Problemi noti relativi all'accesso Single Sign-On di macOS Platform (anteprima)
Questo articolo descrive i problemi noti e le domande comuni correnti sull'accesso Single Sign-On (PSSO) di macOS Platform. Fornisce soluzioni ai problemi e informazioni su come segnalare un problema che non è trattato. Questo articolo include anche indicazioni per la risoluzione dei problemi.
Scenari da convalidare
Dopo la distribuzione di PSSO nel dispositivo, esistono alcuni scenari di convalida che è possibile eseguire per assicurarsi che la distribuzione sia riuscita. In caso di problemi, vedere segnalare un problema per altre istruzioni.
Eventi di modifica della password
Verificare che le modifiche apportate alla password dell'ID di Microsoft Entra tramite la reimpostazione della password self-service (SSPR) siano state sincronizzate correttamente con il computer locale. Se la password dell'ID Microsoft Entra di un utente cambia dopo la sincronizzazione con il Mac, all'utente viene richiesto di immettere la nuova password entro 4 ore.
Ripristinare o rimuovere la registrazione PSSO da un dispositivo
Questa sezione illustra come ripristinare o rimuovere la registrazione PSSO da un dispositivo Mac, a seconda della versione di macOS.
In macOS 14 Sonoma, se si verificano problemi con la registrazione del dispositivo, è possibile ripristinare la registrazione PSSO esistente.
- Aprire l'app Impostazioni e passare a Utenti e gruppi>Server account di rete.
- Selezionare Modifica, quindi Ripristina. Viene eseguito lo stesso flusso di registrazione del dispositivo durante la registrazione iniziale.
È anche possibile annullare la registrazione completa del dispositivo seguendo questa procedura.
- Aprire l'app Portale aziendale e passare a Preferenze.
- Per annullare la registrazione del dispositivo, selezionare Annulla registrazione.
Il plug-in Enterprise SSO non viene attivato dopo l'aggiornamento del sistema
Se il plug-in Enterprise SSO non riesce ad attivarsi dopo l'applicazione degli aggiornamenti di sistema al dispositivo, è necessario riavviare il daemon di aggiornamento software.
Aprire l'app Terminale e immettere il comando seguente per terminare il
swcd
processo.sudo killall swcd
Immettere quindi il comando seguente per reimpostare il processo.
sudo swcutil reset
Le password temporanee rilasciate durante la reimpostazione della password non possono essere sincronizzate con Platform SSO
Le password temporanee rilasciate durante la reimpostazione della password non possono essere sincronizzate con il dispositivo locale. Gli utenti sono invitati a completare il processo di reimpostazione della password usando la password temporanea usando l'estensione SSO.
Migrazione dei dispositivi
Verificare che un dispositivo registrato in precedenza (con una chiave di aggiunta all'area di lavoro in Accesso Keychain) rimuova la chiave dopo la corretta registrazione del dispositivo PSSO.
Domande frequenti
È possibile usare macOS PSSO in una distribuzione di aggiunta ibrida?
No, macOS PSSO è supportato solo nelle distribuzioni di join di Microsoft Entra. Non sono previsti piani per supportare le distribuzioni di join ibrido, perché è consigliabile che gli utenti Mac siano completamente basati sul cloud.
Problemi noti
Mancata corrispondenza della complessità dei criteri passcode
Esiste un problema noto in cui una configurazione MDM applicata specifica un criterio password locale con un livello di complessità superiore rispetto all'account Microsoft Entra usato per accedere al computer. In questo caso, l'operazione di sincronizzazione delle password tra Microsoft Entra ID e il computer locale ha esito negativo.
Assicurarsi che durante la configurazione MDM i requisiti di complessità delle password siano identici tra il computer locale e l'ID Microsoft Entra.
Operazioni a esecuzione prolungata
Se la registrazione del dispositivo ha esito negativo tramite l'applicazione Impostazioni, il popup Registrazione dispositivo verrà visualizzato di nuovo dopo circa 10 minuti e sarà possibile riprovare.
Finestra di dialogo di richiesta di autenticazione SSO chiusa mentre la registrazione è in corso
Se si annulla il processo di registrazione chiudendo la finestra di dialogo di richiesta di autenticazione SSO, è necessario disconnettersi dal dispositivo Mac e accedere di nuovo. Al termine dell'accesso, la notifica di registrazione viene nuovamente visualizzata e funziona correttamente.
L'autenticazione a più fattori per utente causa un errore di sincronizzazione delle password
Se un utente ha abilitato l'autenticazione a più fattori per utente nell'account in cui è in corso la configurazione di PSSO, non sarà possibile immettere le credenziali dell'ID Di Microsoft Entra nei passaggi successivi, causando un errore. Per evitare questo errore, gli amministratori devono assicurarsi che l'autenticazione a più fattori di accesso condizionale sia abilitata in base alle raccomandazioni relative all'ID Entra di Microsoft. Questa operazione elimina l'autenticazione a più fattori durante la registrazione in modo che la sincronizzazione delle password possa essere completata correttamente.
Registrazione PSSO necessaria dopo la reimpostazione della password avviata dal ripristino di FileVault o dal ripristino basato su MDM
Poiché le chiavi dell'enclave sicuro sono protette dalla password dell'account locale, le reimpostazioni delle password che si verificano senza fornire questa password ( ad esempio FileVault o ripristino basato su MDM) reimpostano l'enclave sicuro. La reimpostazione dell'enclave sicuro esegue il rendering delle chiavi archiviate in precedenza per questo account inaccessibile. I dispositivi le cui chiavi secure enclave sono andate perse devono essere registrati nuovamente per usare l'accesso Single Sign-On della piattaforma.
Segnala un problema
Se si verificano problemi con PSSO, è possibile segnalarli in Portale aziendale.
- Aprire l'app Portale aziendale e passare a Guida>Invia report di diagnostica.
- Viene visualizzata una finestra Invia report di diagnostica. Selezionare Log di posta elettronica per inviare i log.
- Prendere nota dell'ID evento imprevisto prima di chiudere la finestra.
È possibile controllare lo stato PSSO corrente nel computer in qualsiasi momento aprendo l'app Terminal . Esegui il comando seguente:
Contatti
Vorremmo ricevere commenti e suggerimenti. È necessario includere le informazioni seguenti:
Log Apple
sudo log config --mode "level:debug,persist:debug" --subsystem com.apple.AppSSO"
Dati di diagnostica
sudo sysdiagnose
Procedura per riprodurre il problema
Se applicabile, includere screenshot e/o registrazioni pertinenti
Guida alla risoluzione dei problemi
Autorizzazioni insufficienti
Se un utente non dispone di autorizzazioni sufficienti per completare l'aggiunta e la registrazione di Microsoft Entra ID, non viene visualizzato alcun messaggio di errore. Affinché l'aggiunta al dispositivo e la registrazione vengano completate correttamente, l'utente che avvia il flusso di registrazione deve essere consentito.
- Nell'interfaccia di amministrazione di Microsoft Entra passare a Dispositivi di identità>>Panoramica>dispositivo Impostazioni.
- In Impostazioni di aggiunta e registrazione di Microsoft Entra ID assicurarsi che l'opzione Tutto sia selezionata nel menu Attiva/Disattiva per Gli utenti possono aggiungere dispositivi a Microsoft Entra.
- Seleziona Salva per applicare le modifiche.
Risolvere i problemi relativi a Passkey
L'opzione Platform Credential as Passkey è disponibile solo se Secure Enclave è configurato come metodo di autenticazione per Platform SSO. È necessario verificare quanto segue:
- Assicurarsi che l'amministratore abbia configurato il dispositivo con Secure Enclave come metodo di autenticazione e abbia abilitato passkey (FIDO2) per l'organizzazione.
- In qualità di utente, verificare di aver abilitato Portale aziendale come provider passkey nelle impostazioni del dispositivo. Passare all'app Impostazioni, alle opzioni Password e Password e assicurarsi che Portale aziendale sia abilitato.
Risolvere i problemi relativi all'accesso Single Sign-On di Google Chrome
Se un utente ha installato l'estensione Microsoft Single Sign On per Google Chrome, il browser Chrome deve essere in grado di comunicare con il broker Microsoft SSO sia per un'esperienza utente SSO che per usare i criteri di accesso condizionale basati su dispositivo. Se gli utenti non sono in grado di passare i criteri di accesso condizionale basati su dispositivo in Google Chrome, potrebbe verificarsi un problema con il modo in cui è stata installata l'applicazione Portale aziendale, che può impedire a Chrome di comunicare con il broker SSO. Per risolvere il problema, attenersi alla procedura seguente:
- Aprire la cartella Applications nel Mac
- Fare clic con il pulsante destro del mouse sull'applicazione Portale aziendale e scegliere Sposta nel Cestino
- Scaricare la versione più recente del programma di installazione di Portale aziendale dahttps://go.microsoft.com/fwlink/?linkid=853070
- Installare Portale aziendale con l'CompanyPortal-Installer.pkg scaricato
Verificare che il problema sia stato risolto controllando l'esistenza di questo file: ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json
ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json
In alternativa, è possibile distribuire lo script seguente tramite MDM o altri strumenti di automazione per copiare il file JSON nel percorso corretto. Questo script deve essere eseguito nel contesto dell'utente per ogni utente che riscontra il problema di Chrome SSO:
#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it
# For Google Chrome (user-specific, default path)
if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi
cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/
# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/en-us/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos
if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi
cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/
Importante
Nota: questo problema è dovuto a un bug relativo alla modalità di installazione o aggiornamento di Portale aziendale in determinate circostanze. Questo problema verrà risolto in un aggiornamento futuro a Portale aziendale.
Vedi anche
- Aggiungere un dispositivo Mac con Microsoft Entra ID durante l'esperienza predefinita
- Aggiungere un dispositivo Mac con Microsoft Entra ID usando Portale aziendale
- Plug-in Microsoft Enterprise SSO per dispositivi Apple
- Risoluzione dei problemi del plug-in Microsoft Enterprise SSO Extension nei dispositivi Apple
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per