita il writeback della password. Per risolvere il problema, controllare le autorizzazioni amministrative e verificare che non venga usato un account federato durante la configurazione della funzionalità di writeback della password.
31015 WriteBackServiceStarted Questo evento indica che il servizio di writeback della password è stato avviato correttamente ed è pronto ad accettare le richieste di gestione delle password dal cloud.
31016 WriteBackServiceStopped Questo evento indica che il servizio di writeback della password è stato arrestato e che le richieste di gestione delle password dal cloud non riusciranno.
31017 AuthTokenSuccess Questo evento indica l'operazione di recupero di un token di autorizzazione per l'amministratore globale specificato durante l'installazione di Azure AD Connect per avviare il processo di scaricamento o caricamento è stata eseguita correttamente.
31018 KeyPairCreationSuccess Questo evento indica che la chiave di crittografia della password che verrà usata per crittografare le password dal cloud da inviare all'ambiente locale è stata creata correttamente.
32000 UnknownError Questo evento indica un errore sconosciuto durante un'operazione di gestione delle password. Per altri dettagli, fare riferimento al testo dell'eccezione. In caso di problemi, provare a disabilitare e riabilitare il writeback della password. Se il problema persiste, includere una copia del registro eventi e le informazioni interne specificate nell'ID di traccia da inviare al personale del supporto tecnico.
32001 ServiceError Questo evento indica che si è verificato un errore di connessione al servizio cloud di reimpostazione della password, che in genere viene generato quando il servizio locale non è riuscito a connettersi al servizio Web di reimpostazione della password.
32002 ServiceBusError Questo evento indica che si è verificato un errore di connessione all'istanza del bus di servizio del tenant. È possibile che le connessioni in uscita nell'ambiente locale siano bloccate. Verificare che nel firewall siano consentite le connessioni su TCP 443 e verso https://ssprsbprodncu-sb.accesscontrol.windows.net/ e riprovare. Se i problemi persistono, provare a disabilitare e riabilitare il writeback della password.
32003 InPutValidationError Questo evento indica che l'input passato all'API del servizio Web non è valido. Riprovare a eseguire l'operazione.
32004 DecryptionError Questo evento indica che si è verificato un errore di decrittografia della password ricevuta dal cloud. La causa potrebbe essere una mancata corrispondenza della chiave di decrittografia tra il servizio cloud e l'ambiente locale. Per risolvere il problema, disabilitare e riabilitare il writeback delle password nell'ambiente locale.
32005 ConfigurationError Durante il caricamento, le informazioni specifiche del tenant vengono salvate in un file di configurazione nell'ambiente locale. Questo evento indica che si è verificato un errore durante il salvataggio del file o che durante l'avvio del servizio si è verificato un errore di lettura del file. Per risolvere il problema, provare a disabilitare e riabilitare il writeback delle password per forzare la riscrittura del file di configurazione.
32007 OnBoardingConfigUpdateError Durante il caricamento, i dati vengono inviati dal cloud al servizio di reimpostazione della password locale. I dati vengono quindi scritti in un file in memoria prima di essere inviati al servizio di sincronizzazione per l'archiviazione sicura delle informazioni su disco. Questo evento indica un problema di scrittura o aggiornamento dei dati in memoria. Per risolvere il problema, provare a disabilitare e riabilitare il writeback delle password per forzare la riscrittura della configurazione.
32008 ValidationError Questo evento indica che è stata ricevuta una risposta non valida dal servizio Web di reimpostazione della password. Per risolvere il problema, provare a disabilitare e riabilitare il writeback della password.
32009 AuthTokenError Questo evento indica che non è stato possibile ottenere un token di autorizzazione per l'account amministratore globale specificato durante l'installazione di Azure AD Connect. L'errore può essere causato da una password o un nome utente non valido specificato per l'account amministratore globale o perché è stato specificato un account amministratore globale federato. Per risolvere il problema, ripetere la configurazione con il nome utente e la password corretti e verificare che l'amministratore sia un account gestito, solo cloud o con sincronizzazione della password.
32010 CryptoError Questo evento indica che si è verificato un errore durante la generazione della chiave di crittografia password o durante la decrittografia di una password ricevuta dal servizio cloud. L'errore indica probabilmente un problema con l'ambiente. Per altre informazioni e per risolvere il problema, esaminare i dettagli del registro eventi. Per risolvere il problema, è anche possibile provare a disabilitare e riabilitare il servizio di writeback della password.
32011 OnBoardingServiceError Questo evento indica che il servizio locale non è stato in grado di comunicare correttamente con il servizio Web di reimpostazione della password per avviare il processo di caricamento. Potrebbe dipendere da una regola del firewall o da un problema nel recupero di un token di autorizzazione per il tenant. Per risolvere il problema, verificare che le connessioni in uscita su TCP 443 e TCP 9350-9354 o verso https://ssprsbprodncu-sb.accesscontrol.windows.net/ non siano bloccate e che l'account amministratore AAD usato per il caricamento non sia federato.
32013 OffBoardingError Questo evento indica che il servizio locale non è stato in grado di comunicare correttamente con il servizio Web di reimpostazione della password per avviare il processo di scaricamento. Potrebbe dipendere da una regola del firewall o da un problema nel recupero di un token di autorizzazione per il tenant. Per risolvere il problema, assicurarsi che le connessioni in uscita sulla porta 443 o verso https://ssprsbprodncu-sb.accesscontrol.windows.net/ non siano bloccate e che l'account amministratore AAD usato per lo scaricamento non sia federato.
32014 ServiceBusWarning Questo evento indica che è stato necessario ripetere la connessione all'istanza del bus di servizio del tenant. In condizioni normali non dovrebbe essere un problema, ma se l'evento viene visualizzato più volte, è opportuno verificare la connessione di rete al bus di servizio, specialmente se si tratta di una connessione con larghezza di banda limitata o ad alta latenza.
32015 ReportServiceHealthError Per monitorare l'integrità del servizio di writeback della password, vengono inviati dati heartbeat al servizio Web di reimpostazione della password ogni 5 minuti. Questo evento indica che si è verificato un errore durante l'invio delle informazioni sull'integrità al servizio Web cloud. Le informazioni sull'integrità non includono dati OII o PII. Sono semplicemente un heartbeat e statistiche di base del servizio per poter fornire informazioni sullo stato del servizio nel cloud.
33001 ADUnKnownError Questo evento indica che è stato restituito un errore sconosciuto da AD. Per altre informazioni sull'errore, verificare se nel registro eventi del server Azure AD Connect sono presenti eventi dall'origine ADSync.
33002 ADUserNotFoundError Questo evento indica che l'utente che sta tentando di reimpostare o modificare una password non è stato trovato nella directory locale. Il problema può verificarsi quando l'utente è stato eliminato in locale ma non nel cloud o se è presente un problema di sincronizzazione. Verificare i log di sincronizzazione e i dettagli più recenti relativi all'esecuzione della sincronizzazione.
33003 ADMutliMatchError Quando una richiesta di reimpostazione o modifica della password ha origine dal cloud, viene usato l'ancoraggio cloud specificato durante l'installazione di Azure AD Connect per determinare la modalità di collegamento della richiesta a un utente nell'ambiente locale. Questo evento indica che nella directory locale sono stati trovati due utenti con lo stesso attributo di ancoraggio cloud. Verificare i log di sincronizzazione e i dettagli più recenti relativi all'esecuzione della sincronizzazione.
33004 ADPermissionsError Questo evento indica che l'account del servizio agente di gestione non dispone delle autorizzazioni appropriate nell'account in questione per impostare una nuova password. Assicurarsi che l'account agente di gestione nella foresta dell'utente disponga delle autorizzazioni di modifica e reimpostazione della password per tutti gli oggetti nella foresta. Per altre informazioni su come eseguire questa operazione, vedere Passaggio 4: Impostare le autorizzazioni di Active Directory appropriate.
33005 ADUserAccountDisabled Questo evento indica che si è tentato di reimpostare o modificare una password per un account disabilitato in locale. Abilitare l'account e ripetere l'operazione.
33006 ADUserAccountLockedOut Questo evento indica che si è tentato di reimpostare o modificare una password per un account bloccato in locale. I blocchi possono verificarsi quando un utente ha tentato troppe volte di eseguire un'operazione di modifica o reimpostazione della password in un breve intervallo di tempo. Sbloccare l'account e ripetere l'operazione.
33007 ADUserIncorrectPassword Questo evento indica che l'utente ha specificato una password corrente non corretta durante l'esecuzione di un'operazione di modifica della password. Specificare la password corrente corretta e riprovare.
33008 ADPasswordPolicyError Questo evento si verifica quando il servizio di writeback delle password tenta di impostare una password nella directory locale che non soddisfa i requisiti di validità, cronologia, complessità o filtro del dominio.

Se è prevista una validità minima della password e di recente la password è stata modificata in tale intervallo di tempo, non sarà possibile modificarla di nuovo finché non si raggiunge il periodo di validità specificato nel dominio. A scopo di test, è consigliabile impostare la validità minima su 0.

Se sono abilitati requisiti per la cronologia delle password, sarà necessario selezionare una password che non sia stata usata nelle ultime N volte, dove N è l'impostazione della cronologia delle password. Se si seleziona una password che è stata usata nelle ultime N volte, si verifica un errore. A scopo di test, è consigliabile impostare la cronologia su 0.

Se abilitati, tutti i requisiti di complessità della password vengono applicati quando l'utente tenta di modificare o reimpostare la password.

Se sono abilitati i filtri delle password e un utente sceglie una password che non soddisfa i criteri di filtro, l'operazione di reimpostazione o di modifica non riuscirà.
33009 ADConfigurationError Questo evento indica che si è verificato un problema durante la scrittura di una password nella directory locale, a causa di un problema di configurazione con Active Directory. Per altre informazioni sul tipo di errore, verificare se nel registro eventi dell'applicazione del computer che esegue Azure AD Connect sono presenti messaggi del servizio ADSync.

Risolvere i problemi relativi alla connettività di writeback della password

Se si verificano interruzioni del servizio con il componente di writeback della password di Azure AD Connect, ecco alcuni passaggi rapidi che è possibile eseguire per risolvere il problema:

In generale, è consigliabile eseguire questi passaggi nell'ordine indicato per ripristinare il servizio nel modo più rapido.

Riavviare il servizio di sincronizzazione di Azure AD Connect

Il riavvio del servizio di sincronizzazione di Azure AD Connect può aiutare a risolvere i problemi di connettività o altri problemi temporanei con il servizio.

  1. Con un account amministratore, fare clic sul pulsante Start nel server che esegue Azure AD Connect.
  2. Digitare services.msc nella casella di ricerca e premere INVIO.
  3. Cercare la voce Microsoft Azure AD Sync.
  4. Fare clic con il pulsante destro del mouse sulla voce relativa al servizio, scegliere Riavviae attendere il completamento dell'operazione.

    Riavviare il servizio Azure AD Sync

Questi passaggi consentono di ristabilire la connessione con il servizio cloud e risolvere eventuali interruzioni che si sono verificate. Se il riavvio del servizio di sincronizzazione non risolve il problema, come passaggio successivo è consigliabile provare a disabilitare e riabilitare la funzionalità di writeback della password.

Disabilitare e riabilitare la funzionalità di writeback della password

Disabilitando e riabilitando la funzionalità di writeback della password è possibile risolvere i problemi di connettività.

  1. Con un account amministratore aprire la Configurazione guidata di Azure AD Connect.
  2. Nella finestra di dialogo Connessione ad Azure AD immettere le credenziali di amministratore globale di Azure AD
  3. Nella finestra di dialogo Connessione a Servizi di dominio Active Directory immettere le credenziali di amministratore di AD Domain Services.
  4. Nella finestra di dialogo Identificazione univoca per gli utenti fare clic su Avanti.
  5. Nella finestra di dialogo Funzionalità facoltative deselezionare la casella di controllo Writeback password.
  6. Fare clic su Avanti nelle pagine rimanenti senza apportare alcuna modifica fino a quando non viene visualizzata la pagina Pronto per la configurazione.
  7. Verificare che nella pagina di configurazione l'opzione Writeback password sia disabilitata e quindi fare clic sul pulsante verde Configura per salvare le modifiche.
  8. Nella finestra di dialogo Operazione completata deselezionare l'opzione Sincronizza ora e quindi fare clic su Fine per chiudere la procedura guidata.
  9. Aprire di nuovo la configurazione guidata di Azure AD Connect.
  10. Ripetere i passaggi da 2 a 8, verificando di selezionare l'opzione Writeback password nella schermata Funzionalità facoltative per riabilitare il servizio.

Questi passaggi consentono di ristabilire la connessione con il servizio cloud e di risolvere eventuali interruzioni che si sono verificati.

Se la disabilitazione e la riabilitazione della funzionalità di writeback delle password non risolvono il problema, come passaggio successivo è consigliabile provare a reinstallare Azure AD Connect.

Installare la versione più recente di Azure AD Connect

La nuova installazione di Azure AD Connect potrebbe risolvere i problemi di connettività e di configurazione tra i servizi cloud e l'ambiente AD locale.

Si consiglia di eseguire questo passaggio solo dopo aver provato a eseguire i due passaggi descritti in precedenza.

Avviso

Se le regole di sincronizzazione sono state personalizzate, eseguire il backup prima di procedere con l'aggiornamento e ridistribuire manualmente le regole dopo aver completato l'operazione.

  1. Scaricare la versione più recente di Azure AD Connect dall'Area download Microsoft.
  2. Poiché Azure AD Connect è già stato installato, è necessario eseguire un aggiornamento sul posto per aggiornare l'installazione di Azure AD Connect alla versione più recente.
  3. Eseguire il pacchetto scaricato e seguire le istruzioni visualizzate per aggiornare il computer che esegue Azure AD Connect.

Questi passaggi consentono di ristabilire la connessione con il servizio cloud e di risolvere eventuali interruzioni che si sono verificate.

Se la reinstallazione della versione più recente del server Azure AD Connect non risolve il problema, come ultimo passaggio è consigliabile provare a disabilitare e riabilitare il writeback delle password come passaggio finale, dopo aver installato la versione più recente.

Verificare che Azure AD Connect abbia l'autorizzazione necessaria per il writeback delle password.

Per eseguire il writeback delle password, Azure AD Connect richiede l'autorizzazione Reimposta password di Active Directory. Per scoprire se Azure AD Connect ha l'autorizzazione per uno specifico account utente di Active Directory locale, è possibile usare la funzionalità Windows Effective Permission (Autorizzazione valida di Windows):

  1. Accedere al server di Azure AD Connect e avviare Synchronization Service Manager (Start → Servizio di sincronizzazione).
  2. Nella scheda Connettori selezionare AD connector (Connettore di Active Directory) e fare clic su Proprietà.
    Effective Permission - Passaggio 2
  3. Nella finestra di dialogo popup selezionare la scheda Connect to Active Directory Forest (Connessione all'insieme di strutture di Active Directory) e annotare il valore della proprietà Nome utente. Si tratta dell'account di Active Directory Domain Services usato da Azure AD Connect per eseguire la sincronizzazione delle directory. Azure AD Connect potrà eseguire il writeback delle password solo se l'account di Active Directory Domain Services dispone dell'autorizzazione Reimposta password.
    Effective Permission - Passaggio 3
  4. Accedere a un controller di dominio locale e avviare l'applicazione Utenti e computer di Active Directory.
  5. Fare clic su Visualizza e verificare che l'opzione Funzionalità avanzate sia abilitata.
    Effective Permission - Passaggio 5
  6. Cercare l'account utente di Active Directory che si vuole verificare. Fare clic con il pulsante destro del mouse sull'account e selezionare Proprietà.
    Effective Permission - Passaggio 6
  7. Nella finestra di dialogo popup passare alla scheda Sicurezza e fare clic su Avanzate.
    Autorizzazione valida - Passaggio 7
  8. Nella finestra di dialogo Impostazioni di sicurezza avanzate passare alla scheda Accesso valido.
  9. Fare clic su Selezionare un utente e selezionare l'account di Active Directory Domain Services usato da Azure AD Connect (vedere il passaggio 3). Quindi fare clic su Visualizza accesso valido.
    Effective Permission - Passaggio 9
  10. Scorrere verso il basso e cercare Reimposta password. Se la voce è selezionata, significa che l'account di Active Directory Domain Services ha l'autorizzazione per reimpostare la password dell'account utente di Active Directory selezionato.
    Effective Permission - Passaggio 10

Forum di Azure AD

In caso di domande generiche su Azure AD e la reimpostazione della password self-service, è possibile richiedere assistenza alla community sui forum di Azure AD. La community è composta da ingegneri, responsabili dei prodotti, MVP e informatici.

Contattare il supporto Microsoft

Se si ha difficoltà a trovare la risposta a un problema, i team di supporto di Microsoft sono sempre disponibili per offrire maggiore assistenza.

Per garantire un supporto adeguato, verranno richiesti il maggior numero di dettagli possibile per quanto riguarda l'apertura di un caso, tra cui:

  • Descrizione generale dell'errore: indicare il tipo di errore, il comportamento notato, e le modalità in cui è possibile riprodurre l'errore. Indicare il maggior numero di dettagli possibili.
  • Pagina: indicare la pagina che si stava consultando quando è stato visualizzato l'errore. Includere l'URL, se possibile, e una schermata.
  • Codice di supporto: il codice di supporto generato quando è stato visualizzato l'errore.
    • Per trovalo, riprodurre l'errore, quindi fare clic sul collegamento Codice di supporto nella parte inferiore della schermo e inviare al personale del supporto tecnico il GUID risultante. Trovare il codice di supporto nella parte inferiore della schermata
    • Se è visualizzata una pagina senza un codice di supporto nella parte inferiore, premere F12 ed eseguire una ricerca di SID e CID, quindi inviare i due risultati al personale del supporto tecnico.
  • Data, ora e fuso orario: includere la data e l'ora precisa con il fuso orario a cui si è verificato l'errore.
  • ID utente: ID dell'utente che ha visualizzato l'errore. (user@contoso.com)
    • Indicare se si tratta di un utente federato,
    • di un utente con sincronizzazione di hash della password
    • o di un utente solo cloud.
  • Licenze: indicare se all'utente è stata assegnata una licenza Azure AD Premium o Azure AD Basic.
  • Registro eventi dell'applicazione: indicare se si usa il writeback delle password e se l'errore si verifica nell'infrastruttura locale, allegare una copia compressa del registro eventi dell'applicazione dal server Azure AD Connect e inviarla quando si richiede assistenza.

Passaggi successivi

I collegamenti seguenti forniscono altre informazioni sull'uso della reimpostazione della password con Azure AD

  • Guida introduttiva - Iniziare a usare la gestione self-service delle password di Azure AD
  • Licenze: configurare le licenze di Azure AD
  • Dati : informazioni sui dati necessari e su come vengono usati per la gestione delle password
  • Implementazione: pianificare e distribuire agli utenti la reimpostazione password self-service usando le istruzioni disponibili in questo articolo
  • Personalizzazione - personalizzare l'aspetto dell'esperienza della reimpostazione password self-service per l'azienda.
  • Criteri: comprendere e impostare i criteri password di Azure AD
  • Writeback delle password: funzionamento del writeback delle password con la directory locale
  • Creazione di report - verificare se, quando e dove gli utenti accedono alla reimpostazione password self-service
  • Approfondimento tecnico: approfondimento sul funzionamento
  • Domande frequenti - Come Perché? Cosa? Dove? Chi? Quando? - Risposte alle domande di maggiore interesse