次の方法で共有

エラー SSPR_0029 のトラブルシューティング: 組織でパスワードのリセットのためのオンプレミス構成が正しく設定されていない

  • [アーティクル]

この記事は、ユーザーまたは管理者が SSPR ページで新しいパスワードを入力して確認した後に発生する、セルフサービス パスワード リセット (SSPR) エラー "SSPR_0029: 組織がパスワード リセット用のオンプレミス構成を適切に設定していません" のトラブルシューティングに役立ちます。

現象

ユーザーまたは管理者が次の手順を実行し、 SSPR_0029 エラーを受け取ります。

  1. https://login.microsoftonline.com ドメインの Microsoft アカウント サインイン ページまたは Microsoft Azure サインイン ページで、ユーザーまたは管理者が アカウントにアクセスできないか、 自分のパスワード選択します

  2. ユーザーまたは管理者は、 Work または学校アカウント アカウントの種類を選択します。 その後、 https://passwordreset.microsoftonline.com の SSPR ページにリダイレクトされ、 Get をアカウント フローに戻します。

  3. 画面で、ユーザーまたは管理者がユーザー ID を入力し、大文字と小文字を区別しない captcha セキュリティ チャレンジを完了し、Next を選択します。

  4. サインインに問題がありますか?画面で、ユーザーまたは管理者が [パスワードを忘れたを選択します>

  5. 新しいパスワードを選択画面で、ユーザーまたは管理者は新しいパスワード文字列を入力して確認し、Finish を選択します。 次に、 申し訳ございません 画面が表示され、次のメッセージが表示されます。

    SSPR_0029: 組織でパスワードのリセットのためのオンプレミスの構成が正しく設定されていません。

    管理者の場合、「パスワード ライトバックのトラブルシューティング」で詳細を確認できます。 管理者でない場合は、管理者に問い合わせるときにこの情報を提供できます。

原因 1: 同期された Windows Active Directory 管理者のパスワードをリセットするためにパスワード ライトバックを使用できない

同期された Windows Active Directory 管理者で、オンプレミスの Active Directory 保護されたグループに属している (または以前は属していた) ユーザーでありSSPR とパスワード ライトバックを使用してオンプレミスのパスワードをリセットすることはできません。

解決策: なし (動作は仕様による)

セキュリティのために、ローカル Active Directory で保護されたグループ内に存在する管理者アカウントをパスワード ライトバックと共に使用することはできません。 管理者はクラウドでパスワードを変更できますが、忘れたパスワードをリセットすることはできません。 詳細については、「 Microsoft Entra ID でのセルフサービス パスワード リセット ライトバックの動作方法を参照してください。

原因 2: AD DS コネクタ アカウントに適切な Active Directory アクセス許可がない

同期されたユーザーに Active Directory の正しいアクセス許可がありません。

解決策: Active Directory のアクセス許可の問題を解決する

Active Directory のアクセス許可に影響する問題を解決するには、「 Password Writeback アクセス権とアクセス許可」を参照してください

回避策: 別の Active Directory ドメイン コントローラーをターゲットとする

Note

パスワード ライトバックは、レガシ API NetUserGetInfo に依存します。 NetUserGetInfo API には、特に Microsoft Entra Connect サーバーがドメイン コントローラーで実行されている場合、識別が困難な Active Directory で許可されるアクセス許可の複雑なセットが必要です。 詳細については、「 NetUserGetInfo と同様の API を使用したアプリケーションは、特定の Active Directory オブジェクトへの読み取りアクセスに依存するを参照してください。

ドメイン コントローラーで Microsoft Entra Connect サーバーが実行されていて、Active Directory のアクセス許可を解決できないシナリオはありますか? この場合は、ドメイン コントローラーではなくメンバー サーバーに Microsoft Entra Connect サーバーを展開することをお勧めします。 または、次の手順を使用して、 優先ドメイン コントローラーを使用する Active Directory コネクタを構成します。

  1. Start メニューで、Synchronization Service Manager を検索して選択します。

  2. Synchronization Service Manager ウィンドウで、Connectors タブを選択します。

  3. コネクタの一覧から Active Directory コネクタを右クリックし、 Properties を選択します。

  4. Properties ダイアログ ボックスの Connector デザイナー ペインで、ディレクトリ パーティションの構成選択

  5. ディレクトリ パーティションの構成 ウィンドウで、優先ドメイン コントローラーを使用する オプションを選択し、構成を選択します。

  6. 優先 DC の構成ダイアログ ボックスで、ローカル ホストとは異なるドメイン コントローラー (またはドメイン コントローラー) を指す 1 つ以上のサーバー名を追加します。

  7. 変更を保存してメイン ウィンドウに戻すには、 OK を 3 回選択します(詳細な構成免責事項を示す [ Warning ] ダイアログ ボックスを含む)。

原因 3: サーバーがセキュリティ アカウント マネージャー (SAM) へのリモート呼び出しを行うことが許可されていない

この場合、2 つの同様のアプリケーション エラー イベント (イベント ID 33004 と 6329) がログに記録されます。 イベント ID 6329 は 33004 とは異なります。サーバーが SAM へのリモート呼び出しを行おうとしたときに、スタック トレースに ERROR_ACCESS_DENIED エラー コードが含まれているためです。

ERR_: MMS(####): admaexport.cpp(2944): ユーザー情報の取得に失敗しました: Contoso\MSOL_############。 エラー コード: ERROR_ACCESS_DENIED

この状況は、Microsoft Entra Connect サーバーまたはドメイン コントローラーに、ドメイン グループ ポリシー オブジェクト (GPO) またはサーバーのローカル セキュリティ ポリシーでセキュリティ強化設定が適用されている、または適用されている場合に発生する可能性があります。 これが該当するかどうかを確認するには、次の手順に従います。

  1. 管理コマンド プロンプト ウィンドウを開き、次のコマンドを実行します。

    md C:\Temp
gpresult /h C:\Temp\GPreport.htm
start C:\Temp\GPreport.htm

  2. Web ブラウザーで C:\Temp\gpresult.htm ファイルを開き、 Computer Details>Settings>Policies>Windows の設定>セキュリティ設定>ローカル ポリシー/セキュリティ オプション>Network Access を展開します。 次に、 Network アクセス: SAM へのリモート呼び出しを許可するクライアントを制限するという名前の設定があるかどうかを確認します。

  3. ローカル セキュリティ ポリシー スナップインを開くには、Start を選択し、「secpol.msc」と入力して Enter キーを押し、[ローカル ポリシー>Expand セキュリティ オプション展開します。

  4. ポリシーの一覧で、[ ネットワーク アクセス: SAM へのリモート呼び出しを許可するクライアントを制限するを選択します。 セキュリティ設定列には、設定が有効になっていない場合は [定義されていません、設定が有効になっている場合はO:BAG:...セキュリティ記述子の値が表示されます。 設定が有効になっている場合は、 Properties アイコンを選択して、現在適用されているアクセス制御リスト (ACL) を表示することもできます。

    Note

    既定では、このポリシー設定はオフになっています。 GPO またはローカル ポリシー設定を使用してデバイスにこの設定を適用すると、HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ レジストリ パスに RestrictRemoteSam という名前のレジストリ値が作成されます。 ただし、このレジストリ設定は、定義されてサーバーに適用された後にクリアするのが難しい場合があります。 グループ ポリシー設定を無効にするか、グループ ポリシー管理コンソール (GPMC) の このポリシー設定を定義 オプションをクリアしても、レジストリ エントリは削除されません。 そのため、サーバーは SAM へのリモート呼び出しを許可するクライアントを引き続き制限します。

    Microsoft Entra Connect サーバーまたはドメイン コントローラーが SAM へのリモート呼び出しを引き続き制限していることを正確に確認するにはどうすればよいですか? レジストリ エントリが存在するかどうかを確認する場合は、PowerShell で Get-ItemProperty コマンドレットを実行します。

    Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam

PowerShell の出力には、 RestrictRemoteSam レジストリ エントリがまだ存在することが示されていますか? その場合は、2 つの解決策が考えられます。

解決策 1: 許可されているユーザーの一覧に AD DS コネクタ アカウントを追加する

Network アクセスを保持します。SAM へのリモート呼び出しを許可するクライアントを制限します Microsoft Entra Connect サーバーでポリシー設定を有効にして適用しますが、許可されているユーザーの一覧に Active Directory ドメイン Services (AD DS) コネクタ アカウント (MSOL_ アカウント) を追加します。 手順については、次の手順を参照してください。

  1. AD DS コネクタ アカウントの名前がわからない場合は、「 AD DS コネクタ アカウントを識別するを参照してください。

  2. GPMC またはローカル セキュリティ ポリシー スナップインで、そのポリシー設定のプロパティ ダイアログ ボックスに戻ります。

  3. [セキュリティ 編集 を選択して、[SAM へのリモート アクセスの セキュリティ設定 ダイアログ ボックスを表示します。

  4. [ グループ名またはユーザー名 一覧で Add を選択して、 ユーザーまたはグループの選択 ダイアログ ボックスを表示します。 選択するオブジェクト名を入力ボックスに、AD DS コネクタ アカウント (MSOL_ アカウント) の名前を入力し、OK を選択してダイアログ ボックスを終了します。

  5. 一覧から AD DS コネクタ アカウントを選択します。 <アカウント名のアクセス許可>Remote Access行で、Allowを選択します。

  6. OKを 2 回選択してポリシー設定の変更を受け入れ、ポリシー設定の一覧に戻ります。

  7. 管理コマンド プロンプト ウィンドウを開き、 gpupdate コマンドを実行して、グループ ポリシーの更新を強制します。

    gpupdate /force

解決策 2: Network アクセスを削除する: SAM へのリモート呼び出しを許可するクライアントを制限する ポリシー設定を削除してから、RestrictRemoteSam レジストリ エントリを手動で削除する

  1. セキュリティ設定がローカル セキュリティ ポリシーから適用されている場合は、手順 4 に進みます。

  2. ドメイン コントローラーから GPMC スナップインを開き、それぞれのドメイン GPO を編集します。

  3. Computer 構成>Policies>Windows 設定>セキュリティ設定>Computer 構成>ローカル ポリシー>セキュリティ オプションを展開します。

  4. セキュリティ オプションの一覧で、[ ネットワーク アクセス: SAM へのリモート呼び出しを許可するクライアントを制限するPropertiesを開き、 このポリシー設定を無効にします

  5. 管理コマンド プロンプト ウィンドウを開き、 gpupdate コマンドを実行して、グループ ポリシーの更新を強制します。

    gpupdate /force

  6. 新しいグループ ポリシー結果レポート (GPreport.htm) を生成するには、 gpresult コマンドを実行し、Web ブラウザーで新しいレポートを開きます。

    md C:\Temp
gpresult /h C:\Temp\GPreport.htm
start C:\Temp\GPreport.htm

  7. レポートを調べて、 Network アクセスのポリシー設定:SAM へのリモート呼び出しを許可するクライアントを制限する が定義されていないことを確認します。

  8. 管理用 PowerShell コンソールを開きます。

  9. RestrictRemoteSam レジストリ エントリを削除するには、Remove-ItemProperty コマンドレットを実行します。

    Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam

    Note

    ドメイン GPO 設定を削除せずに RestrictRemoteSam レジストリ エントリを削除すると、このレジストリ エントリは次のグループ ポリシー更新サイクルで再作成され、 SSPR_0029 エラーが繰り返されます。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。