針對 Azure Active Directory 中自助式密碼重設進行疑難排解

Azure Active Directory (Azure AD) 自助式密碼重設 (SSPR) 可讓使用者重設其在雲端中的密碼。

如果您有 SSPR 的問題,則下列疑難排解步驟和常見錯誤可能會有幫助。 您也可以觀看此短片,以了解如何解決六個最常見的 SSPR 終端使用者錯誤訊息

如果找不到問題的答案,我們的支援團隊一直都能進一步協助您。

Azure 入口網站中的 SSPR 設定

如果您在 Azure 入口網站中查看或設定 SSPR 選項時發生問題,請檢閱下列疑難排解步驟:

我在 Azure 入口網站中的 Azure AD 之下看不到 [密碼重設] 區段。

如果您未將 Azure AD 授權指派給執行此作業的管理員,則看不到 [密碼重設] 功能表選項。

若要將授權指派給有問題的管理員帳戶,請遵循指派、驗證和解決授權問題的步驟。

我看不到特定的設定選項。

許多 UI 元素都只會在需要時出現。 在您尋找特定的設定選項之前,請確定已啟用該選項。

我看不到 [內部部署整合] 索引標籤。

只有在您已下載 Azure AD Connect 並已設定此功能時,才會顯示內部部署密碼回寫。

如需詳細資訊,請參閱開始使用 Azure AD Connect

SSPR 報告

如果您在 Azure 入口網站中遇到 SSPR 報告問題,則請檢閱下列疑難排解步驟:

我在合併註冊的 [新增方法] 選項中看到已停用的驗證方法。

合併的註冊會考慮三個原則,以決定要在 [新增方法] 中顯示哪些方法:

如果您在 SSPR 中停用應用程式更新,但在 MFA 原則中予以啟用,則該選項會出現在合併的註冊中。 另一個範例是,如果使用者在 SSPR 中停用 [辦公室電話],則在使用者已設定 [電話/辦公室電話] 屬性時,仍然會將它顯示為選項。

我在 [自助式密碼管理] 稽核事件類別中看不到任何密碼管理活動類型。

如果未將 Azure AD 授權指派給執行此作業的系統管理員,就會發生這種情況。

若要將授權指派給有問題的管理員帳戶,請遵循指派、驗證和解決授權問題的步驟。

使用者註冊顯示多個時間。

使用者註冊時,我們目前會將所註冊的每一筆個別資料記錄為個別事件。

如果您需要彙總此資料並以更有彈性的方式檢視,可以下載報告,並在 Excel 中以樞紐分析表開啟資料。

SSPR 註冊入口網站

如果您的使用者在註冊 SSPR 時發生問題,請檢閱下列疑難排解步驟:

目錄未啟用密碼重設功能。 使用者可能會看到回報「您的管理員尚未為您啟用這項功能。」的錯誤。

您可以針對所有使用者、不針對使用者或針對選取的使用者群組啟用 SSPR。 目前只有一個 Azure AD 群組可以使用 Azure 入口網站啟用 SSPR。 在較廣泛的 SSPR 部署中,可支援巢狀群組。 請確定您選擇的群組中的使用者已獲派適當的授權。

在 Azure 入口網站中,將 [已啟用自助式密碼重設] 設定變更為 [選取項目] 或 [全部],然後選取 [儲存]。

使用者未獲指派 Azure AD 授權。 使用者可能會看到回報「您的管理員尚未為您啟用這項功能。」的錯誤。

目前只有一個 Azure AD 群組可以使用 Azure 入口網站啟用 SSPR。 在較廣泛的 SSPR 部署中,可支援巢狀群組。 請確定您選擇的群組中的使用者已獲派適當的授權。 請檢閱先前的疑難排解步驟,以視需要啟用 SSPR。

另請檢閱疑難排解步驟,以確定執行設定選項的管理員已獲指派授權。 若要將授權指派給有問題的管理員帳戶,請遵循指派、驗證和解決授權問題的步驟。

處理要求時發生錯誤。

許多問題都會造成一般 SSPR 註冊錯誤,但這個錯誤通常是因為服務中斷或設定問題所導致。 如果您在重試 SSPR 註冊程序時持續看到這個一般錯誤,則請連絡 Microsoft 支援服務以取得其他協助。

SSPR 使用方式

如果您或您的使用者在使用 SSPR 時遇到問題,則請檢閱下列疑難排解案例和解決步驟:

錯誤 解決方法
目錄未啟用密碼重設功能。 在 Azure 入口網站中,將 [已啟用自助式密碼重設] 設定變更為 [選取項目] 或 [全部],然後選取 [儲存]。
使用者未獲指派 Azure AD 授權。 如果您沒有將 Azure AD 授權指派給所需的使用者,就會發生這種情況。 若要將授權指派給有問題的管理員帳戶,請遵循指派、驗證和解決授權問題的步驟。
目錄已啟用密碼重設,但使用者的驗證資訊遺失或格式不正確。 請確定使用者已在目錄中具有格式正確的連絡資料。 如需詳細資訊,請參閱 Azure AD 自助式密碼重設所用的資料
目錄已啟用密碼重設,原則設定為需要兩個驗證方法,但使用者只登記一個連絡資料。 請確定使用者至少有兩個已正確設定的連絡方法。 例如,擁有行動電話號碼和辦公室電話號碼。
目錄已啟用密碼重設,並已正確設定使用者,但無法連絡到使用者。 原因可能是暫時性的服務錯誤,或是連絡資料不正確,而無法正確偵測到。

如果使用者等候 10 秒,則會顯示 [再試一次] 和 [連絡您的管理員] 連結。 如果使用者選取 [再試一次],則會重試該呼叫。 如果使用者選取 [連絡您的管理員],則會將表單電子郵件傳送給管理員,以要求對該使用者帳戶執行密碼重設。
使用者從未收到密碼重設 SMS 或來電。 原因可能是目錄中的電話號碼格式不正確。 請確定電話號碼的格式為 "+1 4251234567"。

密碼重設不支援分機號碼,即使您在目錄中指定也是一樣。 在進行呼叫之前,會移除分機號碼。 使用沒有分機號碼的電話號碼,或將分機號碼整合至專用交換機 (PBX) 中的電話號碼。
使用者從未收到密碼重設電子郵件。 這個問題最常見的原因,是垃圾郵件篩選器拒絕了郵件。 請檢查您的垃圾郵件或刪除的郵件資料夾中是否有該電子郵件。

此外,請確定使用者確認電子郵件帳戶是已向 SSPR 註冊的正確電子郵件帳戶。
我已設定密碼重設原則,但是管理員帳戶使用密碼重設時卻未套用該原則。 Microsoft 會管理及控制系統管理員的密碼重設原則,以確保最高層級的安全性。
禁止使用者在一天當中嘗試重設密碼太多次。 自動節流機制用來避免使用者在短時間內嘗試重設密碼太多次。 節流會在下列情況下發生:
  • 使用者嘗試在一個小時內驗證電話號碼 5 次。
  • 使用者在一個小時內嘗試使用安全性問題關卡五次。
  • 使用者在一個小時內嘗試重設相同使用者帳戶的密碼五次。
如果使用者遇到此問題,則必須在最後一次嘗試後等待 24 小時。 使用者接著可以重設其密碼。
使用者在驗證其電話號碼時看到錯誤。 輸入的電話號碼與登記的電話號碼不符時,就會發生這個錯誤。 請確定使用者在嘗試使用電話式方法來重設密碼時,輸入了完整的電話號碼,包括區碼和國碼。
使用者在使用其電子郵件地址時看到錯誤。 如果 UPN 與使用者的主要 ProxyAddress/SMTPAddress 不同,則必須為租用戶啟用使用電子郵件作為替代登入識別碼來登入 Azure AD 設定。
處理要求時發生錯誤。 許多問題都會造成一般 SSPR 註冊錯誤,但這個錯誤通常是因為服務中斷或設定問題所導致。 如果您在重試 SSPR 註冊程序時持續看到這個一般錯誤,則請連絡 Microsoft 支援服務以取得其他協助。
內部部署原則違規 密碼不符合內部部署 Active Directory 密碼原則。 使用者必須定義符合複雜度或強度需求的密碼。
密碼未遵循模糊原則 使用的密碼出現在禁用密碼清單中,因此無法使用。 使用者必須定義符合或超過禁用密碼清單原則的密碼。

使用者可能會看到的 SSPR 錯誤

在 SSPR 程序中,使用者可能會看到下列錯誤和技術詳細資料。 因為 SSPR 功能需要針對其帳戶啟用、設定或註冊,所以通常無法自行解決錯誤。

您可以使用下列資訊來了解問題,以及需要在 Azure AD 租用戶或個別使用者帳戶上更正的事項。

錯誤 詳細資料 技術詳細資訊
TenantSSPRFlagDisabled = 9 很抱歉,因為您的管理員已為組織停用密碼重設,所以您目前無法重設密碼。 您無法採取進一步的動作來解決這種情況。 請連絡您的系統管理員,並要求他們啟用此功能。

若要深入了解,請參閱忘記 Azure AD 密碼的說明
SSPR_0009:我們已偵測到您的系統管理員尚未啟用「密碼重設」。 請連絡您的系統管理員,並要求他們為組織啟用「密碼重設」。
WritebackNotEnabled = 10 很抱歉,因為您的管理員尚未為組織啟用必要的服務,所以您目前無法重設密碼。 您無法採取進一步的動作來解決這種情況。 請連絡您的管理員,並要求他們檢查組織的設定。

若要深入了解必要的服務,請參閱設定密碼回寫
SSPR_0010:我們已偵測到「密碼回寫」尚未啟用。 請連絡您的系統管理員,並要求他們啟用「密碼回寫」。
SsprNotEnabledInUserPolicy = 11 很抱歉,因為您的管理員尚未為組織設定密碼重設,所以您目前無法重設密碼。 您無法採取進一步的動作來解決這種情況。 請連絡您的系統管理員,並要求他們設定密碼重設。

若要深入了解密碼重設設定,請參閱快速入門:Azure AD 自助式密碼重設
SSPR_0011:您的組織尚未定義密碼重設原則。 請連絡您的系統管理員,並要求他們定義密碼重設原則。
UserNotLicensed = 12 很抱歉,因為缺少組織所需要的授權,所以您目前無法重設密碼。 您無法採取進一步的動作來解決這種情況。 請連絡您的系統管理員,並要求他們檢查授權指派。

若要深入了解有關授權的詳細資訊,請參閱 Azure AD 自助式密碼重設的授權需求
SSPR_0012:您的組織沒有執行密碼重設所需的必要授權。 請連絡您的系統管理員,並要求他們檢閱授權指派。
UserNotMemberOfScopedAccessGroup = 13 很抱歉,因為您的管理員尚未設定您的帳戶以使用密碼重設,所以您目前無法重設密碼。 您無法採取進一步的動作來解決這種情況。 請連絡您的系統管理員,並要求他們設定您的帳戶以供密碼重設使用。

若要深入了解密碼重設的帳戶設定,請參閱為使用者推出密碼重設
SSPR_0013:您不是已啟用密碼重設之群組的成員。 請連絡您的系統管理員,並要求加入群組。
UserNotProperlyConfigured = 14 很抱歉,因為缺少您帳戶所需要的資訊,所以您目前無法重設密碼。 您無法採取進一步的動作來解決這種情況。 請連絡您的系統管理員,並要求他們為您重設密碼。 當您再次可以存取您的帳戶之後,必須註冊所需的資訊。

若要註冊資訊,請遵循註冊自助式密碼重設一文。
SSPR_0014:重設密碼所需要的其他安全性資訊。 若要繼續進行,請連絡您的系統管理員,並要求他們重設您的密碼。 當您可以存取您的帳戶之後,可在 https://aka.ms/ssprsetup 註冊其他安全性資訊。 您的系統管理員可以遵循設定與閱讀密碼重設的驗證資料中的步驟,將其他安全性資訊新增至您的帳戶中。
OnPremisesAdminActionRequired = 29 很抱歉,因為組織的密碼重設設定發生問題,所以目前無法重設密碼。 您無法採取進一步的動作來解決這種情況。 請連絡您的系統管理員,並要求他們調查。

Or

因為組織的密碼重設設定發生問題,所以目前無法重設密碼。 您無法採取進一步的動作來解決此問題。 請連絡您的系統管理員,並要求他們調查。

若要深入了解潛在問題,請參閱疑難排解密碼回寫
SSPR_0029:因為您的內部部署設定發生錯誤,我們無法重設您的密碼。 請連絡您的系統管理員,並要求他們調查。
OnPremisesConnectivityError = 30 很抱歉,因為組織的連線發生問題,所以目前無法重設密碼。 現在無需採取任何動作,但如果您稍後再試,可能會解決問題。 如果問題持續發生,請連絡您的系統管理員,並要求他們調查。

若要深入了解連線問題,請參閱針對密碼回寫連線問題進行疑難排解
SSPR_0030:因為您內部部署環境的連線不佳,我們無法重設您的密碼。 請連絡您的系統管理員,並要求他們調查。

Azure AD 論壇

如果您有 Azure AD 和自助式密碼重設的一般問題,則可在 Microsoft 的 Azure Active Directory 問與答頁面向社群尋求協助。 社群的成員包括工程師、產品經理、MVP 和夥伴 IT 專業人員。

連絡 Microsoft 支援

如果找不到問題的答案,我們的支援團隊一直都能進一步協助您。

為了正確地提供協助,我們會要求您在開啟案例時,提供盡可能詳細的資料。 這些詳細資料包括下列項目:

  • 錯誤的一般描述:錯誤為何? 注意到何種行為? 我們如何才能重現錯誤? 請提供盡可能詳細的資料。
  • 頁面:您注意到錯誤時的所在頁面? 盡可能包含 URL 和頁面的螢幕擷取畫面。
  • 支援碼:使用者看到錯誤時所產生的支援碼?
    • 若要找到支援碼,請重現錯誤,然後按一下畫面底部的 [支援碼] 連結,將所產生的 GUID 傳送給支援工程師。

      The support code is located at the bottom right of the web browser window.

    • 如果您所在的頁面底部沒有支援碼,請選取 F12,搜尋 SID 和 CID,然後將這兩個結果傳送給支援工程師。

  • 日期、時間和時區:請包含發生錯誤的精確日期和時間 (含時區)。
  • 使用者識別碼:看到錯誤的使用者是誰? 例如 user@contoso.com
    • 這是同盟使用者嗎?
    • 這是傳遞驗證使用者嗎?
    • 這是密碼雜湊同步使用者嗎?
    • 這是否僅限雲端的使用者?
  • 授權:使用者是否獲得指派 Azure AD 授權?
  • 應用程式事件記錄:如果您使用密碼回寫,而且錯誤位於您的內部部署基礎結構中,請包含來自 Azure AD Connect 伺服器的應用程式事件記錄壓縮複本。

後續步驟

若要深入了解 SSPR,請參閱運作方式:Azure AD 自助式密碼重設自助式密碼重設回寫如何在 Azure AD 中運作?