Partekatu honen bidez:

Problemas conocidos del inicio de sesión único en macOS Platform y solución de problemas (versión preliminar)

  • Artikulua

En este artículo se describen los problemas conocidos actuales y las preguntas comunes con el inicio de sesión único (PSSO) de macOS Platform. Proporciona soluciones de problemas e información sobre cómo notificar un problema que no se trata. En este artículo también se incluyen instrucciones de solución de problemas.

Escenarios para validar

Después de implementar PSSO en el dispositivo, hay algunos escenarios de validación que puede hacer para asegurarse de que la implementación es correcta. Si hay algún problema, consulte notificar un problema para obtener más instrucciones.

Eventos de cambio de contraseña

Confirme que los cambios realizados en la contraseña de Microsoft Entra ID realizada a través del autoservicio de restablecimiento de contraseña (SSPR) se sincronizan correctamente con el equipo local. Si la contraseña de Microsoft Entra ID de un usuario cambia después de sincronizarla con el Equipo Mac, se le pedirá que escriba su nueva contraseña en un plazo de 4 horas.

Reparación o eliminación del registro de PSSO de un dispositivo

En esta sección se describe cómo reparar o quitar el registro de PSSO de un dispositivo Mac, en función de la versión macOS.

En macOS 14 Sonoma, si hay problemas con el registro del dispositivo, puede reparar el registro de PSSO existente.

  1. Abra la aplicación Configuración y vaya a Usuarios y grupos>Servidor de cuentas de red.
  2. Seleccione Editar, y a continuación , Reparar. Se le lleva a través del mismo flujo de registro de dispositivos que cuando durante el registro inicial.

También puede anular el registro del dispositivo por completo mediante los pasos siguientes.

  1. Abra la aplicaciónPortal de empresa y vaya a Preferencias.
  2. Para anular el registro del dispositivo, seleccione Anular registro.

El complemento Enterprise SSO no se activa después de la actualización del sistema

Si el complemento Enterprise SSO no se puede activar después de que se apliquen las actualizaciones del sistema al dispositivo, debe reiniciar el demonio de actualización de software.

  1. Abra la aplicaciónTerminal y escriba el siguiente comando para eliminar el proceso swcd.

    sudo killall swcd

  2. A continuación, escriba el siguiente comando para restablecer el proceso.

    sudo swcutil reset

Las contraseñas temporales emitidas durante el restablecimiento de contraseña no se pueden sincronizar con el inicio de sesión único de la plataforma

Las contraseñas temporales emitidas durante el restablecimiento de contraseña no se pueden sincronizar con el dispositivo local. Se recomienda a los usuarios completar el proceso de restablecimiento de contraseña mediante su contraseña temporal mediante la extensión SSO.

Migración de dispositivos

Confirme que un dispositivo registrado anteriormente (con una clave de unión al área de trabajo en Keychain Access) quita la clave después de un registro correcto del dispositivo PSSO.

Preguntas más frecuentes

¿Puedo usar el inicio de sesión único de macOS en una implementación de unión híbrida?

No, el inicio de sesión único de PSSO de macOS solo se admite en las implementaciones de unión a Microsoft Entra. No hay planes para admitir implementaciones de unión híbrida, ya que se recomienda que los usuarios de Mac se basen completamente en la nube.

¿Cómo puedo cambiar mi contraseña al usar el inicio de sesión único de la plataforma?

Los usuarios pueden cambiar su contraseña mediante el autoservicio de restablecimiento de contraseña (SSPR) en su dispositivo.

Si SSPR se realiza en otro equipo, los usuarios podrán iniciar sesión en el dispositivo Mac mediante la contraseña anterior o la nueva. Si se usa la contraseña anterior se desbloqueará el dispositivo y, luego, se le solicitará al usuario la nueva contraseña para continuar sincronizando los datos. Si se usa la nueva contraseña, se desbloqueará el dispositivo y se sincronizarán los datos inmediatamente.

Se recomienda que los administradores de TI usen ID de Apple administrados siempre que sea posible, ya que esto da a las organizaciones más opciones para la administración de contraseñas.

¿Qué debo hacer si olvido mi contraseña?

Sincronización de contraseñas

Si los usuarios están en la pantalla de bloqueo o de inicio de sesión, pueden restablecer su contraseña desde allí. Si el usuario recibió una contraseña temporal de un administrador de TI, debe usar otro dispositivo para iniciar sesión, configurar una nueva contraseña y usarla para iniciar sesión en su propio dispositivo. Para obtener más información, consulte la documentación de Apple sobre contraseñas olvidadas.

Importante

Actualmente hay un problema conocido con PSSO que está causando la eliminación del registro durante la recuperación y es posible que se pida a los usuarios que vuelvan a registrarse después de la recuperación. Este es el comportamiento esperado.

Los administradores de TI también deben habilitar la recuperación de keyvault para asegurarse de que los datos se pueden recuperar en caso de que se olvide una contraseña. Para más información, consulte Configuración del inicio de sesión único de la plataforma para dispositivos macOS en Microsoft Intune.

Nota:

Si se arranca el dispositivo y hay cifrado de FileVault, la nueva contraseña de Entra funcionará solo en macOS15.

Enclave seguro

Los usuarios pueden restablecer la contraseña local mediante el ID de Apple o una clave de recuperación de administrador.

Problemas conocidos

Errores de coincidencia de complejidad de directivas de código de acceso

Hay un problema conocido por el que una configuración de MDM aplicada especifica una directiva de contraseña local con un mayor grado de complejidad que la cuenta de Microsoft Entra que se usa para iniciar sesión en la máquina. En este caso, se produce un error en la operación de sincronización de contraseñas entre Microsoft Entra ID y la máquina local.

Asegúrese de que durante la configuración de MDM los requisitos de complejidad de la contraseña son idénticos entre el equipo local y Microsoft Entra ID.

Operaciones de larga duración

Si se produce un error en el registro del dispositivo mediante la aplicación Configuración, la ventana emergente Registro del dispositivo volverá a aparecer transcurridos unos 10 minutos y podrá volver a intentarlo.

Cuadro de diálogo de solicitud de autenticación de SSO cerrado mientras el registro está en curso

Si cancela el proceso de registro cerrando el cuadro de diálogo de solicitud de autenticación de SSO, debe cerrar sesión desde el dispositivo Mac e iniciar sesión de nuevo. Tras un inicio de sesión correcto, la notificación de registro vuelve a aparecer y funciona correctamente.

Por usuario MFA provoca un error de sincronización de contraseñas

Si un usuario tiene habilitado MFA por usuario en la cuenta en la que se configura PSSO, no podrá escribir las credenciales de Microsoft Entra ID en los pasos siguientes, lo que provocará un error. Para evitar este error, los administradores deben asegurarse de que tienen MFA de acceso condicional habilitado de acuerdo con lasRecomendaciones de Microsoft Entra ID. Esto suprime MFA durante la inscripción para que la sincronización de contraseñas se pueda completar correctamente.

Se requiere volver a registrar PSSO después de iniciar el restablecimiento de contraseña desde la recuperación de FileVault o la recuperación controlada por MDM

Dado que las claves de enclave seguro están protegidas por la contraseña de la cuenta local, los restablecimientos de contraseña que se producen sin proporcionar esta contraseña (por ejemplo, FileVault o recuperación basada en MDM) restablecerán el enclave seguro. El restablecimiento del enclave seguro representa las claves almacenadas anteriormente para esta cuenta inaccesible. Los dispositivos cuyas claves de enclave seguro se han perdido deben volver a registrarse para usar el inicio de sesión único de la plataforma.

Notificar un problema

Si tiene problemas con PSSO, puede notificarlos en portal de empresa.

  1. Abra la aplicación Portal de empresa y vaya a Ayuda>Enviar informe de diagnóstico.
  2. Aparece una ventana Enviar informe de diagnóstico . Seleccione Registros de correo electrónico para enviar los registros.
  3. Tome nota del identificador de incidente antes de cerrar la ventana.

Puede comprobar el estado de PSSO actual en la máquina en cualquier momento abriendo la aplicaciónTerminal. Ejecute el siguiente comando:

app-sso platform -s

Ponerse en contacto con nosotros

Nos encantaría escuchar sus comentarios. Debe incluir la siguiente información:

  • Registros de diagnóstico y sysdiagnose
  • Pasos para reproducir el problema.
  • Cuando proceda, incluya capturas de pantalla o grabaciones pertinentes

Captura de registros de diagnóstico y sysdiagnose

  1. Habilite la persistencia de registros de depuración ejecutando el siguiente comando en Terminal.

    sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"

  2. Reproduzca el problema, de modo que se generen nuevos registros para el escenario afectado. Proporcione las marcas de tiempo pertinentes en el informe de problemas para ayudar a investigar el registro.

  3. Capture datos de diagnóstico mediante la ejecución del siguiente comando en Terminal.

    sudo sysdiagnose

  4. Restablezca los registros de depuración a la configuración predeterminada ejecutando el siguiente comando en Terminal.

    sudo log config --reset --subsystem "com.apple.AppSSO"

Guía de solución de problemas

Permisos insuficientes

Si un usuario no tiene permisos suficientes para completar la unión al identificador de Entra de Microsoft y el registro, no se muestra ningún mensaje de error. Para que la unión al dispositivo y el registro se completen correctamente, el usuario que inicia el flujo de registro debe estar en la lista de permitidos.

  1. En centro de administración de Microsoft Entra, vaya a Identidad>Dispositivos>Información general>Configuración del dispositivo.
  2. En configuración de registro y combinación de Microsoft Entra ID, asegúrese de que la opción Todos esté seleccionada en el menú de alternancia para Los usuarios pueden unir dispositivos a Microsoft Entra.
  3. Seleccione Guardar para aplicar los cambios.

Solución de problemas de la clave de acceso

La opción Credencial de plataforma como clave de acceso solo está disponible si Secure Enclave está configurado como método de autenticación para el inicio de sesión único de la plataforma. Debe comprobar lo siguiente:

  1. Asegúrese de que el administrador ha configurado el dispositivo con Secure Enclave como método de autenticación y ha habilitado claves de acceso (FIDO2) para su organización.
  2. Como usuario, compruebe que ha habilitado portal de empresa como proveedor de claves de acceso en la configuración del dispositivo. Vaya a la aplicación Configuración, Contraseñas y las Opciones contraseñas y asegúrese de que Portal de empresa esté habilitado.

Solución de problemas de SSO de Google Chrome

Si un usuario tiene instalada la extensión de inicio de sesión único de Microsoft para Google Chrome, su explorador Chrome debería poder comunicarse con el agente de SSO de Microsoft tanto para una experiencia de usuario de SSO como para trabajar con directivas de acceso condicional basadas en dispositivos. Si los usuarios no pueden pasar directivas de acceso condicional basadas en dispositivos en Google Chrome, puede haber un problema con la forma en que se instaló la aplicación Portal de empresa, lo que puede impedir que Chrome se comunique con el agente de SSO. Debe realizar los pasos siguientes para corregir este problema:

  1. Abra la carpeta Aplicaciones en el Equipo Mac.
  2. Haga clic con el botón derecho en la aplicación Portal de empresa y elija Mover a la papelera
  3. Descargue la versión más reciente del instalador del Portal de empresa desde https://go.microsoft.com/fwlink/?linkid=853070
  4. Instale el Portal de empresa con el CompanyPortal-Installer.pkg descargado

Compruebe que el problema se ha resuelto comprobando la existencia de este archivo: ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

Como alternativa, puede implementar el siguiente script a través de su MDM u otras herramientas de automatización para copiar el archivo JSON en la ubicación correcta. Este script debe ejecutarse en el contexto de cada usuario que sufra el problema del inicio de sesión único de Chrome:

#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it

# For Google Chrome (user-specific, default path)

if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos

if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

Importante

Nota: Este problema se debe a un error relacionado con la forma en que se instala o actualiza el Portal de empresa en determinadas circunstancias. Este problema se resolverá en una actualización futura del Portal de empresa.

Consulte también