次の方法で共有


Microsoft Entra ID でのセルフサービス パスワード リセットの書き戻しをトラブルシューティングする

Microsoft Entra のセルフサービス パスワード リセット (SSPR) を使用すると、ユーザーはクラウド内の自分のパスワードをリセットできます。 パスワード ライトバックは、Microsoft Entra Connect またはクラウド同期と共に有効にされる機能です。これにより、クラウド内でのパスワード変更を既存のオンプレミスのディレクトリにリアルタイムで書き戻すことができます。

SSPR の書き戻しで問題が発生した場合は、次のトラブルシューティング手順と一般的なエラーが役立つことがあります。 問題に対する回答が見つからない場合は、Microsoft のサポート チームがいつでも問題の解決をお手伝いいたします。

接続のトラブルシューティング

Microsoft Entra Connect のパスワード ライトバックで問題が発生した場合は、問題の解決に役立つ可能性のある次の手順を確認してください。 サービスを回復するには、次に示す手順に順番に従うことをお勧めします。

ネットワーク接続を確認する

最も一般的な障害点は、ファイアウォールまたはプロキシ ポート、あるいはアイドル タイムアウトが正しく構成されていないことです。

Microsoft Entra Connect バージョン 1.1.443.0 以降の場合は、次のアドレスへの送信 HTTPS アクセスが必要です。

  • *.passwordreset.microsoftonline.com
  • *.servicebus.windows.net

Azure for US Government エンドポイント:

  • *.passwordreset.microsoftonline.us
  • *.servicebus.usgovcloudapi.net

Azure China 21Vianet エンドポイント:

  • ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
  • ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn

より高い細分性が必要な場合は、パブリック クラウド向けの Microsoft Azure の IP 範囲とサービス タグの一覧を参照してください。

Azure for US Government の場合は、Azure for US Government クラウド向けの Microsoft Azure の IP 範囲とサービス タグの一覧を参照してください。

これらのファイルは毎週更新されます。

パブリック Azure クラウドなどの環境である URL とポートへのアクセスが制限されているかどうかを確認するには、次の手順のようにします。

  1. Entra 接続サーバーでイベント ビューアー ログ (Windows ログ、アプリケーション) を開き、次のいずれかのイベント ID を見つけます: 31034 または 31019。

  2. これらのイベント ID から、サービス バス リスナーの名前を識別します。

    イベント ビューアーのアプリケーション ログでのイベント ID 31019 のスクリーンショット。

  3. 次のコマンドレットを実行します。

    Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443
    

    または以下を実行します。

    Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -Verbose
    

    <namespace> を、上のイベント ID から抽出したものと同じように置き換えます。 たとえば、上の場合、コマンドは次のようになります。

    Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443
    

詳細については、Microsoft Entra Connect の接続の前提条件に関するページを参照してください。

TLS 1.2 が有効になっているかどうかを確認する

追加のトラブルシューティング手順は、同期サーバーで TLS 1.2 が正しく有効になっていることを確認することです。 Entra Connect サーバーで TLS 1.2 を確認する PowerShell スクリプトを実行します。 スクリプトは必ず管理者モードで実行してください。

正しく有効になっている場合は、確認スクリプトからの出力が次の画像 (パス、名前、値の列) のようになっているはずです。 そうなっていない場合は、Entra Connect サーバーで TLS 1.2 を有効にする PowerShell スクリプトを実行してから、サーバーを再起動し、TLS 1.2 を確認するスクリプトをもう一度実行します。

Microsoft .NET Framework 4.8 以降が有効になっていることを確認する (同期サーバー)

同期サーバーで Microsoft .NET Framework 4.8 以降が有効になっていることを確認する

Microsoft Entra Connect Sync サービスを再起動する

サービスでの接続の問題またはその他の一時的な問題を解決するには、次の手順を完了して Microsoft Entra Connect Sync サービスを再起動します。

  1. Microsoft Entra Connect を実行するサーバーの管理者として、[開始] を選択します。

  2. 検索フィールドに「services.msc」を入力して、 [入力] を選択します。

  3. Azure AD Sync エントリを探します。

  4. このサービス エントリを右クリックして [再起動] を選択し、操作が完了するまで待ちます。

    GUI を使用して Azure AD Sync サービスを再起動する

これらの手順によって Microsoft Entra ID との接続が再確立され、接続の問題が解決されます。

Microsoft Entra Connect Sync サービスを再起動しても問題が解決されない場合は、次のセクションでパスワード ライトバック機能を無効にしてから再び有効にしてみてください。

パスワード ライトバック機能を無効にしてから再び有効にする

引き続き問題をトラブルシューティングするには、次の手順を完了して、パスワード ライトバック機能を無効にしてから再び有効にします。

  1. Microsoft Entra Connect を実行するサーバーの管理者として、Microsoft Entra Connect 構成ウィザードを開きます。
  2. [Microsoft Entra ID に接続する] で、Microsoft Entra ハイブリッド管理者の資格情報を入力します。
  3. [AD DS に接続] で、オンプレミス Active Directory Domain Services の管理者資格情報を入力します。
  4. [ユーザーを一意に識別] で、 [次へ] を選択します。
  5. [オプション機能] で、 [パスワードの書き戻し] チェック ボックスをオフにします。
  6. 他のダイアログ ページは何も変更せずに、 [構成の準備完了] ページが表示されるまで [次へ] を選択します。
  7. [構成の準備完了] ページ[パスワード ライトバック] オプションが [無効] として表示されることを確認します。 緑色の [構成] ボタンを選択して変更をコミットします。
  8. [完了] で、 [今すぐ同期] オプションをオフにし、 [完了] を選択してウィザードを閉じます。
  9. Microsoft Entra Connect 構成ウィザードをもう一度開きます。
  10. 手順 2. ~ 8. を繰り返しますが、今度は [オプション機能] ページで [パスワード ライトバック] オプションをオンにしてサービスを再び有効にします。

これらの手順によって Microsoft Entra ID との接続が再確立され、接続の問題が解決されます。

パスワード ライトバック機能を無効にしてから再び有効にしても問題が解決されない場合は、次のセクションで Microsoft Entra Connect を再インストールします。

最新の Microsoft Entra Connect リリースをインストールする

Microsoft Entra Connect を再インストールすると、Microsoft Entra ID とローカルの Active Directory Domain Services 環境との間で発生する構成と接続の問題が解決される場合があります。 この手順は、接続を確認およびトラブルシューティングするために前の手順を試した後にのみ実行することをお勧めします。

警告

標準の同期規則をカスタマイズしている場合は、アップグレードを続行する前にバックアップし、完了後にそれらを手動で再デプロイしてください。

  1. Microsoft ダウンロード センターから最新バージョンの Microsoft Entra Connect をダウンロードします。

  2. Microsoft Entra Connect が既にインストールされているため、インプレース アップグレードを実行して Microsoft Entra Connect のインストールを最新バージョンに更新します。

    ダウンロードされたパッケージを実行し、画面の指示に従って Microsoft Entra Connect を更新します。

これらの手順によって Microsoft Entra ID との接続が再確立され、接続の問題が解決されます。

最新バージョンの Microsoft Entra Connect サーバーをインストールしても問題が解決されない場合は、最新リリースをインストールした後に、最後の手順としてパスワード ライトバックを無効にしてから再び有効にしてみてください。

Microsoft Entra Connect に必要なアクセス許可があることを確認する

パスワード ライトバックを実行するには、Microsoft Entra Connect に AD DS の [パスワードのリセット] アクセス許可が必要です。 Microsoft Entra Connect に特定のオンプレミスの AD DS ユーザー アカウントに対する必要なアクセス許可があるかどうかを確認するには、Windows の有効なアクセス許可機能を使用します。

  1. Microsoft Entra Connect サーバーにサインインし、[開始]>[同期サービス] の順に選択して、Synchronization Service Manager を開始します。

  2. [コネクタ] タブで、オンプレミスの [Active Directory Domain Services] コネクタを選択してから、 [プロパティ] を選択します。

    プロパティの編集方法を示す Synchronization Service Manager

  3. ポップアップ ウィンドウで [Connect to Active Directory Forest](Active Directory フォレストに接続) を選択し、 [ユーザー名] のプロパティをメモします。 このプロパティは、ディレクトリ同期を実行するために、Microsoft Entra Connect によって使用される AD DS アカウントです。

    Microsoft Entra Connect でパスワード ライトバックを実行するために、AD DS アカウントには [パスワードのリセット] アクセス許可が必要です。 このユーザー アカウントに対するアクセス許可は、次の手順で確認します。

    同期サービスの Active Directory ユーザー アカウントの検索

  4. オンプレミスのドメイン コントローラーにサインインし、 [Active Directory ユーザーとコンピューター] アプリケーションを起動します。

  5. [表示] を選択し、 [高度な機能] オプションが有効であることを確認します。

    [Active Directory ユーザーとコンピューター] に [高度な機能] が表示される

  6. 確認する AD DS ユーザー アカウントを探します。 アカウント名を右クリックし、 [プロパティ] を選択します。

  7. ポップアップ ウィンドウで、 [セキュリティ] タブに移動し、 [詳細設定] を選択します。

  8. [Advanced Security Settings for Administrator](管理者のセキュリティの詳細設定) ポップアップ ウィンドウで、 [有効なアクセス] タブに移動します。

  9. [ユーザーの選択] を選択し、Microsoft Entra Connect によって使用される AD DS アカウントを選択してから、[有効なアクセス許可の表示] を選択します。

    同期アカウントを示す [有効なアクセス] タブ

  10. 下にスクロールし、 [パスワードのリセット] を探します。 エントリにチェック マークがついている場合は、選択した Active Directory ユーザー アカウントのパスワードをリセットするアクセス許可が AD DS アカウントにあることを意味します。

    同期アカウントにパスワードのリセット権限があることの検証

パスワード ライトバックの一般的なエラー

パスワード ライトバックでは、次のより具体的な問題が発生する可能性があります。 これらのエラーのいずれかが発生した場合は、提案されている解決策を確認し、それによりパスワード ライトバックが正しく機能するかどうかを確認してください。

エラー 解決策
オンプレミスでパスワード リセット サービスが開始されません。 Microsoft Entra Connect マシンのアプリケーション イベント ログにエラー 6800 が表示されます。

フェデレーション、パススルー認証、またはパスワード ハッシュ同期されたユーザーは、オンボード後に自分のパスワードをリセットできません。
パスワード ライトバックを有効にすると、同期エンジンはライトバック ライブラリを呼び出し、クラウド オンボード サービスと通信して構成 (オンボード) を実行します。 オンボード中またはパスワード ライトバックの Windows Communication Foundation (WCF) エンドポイントの起動中に発生したエラーは、Microsoft Entra Connect マシンのイベント ログのエラーになります。

Azure AD Sync (ADSync) サービスの再起動時にライトバックが構成された場合は、WCF エンドポイントが起動します。 ただし、エンドポイントの起動に失敗した場合は、イベント 6800 をログに記録して同期サービスを起動させます。 このイベントの存在は、パスワード ライトバックのエンドポイントが起動しなかったことを示します。 このイベント 6800 のイベント ログ詳細では、PasswordResetService コンポーネントで生成されたイベント ログ エントリとともに、エンドポイントが起動できなかった理由が示されます。 パスワード ライトバックがまだ機能していない場合は、これらのイベント ログ エラーを確認し、Microsoft Entra Connect を再起動してみてください。 問題が解決しない場合は、パスワード ライトバックを無効にしてから再び有効にしてみてください。
パスワード ライトバックを有効にした状態でユーザーがアカウントのロック解除またはパスワードのリセットを試みると操作に失敗します。

また、Microsoft Entra Connect のイベント ログでイベントを見ると、ロック解除操作のあとに次のイベントが記録されています。“Synchronization Engine returned an error hr=800700CE, message=The filename or extension is too long” (同期エンジンから hr=800700CE エラーと、"ファイル名または拡張子が長すぎます" というメッセージが返されました)
Microsoft Entra Connect の Active Directory アカウントを探し、そのパスワードを 256 文字以内に収めるようにリセットします。 次に、 [開始] メニューから [同期サービス] を開きます。 [コネクタ] を表示し、 [Active Directory Connector](Active Directory コネクタ) を探します。 これを選択してから、 [プロパティ] を選択します。 [資格情報] ページを表示して、新しいパスワードを入力します。 [OK] を選択してページを閉じます。
Microsoft Entra Connect インストール プロセスの最後の手順で、パスワード ライトバックを構成できなかったことを示すエラーが表示されます。

Microsoft Entra Connect アプリケーションのイベント ログには、エラー 32009 とテキスト "Error getting auth token" (認証トークンの取得エラー) が含まれています。
このエラーは、次の 2 つの場合に発生します。
  • Microsoft Entra Connect のインストール プロセスの開始時に指定されたハイブリッド管理者アカウントに対して正しくないパスワードを指定した。
  • Microsoft Entra Connect のインストール プロセスの開始時に指定されたハイブリッド管理者アカウントに対してフェデレーション ユーザーを使用しようとした。
この問題を解決するには、インストール プロセスの開始時に指定したハイブリッド管理者に対してフェデレーション アカウントを使用していないこと、および指定したパスワードが正しいことを確認してください。
Microsoft Entra Connect マシンのイベント ログに、PasswordResetService の実行によってスローされたエラー 32002 が記録されています。

エラーの内容は次のとおりです。"Error Connecting to ServiceBus. The token provider was unable to provide a security token. (ServiceBus への接続中にエラーが発生しました。トークン プロバイダーはセキュリティ トークンを提供できませんでした。)"
ご利用のオンプレミス環境では、クラウドの Azure Service Bus エンドポイントに接続できません。 このエラーは、通常、特定のポートまたは Web のアドレスへの発信接続をブロックするファイアウォール規則が原因で発生します。 詳細については、接続の前提条件に関する記事をご覧ください。 これらの規則を更新した後、Microsoft Entra Connect サーバーを再起動すると、パスワード ライトバックが再び機能し始めます。
フェデレーション、パススルー認証、またはパスワード ハッシュ同期されたユーザーは、しばらく操作した後に自分のパスワードをリセットできません。 Microsoft Entra Connect を再起動したときに、まれにパスワード ライトバック サービスの再起動に失敗することがあります。 これらの場合は、まず、パスワード ライトバックがオンプレミスで有効になっているかどうかを確認します。 Microsoft Entra Connect ウィザードまたは PowerShell のどちらかを使用して確認できます。 この機能が有効であると表示されている場合は、この機能を再び有効または無効にしてみてください。 このトラブルシューティング手順が機能しない場合は、Microsoft Entra Connect の完全なアンインストールと再インストールを試してください。
自分のパスワードのリセットを試みるフェデレーション、パススルー認証、またはパスワード ハッシュ同期されたユーザーには、パスワード送信後にエラーが表示されます。 このエラーは、サービスに問題があったことを示しています。

この問題に加えて、パスワードのリセット操作中に、管理エージェントがオンプレミスのイベント ログでアクセスを拒否されたというエラーが表示されることがあります。
イベント ログにこのようなエラーが表示された場合は、構成時にウィザードで指定した Active Directory 管理エージェント (ADMA) アカウントに、パスワード ライトバックのために必要なアクセス許可があることを確認します。

このアクセス許可が付与された後、ドメイン コントローラー (DC) の sdprop バックグラウンド タスクを介して、アクセス許可が適用されるのに最大 1 時間かかることがあります。

パスワードのリセットが機能するには、パスワードがリセットされるユーザー オブジェクトのセキュリティ記述子に権限を設定する必要があります。 このアクセス許可がユーザー オブジェクトに表示されるまでは、引き続きアクセス拒否メッセージが表示されてパスワードのリセットが失敗します。
自分のパスワードのリセットを試みるフェデレーション、パススルー認証、またはパスワード ハッシュ同期されたユーザーには、パスワード送信後にエラーが表示されます。 このエラーは、サービスに問題があったことを示しています。

この問題に加えて、パスワードのリセット操作中、Microsoft Entra Connect サービスからのイベント ログに、"Object could not be found" (オブジェクトが見つかりませんでした) というエラーが表示されることがあります。
このエラーは通常、Microsoft Entra コネクタ スペース内またはリンクされたメタバース (MV) 内のユーザー オブジェクトか、Microsoft Entra コネクタ スペース オブジェクトのいずれかを、同期エンジンが検索できないことを示しています。

この問題をトラブルシューティングするには、Microsoft Entra Connect の現在のインスタンスを介してオンプレミスから Microsoft Entra ID にユーザーが実際に同期されていることを確認し、コネクタ スペースと MV 内のオブジェクトの状態を検査します。 Active Directory 証明書サービス (AD CS) オブジェクトが "Microsoft.InfromADUserAccountEnabled.xxx" 規則によって MV オブジェクトに接続されていることを確認してください。
自分のパスワードのリセットを試みるフェデレーション、パススルー認証、またはパスワード ハッシュ同期されたユーザーには、パスワード送信後にエラーが表示されます。 このエラーは、サービスに問題があったことを示しています。

この問題に加えて、パスワードのリセット操作中、Microsoft Entra Connect サービスからのイベント ログに、"Multiple matches found" (複数の一致が見つかりました) というエラーが表示されることがあります。
これは、MV オブジェクトが "Microsoft.InfromADUserAccountEnabled.xxx" によって複数の AD CS オブジェクトに接続されていることを同期エンジンが検出したことを示します。 これは、ユーザーが複数のフォレストに有効なアカウントを持っていることを意味します。 このシナリオでは、パスワード ライトバックがサポートされません。
パスワード操作は構成エラーにより失敗しました アプリケーション イベント ログには、Microsoft Entra Connect エラー 6329 と、テキスト "0x8023061f (この管理エージェントではパスワード同期が無効になっているため操作に失敗しました)" が記録されています。 このエラーは、パスワード ライトバック機能を有効にした後に、新しい Active Directory フォレストを追加する (または既存のフォレストを削除して再度追加する) ように Microsoft Entra Connect 構成を変更した場合に発生します。 このような最近追加されたフォレスト内のユーザーのパスワード操作は失敗します。 問題を解決するには、フォレスト構成の変更が完了した後に、パスワード ライトバック機能を無効にしてから再び有効にします。
SSPR_0029: オンプレミス構成でのエラーのため、パスワードをリセットすることができません。 管理者に連絡して、調査するように依頼してください。 問題: パスワード ライトバックが必要なすべての手順に従って有効になっていますが、パスワードを変更しようとすると、"SSPR_0029: Your organization hasn’t properly set up the on-premises configuration for password reset" (組織でパスワードのリセットのためのオンプレミスの構成が正しく設定されていません) というメッセージが表示されます。Microsoft Entra Connect システムでイベント ログを確認すると、管理エージェントの資格情報のアクセスが拒否されたことが示されます。 考えられる解決方法: Microsoft Entra Connect システムとドメイン コントローラーで RSOP を使用して、[コンピューターの構成] > [Windows の設定] > [セキュリティ設定] > [ローカル ポリシー] > [セキュリティ オプション] の下にある "ネットワーク アクセス - SAM へのリモートの呼び出しを許可するクライアントを制限する" ポリシーが有効になっているかどうかを調べます。 このポリシーを編集して MSOL_XXXXXXX 管理アカウントを許可されたユーザーとして含めます。 詳細については、「エラー SSPR_0029 のトラブルシューティング: 組織でパスワードのリセットのためのオンプレミス構成が正しく設定されていない」を参照してください。

パスワード ライトバックのイベント ログのエラー コード

パスワード ライトバックに関する問題をトラブルシューティングする場合のベスト プラクティスは、Microsoft Entra Connect マシンでそのアプリケーション イベント ログを検査することです。 このイベント ログには、パスワード ライトバックの 2 つのソースからのイベントが含まれます。 PasswordResetService ソースは、パスワード ライトバックの操作に関連した操作と問題を記述します。 ADSync ソースは、Active Directory Domain Services 環境でのパスワードの設定に関連した操作と問題を記述します。

イベントのソースが ADSync の場合

コード 名前またはメッセージ 説明
6329 BAIL: MMS(4924) 0x80230619: "A restriction prevents the password from being changed to the current one specified. (制限によりパスワードを現在指定されているパスワードに変更することができません。)" このイベントは、パスワード ライトバック サービスが、ドメインのパスワードの有効期間、履歴、複雑さ、またはフィルター処理の要件を満たしていないローカル ディレクトリにパスワードを設定しようとした場合に発生します。 このイベントは、ユーザーのパスワードを変更できない場合にも発生する可能性があります。

パスワードの最小有効期間が残っていて、最近その期間内にパスワードを変更した場合は、そのドメインで指定された期限に達するまで、もう一度パスワードを変更することはできません。 テストのために、最小有効期間は 0 に設定する必要があります。

パスワードの履歴の要件が有効になっている場合は、過去 N 回で使用されていないパスワードを選択する必要があります。ここで、N はパスワードの履歴の設定です。 最後の N 回で使用されているパスワードを選択した場合は、エラーが表示されます。 テストのために、パスワードの履歴は 0 に設定する必要があります。

パスワードの複雑さの要件を指定する場合は、ユーザーがパスワードを変更またはリセットしようとすると、すべての要件が適用されます。

パスワード フィルターが有効になっているときに、ユーザーがフィルター条件を満たしていないパスワードを選択した場合、リセットまたは変更操作は失敗します。

ユーザーが PASSWD_CANT_CHANGE プロパティ フラグを設定している場合、パスワードを同期できません。 テスト目的で、PASSWD_CANT_CHANGE プロパティ フラグを削除します。 詳細については、「プロパティ フラグの説明」を参照してください。
6329 MMS(3040): admaexport.cpp(2837): サーバーに LDAP のパスワード ポリシー コントロールが含まれていません。 この問題は、DC で LDAP_SERVER_POLICY_HINTS_OID コントロール (1.2.840.113556.1.4.2066) が有効になっていない場合に発生します。 パスワード ライトバック機能を使用するのには、コントロールを有効にする必要があります。 これを行うには、DCがWindows Server 2016以降にインストールされている必要があります。
HR 8023042 同期エンジンから hr=80230402 エラーと、"同じアンカーに重複するエントリがあるためオブジェクトの取得に失敗しました" というメッセージが返されました。 このエラーは、複数のドメインで同じユーザー ID を有効にした場合に発生します。 たとえば、アカウントとリソース フォレストを同期したときに、各フォレスト内に同じユーザー ID が存在し、どちらも有効な場合です。

また、一意ではないアンカー属性 (エイリアスや UPN) を使用し、2 人のユーザーがその同じアンカー属性を共有している場合にも、このエラーが発生します。

この問題を解決するには、ドメイン内に重複するユーザーがいないようにして、各ユーザーに一意のアンカー属性を使用します。

イベントのソースが PasswordResetService の場合

コード 名前またはメッセージ 説明
31001 PasswordResetStart このイベントは、オンプレミスのサービスが、クラウドから送信されたフェデレーション、パススルー認証、またはパスワード ハッシュ同期されたユーザーへのパスワードのリセット要求を検出したことを示します。 このイベントは、すべてのパスワード リセットのライトバック操作における最初のイベントです。
31002 PasswordResetSuccess このイベントは、パスワードのリセット操作中に、ユーザーが新しいパスワードを選択したことを示します。 このパスワードが企業のパスワード要件を満たしていると判断されました。 パスワードがローカルの Active Directory 環境に正常にライトバックされました。
31003 PasswordResetFail このイベントは、ユーザーがパスワードを選択し、そのパスワードが正しくオンプレミス環境に届いたことを示します。 しかし、ローカルの Active Directory 環境でパスワードの設定を試みたときに、エラーが発生しました。 このエラーは次のことが原因で発生する場合があります。
  • ユーザーのパスワードがドメインの有効期間、履歴、複雑さ、またはフィルターの要件を満たしていない。 この問題を解決するには、新しいパスワードを作成します。
  • ADMA サービス アカウントに、対象のユーザー アカウントに新しいパスワードを設定するための適切なアクセス許可がない。
  • ユーザーのアカウントが、パスワードの設定操作が禁止されている保護されたグループ (ドメインまたはエンタープライズ管理者グループなど) に含まれている。
31004 OnboardingEventStart このイベントは、Microsoft Entra Connect でのパスワード ライトバックが有効になっているときに、パスワード ライトバック Web サービスへの組織のオンボードが開始された場合に発生します。
31005 OnboardingEventSuccess このイベントは、オンボード プロセスが成功し、パスワード ライトバック機能を使用する準備が整ったことを示します。
31006 ChangePasswordStart このイベントは、オンプレミスのサービスが、クラウドから送信されたフェデレーション、パススルー認証、またはパスワード ハッシュ同期されたユーザーへのパスワード変更要求を検出したことを示します。 このイベントは、すべてのパスワード変更のライトバック操作における最初のイベントです。
31007 ChangePasswordSuccess このイベントは、ユーザーがパスワードの変更操作中に新しいパスワードを選択したこと、このパスワードが企業のパスワード要件を満たしていると判断されたこと、およびローカルの Active Directory 環境に正常にライトバックされたことを示します。
31008 ChangePasswordFail このイベントは、ユーザーがパスワードを選択し、そのパスワードがオンプレミス環境に正常に届いたものの、ローカルの Active Directory 環境でパスワードを設定しようとしたところエラーが発生したことを示します。 このエラーは次のことが原因で発生する場合があります。
  • ユーザーのパスワードがドメインの有効期間、履歴、複雑さ、またはフィルターの要件を満たしていない。 この問題を解決するには、新しいパスワードを作成します。
  • ADMA サービス アカウントに、対象のユーザー アカウントに新しいパスワードを設定するための適切なアクセス許可がない。
  • ユーザーのアカウントが、パスワードの設定操作が禁止されている保護されたグループ (ドメインまたはエンタープライズ管理者など) に含まれている。
31009 ResetUserPasswordByAdminStart オンプレミスのサービスが、ユーザーに代わって管理者から送信された、フェデレーション、パススルー認証、またはパスワード ハッシュ同期されたユーザーへのパスワードのリセット要求を検出しました。 このイベントは、管理者が開始したパスワードのリセットのライトバック操作における最初のイベントです。
31010 ResetUserPasswordByAdminSuccess 管理者が開始したパスワードのリセット操作中に、管理者が新しいパスワードを選択しました。 このパスワードが企業のパスワード要件を満たしていると判断されました。 パスワードがローカルの Active Directory 環境に正常にライトバックされました。
31011 ResetUserPasswordByAdminFail 管理者がユーザーの代わりにパスワードを選択しました。 パスワードが正常にオンプレミス環境に到着しました。 しかし、ローカルの Active Directory 環境でパスワードの設定を試みたときに、エラーが発生しました。 このエラーは次のことが原因で発生する場合があります。
  • ユーザーのパスワードがドメインの有効期間、履歴、複雑さ、またはフィルターの要件を満たしていない。 この問題を解決するには、新しいパスワードを試します。
  • ADMA サービス アカウントに、対象のユーザー アカウントに新しいパスワードを設定するための適切なアクセス許可がない。
  • ユーザーのアカウントが、パスワードの設定操作が禁止されている保護されたグループ (ドメインまたはエンタープライズ管理者など) に含まれている。
31012 OffboardingEventStart このイベントは、Microsoft Entra Connect でパスワード ライトバックが無効になっている場合に発生し、組織がパスワード ライトバック Web サービスのオフボードを開始したことを示します。
31013 OffboardingEventSuccess このイベントは、オフボード プロセスに成功し、パスワード ライトバック機能が正常に無効になったことを示します。
31014 OffboardingEventFail このイベントは、オフボード プロセスが失敗したことを示します。 これは、構成時に指定したクラウドまたはオンプレミスの管理者アカウント上で起こったアクセス許可のエラーが原因である可能性があります。 また、このエラーは、パスワード ライトバックを無効にしているときにフェデレーション クラウド ハイブリッド管理者の使用を試みた場合にも、発生することがあります。 この問題を解決するには、管理者のアクセス許可を確認し、パスワード ライトバック機能を構成する場合にフェデレーション アカウントを使用していないことを確認します。
31015 WriteBackServiceStarted このイベントは、パスワード ライトバック サービスが正常に開始したことを示します。 クラウドからのパスワード管理要求を受け入れる準備ができています。
31016 WriteBackServiceStopped このイベントは、パスワード ライトバック サービスが停止したことを示します。 クラウドからのパスワード管理要求はすべて失敗します。
31017 AuthTokenSuccess このイベントは、オフボーディングまたはオンボーディング プロセスを開始するために、Microsoft Entra Connect のセットアップ時に指定されたハイブリッド管理者の認可トークンを正常に取得したことを示します。
31018 KeyPairCreationSuccess このイベントは、パスワード暗号化キーが正常に作成されたことを示します。 このキーは、クラウドからのパスワードを暗号化してご利用のオンプレミス環境に送信するために使用されます。
31019 ServiceBusHeartBeat このイベントは、テナントの Service Bus インスタンスに要求が正常に送信されたことを示します。
31034 ServiceBusListenerError このイベントは、テナントの Service Bus リスナーへの接続中にエラーが発生したことを示します。 エラー メッセージに "リモート証明書が無効です" と表示される場合は、「Azure TLS 証明書の変更」で説明されているように、すべての必要なルート CA が Microsoft Entra Connect サーバーに存在していることを確認してください。
31044 PasswordResetService このイベントは、パスワード ライトバックが機能していないことを示します。 Service Bus は、冗長性を確保するために 2 つの異なるリレーで要求をリッスンします。 それぞれのリレー接続は、独自のサービス ホストによって管理されます。 どちらかのサービス ホストが実行されていない場合、ライトバック クライアントからエラーが返されます。
32000 UnknownError このイベントは、パスワード管理操作中に発生した原因不明のエラーを示します。 詳細については、イベントの例外の説明をご覧ください。 問題が発生した場合は、パスワード ライトバックを無効にしてから再び有効にしてみてください。 これで解決されない場合は、サポート リクエストを開いたときに指定される追跡 ID と共にイベント ログのコピーを含めてください。
32001 ServiceError このイベントは、クラウド パスワード リセット サービスへの接続中にエラーが発生したことを示します。 このエラーは通常、オンプレミスのサービスがパスワード リセット Web サービスに接続できない場合に発生します。
32002 ServiceBusError このイベントは、テナントの Service Bus インスタンスへの接続中にエラーが発生したことを示します。 これは、オンプレミス環境で発信接続をブロックしている場合に発生する可能性があります。 ファイアウォールで TCP 443 経由の https://ssprdedicatedsbprodncu.servicebus.windows.net への接続が許可されていることを確認してから、やり直してください。 問題が解決しない場合は、パスワード ライトバックを無効にしてから再び有効にしてみてください。
32003 InPutValidationError このイベントは、Web サービス API に渡された入力が無効だったことを示します。 操作をやり直してください。
32004 DecryptionError このイベントは、クラウドから受信したパスワードの解読中にエラーが発生したことを示します。 これは、クラウド サービスとオンプレミス環境との間で暗号化の解除キーが一致しないことが原因である可能性があります。 この問題を解決するには、オンプレミス環境でパスワード ライトバックを無効にしてから再び有効にします。
32005 ConfigurationError オンボード中に、オンプレミスの環境内の構成ファイルにテナント固有の情報を保存します。 このイベントは、このファイルの保存中にエラーが発生した、またはサービスの開始時にファイルの読み取りエラーが発生したことを示します。 この問題を解決するには、この構成ファイルを強制的に書き換えるためにパスワード ライトバックを無効にしてから再び有効にしてみてください。
32007 OnBoardingConfigUpdateError オンボード中に、クラウドからオンプレミスのパスワードのリセット サービスにデータを送信します。 そのデータは、同期サービスに送信される前にメモリ内のファイルに書き込まれ、ディスク上に安全に保存されます。 このイベントは、メモリ内でのそのデータの書き込みまたは更新に問題があることを示します。 この問題を解決するには、この構成ファイルを強制的に書き換えるためにパスワード ライトバックを無効にしてから再び有効にしてみてください。
32008 ValidationError このイベントは、パスワード リセット Web サービスから無効な応答を受け取ったことを示します。 この問題を解決するには、パスワード ライトバックを無効にしてから再び有効にしてみてください。
32009 AuthTokenError このイベントは、Microsoft Entra Connect のセットアップ時に指定されたハイブリッド管理者アカウントの承認トークンを取得できなかったことを示します。 このエラーは、ハイブリッド管理者アカウントに指定された無効なユーザー名またはパスワードが原因である可能性があります。 また、指定されたハイブリッド管理者アカウントがフェデレーションされているために発生している可能性もあります。 この問題を解決するには、適切なユーザー名とパスワードを使用して構成を再実行し、管理者が管理 (クラウドのみまたはパスワード同期された) アカウントになっていることを確認します。
32010 CryptoError このイベントは、パスワード暗号化キーの生成中、またはクラウド サービスから受信するパスワードの暗号化の解除中にエラーが発生したことを示します。 このエラーは、ご利用の環境に問題がある可能性を示しています。 この問題の解決方法の詳細については、イベント ログの詳細を確認します。 また、パスワード ライトバック サービスを無効にしてから再び有効にすると解決できる場合もあります。
32011 OnBoardingServiceError このイベントは、オンプレミスのサービスが、オンボード プロセスを開始しようとしてパスワード リセット Web サービスと正しく通信できなかったことを示します。 これは、ファイアウォール規則の結果として、またはテナントの認証トークンの取得中に問題が生じた場合に発生することがあります。 この問題を解決するには、TCP 443 と TCP 9350-9354 経由の発信接続、または https://ssprdedicatedsbprodncu.servicebus.windows.net への接続がブロックされていないことを確認します。 また、オンボードに使用している Microsoft Entra 管理者アカウントがフェデレーションされていないことも確認します。
32013 OffBoardingError このイベントは、オンプレミスのサービスが、オフボード プロセスを開始しようとしてパスワード リセット Web サービスと正しく通信できなかったことを示します。 これは、ファイアウォール規則の結果として、またはテナントの承認トークンの取得中に問題が生じた場合に発生することがあります。 この問題を解決するには、TCP 443 経由の発信接続、または https://ssprdedicatedsbprodncu.servicebus.windows.net への接続がブロックされていないことと、オフボードに使用している Microsoft Entra 管理者アカウントがフェデレーションされていないことを確認します。
32014 ServiceBusWarning このイベントは、テナントの Service Bus インスタンスへの接続を再試行する必要があったことを示します。 通常の状況ではこれは問題になりませんが、このイベントが何度も表示される場合、特に、それが待機時間の長い接続または低帯域幅の接続である場合は、Service Bus へのネットワーク接続を確認することを検討してください。
32015 ReportServiceHealthError パスワード ライトバック サービスの正常性を監視するには、パスワード リセット Web サービスに 5 分ごとにハートビート データを送信します。 このイベントは、この正常性情報をクラウド Web サービスに送信するときにエラーが発生したことを示します。 この正常性情報に個人データは含まれず、クラウド内のサービスの状態情報を提供できるように、純粋にハートビートと基本的なサービス統計情報で構成されています。
33001 ADUnKnownError このイベントは、Active Directory から不明なエラーが返されたことを示します。 Microsoft Entra Connect サーバーのイベント ログで、ADSync ソースからのイベントの詳細を確認します。
33002 ADUserNotFoundError このイベントは、パスワードをリセットまたは変更しようとするユーザーがオンプレミスのディレクトリに見つからなかったことを示します。 このエラーは、ユーザーがクラウドではなくオンプレミスで削除された場合に発生する可能性があります。 このエラーはまた、同期に問題がある場合にも発生することがあります。同期ログと、最近のいくつかの同期実行に関する詳細情報を確認します。
33003 ADMutliMatchError パスワードのリセットまたは変更要求がクラウドから送信されると、Microsoft Entra Connect のセットアップ プロセス中に指定されたクラウドのアンカーを使用して、その要求をオンプレミスの環境内のユーザーにリンクする方法を決定します。 このイベントは、オンプレミスのディレクトリ内に同じクラウドのアンカー属性を持つユーザーが 2 人見つかったことを示します。 同期ログと、最近のいくつかの同期実行に関する詳細情報を確認します。
33004 ADPermissionsError このイベントは、Active Directory 管理エージェント (ADMA) サービス アカウントに、新しいパスワードを設定するための対象のアカウントに対する適切なアクセス許可がないことを示します。 ユーザーのフォレスト内の ADMA アカウントに、フォレスト内のすべてのオブジェクトに対する [パスワードのリセット] アクセス許可があることを確認してください。 アクセス許可を設定する方法の詳細については、「Step 4: Set up the appropriate Active Directory permissions (手順 4: Active Directory の適切なアクセス許可を設定する)」をご覧ください。 このエラーは、ユーザーの属性 AdminCount が 1 に設定されている場合にも発生する可能性があります。
33005 ADUserAccountDisabled このイベントは、オンプレミスで無効になっていたアカウントのパスワードをリセットまたは変更しようとしたことを示します。 アカウントを有効にして、操作をやり直してください。
33006 ADUserAccountLockedOut このイベントは、オンプレミスでロックアウトされたアカウントのパスワードをリセットまたは変更しようとしたことを示します。 ロックアウトは、ユーザーが短時間に何回もパスワードを変更またはリセットしようとした場合に発生します。 アカウントのロックを解除して、操作をやり直してください。
33007 ADUserIncorrectPassword このイベントは、ユーザーがパスワードの変更操作を行うときに、現在のパスワードを正しく指定しなかったことを示します。 現在の正しいパスワードを指定して、やり直してください。
33008 ADPasswordPolicyError このイベントは、パスワード ライトバック サービスが、ドメインのパスワードの有効期間、履歴、複雑さ、またはフィルター処理の要件を満たしていないローカル ディレクトリにパスワードを設定しようとした場合に発生します。

パスワードの最小有効期間が残っていて、最近その期間内にパスワードを変更した場合は、そのドメインで指定された期限に達するまで、もう一度パスワードを変更することはできません。 テストのために、最小有効期間は 0 に設定する必要があります。

パスワードの履歴の要件が有効になっている場合は、最後の N 回で使用されていないパスワードを選択する必要があります。N はパスワードの履歴で設定します。 最後の N 回で使用されているパスワードを選択した場合は、エラーが表示されます。 テストのために、パスワードの履歴は 0 に設定する必要があります。

パスワードの複雑さの要件を指定する場合は、ユーザーがパスワードを変更またはリセットしようとすると、すべての要件が適用されます。

パスワード フィルターが有効になっているときに、ユーザーがフィルター条件を満たしていないパスワードを選択した場合、リセットまたは変更操作は失敗します。
33009 ADConfigurationError このイベントは、Active Directory の構成に問題があるため、オンプレミスのディレクトリへのパスワード書き込みエラーが発生したことを示します。 どのエラーが発生したかに関する詳細については、Microsoft Entra Connect マシンのアプリケーション イベント ログに ADSync サービスからのメッセージがないかどうかを確認してください。

パスワード ライトバックから予約された組織単位の文字

次の表に、パスワード ライトバックを防止する予約文字を示します。 これらの文字がオンプレミスの組織単位 (OU) 構造に表示される場合、パスワード ライトバックがイベント ID 33001 で失敗する可能性があります。

予約文字 説明 16 進値
文字列の先頭にあるスペースまたは # 文字
文字列の末尾にある空白文字
, コンマ 0x2C
+ プラス記号 0x2B
" 引用符 0x22
\ バックスラッシュ 0x5C
< 左山かっこ 0x3C
> 右山かっこ 0x3E
; セミコロン 0x3B
LF ライン フィード 0x0A
CR キャリッジ リターン 0x0D
= 等号 0x3D
/ スラッシュ 0x2F

Microsoft Entra フォーラム

Microsoft Entra ID やセルフサービス パスワード リセットに関する一般的な質問がある場合は、Microsoft Entra ID に関する Microsoft Q&A 質問ページでコミュニティに支援を求めることができます。 コミュニティのメンバーには、エンジニア、製品マネージャー、MVP、IT プロフェッショナルなどが含まれます。

Microsoft サポートに問い合わせる

問題に対する回答が見つからない場合は、Microsoft のサポート チームが随時、問題の解決をお手伝いします。

適切なサポートを提供するため、ケースをオープンする際はできるだけ詳しい情報のご提供をお願いいたします。 これらの詳細には、次の内容が含まれています。

  • エラーの一般的な説明: どのようなエラーですか。 どのような動作が見られましたか。 エラーを再現することはできますか。 できるだけ詳しくお知らせください。
  • ページ: エラーが表示されたときに、どのページを表示していましたか。 可能な場合はそのページの URL とスクリーンショットをお送りください。
  • サポート コード: エラーが表示されたときに生成されたサポート コードをお知らせください。
    • このコードを見つけるには、エラーを再現してから、画面の下部にあるサポート コードのリンクを選択し、生成された GUID をサポート エンジニアに送信します。

      サポート コードは、Web ブラウザー ウィンドウの右下にあります。

    • ページの下部にサポート コードが表示されない場合は、F12 キーを押して SID と CID を検索し、この 2 つの結果をサポート エンジニアに送信します。

  • 日付、時刻、タイム ゾーン: エラーが発生した正確な日付、時刻、"タイム ゾーン" をお知らせください。
  • ユーザー ID: エラーが表示されたユーザーをお知らせください。 たとえば user@contoso.com です。
    • このユーザーは、フェデレーション ユーザーですか。
    • このユーザーは、パススルー認証ユーザーですか。
    • このユーザーは、パスワード ハッシュ同期ユーザーですか。
    • このユーザーは、クラウド限定ユーザーですか。
  • ライセンス: ユーザーに Microsoft Entra ID のライセンスが割り当てられていますか?
  • アプリケーション イベント ログ: パスワード ライトバックの使用中に、ご利用のオンプレミスのインフラストラクチャでエラーが発生した場合は、Microsoft Entra Connect サーバーからのアプリケーション イベント ログのコピーを圧縮してお送りください。

次のステップ

SSPR の詳細については、「動作のしくみ: Microsoft Entra のセルフサービス パスワード リセット」または「Microsoft Entra ID でのセルフサービス パスワード リセットによる書き戻しのしくみ」を参照してください。