Problemi noti relativi all'accesso Single Sign-On di macOS Platform (anteprima)

Questo articolo descrive i problemi noti e le domande comuni correnti sull'accesso Single Sign-On (PSSO) di macOS Platform. Fornisce soluzioni ai problemi e informazioni su come segnalare un problema che non è trattato. Questo articolo include anche indicazioni per la risoluzione dei problemi.

Scenari da convalidare

Dopo la distribuzione di PSSO nel dispositivo, esistono alcuni scenari di convalida che è possibile eseguire per assicurarsi che la distribuzione sia riuscita. In caso di problemi, vedere segnalare un problema per altre istruzioni.

Eventi di modifica della password

Verificare che le modifiche apportate alla password dell'ID di Microsoft Entra tramite la reimpostazione della password self-service (SSPR) siano state sincronizzate correttamente con il computer locale. Se la password dell'ID Microsoft Entra di un utente cambia dopo la sincronizzazione con il Mac, all'utente viene richiesto di immettere la nuova password entro 4 ore.

Ripristinare o rimuovere la registrazione PSSO da un dispositivo

Questa sezione illustra come ripristinare o rimuovere la registrazione PSSO da un dispositivo Mac, a seconda della versione di macOS.

macOS 14

In macOS 14 Sonoma, se si verificano problemi con la registrazione del dispositivo, è possibile ripristinare la registrazione PSSO esistente.

1. Aprire l'app Impostazioni e passare a Utenti e gruppi>Server account di rete.
2. Selezionare Modifica, quindi Ripristina. Viene eseguito lo stesso flusso di registrazione del dispositivo durante la registrazione iniziale.

È anche possibile annullare la registrazione completa del dispositivo seguendo questa procedura.

1. Aprire l'app Portale aziendale e passare a Preferenze.
2. Per annullare la registrazione del dispositivo, selezionare Annulla registrazione.

macOS 13

In macOS 13Plica, se si verificano problemi con la registrazione PSSO del dispositivo o se è necessario annullare la registrazione del dispositivo, usare Portale aziendale e rimuovere il dispositivo dall'organizzazione.

1. Aprire l'app Portale aziendale e passare a Preferenze.
2. Per annullare la registrazione del dispositivo, selezionare Annulla registrazione.

Se il dispositivo è stato annullato la registrazione in seguito a un errore ed è necessario registrarlo nuovamente, fare riferimento a Aggiungere un dispositivo Mac con Microsoft Entra ID durante l'esperienza predefinita o Aggiungere un dispositivo Mac con Microsoft Entra ID usando Portale aziendale.

Il plug-in Enterprise SSO non viene attivato dopo l'aggiornamento del sistema

Se il plug-in Enterprise SSO non riesce ad attivarsi dopo l'applicazione degli aggiornamenti di sistema al dispositivo, è necessario riavviare il daemon di aggiornamento software.

1. Aprire l'app Terminale e immettere il comando seguente per terminare il swcd processo.

   sudo killall swcd
   

2. Immettere quindi il comando seguente per reimpostare il processo.

   sudo swcutil reset
   

Le password temporanee rilasciate durante la reimpostazione della password non possono essere sincronizzate con Platform SSO

Le password temporanee rilasciate durante la reimpostazione della password non possono essere sincronizzate con il dispositivo locale. Gli utenti sono invitati a completare il processo di reimpostazione della password usando la password temporanea usando l'estensione SSO.

Migrazione dei dispositivi

Verificare che un dispositivo registrato in precedenza (con una chiave di aggiunta all'area di lavoro in Accesso Keychain) rimuova la chiave dopo la corretta registrazione del dispositivo PSSO.

Domande frequenti

È possibile usare macOS PSSO in una distribuzione di aggiunta ibrida?

No, macOS PSSO è supportato solo nelle distribuzioni di join di Microsoft Entra. Non sono previsti piani per supportare le distribuzioni di join ibrido, perché è consigliabile che gli utenti Mac siano completamente basati sul cloud.

Problemi noti

Mancata corrispondenza della complessità dei criteri passcode

Esiste un problema noto in cui una configurazione MDM applicata specifica un criterio password locale con un livello di complessità superiore rispetto all'account Microsoft Entra usato per accedere al computer. In questo caso, l'operazione di sincronizzazione delle password tra Microsoft Entra ID e il computer locale ha esito negativo.

Assicurarsi che durante la configurazione MDM i requisiti di complessità delle password siano identici tra il computer locale e l'ID Microsoft Entra.

Operazioni a esecuzione prolungata

macOS 14

Se la registrazione del dispositivo ha esito negativo tramite l'applicazione Impostazioni, il popup Registrazione dispositivo verrà visualizzato di nuovo dopo circa 10 minuti e sarà possibile riprovare.

macOS 13

Il completamento della registrazione del dispositivo può richiedere alcuni minuti. Se la registrazione del dispositivo non riesce, attendere alcuni minuti e riprovare se richiesto.

Finestra di dialogo di richiesta di autenticazione SSO chiusa mentre la registrazione è in corso

Se si annulla il processo di registrazione chiudendo la finestra di dialogo di richiesta di autenticazione SSO, è necessario disconnettersi dal dispositivo Mac e accedere di nuovo. Al termine dell'accesso, la notifica di registrazione viene nuovamente visualizzata e funziona correttamente.

L'autenticazione a più fattori per utente causa un errore di sincronizzazione delle password

Se un utente ha abilitato l'autenticazione a più fattori per utente nell'account in cui è in corso la configurazione di PSSO, non sarà possibile immettere le credenziali dell'ID Di Microsoft Entra nei passaggi successivi, causando un errore. Per evitare questo errore, gli amministratori devono assicurarsi che l'autenticazione a più fattori di accesso condizionale sia abilitata in base alle raccomandazioni relative all'ID Entra di Microsoft. Questa operazione elimina l'autenticazione a più fattori durante la registrazione in modo che la sincronizzazione delle password possa essere completata correttamente.

Registrazione PSSO necessaria dopo la reimpostazione della password avviata dal ripristino di FileVault o dal ripristino basato su MDM

Poiché le chiavi dell'enclave sicuro sono protette dalla password dell'account locale, le reimpostazioni delle password che si verificano senza fornire questa password ( ad esempio FileVault o ripristino basato su MDM) reimpostano l'enclave sicuro. La reimpostazione dell'enclave sicuro esegue il rendering delle chiavi archiviate in precedenza per questo account inaccessibile. I dispositivi le cui chiavi secure enclave sono andate perse devono essere registrati nuovamente per usare l'accesso Single Sign-On della piattaforma.

Segnala un problema

Se si verificano problemi con PSSO, è possibile segnalarli in Portale aziendale.

1. Aprire l'app Portale aziendale e passare a Guida>Invia report di diagnostica.
2. Viene visualizzata una finestra Invia report di diagnostica. Selezionare Log di posta elettronica per inviare i log.
3. Prendere nota dell'ID evento imprevisto prima di chiudere la finestra.

È possibile controllare lo stato PSSO corrente nel computer in qualsiasi momento aprendo l'app Terminal . Esegui il comando seguente:

Contatti

Vorremmo ricevere commenti e suggerimenti. È necessario includere le informazioni seguenti:

• Log Apple

  sudo log config --mode "level:debug,persist:debug" --subsystem com.apple.AppSSO"
  

• Dati di diagnostica

  sudo sysdiagnose
  

• Procedura per riprodurre il problema

• Se applicabile, includere screenshot e/o registrazioni pertinenti

Guida alla risoluzione dei problemi

Autorizzazioni insufficienti

Se un utente non dispone di autorizzazioni sufficienti per completare l'aggiunta e la registrazione di Microsoft Entra ID, non viene visualizzato alcun messaggio di errore. Affinché l'aggiunta al dispositivo e la registrazione vengano completate correttamente, l'utente che avvia il flusso di registrazione deve essere consentito.

1. Nell'interfaccia di amministrazione di Microsoft Entra passare a Dispositivi di identità>>Panoramica>dispositivo Impostazioni.
2. In Impostazioni di aggiunta e registrazione di Microsoft Entra ID assicurarsi che l'opzione Tutto sia selezionata nel menu Attiva/Disattiva per Gli utenti possono aggiungere dispositivi a Microsoft Entra.
3. Seleziona Salva per applicare le modifiche.

Risolvere i problemi relativi a Passkey

L'opzione Platform Credential as Passkey è disponibile solo se Secure Enclave è configurato come metodo di autenticazione per Platform SSO. È necessario verificare quanto segue:

1. Assicurarsi che l'amministratore abbia configurato il dispositivo con Secure Enclave come metodo di autenticazione e abbia abilitato passkey (FIDO2) per l'organizzazione.
2. In qualità di utente, verificare di aver abilitato Portale aziendale come provider passkey nelle impostazioni del dispositivo. Passare all'app Impostazioni, alle opzioni Password e Password e assicurarsi che Portale aziendale sia abilitato.

Risolvere i problemi relativi all'accesso Single Sign-On di Google Chrome

Se un utente ha installato l'estensione Microsoft Single Sign On per Google Chrome, il browser Chrome deve essere in grado di comunicare con il broker Microsoft SSO sia per un'esperienza utente SSO che per usare i criteri di accesso condizionale basati su dispositivo. Se gli utenti non sono in grado di passare i criteri di accesso condizionale basati su dispositivo in Google Chrome, potrebbe verificarsi un problema con il modo in cui è stata installata l'applicazione Portale aziendale, che può impedire a Chrome di comunicare con il broker SSO. Per risolvere il problema, attenersi alla procedura seguente:

1. Aprire la cartella Applications nel Mac
2. Fare clic con il pulsante destro del mouse sull'applicazione Portale aziendale e scegliere Sposta nel Cestino
3. Scaricare la versione più recente del programma di installazione di Portale aziendale dahttps://go.microsoft.com/fwlink/?linkid=853070
4. Installare Portale aziendale con l'CompanyPortal-Installer.pkg scaricato

Verificare che il problema sia stato risolto controllando l'esistenza di questo file: ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

In alternativa, è possibile distribuire lo script seguente tramite MDM o altri strumenti di automazione per copiare il file JSON nel percorso corretto. Questo script deve essere eseguito nel contesto dell'utente per ogni utente che riscontra il problema di Chrome SSO:

#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it

# For Google Chrome (user-specific, default path)

if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/en-us/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos

if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

Importante

Nota: questo problema è dovuto a un bug relativo alla modalità di installazione o aggiornamento di Portale aziendale in determinate circostanze. Questo problema verrà risolto in un aggiornamento futuro a Portale aziendale.

Vedi anche

• Aggiungere un dispositivo Mac con Microsoft Entra ID durante l'esperienza predefinita
• Aggiungere un dispositivo Mac con Microsoft Entra ID usando Portale aziendale
• Plug-in Microsoft Enterprise SSO per dispositivi Apple
• Risoluzione dei problemi del plug-in Microsoft Enterprise SSO Extension nei dispositivi Apple