Znane problemy z logowaniem jednokrotnym platformy macOS i rozwiązywanie problemów (wersja zapoznawcza)

W tym artykule opisano bieżące znane problemy i typowe pytania dotyczące logowania jednokrotnego (PSSO) platformy macOS. Zawiera on rozwiązania problemów i informacje na temat sposobu zgłaszania problemu, który nie jest omówiony. Ten artykuł zawiera również wskazówki dotyczące rozwiązywania problemów.

Scenariusze sprawdzania poprawności

Po wdrożeniu PSSO na urządzeniu istnieje kilka scenariuszy weryfikacji, które można wykonać, aby upewnić się, że wdrożenie zakończyło się pomyślnie. Jeśli występują jakiekolwiek problemy, zapoznaj się z raportem o problemie , aby uzyskać dalsze instrukcje.

Zdarzenia zmiany hasła

Upewnij się, że zmiany hasła Microsoft Entra ID wprowadzone za pośrednictwem samoobsługowego resetowania hasła (SSPR) zostały pomyślnie zsynchronizowane z komputerem lokalnym. Jeśli hasło użytkownika Microsoft Entra ID zmieni się po zsynchronizowaniu go z komputerem Mac, użytkownik zostanie poproszony o wprowadzenie nowego hasła w ciągu 4 godzin.

Naprawianie lub usuwanie rejestracji PSSO z urządzenia

W tej sekcji opisano sposób naprawy lub usunięcia rejestracji PSSO z urządzenia Mac w zależności od wersji systemu macOS.

System operacyjny macOS 14

W systemie macOS 14 Sonoma, jeśli występują problemy z rejestracją urządzenia, możesz naprawić istniejącą rejestrację PSSO.

1. Otwórz aplikację Ustawienia i przejdź dopozycji Serwer konta sieciowego>.
2. Wybierz pozycję Edytuj, a następnie napraw. Przechodzisz przez ten sam przepływ rejestracji urządzenia, co podczas początkowej rejestracji.

Możesz również całkowicie wyrejestrować urządzenie, wykonując następujące kroki.

1. Otwórz aplikację Portal firmy i przejdź do pozycji Preferencje.
2. Aby wyrejestrować urządzenie, wybierz pozycję Wyrejestruj.

System operacyjny macOS 13

W systemie macOS 13 Ventura, jeśli występują problemy z rejestracją PSSO urządzenia lub musisz wyrejestrować urządzenie, użyj Portal firmy i usuń urządzenie z organizacji.

1. Otwórz aplikację Portal firmy i przejdź do pozycji Preferencje.
2. Aby wyrejestrować urządzenie, wybierz pozycję Wyrejestruj.

Jeśli wyrejestrowałeś swoje urządzenie w wyniku błędu, zapoznaj się z Dołączanie urządzenia Mac z systemem Microsoft Entra ID podczas pierwszej konfiguracji lub Dołączanie urządzenia Mac z systemem Microsoft Entra ID przy użyciu Portalu Firmowego, aby ponownie zarejestrować urządzenie.

Wtyczka logowania jednokrotnego przedsiębiorstwa (SSO) nie aktywuje się po aktualizacji oprogramowania.

Jeśli wtyczka SSO dla przedsiębiorstw nie może zostać aktywowana po zastosowaniu aktualizacji systemu do urządzenia, należy ponownie uruchomić proces aktualizacji oprogramowania.

1. Otwórz aplikację Terminal i wprowadź następujące polecenie, aby zakończyć proces swcd.

   sudo killall swcd
   

2. Następnie wprowadź następujące polecenie, aby zresetować proces.

   sudo swcutil reset
   

Adresy URL inspekcji protokołu TLS, które mają zostać wykluczone dla jednokrotnego logowania platformy.

Upewnij się, że poniższe adresy URL są wykluczone z przechwytywania/inspekcji protokołu TLS, dzięki czemu pozyskiwanie i odświeżanie tokenu logowania jednokrotnego platformy można pomyślnie wykonać na urządzeniach docelowych logowania jednokrotnego platformy:

• app-site-association.cdn-apple.com
• skojarzenie-lokacji-aplikacji.networking.apple
• login.microsoftonline.com
• login.microsoft.com
• sts.windows.net
• login.partner.microsoftonline.cn(*)
• login.chinacloudapi.cn(*)
• login.microsoftonline.us(*)
• login-us.microsoftonline.com(*)
• config.edge.skype.com(**)

Domeny asocjacji aplikacji Apple są kluczowe dla funkcjonowania rozszerzenia jednokrotnego logowania. (*) Wystarczy zezwolić na domeny suwerennej chmury tylko wtedy, gdy korzystasz z tych domen w swoim środowisku. (**) Utrzymywanie komunikacji z usługą Experimentation Configuration Service (ECS) zapewnia, że firma Microsoft może reagować na poważny błąd w odpowiednim czasie.

Uwaga

Platforma SSO nie jest zgodna z funkcją Microsoft Entra ID Tenant Restrictions w wersji 2, gdy ograniczenia dzierżawy są wdrażane przy użyciu firmowego serwera proxy. Opcja alternatywna jest wymieniona w znanym ograniczeniu TRv2

Nie można zsynchronizować haseł tymczasowych wystawionych podczas resetowania hasła z logowaniem jednokrotnym platformy

Nie można zsynchronizować haseł tymczasowych wystawionych podczas resetowania hasła do urządzenia lokalnego. Zaleca się ukończenie procesu resetowania hasła tymczasowego za pomocą rozszerzenia SSO.

Migracja urządzenia

Upewnij się, że wcześniej zarejestrowane urządzenie (z kluczem dołączania w miejscu pracy w programie Keychain Access) usuwa klucz po pomyślnej rejestracji urządzenia PSSO.

Często zadawane pytania

Czy mogę używać systemu PSSO macOS we wdrożeniu hybrydowym?

Nie, jednokrotne logowanie w macOS jest obsługiwane tylko w wdrożeniach dołączania w Microsoft Entra. Nie ma planów obsługi wdrożeń dołączania hybrydowego, ponieważ zalecamy, aby użytkownicy komputerów Mac korzystali z pełnej chmury.

Jak mogę zmienić hasło podczas korzystania z logowania jednokrotnego platformy?

Użytkownicy mogą zmieniać swoje hasło przy użyciu samoobsługowego resetowania hasła (SSPR) na swoim urządzeniu.

Jeśli resetowanie hasła odbywa się na innym komputerze, użytkownicy mogą się zalogować do urządzenia Mac przy użyciu starego lub nowego hasła. Użycie starego hasła odblokowuje urządzenie, a następnie monituj użytkownika o nowe hasło, aby kontynuować synchronizowanie danych. Użycie nowego hasła odblokowuje urządzenie i natychmiast synchronizuje dane.

Zalecamy, aby administratorzy IT używali zarządzanych identyfikatorów Apple ID , jeśli to możliwe, ponieważ zapewnia to organizacjom więcej opcji zarządzania hasłami.

Co należy zrobić, jeśli zapomnę hasło?

Synchronizacja haseł

Użytkownicy mogą zresetować swoje hasło na ekranie logowania lub na ekranie blokady. Jeśli użytkownik otrzymał tymczasowe hasło od administratora IT, powinien użyć innego urządzenia do zalogowania się, skonfiguruj nowe hasło i użyj nowego hasła, aby zalogować się do własnego urządzenia. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją firmy Apple dotyczącą zapomnianych haseł.

Ważne

Obecnie występuje znany problem z logowaniem jednokrotnym, który powoduje usunięcie rejestracji podczas odzyskiwania i może monitować użytkowników o ponowne zarejestrowanie się po odzyskaniu. Jest to oczekiwane zachowanie.

Administratorzy IT powinni również włączyć odzyskiwanie usługi Keyvault w celu zapewnienia, że dane można odzyskać w przypadku zapomnianego hasła. Aby uzyskać więcej informacji, zobacz Konfigurowanie logowania jednokrotnego platformy dla urządzeń z systemem macOS w usłudze Microsoft Intune.

Uwaga

Jeśli urządzenie jest uruchamiane i istnieje szyfrowanie FileVault, nowe hasło entra będzie działać tylko w systemie macOS15.

Bezpieczna enklawa

Użytkownicy mogą zresetować hasło lokalne za pomocą identyfikatora Apple ID lub klucza odzyskiwania administratora.

Znane problemy

Nieoczekiwane/częste zapytania przy ponownej rejestracji w systemie macOS Sequoia

Uwaga

Najnowsza aktualizacja problemu z ponowną rejestracją PSSO w systemie macOS 15.x opisanym poniżej: Firma Apple potwierdziła, że poprawka została wdrożona w systemie macOS 15.3. Jeśli użytkownicy nadal doświadczają problemu z ponowną rejestracją w systemie macOS 15.3 lub nowszym, skontaktuj się z firmą Apple i udostępnij dzienniki za pośrednictwem pomocy technicznej firmy Apple.

Istnieje znany problem z współbieżnością w systemie macOS 15 lub nowszym (Sequoia), który może spowodować uszkodzenie konfiguracji urządzenia PSSO. Konfiguracja urządzenia może być uszkodzona przez jednoczesne aktualizacje procesów systemowych AppSSOAgent i AppSSODaemon. Uszkodzona konfiguracja powoduje, że system operacyjny uruchamia proces naprawy ponownej rejestracji, co skutkuje nieoczekiwanymi powiadomieniami o rejestracji dla użytkowników.

Ten problem jest obecnie badany przez firmę Apple.

Dzienniki sysdiagnose od użytkowników, których problem dotyczył, zawierają następujący błąd:

Error Domain=com.apple.PlatformSSO Code=-1001 "Error deserializing device config." UserInfo={NSLocalizedDescription=Error deserializing device config., NSUnderlyingError=0x9480343f0 {Error Domain=NSCocoaErrorDomain Code=3840 "Garbage at end around line 27, column 1." UserInfo={NSDebugDescription=Garbage at end around line 27, column 1., NSJSONSerializationErrorIndex=3052}}}

Zachęcamy użytkowników i administratorów, którzy napotykają ten błąd, aby zgłosić problem z usługą Apple Care i zaangażować firmę Apple w celu rozwiązania problemu.

Niezgodność złożoności zasad kodu dostępu

Istnieje znany problem polegający na tym, że zastosowana konfiguracja rozwiązania MDM określa lokalne zasady haseł o wyższym stopniu złożoności niż konto Microsoft Entra używane do logowania się na maszynie. W takim przypadku operacja synchronizacji haseł między identyfikatorem Entra firmy Microsoft a maszyną lokalną kończy się niepowodzeniem.

Upewnij się, że podczas konfigurowania rozwiązania MDM wymagania dotyczące złożoności hasła są identyczne między komputerem lokalnym a identyfikatorem Entra firmy Microsoft.

Długotrwałe operacje

System operacyjny macOS 14

Jeśli rejestracja urządzenia zakończy się niepowodzeniem za pośrednictwem aplikacji Ustawienia, po około 10 minutach pojawi się okno podręczne Rejestrowanie urządzenia i możesz spróbować ponownie.

System operacyjny macOS 13

Rejestracja urządzenia może potrwać kilka minut. Jeśli rejestracja urządzenia zakończy się niepowodzeniem, zaczekaj kilka minut i spróbuj ponownie, jeśli zostanie wyświetlony monit.

Okno dialogowe monitu uwierzytelniania SSO zostało zamknięte podczas rejestracji

Jeśli anulujesz proces rejestracji, zamykając okno dialogowe monitu uwierzytelniania logowania jednokrotnego, musisz wylogować się z urządzenia Mac i zalogować się ponownie. Po pomyślnym zalogowaniu powiadomienie rejestracji jest ponownie wyświetlane i działa poprawnie.

Uwierzytelnianie wieloskładnikowe dla każdego użytkownika powoduje niepowodzenie synchronizacji haseł

Jeśli użytkownik ma włączone uwierzytelnianie wieloskładnikowe dla użytkownika na koncie, na którym konfigurowane jest PSSO, nie będzie można wprowadzić poświadczeń Microsoft Entra ID w następnych krokach, co może powodować błąd. Aby uniknąć tego błędu, administratorzy powinni upewnić się, że mają włączoną uwierzytelnianie wieloskładnikowe dostępu warunkowego zgodnie z zaleceniami dotyczącymi identyfikatora Entra firmy Microsoft. Spowoduje to pominięcie uwierzytelniania wieloskładnikowego podczas rejestracji, aby synchronizacja haseł mogła zostać pomyślnie ukończona.

Ponowna rejestracja PSSO wymagana po zainicjowaniu resetowania hasła z odzyskiwania FileVault lub odzyskiwania zarządzanego przez MDM.

Ponieważ klucze w Bezpiecznej Enklawie są chronione hasłem Twojego lokalnego konta, resetowanie hasła bez podawania tego hasła (na przykład za pomocą odzyskiwania FileVault lub MDM) powoduje zresetowanie Bezpiecznej Enklawy. Zresetowanie bezpiecznej enklawy powoduje, że klucze są wcześniej przechowywane dla tego konta niedostępne. Urządzenia, których klucze Bezpiecznej Enklawy zostały utracone, muszą zostać ponownie zarejestrowane do korzystania z logowania jednokrotnego platformy.

Zgłoś problem

Jeśli masz problemy z PSSO, możesz zgłosić je na Company Portal.

1. Otwórz aplikację Portal firmy i przejdź do pozycji Pomoc>Wyślij raport diagnostyczny.
2. Zostanie wyświetlone okno Wysyłanie raportu diagnostycznego . Wybierz Dzienniki poczty e-mail, aby wysłać dzienniki.
3. Przed zamknięciem okna zanotuj identyfikator zdarzenia.

W każdym momencie możesz sprawdzić bieżący stan logowania jednokrotnego na swojej maszynie, otwierając aplikację Terminal. Uruchom następujące polecenie.

app-sso platform -s

Kontakt z nami

Chcielibyśmy usłyszeć Twoją opinię. Należy uwzględnić następujące informacje:

• Dzienniki Sysdiagnose i diagnostyczne
• Kroki odtworzenia problemu
• Jeśli ma to zastosowanie, dołącz odpowiednie zrzuty ekranu i/lub nagrania

Przechwytywanie sysdiagnose oraz dzienników diagnostycznych

1. Włącz trwałość dzienników debugowania, uruchamiając następujące polecenie w terminalu.

   sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"
   

2. Odtwórz problem, tak aby nowe dzienniki zostały wygenerowane w scenariuszu, którego dotyczy problem. Podaj odpowiednie znaczniki czasu w raporcie o problemie, aby ułatwić śledzenie dziennika.

3. Przechwyć dane diagnostyczne, uruchamiając następujące polecenie w terminalu.

   sudo sysdiagnose
   

4. Zresetuj dzienniki debugowania do domyślnych ustawień, uruchamiając następujące polecenie w terminalu.

   sudo log config --reset --subsystem "com.apple.AppSSO"
   

Przewodnik po rozwiązywaniu problemów

Niewystarczające uprawnienia

Jeśli użytkownik ma niewystarczające uprawnienia do ukończenia dołączania i rejestracji identyfikatora Entra firmy Microsoft, nie jest wyświetlany żaden komunikat o błędzie. Aby dołączenie i rejestracja urządzenia zakończyły się pomyślnie, użytkownik inicjujący proces rejestracji musi być umieszczony na białej liście.

1. W centrum administracyjnym Microsoft Entra przejdź do Entra ID>Przegląd>.
2. W obszarze Ustawienia dołączania i rejestracji identyfikatora Entra firmy Microsoft upewnij się, że opcja Wszystkie jest zaznaczona w menu przełącznika Użytkownicy mogą dołączać urządzenia do Microsoft Entra.
3. Wybierz pozycję Zapisz , aby zastosować zmiany.

Rozwiązywanie problemów z Passkey

Opcja Poświadczenia platformy jako klucz dostępu jest dostępna tylko wtedy, gdy Secure Enclave jest skonfigurowana jako metoda uwierzytelniania dla platformowego SSO. Należy sprawdzić następujące kwestie:

1. Upewnij się, że administrator skonfigurował urządzenie przy użyciu bezpiecznej enklawy jako metody uwierzytelniania i włączył klucz dostępu (FIDO2) dla organizacji.
2. Jako użytkownik sprawdź, czy włączono Portal firmy jako dostawca kluczy dostępu w ustawieniach urządzenia. Przejdź do aplikacji Ustawienia , opcji Hasła i Hasło i upewnij się, że aplikacja Portal firmy jest włączona.

Rozwiązywanie problemów z SSO w przeglądarce Microsoft Edge

Jeśli użytkownicy Edge napotykają problemy z SSO po rejestracji platformy SSO, sprawdź, czy użytkownik zalogował się do profilu Edge. Użytkownicy będą musieli zalogować się do swojego profilu przeglądarki Edge, aby SSO przeglądarki działało z przeglądarką Edge na zarejestrowanych urządzeniach z SSO platformy.

Rozwiązywanie problemów z logowaniem jednokrotnym w przeglądarce Google Chrome

Dla użytkowników z zainstalowanym rozszerzeniem Microsoft Single Sign On dla przeglądarki Google Chrome, ich przeglądarka powinna móc komunikować się z brokerem SSO Microsoft, zarówno w celu zapewnienia środowiska użytkownika SSO, jak i współpracy z zasadami dostępu warunkowego opartymi na urządzeniach. Jeśli użytkownicy nie mogą spełniać zasad dostępu warunkowego opartego na urządzeniach w przeglądarce Google Chrome, może wystąpić problem z instalacją aplikacji Company Portal, co może uniemożliwić komunikację przeglądarki Chrome z brokerem logowania jednokrotnego. Aby rozwiązać ten problem, należy wykonać następujące czynności:

1. Otwórz folder Applications na komputerze Mac
2. Kliknij prawym przyciskiem myszy aplikację Portal firmowy i wybierz polecenie Przenieś do kosza
3. Pobierz najnowszą wersję instalatora Company Portal z witryny https://go.microsoft.com/fwlink/?linkid=853070
4. Świeżo zainstaluj aplikację Portal firmy przy użyciu pobranego CompanyPortal-Installer.pkg

Sprawdź, czy problem został rozwiązany, sprawdzając istnienie tego pliku : ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

Alternatywnie możesz wdrożyć następujący skrypt za pomocą rozwiązania MDM lub innych narzędzi automatyzacji, aby skopiować plik JSON do właściwej lokalizacji. Ten skrypt powinien być uruchamiany w kontekście użytkownika dla każdego użytkownika, który napotyka problem z logowaniem jednokrotnym w przeglądarce Chrome:

#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it

# For Google Chrome (user-specific, default path)

if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos

if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

Ważne

Uwaga: ten problem jest spowodowany usterką dotyczącą sposobu instalowania lub aktualizowania Portal firmy w określonych okolicznościach. Ten problem zostanie rozwiązany w przyszłej aktualizacji Portalu firmy.

Zobacz też

• Dołącz urządzenie Mac do Microsoft Entra ID podczas pierwszego uruchomienia
• Dołącz urządzenie Mac do Microsoft Entra ID za pomocą Company Portal
• Wtyczka logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple
• Rozwiązywanie problemów z wtyczką rozszerzenia SSO Microsoft Enterprise na urządzeniach Apple