Диагностика и устранение проблем самостоятельного сброса пароля в Microsoft Entra ID
Самостоятельный сброс пароля Microsoft Entra (SSPR) позволяет пользователям сбрасывать пароли в облаке.
Для проблем с SSPR могут помочь следующие действия по устранению неполадок и распространенные ошибки. Кроме того, вы можете просмотреть короткое видео об устранении причин шести наиболее распространенных сообщений об ошибках конечных пользователей SSPR.
Если вы не можете найти ответ на вашу проблему, наши группы поддержки всегда доступны , чтобы помочь.
Настройка SSPR в Центре администрирования Microsoft Entra
Если вы не видите определенные параметры SSPR или не можете настроить их в Центре администрирования Microsoft Entra, просмотрите следующие действия по устранению неполадок:
Я не вижу "Сброс пароля" в разделе "Защита" в Центре администрирования Microsoft Entra.
Вы не видите сброс пароля, если у вас нет лицензии Microsoft Entra ID, назначенной администратору, выполняющему операцию.
Сведения о назначении лицензии учетной записи администратора см. в статье "Назначение, проверка и устранение проблем с лицензиями".
Не вижу конкретного параметра конфигурации
Многие элементы пользовательского интерфейса скрыты до тех пор, пока они не понадобятся. Убедитесь, что нужный параметр включен, прежде чем искать его в настройках конфигурации.
Вкладка Интеграция с локальной средой не отображается
Локальная обратная запись паролей отображается только в том случае, если вы скачали и настроили Microsoft Entra Connect.
Дополнительные сведения см. в статье "Начало работы с Microsoft Entra Connect".
Отчеты SSPR
Если у вас возникли проблемы с отчетами SSPR в Центре администрирования Microsoft Entra, ознакомьтесь со следующими инструкциями по устранению неполадок:
Отображается метод проверки подлинности, отключенный в параметре "Добавить метод" в объединенной регистрации
Объединенная регистрация использует три политики, чтобы определить, какие способы отображаются в параметре Добавить способ:
Если вы отключите уведомления приложения в SSPR, но включите их в политике MFA, этот параметр отображается при объединенной регистрации. Например, если пользователь отключает офисный телефон в SSPR, он продолжает отображаться как вариант, если у пользователя установлено свойство телефона Phone/Office.
Я не вижу типов действий по управлению паролями в категории событий аудита самостоятельного управления паролями
Лицензия на Microsoft Entra ID не назначается администратору, выполняющему операцию.
Чтобы назначить лицензию учетной записи администратора, см. статью "Назначение, проверка и устранение проблем с лицензиями".
Регистрации пользователя отображаются несколько раз
Когда пользователь регистрируется, мы регистрируем каждый отдельный фрагмент данных, зарегистрированный как отдельное событие.
Если необходимо агрегировать эти данные и обеспечить гибкость при их просмотре, можно загрузить отчет и открыть данные в виде сводной таблицы в Excel.
Портал регистрации SSPR
Если у пользователей возникают проблемы с регистрацией SSPR, ознакомьтесь со следующими действиями по устранению неполадок.
В каталоге не включена возможность сброса пароля. Пользователь может увидеть сообщение об ошибке "Администратор не включил использование этой функции".
Вы можете включить SSPR для всех пользователей или выбранных групп либо отключить эту возможность для всех пользователей. В настоящее время для SSPR можно включить только одну группу Microsoft Entra с помощью Центра администрирования Microsoft Entra. Для более широкого развертывания SSPR поддерживаются вложенные группы. Убедитесь, что пользователям в выбранных группах назначены соответствующие лицензии.
В Центре администрирования Microsoft Entra измените конфигурацию самостоятельного сброса пароля на «Выбранный» или «Все», а затем выберите «Сохранить».
У пользователя не назначена лицензия на идентификатор Microsoft Entra. Пользователь может увидеть сообщение об ошибке "Администратор не включил использование этой функции".
В настоящее время для SSPR можно включить только одну группу Microsoft Entra с помощью Центра администрирования Microsoft Entra. В рамках более широкого развертывания функции самосброса пароля (SSPR) поддерживаются вложенные группы. Убедитесь, что пользователям в выбранных группах назначены соответствующие лицензии. Ознакомьтесь с предыдущей инструкцией по устранению неполадок, чтобы включить SSPR в соответствии с требованиями.
Также ознакомьтесь с действиями по устранению неполадок, чтобы убедиться, что администратору, выполняющему параметры конфигурации, назначена лицензия. Чтобы назначить лицензию для учетной записи администратора, следуйте инструкциям, приведенным в статье Назначение и проверка лицензий и устранение проблем с ними.
Использование SSPR
Чтобы устранить проблемы с SSPR, ознакомьтесь с этими инструкциями.
| Ошибка | Решение |
|---|---|
| В каталоге не включена возможность сброса пароля. | В Центре администрирования Microsoft Entra измените конфигурацию самостоятельного сброса пароля на Выбранный или Все, а затем нажмите Сохранить. |
| У пользователя не назначена лицензия на идентификатор Microsoft Entra. | Лицензия microsoft Entra ID не назначается нужному пользователю. Чтобы назначить лицензию для учетной записи администратора, следуйте инструкциям, приведенным в статье Назначение и проверка лицензий и устранение проблем с ними. |
| Каталог разрешён для сброса пароля, но данные аутентификации пользователя отсутствуют или повреждены. | Убедитесь, что учетная запись пользователя правильно сформирована контактными данными в файле в каталоге. Для получения дополнительной информации см. раздел Данные, используемые службой самосброса пароля Microsoft Entra. |
| Для каталога разрешен сброс пароля, но у пользователя на момент конфигурации записан только один элемент контактных данных, тогда как политика требует два метода проверки. | Убедитесь, что у этого пользователя правильно настроены по крайней мере два способа связи. Например, номер мобильного и номер рабочего телефона. |
| Для каталога включен сброс паролей и пользователь настроен правильно, но с пользователем не удается связаться. | Сервис временно недоступен, или имеются неверные контактные данные, которые мы не можем корректно обнаружить. Если пользователь подождет 10 секунд, появится ссылка "Повторить попытку" и "Обратиться к администратору". Если выбрать "Повторить попытку", выполняется повторная отправка вызова. Если выбрать "Обратиться к администратору", администратору будет отправлено электронное письмо с формой с запросом на сброс пароля для соответствующей учетной записи пользователя. |
| Пользователь не получает SMS или телефонного вызова для сброса пароля. | Номер телефона в каталоге может быть неправильно сформирован. Убедитесь, что номер телефона указан в формате "+ 1 4251234567". Обратите внимание, что функция сброса пароля не поддерживает расширения, даже если указать их в каталоге. Они удаляются перед отправкой вызова. Используйте номер без добавочного номера или интегрируйте добавочный номер в номер телефона в вашей АТС. |
| Пользователь не получает сообщения электронной почты для сброса пароля. | Наиболее распространенной причиной этой проблемы является отклонение сообщения фильтром нежелательной почты. Проверьте папку спама, нежелательной почты или удаленных писем в своем почтовом ящике. Свяжитесь с пользователем и попросите его проверить правильность учетной записи электронной почты, зарегистрированной в SSPR. |
| Я устанавливаю политику сброса пароля, но если учетная запись администратора использует сброс пароля, эта политика не применяется. | Корпорация Майкрософт управляет политикой сброса паролей администраторов, контролирует ее, обеспечивая максимально высокий уровень безопасности. |
| Пользователь предпринял слишком много попыток сброса пароля в день, и для него эта возможность была заблокирована. | Мы используем механизм автоматического регулирования для блокировки пользователей, пытающихся сбросить пароль слишком много раз за короткий период времени. Регулирование выполняется в следующих сценариях: — пользователь пытается проверить номер телефона пять раз в один час. — пользователь пытается использовать шлюз вопросов безопасности пять раз в один час. — пользователь пытается сбросить пароль для одной учетной записи пользователя пять раз за один час. — Если пользователь сталкивается с этой проблемой, он должен ждать 24 часа после последней попытки. Затем он сможет сбросить свой пароль. |
| Пользователь видит ошибку при проверке своего номера телефона. | Эта ошибка возникает, если введенный номер телефона не совпадает с номером, который был зарегистрирован. Убедитесь, что при попытке сбросить пароль с помощью телефона пользователь вводит номер телефона полностью, включая код региона и страны. |
| При использовании адреса электронной почты пользователь видит ошибку. | Если UPN отличается от основного proxyAddress/SMTPAddress пользователя, должно быть включено для клиента вход в Microsoft Entra ID с адресом электронной почты в качестве альтернативного идентификатора входа. |
| Произошла ошибка при обработке запроса. | Причиной общей ошибки при регистрации SSPR могут быть различные проблемы, но обычно такая ошибка вызвана либо отказом службы, либо проблемой конфигурации. Если вы продолжаете видеть эту универсальную ошибку при повторной попытке регистрации SSPR, обратитесь в службу поддержки Майкрософт. |
| Нарушение локальной политики | Пароль не соответствует локальной политике паролей локальной службы Active Directory. Следует создать пароль, который соответствует требованиям к сложности или стойкости. |
| Пароль не соответствует гибкой политике паролей | Используемый пароль отображается в списке запрещенных паролей и не может быть использован. Следует создать пароль, который соответствует требованиям, указанным в политике списка запрещенных паролей, или превышает их. |
Ошибки SSPR, которые может видеть пользователь
В рамках процесса SSPR для пользователя могут отображаться следующие ошибки и технические сведения. Часто такие ошибки нельзя устранить самостоятельно, так как для этого требуется включить, настроить или зарегистрировать функцию SSPR для учетной записи пользователя.
Используйте следующие сведения, чтобы понять проблему и что необходимо исправить в клиенте Microsoft Entra или отдельной учетной записи пользователя.
| Ошибка | Сведения | Технические сведения |
|---|---|---|
| TenantSSPRFlagDisabled = 9 | К сожалению, в настоящее время невозможно сбросить ваш пароль, так как администратор отключил сброс пароля для вашей организации. Нет дальнейших действий, которые вы можете предпринять для разрешения этой ситуации. Обратитесь к администратору и попросите их включить эту функцию. Чтобы узнать больше, см. справку "Я забыл пароль Microsoft Entra". |
SSPR_0009. Мы обнаружили, что сброс пароля не включен администратором. Обратитесь к администратору и попросите их включить сброс пароля для вашей организации. |
| WritebackNotEnabled = 10 | К сожалению, вы не можете сбросить пароль в настоящее время, так как администратор не включил необходимую службу для вашей организации. Нет дальнейших действий, которые вы можете предпринять для разрешения этой ситуации. Обратитесь к администратору и попросите их проверить конфигурацию вашей организации. Чтобы узнать больше об этой необходимой службе, см. раздел Настройка компонента обратной записи паролей. |
SSPR_0010. Мы обнаружили, что обратная запись паролей не включена. Обратитесь к администратору и попросите их включить обратную запись паролей. |
| SsprNotEnabledInUserPolicy = 11 | К сожалению, вы не можете сбросить пароль в настоящее время, так как администратор не настроил сброс пароля для вашей организации. Нет дальнейших действий, которые вы можете предпринять для разрешения этой ситуации. Обратитесь к администратору, чтобы настроить сброс пароля. Дополнительные сведения о конфигурации сброса пароля см. в руководстве для начинающих: самостоятельный сброс пароля Microsoft Entra. |
SSPR_0011. Ваша организация не определила политику сброса пароля. Обратитесь к администратору и попросите их определить политику сброса пароля. |
| UserNotLicensed = 12 | К сожалению, в настоящее время невозможно сбросить ваш пароль, так как у вашей организации нет необходимых лицензий. Нет дальнейших действий, которые вы можете предпринять для разрешения этой ситуации. Обратитесь к администратору и попросите их проверить назначение лицензии. Дополнительные сведения о лицензировании см. в статье Требования к лицензированию для самосброса пароля в Microsoft Entra. |
SSPR_0012. У вашей организации нет необходимых лицензий, необходимых для сброса пароля. Обратитесь к администратору и попросите их просмотреть назначения лицензий. |
| ПользовательНеЯвляетсяЧленомГруппыСограниченнымДоступом = 13 | К сожалению, вы не можете сбросить пароль в настоящее время, так как администратор не настроил учетную запись для сброса пароля. Нет дальнейших действий, которые вы можете предпринять для разрешения этой ситуации. Обратитесь к администратору и попросите их настроить учетную запись для сброса пароля. Чтобы узнать больше о настройке учетной записи для сброса паролей, см. раздел Распределение функции сброса паролей для пользователей. |
SSPR_0013. Вы не входите в группу, включенную для сброса пароля. Обратитесь к администратору и запросите добавление в такую группу. |
| UserNotProperlyConfigured = 14 | К сожалению, в настоящее время невозможно сбросить ваш пароль, так как в вашей учетной записи нет необходимых сведений. Нет дальнейших действий, которые вы можете предпринять для разрешения этой ситуации. Обратитесь к вашему администратору и попросите его сбросить ваш пароль. После повторного доступа к учетной записи необходимо зарегистрировать необходимые сведения. Чтобы зарегистрировать информацию, следуйте указаниям в статье Регистрация для самостоятельного сброса пароля. |
SSPR_0014: для сброса пароля требуются дополнительные сведения о безопасности. Чтобы продолжить, обратитесь к администратору и попросите его сбросить ваш пароль. После доступа к учетной записи можно зарегистрировать дополнительные сведения о безопасности.https://aka.ms/ssprsetup Ваш администратор может добавить дополнительные сведения о безопасности в вашу учетную запись, следуя указаниям в разделе Настройка и чтение данных аутентификации для сброса пароля. |
| OnPremisesAdminActionRequired = 29 | К сожалению, в настоящее время невозможно сбросить ваш пароль из-за проблемы в конфигурации сброса пароля вашей организации. Нет дальнейших действий, которые вы можете предпринять для разрешения этой ситуации. Обратитесь к администратору для изучения данной проблемы. Или Мы не можем сбросить пароль в настоящее время из-за проблемы с конфигурацией сброса пароля в вашей организации. Чтобы устранить эту проблему, вы не сможете предпринять никаких дальнейших действий. Обратитесь к администратору для изучения данной проблемы. Дополнительные сведения о возможных проблемах см. в разделе Устранение неполадок с обратной записью паролей. |
SSPR_0029: Не удается сбросить пароль из-за ошибки в вашей локальной конфигурации. Обратитесь к администратору для изучения данной проблемы. |
| OnPremisesConnectivityError = 30 | К сожалению, в настоящее время невозможно сбросить ваш пароль из-за проблем с подключением к вашей организации. Сейчас нет никаких действий, но проблема может быть решена, если вы повторите попытку позже. Если проблема сохранится, обратитесь к администратору и попросите их изучить. Дополнительные сведения о проблемах подключения см. в разделе Устранение проблем подключения обратной записи паролей. |
SSPR_0030: невозможно сбросить ваш пароль из-за плохого подключения к вашей локальной среде. Обратитесь к администратору для изучения данной проблемы. |
| УспехНаПлатформеСбойВОблаке | Мы успешно сбросили пароль, но вам придется подождать несколько минут, прежде чем внесенные изменения отразятся в облаке. После фиксации этих изменений вы можете использовать новый пароль, когда вы войденете с помощью рабочей или учебной учетной записи. | Сброс пароля был успешно выполнен локально, но при записи в облако произошла ошибка. Ошибка может быть вызвана временем ожидания или политикой облачного пароля, регулированием или другими причинами. |
Форумы Microsoft Entra
Для общих вопросов об идентификаторе Microsoft Entra ID и самостоятельном сбросе пароля вы можете обратиться за помощью к сообществу на странице вопросов Microsoft Q&A для идентификатора Microsoft Entra ID. В сообщество входят инженеры, менеджеры по продуктам, MVP и ИТ-специалисты.
Обращение в службу поддержки Майкрософт
Если вам не удается найти решение проблемы, специалисты группы поддержки всегда готовы помочь.
Чтобы мы могли предоставить вам соответствующую помощь, укажите в запросе как можно больше подробностей. К ним относятся следующие сведения:
- Общее описание ошибки. В чем заключается ошибка? Какое поведение было замечено? Как можно воспроизвести ошибку? Опишите проблему максимально подробно.
- Страница. На какой странице вы находились, когда произошла ошибка? По возможности предоставьте URL-адрес страницы и снимок экрана.
-
Код поддержки. Какой код поддержки был сформирован, когда пользователь увидел ошибку?
Чтобы найти его, воспроизведите ошибку, затем щелкните ссылку Код поддержки внизу экрана и отправьте специалисту службы поддержки идентификатор GUID, который отобразится в результате.
Если вы находитесь на странице, внизу которой отсутствует код поддержки, нажмите клавишу F12 и поищите SID и CID, после чего отправьте два найденных результата специалисту службы поддержки.
- Дата, время и часовой пояс. Укажите точную дату и время возникновения ошибки, а также часовой пояс.
-
Идентификатор пользователя. Какой пользователь увидел ошибку? Например, user@contoso.com.
- Это федеративный пользователь?
- Это пользователь, применяющий сквозную аутентификацию?
- Это пользователь с синхронизацией хэшей паролей?
- Это облачный пользователь?
- Лицензирование: назначается ли пользователю лицензия на идентификатор Microsoft Entra ID?
- журнал событий приложения. Если вы используете обратную запись паролей и ошибка находится в локальной инфраструктуре, включите архивную копию вашего журнала событий приложения с сервера Microsoft Entra Connect.
Следующие шаги
Дополнительные сведения о SSPR см. в разделе Как это работает: самостоятельный сброс пароля в Microsoft Entra или Как работает обратная синхронизация при самостоятельном сбросе пароля в Microsoft Entra ID?