Condividi tramite

Problemi noti relativi all'accesso Single Sign-On di macOS Platform (anteprima)

  • Articolo

Questo articolo descrive i problemi noti e le domande comuni correnti sull'accesso Single Sign-On (PSSO) di macOS Platform. Fornisce soluzioni ai problemi e informazioni su come segnalare un problema che non è trattato. In questo articolo sono incluse anche delle indicazioni sulla risoluzione dei problemi.

Scenari da convalidare

Dopo la distribuzione di PSSO nel dispositivo, esistono alcuni scenari di convalida che è possibile eseguire per assicurarsi che la distribuzione sia riuscita. In caso di problemi, vedere segnalare un problema per altre istruzioni.

Eventi di modifica della password

Verificare che le modifiche apportate alla password di Microsoft Entra ID tramite la reimpostazione della password self-service (SSPR) siano state sincronizzate correttamente con il computer locale. Se la password di Microsoft Entra ID di un utente cambia dopo la sincronizzazione con il Mac, all'utente viene richiesto di immettere la nuova password entro 4 ore.

Ripristinare o rimuovere la registrazione PSSO da un dispositivo

Questa sezione illustra come ripristinare o rimuovere la registrazione PSSO da un dispositivo Mac, a seconda della versione di macOS.

In macOS 14 Sonoma, se si verificano problemi con la registrazione del dispositivo, è possibile ripristinare la registrazione PSSO esistente.

  1. Aprire l'app Impostazioni e passare a Utenti e gruppi>Server account di rete.
  2. Selezionare Modifica, quindi Ripristina. Viene eseguito lo stesso flusso di registrazione del dispositivo durante la registrazione iniziale.

È anche possibile annullare la registrazione completa del dispositivo seguendo questa procedura.

  1. Aprire l'app Portale aziendale e passare a Preferenze.
  2. Per annullare la registrazione del dispositivo, selezionare Annulla registrazione.

Il plug-in Enterprise SSO non viene attivato dopo l'aggiornamento del sistema

Se il plug-in Enterprise SSO non riesce ad attivarsi dopo l'applicazione degli aggiornamenti di sistema al dispositivo, è necessario riavviare il daemon di aggiornamento del software.

  1. Aprire l'app Terminale e immettere il comando seguente per terminare il processo di swcd.

    sudo killall swcd

  2. Immettere quindi il comando seguente per reimpostare il processo.

    sudo swcutil reset

Le password temporanee rilasciate durante la reimpostazione della password non possono essere sincronizzate con Platform SSO

Le password temporanee rilasciate durante la reimpostazione della password non possono essere sincronizzate con il dispositivo locale. Gli utenti sono invitati a completare il processo di reimpostazione della password usando la password temporanea usando l'estensione SSO.

Migrazione dei dispositivi

Verificare che un dispositivo registrato in precedenza (con una chiave di aggiunta all'area di lavoro in Accesso Keychain) rimuova la chiave dopo la corretta registrazione del dispositivo PSSO.

Domande frequenti

È possibile usare macOS PSSO in una distribuzione di aggiunta ibrida?

No, macOS PSSO è supportato solo nelle distribuzioni di join di Microsoft Entra. Non sono previsti piani per supportare le distribuzioni di join ibrido, perché è consigliabile che gli utenti Mac siano completamente basati sul cloud.

Come è possibile modificare la password quando si usa l'accesso Single Sign-On di Platform?

Gli utenti possono modificare la password usando la reimpostazione della password self-service (SSPR) nel dispositivo.

Se la reimpostazione della password self-service viene eseguita in un altro computer, gli utenti potranno accedere al dispositivo Mac usando la vecchia o la nuova password. L'uso della vecchia password sbloccherà il dispositivo e chiederà all'utente di immettere la nuova password per continuare a sincronizzare i dati. L'uso della nuova password sbloccherà il dispositivo e sincronizzerà immediatamente i dati.

È consigliabile che gli amministratori IT usino gli ID Apple gestiti, se possibile, in quanto offrono alle organizzazioni più opzioni per la gestione delle password.

Cosa devo fare se dimentico la mia password?

Sincronizzazione delle password

Se gli utenti si trovano nella schermata di blocco o nella schermata di accesso, possono reimpostare la password da questa posizione. Se l'utente ha ricevuto una password temporanea da un amministratore IT, deve usare un altro dispositivo per accedere, configurare una nuova password e usare tale nuova password in per accedere al proprio dispositivo. Per altre info, vedere la documentazione di Apple sulle password dimenticate.

Importante

Esiste attualmente un problema noto con PSSO che causa la rimozione della registrazione durante il ripristino e potrebbe richiedere agli utenti di ripetere la registrazione dopo il ripristino. Si tratta di un comportamento previsto.

Gli amministratori IT devono anche abilitare il ripristino dell'insieme di credenziali delle chiavi per garantire che i dati possano essere recuperati in caso di password dimenticata. Per altre informazioni, vedere Configurare l'accesso Single Sign-On della piattaforma per i dispositivi macOS in Microsoft Intune.

Nota

Se il dispositivo viene avviato ed è presente la crittografia FileVault, la nuova password Entra funzionerà solo su macOS15.

Enclave sicura

Gli utenti possono reimpostare la password locale tramite ID Apple o una chiave di ripristino amministratore.

Problemi noti

Mancata corrispondenza della complessità dei criteri passcode

Esiste un problema noto in cui una configurazione MDM applicata specifica un criterio password locale con un livello di complessità superiore rispetto all'account Microsoft Entra usato per accedere al computer. In questo caso, l'operazione di sincronizzazione delle password tra Microsoft Entra ID e il computer locale ha esito negativo.

Assicurarsi che durante la configurazione MDM i requisiti di complessità delle password siano identici tra il computer locale e l'ID Microsoft Entra.

Operazioni a esecuzione prolungata

Se la registrazione del dispositivo non riesce tramite l'applicazione Impostazioni, il popup Registrazione dispositivo verrà visualizzato di nuovo dopo circa 10 minuti e sarà possibile riprovare.

Finestra di dialogo di richiesta di autenticazione SSO chiusa mentre la registrazione è in corso

Se si annulla il processo di registrazione chiudendo la finestra di dialogo di richiesta di autenticazione SSO, è necessario disconnettersi dal dispositivo Mac e accedere di nuovo. Al termine dell'accesso, la notifica di registrazione viene nuovamente visualizzata e funziona correttamente.

L'autenticazione a più fattori per utente causa un errore di sincronizzazione delle password

Se un utente ha abilitato l'autenticazione a più fattori per utente nell'account in cui è in corso la configurazione di PSSO, non sarà possibile immettere le credenziali di Microsoft Entra ID nei passaggi successivi, causando un errore. Per evitare questo errore, gli amministratori devono assicurarsi che l'autenticazione a più fattori di accesso condizionale sia abilitata in base alle raccomandazioni relative a Microsoft Entra ID. Questa operazione elimina l'autenticazione a più fattori durante la registrazione in modo che la sincronizzazione delle password possa essere completata correttamente.

Registrazione PSSO necessaria dopo la reimpostazione della password avviata dal ripristino di FileVault o dal ripristino basato su MDM

Poiché le chiavi di Secure Enclave sono protette dalla password dell'account locale, le reimpostazioni delle password che si verificano senza fornire questa password (ad esempio FileVault o ripristino basato su MDM) reimpostano Secure Enclave. La reimpostazione di Secure Enclave esegue il rendering delle chiavi archiviate in precedenza per questo account inaccessibile. I dispositivi le cui chiavi Secure Enclave sono andate perse devono essere registrati nuovamente per usare l'accesso Single Sign-On della piattaforma.

Segnala un problema

Se si verificano problemi con PSSO, è possibile segnalarli nel portale aziendale.

  1. Aprire l'app Portale aziendale e passare a Guida>Invia report di diagnostica.
  2. Viene visualizzata una finestra Invia report di diagnostica. Selezionare Log di posta elettronica per inviare i log.
  3. Prendere nota dell'ID evento imprevisto prima di chiudere la finestra.

È possibile controllare lo stato PSSO corrente nel computer in qualsiasi momento aprendo l'app Terminal. Esegui il comando seguente:

app-sso platform -s

Contatti

Il feedback degli utenti è molto apprezzato. È necessario includere le informazioni seguenti:

  • Sysdiagnose e log di diagnostica
  • Procedura per riprodurre il problema
  • Se applicabile, includere screenshot e/o registrazioni pertinenti

Acquisizione di log di diagnostica e sysdiagnose

  1. Abilitare la persistenza dei log di debug eseguendo il comando seguente nel terminale.

    sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"

  2. Riprodurre il problema, in modo che vengano generati nuovi log per lo scenario interessato. Specificare i timestamp pertinenti nel report del problema per facilitare l'analisi dei log.

  3. Acquisire i dati di diagnostica eseguendo il comando seguente in Terminale.

    sudo sysdiagnose

  4. Ripristinare le impostazioni predefinite dei log di debug eseguendo il comando seguente in Terminale.

    sudo log config --reset --subsystem "com.apple.AppSSO"

Guida alla risoluzione dei problemi

Autorizzazioni insufficienti

Se un utente non dispone di autorizzazioni sufficienti per completare l'aggiunta e la registrazione di Microsoft Entra ID, non viene visualizzato alcun messaggio di errore. Affinché l'aggiunta al dispositivo e la registrazione vengano completate correttamente, l'utente che avvia il flusso di registrazione deve essere inserito nell'elenco degli ammessi.

  1. Nell'interfaccia di amministrazione di Microsoft Entra, passare a Identità>Dispositivi>Panoramica>Impostazioni dispositivi.
  2. In Impostazioni di aggiunta e registrazione di Microsoft Entra ID assicurarsi che l'opzione Tutto sia selezionata nel menu Attiva/Disattiva per Gli utenti possono aggiungere dispositivi a Microsoft Entra.
  3. Seleziona Salva per applicare le modifiche.

Risolvere i problemi relativi a Passkey

L'opzione Platform Credential as Passkey è disponibile solo se Secure Enclave è configurato come metodo di autenticazione per Platform SSO. È necessario verificare quanto segue:

  1. Assicurarsi che l'amministratore abbia configurato il dispositivo con Secure Enclave come metodo di autenticazione e abbia abilitato passkey (FIDO2) per l'organizzazione.
  2. Come utente, verificare di aver abilitato Portale aziendale come provider passkey nelle impostazioni del dispositivo. Passare all'app Impostazioni, alle Password e opzioni Password e verificare che il portale aziendale sia abilitato.

Risolvere i problemi relativi all'accesso Single Sign-On di Google Chrome

Se un utente ha installato l'estensione Microsoft Single Sign On per Google Chrome, il browser Chrome deve essere in grado di comunicare con il broker Microsoft SSO sia per un'esperienza utente SSO che per usare i criteri di accesso condizionale basati su dispositivo. Se gli utenti non sono in grado di passare i criteri di accesso condizionale basato su dispositivo in Google Chrome, potrebbe verificarsi un problema con il modo in cui è stata installata l'applicazione Portale aziendale, che può impedire a Chrome di comunicare con il broker SSO. Per risolvere il problema, attenersi alla procedura seguente:

  1. Aprire la cartella Applicazioni nel Mac
  2. Fare clic con il pulsante destro del mouse sull'applicazione Portale aziendale e scegliere Sposta nel Cestino
  3. Scaricare la versione più recente del programma di installazione del portale aziendale da https://go.microsoft.com/fwlink/?linkid=853070
  4. Installare il portale aziendale con il CompanyPortal-Installer.pkg scaricato

Verificare che il problema sia stato risolto controllando l'esistenza di questo file: ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

In alternativa, è possibile distribuire lo script seguente tramite MDM o altri strumenti di automazione per copiare il file JSON nel percorso corretto. Questo script deve essere eseguito nel contesto dell'utente per ogni utente che riscontra il problema di Chrome SSO:

#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it

# For Google Chrome (user-specific, default path)

if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos

if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

Importante

Nota: questo problema è dovuto a un bug relativo alla modalità di installazione o aggiornamento del portale aziendale in determinate circostanze. Questo problema verrà risolto in un aggiornamento futuro del portale aziendale.

Vedi anche