שתף באמצעות

אימות מבוסס-אישור עבור iOS אינו מבקש אישורי משתמש

  • חל על: Microsoft Entra ID, Microsoft 365

תסמינים

משתמשים מאוחדים במכשירי Apple iOS בעלי אישורי משתמש חוקיים מזהים שהם אינם יכולים לבצע אימות מבוסס-אישור (CBA) מול מזהה Entra של Microsoft. עם זאת, משתמשים מאוחדים במכשירי Android ו- Windows יכולים לבצע אימות מוצלח באמצעות CBA. אותם משתמשי iOS אינם נתקלים בבעיות בעת אימות באמצעות שם המשתמש והסיסמה שלהם.

הנה החוויה האופיינית עבור משתמשי iOS שאינם יכולים לבצע אימות כאשר הם מתחברים ל- aDAL אפליקציית Office ב- iOS:

  1. המשתמש מעיין בחוויה אפליקציית Office ההתקנה. בדף הכניסה של "Office365", המשתמש בוחר כניסה.
  2. דף הכניסה של ADAL מופיע, שבו המשתמש מזין את כתובת הדואר האלקטרוני המאוחדת שלו ולאחר מכן בוחר הבא.
  3. תהליך הכניסה של ADAL נתקע בדף ריק עד שהוא תם, ומחזיר את ההודעה "קיימת בעיה בחשבון שלך. נסה שוב מאוחר יותר" שגיאה. דף זה כולל את האפשרות להקיש על אישור.
  4. אם המשתמש מקיש על אישור, הוא יושב באותו דף כניסה ריק עם האפשרות בחלק העליון כדי להקיש על הקודם.
  5. הקשה על הקודם מחזירה את המשתמש לדף הכניסה של ADAL, שבו התהליך מתחיל מחדש: המשתמש מתבקש להזין את כתובת הדואר האלקטרוני המאוחדת שלו ולאחר מכן בוחר הבא.
  6. הקשה על אישור חוזרת למסך כניסה ריק, שבו המשתמש יכול להזין את UserPrincipalName שלו ונסה לחזור על התהליך.

כדי לבטל אפליקציית Office כגורמים, מומלץ שמשתמשים מאוחדים בסביבה של iOS יבדוק אימות מבוסס אישור בדפדפן Safari על-ידי ביצוע השלבים בסעיף 'מידע נוסף'. החוויה האופיינית עבור משתמשי iOS שאינם יכולים לבצע אימות מול https://portal.office.com דפדפן Safari פועלת באופן הבא:

  1. המשתמש אינו מתבקש כצפוי לאשר את השימוש באישור המשתמש שלו לאחר בחירת הקישור היכנס באמצעות אישור X.509.

  2. המשתמש המאוחד נמצא בדף כניסה של STS שאינו מגיב או מתקדם לדף הכניסה של STS המוגדר כברירת מחדל, שבו הוא מתבקש באופן הבא:

    בחר אישור שבו ברצונך להשתמש לאימות. אם תבטל את הפעולה, סגור את הדפדפן ונסה שוב.

    הערה אם שיטות אימות אחרות זמינות ב- AD FS, המשתמשים רואים גם קישור המציין "כניסה עם אפשרויות אחרות". אם הוא בוחר קישור זה, הוא חוזר לדף הכניסה של STS.

  3. שתי החוויות נכשלות עם השגיאה הבאה:

    ל- Safari לא היתה אפשרות לפתוח את הדף מאחר שהשרת הפסיק להגיב.

סיבה

שרשרת האישורים אינה שלמה מאחר שאישור רשות האישורים הכפוף הנפקה אינו מאוחזר על-ידי המכשיר כצפוי כאשר מדיניות MDM דוחפת רק את אישור הבסיס למכשיר Apple יחד עם פרופיל SCEP.

מכשיר iOS אינו רוכש כהלכה את קובץ ה- .crt מרות האישורים הנפקה, למרות שלנתיב AIA באישור המשתמש יש כתובת URL חוקית שמצביעה על הקובץ *.crt ברשות האישורים הכפופה להנפקה.

פתרון

אם הלקוח משתמש ב- Intune כדי לנהל את המכשיר, ייעץ לו ליצור מדיניות תצורה חדשה עבור אישור בסיס מהימן של iOS שמצביע על רשויות האישורים המתווך *. קובץ CER. לאחר מכן, יעץ להם לפתוח את פורטל החברה במכשיר ותרענן את המדיניות. החיבור אמור להצליח כעת.

מידע נוסף

אם אתה לוקח מעקב "Apple Configurator 2" מלקוח OS X המחובר ל- iPad באמצעות כבל הברק, יומן המעקב דומה לדוגמה הבאה:

Nov 2 15:53:49 CSSs-iPad MobileSafari(Accounts)[618] <Notice>: __51-[ACRemoteAccountStoreSession _configureConnection]_block_invoke.62 (57) "The connection to ACDAccountStore was invalidated."
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): keychain: -25300
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): status: off
Nov 2 15:53:49 CSSs-iPad accountsd(AccountsDaemon)[216] <Notice>: -[ACDServer listener:shouldAcceptNewConnection:] (320) "<private> (<private>) received"
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: PCSIdentitySetCreate: CloudKit { kPCSSetupDSID = "<<VALUE>>";
}
Nov 2 15:53:49 CSSs-iPad MobileSafari(Accounts)[618] <Notice>: __51-[ACRemoteAccountStoreSession _configureConnection]_block_invoke.62 (57) "The connection to ACDAccountStore was invalidated."
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): keychain: -25300
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): status: off
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: PCSIdentitySetCreate: CloudKit { kPCSSetupDSID = "<<VALUE>>";
}
...
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_connection_endpoint_report [8 sts.<name>.info:49443 in_progress resolver (satisfied)] reported event flow:finish_transport
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TCP Conn Cancel [1:0x13dd17990]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_handler_cancel [1 portal.office.com:443 ready resolver (satisfied)]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_handler_cancel [1.1 13.107.7.190:443 ready socket-flow (satisfied)]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Notice>: __nw_socket_service_writes_block_invoke sendmsg(fd 4, 85 bytes): socket has been closed
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_flow_protocol_disconnected [1.1 13.107.7.190:443 cancelled socket-flow (null)] Output protocol disconnected
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TCP Conn Destroyed [1:0x13dd17990]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 2, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 11, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 12, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 13, Pending(0)
Nov 2 15:54:34 CSSs-iPad securityd[88] <Notice>: items matching issuer parent: Error Domain=NSOSStatusErrorDomain Code=-25300 "no matching items found" UserInfo={NSDescription=no matching items found}