セルフサービスのパスワード リセットのトラブルシューティング方法

セルフサービスのパスワード リセットで問題が発生した場合に、以下の項目が問題の解決に役立つ場合があります。

Azure ポータルでのパスワード リセット構成のトラブルシューティング

エラー 解決策
Azure ポータルで Azure AD の下に [パスワードのリセット] セクションが表示されません これは、この操作を実行する管理者に割り当てられる Azure AD Premium または Azure AD Basic のライセンスを持っていない場合に発生します。
この問題は、ライセンスの割り当て、検証、および問題の解決に関する記事に従って、対象の管理者アカウントにライセンスを割り当てることで解決する場合があります。
特定の構成オプションが表示されません UI の多くの要素は、必要になるまで表示されません。 表示する必要のあるすべてのオプションを有効にしてください。
[オンプレミスの統合] タブが表示されません このオプションは、Azure AD Connect をダウンロードし、パスワード ライトバックを構成した場合にのみ表示されます。 このトピックについて詳しくは、「簡単設定を使用した Azure AD Connect の開始」をご覧ください。

パスワード リセット レポートのトラブルシューティング

エラー 解決策
[Self-Service Password Management (セルフサービスのパスワード管理)] 監査イベント カテゴリに、パスワード管理アクティビティの種類が表示されない これは、この操作を実行する管理者に割り当てられる Azure AD Premium または Azure AD Basic のライセンスを持っていない場合に発生します。
この問題は、ライセンスの割り当て、検証、および問題の解決に関する記事に従って、対象の管理者アカウントにライセンスを割り当てることで解決する場合があります。
ユーザー登録に複数の時刻が表示されます 現時点では、ユーザーの登録時に、個別のイベントとして登録されている各データを記録しています。
このデータを集計する場合は、レポートをダウンロードし、Excel のピボット テーブルでデータを開くと、柔軟性が高まります。

パスワード リセット登録ポータルのトラブルシューティング

エラー 解決策
ディレクトリは、パスワード リセットが有効になっていません。管理者がこの機能を使用できるようにしていません [セルフ サービスによるパスワードのリセットが有効] フラグを [グループ] または [全員] に切り替えて、[保存] をクリックします。
ユーザーに Azure AD Premium または Azure AD Basic ライセンスが割り当てられていない 管理者がこの機能を使用できるようにしていません これは、この操作を実行する管理者に割り当てられる Azure AD Premium または Azure AD Basic のライセンスを持っていない場合に発生します。
この問題は、ライセンスの割り当て、検証、および問題の解決に関する記事に従って、対象の管理者アカウントにライセンスを割り当てることで解決する場合があります。
要求の処理エラー これは、多くの問題が原因で発生することがありますが、一般的にこのエラーはサービスの停止や構成の問題が原因で発生します。 このエラーが表示され、ビジネスに影響がある場合は、Microsoft サポートにお問い合わせください。

パスワード リセット ポータルのトラブルシューティング

エラー 解決策
ディレクトリは、パスワード リセットが有効になっていません [セルフ サービスによるパスワードのリセットが有効] フラグを [グループ] または [全員] に切り替えて、[保存] をクリックします。
ユーザーに Azure AD Premium または Azure AD Basic のライセンスが割り当てられていません これは、この操作を実行する管理者に割り当てられる Azure AD Premium または Azure AD Basic のライセンスを持っていない場合に発生します。
この問題は、ライセンスの割り当て、検証、および問題の解決に関する記事に従って、対象の管理者アカウントにライセンスを割り当てることで解決する場合があります。
ディレクトリで、パスワードのリセットが有効になっていますが、ユーザーの認証情報が見つからないか、認証情報の形式が不正です 続行する前に、ユーザーがディレクトリ内のファイルに正しい形式の連絡先データを指定していることを確認します。 このトピックについて詳しくは、Azure AD セルフサービスのパスワード リセットで使用されるデータに関する記事をご覧ください。
ディレクトリで、パスワードのリセットが有効になっていますが、ポリシーが 2 つの検証手順を要求するように設定されている場合に、ユーザーはファイルに 1 つの連絡先データしか指定していません。 続行する前に、ユーザーが少なくとも 2 つの連絡方法を正しく構成していることを確認します (例: 携帯電話会社電話など)。
ディレクトリでパスワードのリセットが有効になって、ユーザーが正しく構成されていますが、ユーザーに連絡できません 一時的なサービス エラーが発生したか、連絡先データが正しくない可能性があるため、正しく検出できませんでした。

10 秒間待機して、やり直すと、[管理者に問い合わせてください] のリンクが表示されます。 [再試行] をクリックすると、呼び出しが再試行されますが、[管理者に問い合わせてください] をクリックすると、管理者に、そのユーザー アカウントに対してパスワードのリセットを実行するように求めるメールが送信されます。
ユーザーはパスワード リセットの SMS または電話を受け取っていません ディレクトリ内の電話番号の形式が正しくない可能性があります。 電話番号の形式が “+ccc xxxyyyzzzzXeeee” となっていることをご確認ください。

ディレクトリ内の電話番号を指定した場合でも、パスワードのリセットは内線番号をサポートしていません (これらは呼び出しがディスパッチされる前に削除されます)。 内線番号のない電話番号を使用するか、PBX で電話番号と内線番号を統合してください。
ユーザーはパスワード リセットのメールを受信しません メッセージがスパム フィルターによって拒否された可能性があります。 スパム、迷惑メール、削除済みアイテムのフォルダーをご確認ください。
間違ったメールを探していないことも確認してください。
パスワードのリセット ポリシーを設定しましたが、管理者アカウントでパスワードのリセットを使用してもポリシーが適用されません。 マイクロソフトは、最高レベルのセキュリティを維持するために、管理者パスワード リセット ポリシーを管理、制御しています。
ユーザーは 1 日に何回もパスワードのリセットを試みることができません ユーザーが短時間に何回もパスワードをリセットできないように、自動調整メカニズムが実装されています。 これは次の場合に発生します。
1.ユーザーが 1 時間に 5 回電話番号の検証を試みる場合。
手順 2.ユーザーが 1 時間に 5 回セキュリティの質問の使用を試みる場合。
3.ユーザーが 1 時間に 5 回同じユーザー アカウントのパスワードのリセットを試みる場合。
これを解決するには、最後に試行してから 24 時間待機するようにユーザーに指示します。その後、パスワードをリセットできるようになります。
自分の電話番号を検証するときにユーザーにエラーが表示されます このエラーは、入力した電話番号がファイルの電話番号と一致しない場合に発生します。 パスワードのリセットに電話ベースの方法を使用しようとする場合は、ユーザーが国コードと市外局番を含む完全な電話番号を入力していることを確認します。
要求の処理エラー これは、多くの問題が原因で発生することがありますが、一般的にこのエラーはサービスの停止や構成の問題が原因で発生します。 このエラーが表示され、ビジネスに影響がある場合は、Microsoft サポートにお問い合わせください。

パスワード ライトバックのトラブルシューティング

エラー 解決策
パスワード リセット サービスは、Azure AD Connect コンピューターのアプリケーション イベント ログでエラー 6800 が記録されているオンプレミスでは開始されません。

オンボード後に、フェデレーション ユーザーまたはパスワード ハッシュ同期されたユーザーは自分のパスワードをリセットできません。
パスワード ライトバックを有効にすると、同期エンジンはライトバック ライブラリを呼び出し、クラウド オンボード サービスと通信して構成 (オンボード) を実行します。 オンボード中またはパスワード ライトバックの WCF エンドポイントの起動中に発生したエラーは、Azure AD Connect コンピューターのイベント ログのエラーになります。

ADSync サービスの再起動時に、ライトバックが構成された場合は、WCF エンドポイントが起動します。 ただし、エンドポイントの起動に失敗した場合は、イベント ログ 6800 を記録し、同期サービスを起動します。 このイベントの存在は、パスワード ライトバックのエンドポイントが起動しなかったことを意味します。 このイベント (6800) のイベント ログ詳細とPasswordResetService コンポーネントで生成されたイベント ログ エントリは、エンドポイントが起動できなかった理由を示します。 パスワード ライトバックが機能していない場合は、これらのイベント ログのエラーを確認し、Azure AD Connect の再起動を試みてください。 問題が解決しない場合は、パスワード ライトバックを無効にしてから再び有効にしてください。
パスワード ライトバックを有効にした状態でユーザーがアカウントのロック解除またはパスワードのリセットを試みると操作に失敗します。

また、Azure AD Connect のイベント ログを見ると、ロック解除操作の後に "Synchronization Engine returned an error hr=800700CE, message=The filename or extension is too long (同期エンジンから hr=800700CE エラーと、ファイル名または拡張子が長すぎるというメッセージが返されました)" というイベントが記録されています。
Azure AD Connect の Active Directory アカウントを探して、パスワードを 127 文字以内に含めるようにリセットします。 [スタート] メニューから [同期サービス] を開きます。 [コネクタ] に移動し、[Active Directory Connector] を探します。 これを選択し、[プロパティ] をクリックします。 [資格情報] ページに移動して新しいパスワードを入力します。 [OK] を選択してページを閉じます。
Azure AD Connect インストール プロセスの最後の手順で、パスワード ライトバックを構成できなかったことを示すエラーが表示されます。

Azure AD Connect アプリケーションのイベント ログには、エラー 32009 とテキスト "認証トークンの取得エラー" が含まれています。
このエラーは、次の 2 つの場合に発生します。

a. Azure AD Connect インストール プロセスの開始時に指定されたグローバル管理者アカウントに不正なパスワードを指定しています。
b. Azure AD Connect インストール プロセスの開始時に指定されたグローバル管理者アカウントにフェデレーション ユーザーを使用しようとしています。

このエラーを修正するには、Azure AD Connect インストール プロセスの開始時に指定されたグローバル管理者用のフェデレーション アカウントを使用していないことと、指定されたパスワードが正しいことをご確認ください。
Azure AD Connect コンピューターのイベント ログには、PasswordResetService によってスローされたエラー 32002 が含まれています。

このエラーは、"ServiceBus への接続エラーです。トークン プロバイダーはセキュリティ トークンを提供できませんでした" です。
オンプレミスの環境では、クラウドで Service Bus エンドポイントに接続することができません。 このエラーは、通常、特定のポートまたは Web のアドレスへの発信接続をブロックするファイアウォール規則が原因で発生します。 詳しくは、「ネットワークの要件」をご覧ください。 これらのルールを更新した後、Azure AD Connect コンピューターを再起動し、パスワード ライトバックが再び動作を開始する必要があります。
しばらく動作した後、フェデレーション ユーザーまたはパスワード ハッシュ同期されたユーザーは自分のパスワードをリセットできません。 Azure AD Connect を再起動したときに、まれにパスワード ライトバック サービスの再起動に失敗することがあります。 このような場合は、まずパスワード ライトバックがオンプレミスで有効になっていることが表示されるかどうかを確認します。 これは、Azure AD Connect ウィザードまたは PowerShell を使用して行うことができます (前のセクションを参照してください)。機能が有効になっていると表示される場合は、UI または PowerShell を使用してもう一度機能を有効または無効にします。 これが機能しない場合は、Azure AD Connect を完全にアンインストールして再インストールしてください。
自分のパスワードのリセットを試みるフェデレーション ユーザーまたはパスワード ハッシュ同期されたユーザーは、パスワードを送信した後にサービスに問題があったことを示すエラーが表示されます。

さらに、パスワードのリセット操作中に、管理エージェントがオンプレミスのイベント ログでアクセスが拒否されたというエラーが表示されることがあります。
イベント ログにこのようなエラーが表示された場合は、AD MA アカウント (構成時にウィザードで指定された) がパスワード ライトバックに対して必要な権限を持っていることを確認します。

この権限が付与されたら、DC の sdprop バックグラウンド タスクを介して権限が適用されるのに最大 1 時間かかることがあります。

パスワードのリセットが機能するには、パスワードがリセットされるユーザー オブジェクトのセキュリティ記述子に権限を設定する必要があります。 この権限がユーザー オブジェクトに表示されるまで、パスワードのリセットはアクセス拒否によって引き続き失敗します。
自分のパスワードのリセットを試みるフェデレーション ユーザーまたはパスワード ハッシュ同期されたユーザーは、パスワードを送信した後にサービスに問題があったことを示すエラーが表示されます。

さらに、パスワードのリセット操作中に、Azure AD Connect サービスのイベント ログに "オブジェクトが見つかりませんでした" というエラーが表示されることがあります。
このエラーは通常、同期エンジンが、AAD コネクタ スペース オブジェクト、またはリンクされた MV または AD のコネクタ スペース オブジェクト内のいずれかのユーザー オブジェクトを検索できないことを示します。

これをトラブルシューティングするには、Azure AD Connect の現在のインスタンスを介してオンプレミスから AAD にユーザーが実際に同期されていることを確認し、コネクタ スペースと MV 内のオブジェクトの状態を検査します。 AD CS オブジェクトが "Microsoft.InfromADUserAccountEnabled.xxx" ルールによって MV オブジェクトへのコネクタであることを確認します。
自分のパスワードのリセットを試みるフェデレーション ユーザーまたはパスワード ハッシュ同期されたユーザーは、パスワードを送信した後にサービスに問題があったことを示すエラーが表示されます。

さらに、パスワードのリセット操作中に、Azure AD Connect サービスのイベント ログに "複数の一致が見つかりました" というエラーが表示されることがあります。
これは、MV オブジェクトが "Microsoft.InfromADUserAccountEnabled.xxx" によって複数の AD CS オブジェクトに接続されていることを同期エンジンが検出したことを示します。 これは、ユーザーが複数のフォレストに有効なアカウントを持っていることを意味します。 このシナリオは、パスワード ライトバックではサポートされていません。
パスワード操作は構成エラーにより失敗しました アプリケーション イベント ログに以下の情報が含まれています

Azure AD Connect エラー 6329 とテキスト: 0x8023061f (この管理エージェントではパスワード同期が無効になっているため操作に失敗しました)
これは、パスワード ライトバック機能を有効にした後、Azure AD Connect の構成が新しい AD フォレストを追加する (または既存のフォレストを削除して再度追加する) ように変更された場合に発生します。 このような新たに追加されたフォレスト内のユーザーのパスワード操作は失敗します。 問題を解決するには、フォレスト構成の変更が完了した後に、パスワード ライトバック機能を無効にしてから再び有効にします。

パスワード ライトバックのイベント ログのエラー コード

パスワード ライトバックに関する問題をトラブルシューティングする場合のベスト プラクティスは、Azure AD Connect コンピューターでそのアプリケーション イベント ログを検査することです。 このイベント ログには、パスワード ライトバックの 2 つの対象ソースのイベントが格納されます。 PasswordResetService ソースは、操作とパスワード ライトバックの操作に関連する問題について説明します。 ADSync ソースは、操作と AD 環境でのパスワード設定に関連する問題について説明します。

イベントのソースが ADSync の場合

コード 名前/メッセージ Description
6329 BAIL: MMS(4924) 0x80230619 – "制限によりパスワードを現在指定されているパスワードに変更することはできません" このイベントは、パスワード ライトバック サービスが、パスワードの有効期間、履歴、複雑さ、フィルタリングに関するドメインの要件を満たしていないローカル ディレクトリにパスワードを設定しようとすると発生します。

パスワードの最小有効期間が残っていて、最近その期間内にパスワードを変更した場合は、そのドメインで指定された期限に達するまで、もう一度パスワードを変更することはできません。 テストのために、最小有効期間は 0 に設定する必要があります。

パスワードの履歴の要件が有効になっている場合は、最後の N 回で使用されていないパスワードを選択する必要があります。N はパスワードの履歴設定です。 最後の N 回で使用されているパスワードを選択した場合は、エラーが表示されます。 テストのために、履歴は 0 に設定する必要があります。

パスワードの複雑さの要件を指定する場合は、ユーザーがパスワードを変更またはリセットしようとすると、すべての要件が適用されます。

パスワード フィルターが有効になっている場合に、ユーザーがフィルター条件を満たしていないパスワードを選択すると、リセットまたは変更の操作に失敗します。
HR 8023042 同期エンジンから、エラー hr=80230402, message=An attempt to get an object failed because there are duplicated entries with the same anchor が返されます このイベントは、複数のドメインで同じユーザー ID が有効にされたときに発生します。 たとえば、アカウント/リソース フォレストを同期したときに、同じユーザー ID が存在し、どちらも有効な場合、このエラーが発生する可能性があります。

また、一意ではないアンカー属性 (エイリアスや UPN) を使用し、2 人のユーザーがその同じアンカー属性を共有している場合にも、このエラーが発生します。

この問題を解決するには、ドメイン内に重複するユーザーがいないようにして、各ユーザーに一意のアンカー属性を使用します。

イベントのソースが PasswordResetService の場合

コード 名前/メッセージ Description
31001 PasswordResetStart このイベントは、オンプレミスのサービスが、クラウドから送信されたフェデレーション ユーザーまたはパスワード ハッシュ同期されたユーザーへのパスワード リセット要求を検出したことを示します。 このイベントは、すべてのパスワード リセットのライトバック操作における最初のイベントです。
31002 PasswordResetSuccess このイベントは、ユーザーがパスワードのリセット操作中に新しいパスワードを選択したことを示します。このパスワードは企業のパスワード要件を満たし、ローカル AD 環境に正常に書き戻されたと判断されました。
31003 PasswordResetFail このイベントは、ユーザーがパスワードを選択し、そのパスワードがオンプレミスの環境に正常に到着したが、ローカル AD 環境でパスワードを設定しようとするとエラーが発生したことを示します。 これは、いくつかの理由で発生する場合があります。

ユーザーのパスワードは、有効期間、履歴、複雑さ、ドメインのフィルター要件を満たしていません。 この問題を解決するには、完全に新しいパスワードを試してください。

MA サービス アカウントは、対象のユーザー アカウントに新しいパスワードを設定するための適切な権限を持っていません。

ユーザーのアカウントは、ドメイン管理者やエンタープライズ管理者などの保護グループ内にあるため、パスワードの設定操作が許可されていません。
31004 OnboardingEventStart このイベントは、Azure AD Connect でパスワード ライトバックが有効になっている場合に発生し、組織がパスワード ライトバック Web サービスへのオンボードを開始したことを示します。
31005 OnboardingEventSuccess このイベントは、オンボード プロセスに成功し、パスワード ライトバック機能を使用する準備が整ったことを示します。
31006 ChangePasswordStart このイベントは、オンプレミスのサービスが、クラウドから送信されたフェデレーション ユーザーまたはパスワード ハッシュ同期されたユーザーへのパスワード 変更要求を検出したことを示します。 このイベントは、すべてのパスワード変更のライトバック操作における最初のイベントです。
31007 ChangePasswordSuccess このイベントは、ユーザーがパスワードの変更操作中に新しいパスワードを選択したことを示します。このパスワードは企業のパスワード要件を満たし、ローカル AD 環境に正常にライトバックされたと判断されました。
31008 ChangePasswordFail このイベントは、ユーザーがパスワードを選択し、そのパスワードがオンプレミスの環境に正常に到着したが、ローカル AD 環境でパスワードを設定しようとするとエラーが発生したことを示します。 これは、いくつかの理由で発生する場合があります。

ユーザーのパスワードは、有効期間、履歴、複雑さ、ドメインのフィルター要件を満たしていません。 この問題を解決するには、完全に新しいパスワードを試してください。

MA サービス アカウントは、対象のユーザー アカウントに新しいパスワードを設定するための適切な権限を持っていません。

ユーザーのアカウントは、ドメイン管理者やエンタープライズ管理者などの保護グループ内にあるため、パスワードの設定操作が許可されていません。
31009 ResetUserPasswordByAdminStart オンプレミスのサービスは、ユーザーに代わって管理者から送信されたフェデレーション ユーザーまたはパスワード ハッシュ同期されたユーザーへのパスワード リセット要求を検出しました。 このイベントは、すべての管理者によるパスワード リセットのライトバック操作における最初のイベントです。
31010 ResetUserPasswordByAdminSuccess 管理者は、管理者によるパスワードのリセット操作中に新しいパスワードを選択しました。このパスワードは企業のパスワード要件を満たし、ローカル AD 環境に正常にライトバックされたと判断されました。
31011 ResetUserPasswordByAdminFail 管理者は、ユーザーに代わってパスワードを選択し、そのパスワードはオンプレミスの環境に正常に到着しましたが、ローカル AD 環境でパスワードを設定しようとするとエラーが発生しました。 これは、いくつかの理由で発生する場合があります。

ユーザーのパスワードは、有効期間、履歴、複雑さ、ドメインのフィルター要件を満たしていません。 この問題を解決するには、完全に新しいパスワードを試してください。

MA サービス アカウントは、対象のユーザー アカウントに新しいパスワードを設定するための適切な権限を持っていません。

ユーザーのアカウントは、ドメイン管理者やエンタープライズ管理者などの保護グループ内にあるため、パスワードの設定操作が許可されていません。
31012 OffboardingEventStart このイベントは、Azure AD Connect でパスワード ライトバックが無効になっている場合に発生し、組織がパスワード ライトバック Web サービスへのオフボードを開始したことを示します。
31013 OffboardingEventSuccess このイベントは、オフボード プロセスに成功し、パスワード ライトバック機能が正常に無効になっていることを示します。
31014 OffboardingEventFail このイベントは、オフボード プロセスに失敗したことを示します。 これは、構成中に指定されたクラウドまたはオンプレミスの管理者アカウントのアクセス許可エラーが原因か、パスワード ライトバックが無効になっている場合はフェデレーション クラウドのグローバル管理者を使用しようとしているためと考えられます。 これを解決するには、管理者権限を確認し、パスワード ライトバック機能を構成する場合にフェデレーション アカウントを使用していないことを確認します。
31015 WriteBackServiceStarted このイベントは、パスワード ライトバック サービスが正常に開始され、クラウドからのパスワード管理要求を受け入れる準備ができていることを示します。
31016 WriteBackServiceStopped このイベントは、パスワード ライトバック サービスが停止していて、クラウドからのパスワード管理要求が正常に実行されないことを示します。
31017 AuthTokenSuccess このイベントは、オフボードまたはオンボード プロセスを開始するために、Azure AD Connect のセットアップ時に指定されたグローバル管理者の承認トークンを正常に取得したことを示します。
31018 KeyPairCreationSuccess このイベントは、クラウドからオンプレミスの環境に送信されるパスワードの暗号化に使用されるパスワード暗号化キーが正常に作成されたことを示します。
32000 UnknownError このイベントは、パスワード管理操作中の原因不明のエラーを示します。 詳細については、イベントの例外の説明をご覧ください。 問題が発生した場合は、パスワード ライトバックを無効にしてから再び有効にしてみてください。 これで問題が解決しない場合は、イベント ログのコピーと内部の特定の追跡 ID をサポート エンジニアに送信します。
32001 ServiceError このイベントは、クラウド·パスワード·リセット·サービスへの接続中にエラーが発生したことを示し、通常、オンプレミスのサービスがパスワード リセット Web サービスに接続できなかった場合に発生します。
32002 ServiceBusError このイベントは、テナントの Service Bus インスタンスへの接続中にエラーが発生したことを示します。 これは、オンプレミスの環境で発信接続をブロックしているために発生する可能性があります。 ファイアウォールが TCP 443 経由で https://ssprsbprodncu-sb.accesscontrol.windows.net/ に接続していることを確認し、やり直してください。 それでも問題が解決しない場合は、パスワード ライトバックを無効にしてから再び有効にしてみてください。
32003 InPutValidationError このイベントは、Web サービス API に渡された入力が無効だったことを示します。 操作をやり直してください。
32004 DecryptionError このイベントは、クラウドから受信したパスワードの解読中にエラーが発生したことを示します。 これは、クラウド サービスとオンプレミスの環境との復号化キーの不一致が原因と考えられます。 この問題を解決するには、オンプレミスの環境でパスワード ライトバックを無効にしてから再び有効にします。
32005 ConfigurationError オンボード中に、オンプレミスの環境内の構成ファイルにテナント固有の情報を保存します。 このイベントは、このファイルの保存中にエラーが発生した、またはサービスの開始時にファイルの読み取りエラーが発生したことを示します。 この問題を解決するには、この構成ファイルの書き換えを強制するためにパスワード ライトバックを無効にしてから再び有効にしてみてください。
32007 OnBoardingConfigUpdateError オンボード中に、クラウドからオンプレミスのパスワード リセット サービスにデータを送信します。 そのデータは、同期サービスに送信される前にメモリ内のファイルに書き込まれ、ディスク上に安全に保存されます。 このイベントは、メモリ内でのそのデータの書き込みや更新に問題があることを示します。 この問題を解決するには、この構成の書き換えを強制するためにパスワード ライトバックを無効にしてから再び有効にしてみてください。
32008 ValidationError このイベントは、パスワード リセット Web サービスから無効な応答を受け取ったことを示します。 この問題を解決するには、パスワード ライトバックを無効にしてから再び有効にしてみてください。
32009 AuthTokenError このイベントは、Azure AD Connect のセットアップ時に指定されたグローバル管理者アカウントの承認トークンを取得できなかったことを示します。 このエラーは、グローバル管理者アカウントに指定された無効なユーザー名またはパスワードが原因か、指定されたグローバル管理者アカウントがフェデレーションされているために発生すると考えられます。 この問題を解決するには、適切なユーザー名とパスワードを使用して構成を再実行し、管理者が管理 (クラウドのみまたはパスワード同期された) アカウントになっていることを確認します。
32010 CryptoError このイベントは、パスワード暗号化キーの生成中、またはクラウド サービスから受信するパスワードの暗号化解除中にエラーが発生したことを示します。 このエラーは、使用している環境の問題を示している可能性があります。 この問題を解決するには、イベント ログの詳細を確認します。 また、パスワード ライトバック サービスを無効にしてから再び有効にすると解決できる場合もあります。
32011 OnBoardingServiceError このイベントは、オンプレミスのサービスが、オンボード プロセスを開始するためにパスワード リセット Web サービスと正しく通信できなかったことを示します。 これは、ファイアウォール規則またはテナントの認証トークンを取得している間の問題が原因です。 これを解決するには、TCP 443 と TCP 9350-9354 経由の発信接続または https://ssprsbprodncu-sb.accesscontrol.windows.net/ への接続がブロックされていないことと、オンボードに使用している AAD 管理者アカウントがフェデレーションされていないことを確認します。
32013 OffBoardingError このイベントは、オンプレミスのサービスが、オフボード プロセスを開始するためにパスワード リセット Web サービスと正しく通信できなかったことを示します。 これは、ファイアウォール規則またはテナントの認証トークンの取得中の問題が原因です。 これを解決するには、TCP 443 経由の発信接続または https://ssprsbprodncu-sb.accesscontrol.windows.net/ への接続がブロックされていないことと、オフボードに使用している AAD 管理者アカウントがフェデレーションされていないことを確認します。
32014 ServiceBusWarning このイベントは、テナントの Service Bus インスタンスへの接続を再試行する必要があったことを示します。 通常の状況では、これが問題になることはありませんが、このイベントが何度も表示される場合、特に、待機時間が長い接続や低帯域幅の接続の場合は、Service Bus へのネットワーク接続の確認を検討してください。
32015 ReportServiceHealthError パスワード ライトバック サービスの正常性を監視するのには、パスワード リセット Web サービスに 5 分ごとにハートビート データを送信します。 このイベントは、この正常性情報をクラウド Web サービスに送信するときにエラーが発生したことを示します。 この正常性情報は、OII または PII データを含まない、純粋なハートビートと基本サービスの統計情報であるため、クラウド内のサービスの状態情報を提供できます。
33001 ADUnKnownError このイベントは、AD によって返された原因不明のエラーが発生したことを示します。このエラーの詳細については、Azure AD Connect サーバーのイベント ログで ADSync ソースからのイベントを確認します。
33002 ADUserNotFoundError このイベントは、パスワードをリセットまたは変更しようとするユーザーがオンプレミスのディレクトリに見つからなかったことを示します。 これは、ユーザーがクラウドではなくオンプレミスで削除された場合、または同期に問題がある場合に発生する可能性があります。 同期ログだけでなく、最後にいくつか実行した同期についての詳細情報も確認します。
33003 ADMutliMatchError パスワードのリセットまたは変更要求がクラウドから送信されると、Azure AD Connect のセットアップ プロセス中に指定されたクラウドのアンカーを使用して、その要求をオンプレミスの環境内のユーザーにリンクする方法を決定します。 このイベントは、オンプレミスのディレクトリ内に同じクラウドのアンカー属性を持つユーザーが 2 人見つかったことを示します。 同期ログだけでなく、最後にいくつか実行した同期についての詳細情報も確認します。
33004 ADPermissionsError このイベントは、管理エージェントのサービス アカウントが新しいパスワードを設定する対象のアカウントで適切な権限を持っていないことを示します。 ユーザーのフォレストの MA アカウントが、フォレスト内のすべてのオブジェクトに対するパスワードのリセットと変更の権限があることを確認します。 これを行う方法の詳細については、「手順 4: Active Directory の適切な権限を設定する」をご覧ください。
33005 ADUserAccountDisabled このイベントは、オンプレミスで無効になっていたアカウントのパスワードをリセットまたは変更しようとしたことを示します。 アカウントを有効にして、操作をやり直してください。
33006 ADUserAccountLockedOut このイベントは、オンプレミスでロックアウトされたアカウントのパスワードをリセットまたは変更しようとしたことを示します。 ロックアウトは、ユーザーが短時間に何回もパスワードを変更またはリセットしようとした場合に発生します。 アカウントのロックを解除して、操作をやり直してください。
33007 ADUserIncorrectPassword このイベントは、ユーザーがパスワードの変更操作を行うときに、現在のパスワードを正しく指定しなかったことを示します。 現在の正しいパスワードを指定して、やり直してください。
33008 ADPasswordPolicyError このイベントは、パスワード ライトバック サービスが、パスワードの有効期間、履歴、複雑さ、フィルタリングに関するドメインの要件を満たしていないローカル ディレクトリにパスワードを設定しようとすると発生します。

パスワードの最小有効期間が残っていて、最近その期間内にパスワードを変更した場合は、そのドメインで指定された期限に達するまで、もう一度パスワードを変更することはできません。 テストのために、最小有効期間は 0 に設定する必要があります。

パスワードの履歴の要件が有効になっている場合は、最後の N 回で使用されていないパスワードを選択する必要があります。N はパスワードの履歴設定です。 最後の N 回で使用されているパスワードを選択した場合は、エラーが表示されます。 テストのために、履歴は 0 に設定する必要があります。

パスワードの複雑さの要件を指定する場合は、ユーザーがパスワードを変更またはリセットしようとすると、すべての要件が適用されます。

パスワード フィルターが有効になっている場合に、ユーザーがフィルター条件を満たしていないパスワードを選択すると、リセットまたは変更の操作に失敗します。
33009 ADConfigurationError このイベントは、Active Directory に構成の問題があるため、オンプレミスのディレクトリへのパスワード書き込みエラーが発生したことを示します。 発生したエラーの詳細については、Azure AD Connect コンピューターのアプリケーション イベント ログで ADSync サービスからのメッセージを確認します。

パスワード ライトバックの接続のトラブルシューティング

Azure AD Connect のパスワード ライトバック コンポーネントでサービスの中断が発生した場合は、いくつかの簡単な手順を使用してこの問題を解決できます。

通常、最も速い方法でサービスを復旧するには、上記の順序でこれらの手順を実行することをお勧めします。

Azure AD Connect 同期サービスを再起動する

Azure AD Connect 同期サービスを再起動すると、サービスに関する接続の問題や他の一時的な問題を解決するのに役立ちます。

  1. 管理者は、Azure AD Connect を実行しているサーバーで [開始] をクリックします。
  2. 検索ボックスに「services.msc」と入力し、Enter キーを押します。
  3. [Microsoft Azure AD Sync] エントリを検索します。
  4. このサービス エントリを右クリックして [再起動]をクリックし、処理が完了するまで待機します。

    Azure AD Sync サービスを再起動する

これらの手順によって、クラウド サービスとの接続が再確立され、発生する可能性のある中断が解決されます。 同期サービスを再起動しても問題が解決しない場合は、次の手段としてパスワード ライトバック機能を無効にしてから再び有効にすることをお勧めします。

パスワード ライトバック機能を無効にしてから再び有効にする

パスワード ライトバック機能を無効にしてから再び有効にすると、接続の問題を解決するのに役立ちます。

  1. 管理者として [Azure AD Connect 構成ウィザード]を開きます。
  2. [Azure AD に接続] ダイアログ ボックスで、Azure AD のグローバル管理者の資格情報を入力します。
  3. [AD DS に接続] ダイアログ ボックスで、AD ドメイン サービスの管理者の資格情報を入力します。
  4. [ユーザーを一意に識別] ダイアログ ボックスで、[次へ] ボタンをクリックします。
  5. [オプション機能] ダイアログ ボックスで、[パスワード ライトバック] チェックボックスをオフにします。
  6. 他のダイアログ ページは何も変更せずに、[構成の準備完了] ページが表示されるまで [次へ] をクリックします。
  7. 構成ページでパスワード ライトバック オプションが無効になっていることを確認したら、緑色の [構成] ボタンをクリックして変更をコミットします。
  8. [完了] ダイアログ ボックスで、[今すぐ同期] オプションを選択解除し、[完了] をクリックしてウィザードを閉じます。
  9. [Azure AD Connect 構成ウィザード] をもう一度開きます。
  10. 手順 2 ~ 8 を繰り返します。ただし、サービスを再度有効にするために [オプションの機能] 画面でパスワード ライトバックのオプションがオンになっていることを確認します。

これらの手順によって、クラウド サービスとの接続が再確立され、発生する可能性のある中断が解決されます。

パスワード ライトバック機能を無効にしてから再び有効にしても問題が解決しない場合は、次の手段として Azure AD Connect を再インストールすることをお勧めします。

最新の Azure AD Connect リリースをインストールする

Azure AD Connect を再インストールすると、マイクロソフトのクラウド サービスとお使いのローカル AD 環境との間の構成および接続の問題が解決する場合があります。

上記の 2 つの手順を試した後に、この手順を実行することをお勧めします。

警告

既定の同期ルールをカスタマイズしている場合は、アップグレードを開始する前にこれらをバックアップし、終了後に手動で再デプロイする必要があります。

  1. Microsoft ダウンロード センターから最新バージョンの Azure AD Connect をダウンロードします。
  2. Azure AD Connect が既にインストールされているので、インプレース アップグレードを実行すれば Azure AD Connect のインストールが最新バージョンに更新されます。
  3. ダウンロードしたパッケージを実行し、画面の指示に従って Azure AD Connect コンピューターを更新します。

これらの手順によって、クラウド サービスとの接続が再確立され、発生する可能性のある中断が解決されます。

最新バージョンの Azure AD Connect サーバーをインストールしても問題が解決しない場合は、最終手段として、最新のリリースをインストールした後、パスワード ライトバックを無効にしてから再び有効にすることをお勧めします。

Azure AD フォーラム

Azure AD やセルフサービスのパスワード リセットに関する一般的な質問がある場合は、コミュニティに質問を Azure AD フォーラムで投稿できます。 コミュニティのメンバーには、エンジニア、製品マネージャー、MVP、IT プロフェッショナルなどがいます。

Microsoft サポートに問い合わせる

問題に対する回答を見つけられない場合は、マイクロソフトのサポート チームが随時、問題の解決をお手伝いします。

適切なサポートを提供するために、マイクロソフトはケースを開く際に以下のようなできるだけ詳しい情報の提供をお客様にお願いしています。

  • エラーの一般的な説明 - どのようなエラーですか。 どのような動作が見られましたか。 エラーを再現することはできますか。 できるだけ詳しく教えてください。
  • ページ - エラーが表示されたときに、どのページを表示していましたか (可能な場合、URL とスクリーンショットを含む)。
  • サポート コード – エラーが表示されたときに生成されたサポート コードを教えてください。
    • これを見つけるには、エラーを再現して、画面の下部にあるサポート コードのリンクをクリックします。生成された GUID をサポート エンジニアに送信します。 画面の下部にあるサポート コードを見つける
    • ページの下部にサポート コードが表示されない場合は、F12 キーを押して SID と CID を検索し、この 2 つの結果をサポート エンジニアに送信します。
  • 日付、時刻、およびタイムゾーン - エラーが発生した正確な日付/時刻、タイムゾーンを教えてください。
  • ユーザー ID – エラーが表示されたユーザーは誰ですか (user@contoso.com)
    • このユーザーは、フェデレーション ユーザーですか。
    • このユーザーは、パスワード ハッシュ同期ユーザーですか。
    • クラウド限定ユーザーですか。
  • ライセンス - ユーザーには Azure AD Premium または Azure AD Basic ライセンスが割り当てられていますか。
  • アプリケーション イベント ログ – パスワード ライトバックの使用中にオンプレミスのインフラストラクチャでエラーが発生した場合は、Azure AD Connect サーバーからのアプリケーション イベント ログのコピーを zip 形式で圧縮してサポートに送信してください。

次のステップ

次のリンク先では、Azure AD を使用したパスワードのリセットに関する追加情報が得られます。

  • クイック スタート - Azure AD のセルフサービスによるパスワードのリセットの管理を始めることができます。
  • ライセンス - Azure AD のライセンスを構成します。
  • データ - パスワード管理に必要なデータとその使用方法がわかります
  • 展開 - ここで見つかるガイダンスを使用してユーザーに対する SSPR を計画してデプロイできます
  • カスタマイズ - 会社の SSPR エクスペリエンスの外観をカスタマイズします。
  • ポリシー - Azure AD のパスワード ポリシーを把握し、設定します。
  • パスワード ライトバック - オンプレミスのディレクトリでのパスワード ライトバックのしくみ
  • レポート - ユーザーが SSPR 機能にアクセスしたかどうかや、アクセスしたタイミングと場所を検出します。
  • 技術的詳細 - しくみを詳しく説明しています
  • よく寄せられる質問 - どのようにですか? なぜですか? 何ですか? どこですか? 誰がですか? いつですか? - ずっと確認したかった質問に対する回答