エラー SSPR_0029のトラブルシューティング: organizationでパスワード リセット用のオンプレミス構成が正しく設定されていません

  • [アーティクル]

この記事は、ユーザーまたは管理者が SSPR ページで新しいパスワードを入力して確認した後に発生する、セルフサービス パスワード リセット (SSPR) エラー "SSPR_0029: organizationがパスワード リセットのオンプレミス構成を適切に設定していない" のトラブルシューティングに役立ちます。

現象

ユーザーまたは管理者が次の手順を実行し、エラーを SSPR_0029 受け取ります。

  1. ドメインの Microsoft アカウント サインイン ページまたは Microsoft Azure サインイン ページで https://login.microsoftonline.com 、ユーザーまたは管理者が [ アカウントにアクセスできない]、[ パスワードを忘れた場合]、または [今すぐリセット] を選択します。

  2. ユーザーまたは管理者は、 職場または学校アカウント の種類を選択します。 次に、アカウントへの戻りフローを開始するために、SSPR ページhttps://passwordreset.microsoftonline.comにリダイレクトされます。

  3. [ ユーザーは誰ですか? ] 画面で、ユーザーまたは管理者がユーザー ID を入力し、大文字と小文字を区別しない captcha セキュリティチャレンジを完了し、[ 次へ] を選択します。

  4. [サインインに問題が発生する理由] 画面で、ユーザーまたは管理者が [パスワード>を忘れた場合] [次へ] を選択します。

  5. [ 新しいパスワードの選択 ] 画面で、ユーザーまたは管理者が新しいパスワード文字列を入力して確認し、[完了] を選択 します。 次に、[ 申し訳ございません ] 画面が表示され、次のメッセージが表示されます。

    SSPR_0029: organizationでパスワード リセット用のオンプレミス構成が正しく設定されていません。

    管理者の場合は、パスワード ライトバックのトラブルシューティングに関する記事を参照してください。 管理者でない場合は、管理者に連絡するときにこの情報を提供できます。

原因 1: パスワード ライトバックを使用して同期された Windows Active Directory 管理者のパスワードをリセットできない

同期された Windows Active Directory 管理者で、オンプレミスの Active Directory保護されたグループに属している (または属していた) ユーザーであり、SSPR とパスワード ライトバックを使用してオンプレミスのパスワードをリセットすることはできません。

解決策: なし (動作は設計による)

セキュリティのために、ローカル Active Directory で保護されたグループ内に存在する管理者アカウントをパスワード ライトバックと共に使用することはできません。 管理者はクラウドでパスワードを変更できますが、パスワードを忘れた場合はリセットできません。 詳細については、「Microsoft Entra IDでのセルフサービス パスワード リセット ライトバックのしくみ」を参照してください。

原因 2: AD DS コネクタ アカウントに適切な Active Directory アクセス許可がない

同期されたユーザーに Active Directory の正しいアクセス許可がありません。

解決策: Active Directory のアクセス許可に関する問題を解決する

Active Directory のアクセス許可に影響する問題を解決するには、「 パスワード ライトバックアクセス権とアクセス許可」を参照してください。

回避策: 別の Active Directory ドメイン コントローラーをターゲットとする

注:

パスワード ライトバックには、レガシ API NetUserGetInfo への依存関係があります。 この API にはNetUserGetInfo、特にドメイン コントローラーでMicrosoft Entra Connect サーバーが実行されている場合に識別が困難な、Active Directory で許可されるアクセス許可の複雑なセットが必要です。 詳細については、「 NetUserGetInfo と同様の API を使用するアプリケーションは、特定の Active Directory オブジェクトへの読み取りアクセスに依存しています」を参照してください。

ドメイン コントローラーで Microsoft Entra Connect サーバーが実行されていて、Active Directory のアクセス許可を解決できないシナリオはありますか? この場合は、ドメイン コントローラーではなくメンバー サーバー Microsoft Entra Connect サーバーをデプロイすることをお勧めします。 または、次の手順を使用して、優先 ドメイン コントローラーのみを使用 するように Active Directory コネクタを構成します。

  1. [スタート] メニューで、同期Service Managerを検索して選択します。

  2. [同期Service Manager] ウィンドウで、[コネクタ] タブ選択します。

  3. コネクタの一覧から Active Directory コネクタを右クリックし、[プロパティ] を選択 します

  4. [プロパティ] ダイアログ ボックスの [コネクタ Designer] ウィンドウで、[ディレクトリ パーティションの構成] を選択します。

  5. [ ディレクトリ パーティションの構成 ] ウィンドウで、[ 優先ドメイン コントローラーのみを使用 する] オプションを選択し、[ 構成] を選択します。

  6. [ 優先 DC の構成 ] ダイアログ ボックスで、ローカル ホストとは異なるドメイン コントローラー (またはドメイン コントローラー) を指す 1 つ以上のサーバー名を追加します。

  7. 変更を保存してメイン ウィンドウに戻すには、[OK] を 3 回選択します(詳細な構成免責事項を示す [警告] ダイアログ ボックスを含む)。

原因 3: サーバーは、セキュリティ アカウント マネージャー (SAM) へのリモート呼び出しを行うことが許可されていません

この場合、2 つの同様のアプリケーション エラー イベント (イベント ID 33004 と 6329) がログに記録されます。 イベント ID 6329 は、サーバーが SAM へのリモート呼び出しを ERROR_ACCESS_DENIED 行おうとしたときにスタック トレースにエラー コードが含まれているため、33004 とは異なります。

ERR_: MMS(####): admaexport.cpp(2944): ユーザー情報の取得に失敗しました: Contoso\MSOL_############。 エラー コード: ERROR_ACCESS_DENIED

この状況は、Microsoft Entra Connect サーバーまたはドメイン コントローラーに、ドメイン グループ ポリシー オブジェクト (GPO) またはサーバーのローカル セキュリティ ポリシーでセキュリティ強化設定が適用されている場合に発生する可能性があります。 これが該当するかどうかをチェックするには、次の手順に従います。

  1. 管理コマンド プロンプト ウィンドウを開き、次のコマンドを実行します。

    md C:\Temp
gpresult /h C:\Temp\GPreport.htm
start C:\Temp\GPreport.htm

  2. Web ブラウザーで C:\Temp\gpresult.htm ファイルを開き、[コンピューターの詳細>設定>ポリシー>] [Windows 設定][セキュリティ設定>]> [ローカル ポリシー]、[セキュリティ オプション] [ネットワーク アクセス] > の順に展開します。 次に、[ネットワーク アクセス] という名前の設定があるかどうかをチェックします。SAM へのリモート呼び出しを許可するクライアントを制限します。

  3. ローカル セキュリティ ポリシー スナップインを開くには、[スタート] を選択し、「secpol.msc」と入力し、Enter キーを押して、[ローカル ポリシー][セキュリティ オプションの>展開] の順に展開します

  4. ポリシーの一覧で、[ ネットワーク アクセス: SAM へのリモート呼び出しを許可するクライアントを制限する] を選択します。 [ セキュリティ設定] 列は、設定が有効になっていない場合は [定義されていません ] と表示され、設定が有効になっている場合はセキュリティ記述子の値が表示されます O:BAG:... 。 設定が有効になっている場合は、[プロパティ] アイコンを選択して、現在適用されているAccess Controlリスト (ACL) を表示することもできます。

    注:

    既定では、このポリシー設定はオフになっています。 GPO またはローカル ポリシー設定を使用してデバイスにこの設定を適用すると、 RestrictRemoteSam という名前のレジストリ値が HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ レジストリ パスに作成されます。 ただし、このレジストリ設定は、定義されてサーバーに適用された後でクリアするのが困難な場合があります。 グループ ポリシー設定を無効にするか、管理コンソール (GPMC) で グループ ポリシー [このポリシー設定を定義する] オプションをオフにしても、レジストリ エントリは削除されません。 そのため、サーバーは SAM へのリモート呼び出しを許可されるクライアントを引き続き制限します。

    Microsoft Entra Connect サーバーまたはドメイン コントローラーがまだ SAM へのリモート呼び出しを制限していることを正確に確認するにはどうすればよいですか? レジストリ エントリが存在するかどうかをチェックするには、PowerShell で Get-ItemProperty コマンドレットを実行します。

    Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam

PowerShell の出力には、 RestrictRemoteSam レジストリ エントリがまだ存在することが示されていますか? その場合は、2 つの解決策があります。

解決策 1: 許可されているユーザーの一覧に AD DS コネクタ アカウントを追加する

ネットワーク アクセスを保持する: SAM へのリモート呼び出しを許可するクライアントを制限する ポリシー設定を有効にして、Microsoft Entra Connect サーバーに適用しますが、許可されているユーザーの一覧に Active Directory Domain Services (AD DS) コネクタ アカウント (MSOL_ アカウント) を追加します。 手順については、次の手順を参照してください。

  1. AD DS Connector アカウントの名前がわからない場合は、「AD DS コネクタ アカウント を識別する」を参照してください。

  2. GPMC またはローカル セキュリティ ポリシー スナップインで、そのポリシー設定のプロパティ ダイアログ ボックスに戻ります。

  3. [ セキュリティの編集] を 選択して 、[SAM へのリモート アクセスのセキュリティ設定] ダイアログ ボックスを表示します。

  4. [ グループ名またはユーザー名 ] の一覧で[ 追加 ] を選択して、[ ユーザーまたはグループの選択 ] ダイアログ ボックスを表示します。 [選択 するオブジェクト名を入力 します] ボックスに、AD DS コネクタ アカウント (MSOL_ アカウント) の名前を入力し、[ OK] を 選択してそのダイアログ ボックスを終了します。

  5. 一覧で AD DS コネクタ アカウントを選択します。 [アカウント名>の<アクセス許可] の [リモート アクセス] 行で、[許可] を選択します

  6. [ OK] を 2 回選択してポリシー設定の変更を受け入れ、ポリシー設定の一覧に戻ります。

  7. 管理コマンド プロンプト ウィンドウを開き、gpupdate コマンドを実行して、グループ ポリシー更新を強制します。

    gpupdate /force

解決策 2: ネットワーク アクセスを削除する : SAM ポリシー設定へのリモート呼び出しを許可するクライアントを制限 し、RestrictRemoteSam レジストリ エントリを手動で削除する

  1. セキュリティ設定がローカル セキュリティ ポリシーから適用されている場合は、手順 #4 に進みます。

  2. ドメイン コントローラーから GPMC スナップインを開き、それぞれのドメイン GPO を編集します。

  3. [コンピューターの構成>ポリシー>] [Windows 設定][セキュリティ設定>] >[コンピューターの構成>] [ローカル ポリシー][セキュリティ オプション] の順に>展開します。

  4. セキュリティ オプションの一覧で、[ ネットワーク アクセス: SAM へのリモート呼び出しを許可するクライアントを制限する] を選択し、[ プロパティ] を開き、[ このポリシー設定の定義] を無効にします。

  5. 管理コマンド プロンプト ウィンドウを開き、gpupdate コマンドを実行して、グループ ポリシー更新を強制します。

    gpupdate /force

  6. 新しいグループ ポリシー結果レポート (GPreport.htm) を生成するには、gpresult コマンドを実行し、Web ブラウザーで新しいレポートを開きます。

    md C:\Temp
gpresult /h C:\Temp\GPreport.htm
start C:\Temp\GPreport.htm

  7. レポートを確認して、[ ネットワーク アクセス: SAM へのリモート呼び出しを許可するクライアントを制限する ] ポリシー設定が定義されていないことを確認します。

  8. 管理者 PowerShell コンソールを開きます。

  9. RestrictRemoteSam レジストリ エントリを削除するには、Remove-ItemProperty コマンドレットを実行します。

    Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam

    注:

    ドメイン GPO 設定を削除せずに RestrictRemoteSam レジストリ エントリを削除すると、次のグループ ポリシー更新サイクルでこのレジストリ エントリが再作成されSSPR_0029、エラーが再発します。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。