Поделиться через

известные проблемы с единым входом в macOS Platform и устранение неполадок (предварительная версия)

В этой статье описываются текущие известные проблемы и распространенные вопросы с единым входом macOS Platform (PSSO). Он предоставляет решения и информацию о том, как сообщить о проблеме, которая не охвачена. В этой статье также содержатся рекомендации по устранению неполадок.

Сценарии для проверки

После развертывания PSSO на устройстве есть несколько сценариев проверки, которые можно выполнить, чтобы убедиться, что развертывание выполнено успешно. Если возникли проблемы, обратитесь к отчету о проблеме , чтобы получить дополнительные инструкции.

События изменения пароля

Убедитесь, что изменения пароля идентификатора Microsoft Entra, внесенные с помощью самостоятельного сброса пароля (SSPR), успешно синхронизируются с локальным компьютером. Если после синхронизации с Mac пароль пользователя в Microsoft Entra ID изменится, пользователю будет предложено ввести новый пароль в течение 4 часов.

Восстановление или удаление регистрации PSSO с устройства

В этом разделе описано, как восстановить или удалить регистрацию PSSO с устройства Mac в зависимости от версии macOS.

В macOS 14 Sonoma, если возникли проблемы с регистрацией устройства, можно восстановить существующую регистрацию PSSO.

  1. Откройте приложение "Параметры" и перейдите ксерверу учетных записей>.
  2. Нажмите кнопку "Изменить", а затем "Восстановить". Вы проходите через тот же процесс регистрации устройств, как и при первоначальной регистрации.

Вы также можете полностью отменить регистрацию устройства, выполнив следующие действия.

  1. Откройте приложение корпоративного портала и перейдите к меню "Параметры".
  2. Чтобы отменить регистрацию устройства, выберите "Отменить регистрацию".

Подключаемый модуль корпоративного единого входа не активируется после обновления системы.

Если подключаемый модуль единого входа Enterprise не активируется после применения обновлений системы к устройству, необходимо перезагрузить демон обновлений ПО.

  1. Откройте приложение Терминал и введите следующую команду, чтобы завершить процесс swcd.

    sudo killall swcd

  2. Затем введите следующую команду, чтобы сбросить процесс.

    sudo swcutil reset

URL-адреса проверки TLS, которые следует исключить для единого входа платформы

Убедитесь, что указанные ниже URL-адреса исключены из перехвата и проверки TLS, чтобы операции по получению и обновлению токена единого входа платформы могли успешно выполняться на целевых устройствах платформы.

  • app-site-association.cdn-apple.com
  • app-site-association.networking.apple
  • login.microsoftonline.com
  • login.microsoft.com
  • sts.windows.net
  • login.partner.microsoftonline.cn(*)
  • login.chinacloudapi.cn(*)
  • login.microsoftonline.us(*)
  • login-us.microsoftonline.com(*)
  • config.edge.skype.com(**)

Домены ассоциации приложений Apple критически важны для функционирования расширения единого входа. (*) Необходимо разрешить только домены национальных облачных служб, если они используются в вашей среде. (**) Поддержание связи со службой конфигурации экспериментов (ECS) гарантирует, что корпорация Майкрософт может своевременно реагировать на серьезную ошибку.

Замечание

Функция единого входа Platform SSO несовместима с ограничениями арендатора Microsoft Entra ID версии 2, когда ограничения арендатора внедряются с использованием корпоративного прокси-сервера. Альтернативный параметр указан в ограничении TRv2 Known

Временные пароли, выданные во время сброса пароля, не могут быть синхронизированы с единым входом платформы

Временные пароли, выданные во время сброса пароля, не могут быть синхронизированы с локальным устройством. Пользователям рекомендуется завершить процесс сброса пароля с использованием временного пароля через расширение единого входа.

Миграция устройства

Убедитесь, что ранее зарегистрированное устройство (с ключом присоединения к рабочему месту в keychain Access) удаляет ключ после успешной регистрации устройства PSSO.

Часто задаваемые вопросы

Можно ли использовать macOS PSSO в гибридном развертывании?

Нет, PSSO macOS поддерживается только в развертываниях, присоединенных к Microsoft Entra. Нет планов поддержки развертываний гибридных присоединений, так как рекомендуется, чтобы пользователи Mac перешли на полное использование облачных технологий.

Как изменить пароль при использовании единого входа платформы?

Пользователи могут изменить пароль, используя Сброс пароля Self-Service (SSPR) на своем устройстве.

Если SSPR выполняется на другом компьютере, пользователи могут войти на устройство Mac с помощью старого или нового пароля. Использование старого пароля разблокирует устройство, а затем пользователю предлагается ввести новый пароль для продолжения синхронизации данных. Использование нового пароля немедленно разблокирует устройство и синхронизирует данные.

Мы рекомендуем ИТ-администраторам использовать управляемые идентификаторы Apple , где это возможно, так как это дает организациям больше возможностей для управления паролями.

Что делать, если я забуду свой пароль?

Синхронизация паролей

Пользователи могут сбросить пароль на экране входа или на экране блокировки. Если пользователь получил временный пароль от ИТ-администратора, он должен использовать другое устройство для входа, настройте новый пароль и используйте этот новый пароль для входа на свое устройство. Дополнительные сведения см. в документации Apple по забытым паролям.

Это важно

В настоящее время существует известная проблема с PSSO, которая вызывает удаление регистрации во время восстановления и может предложить пользователям повторно зарегистрировать после восстановления. Это ожидаемое поведение.

ИТ-администраторы также должны включить восстановление Keyvault, чтобы обеспечить восстановление данных в случае забытого пароля. Дополнительные сведения см. в статье "Настройка единого входа платформы для устройств macOS в Microsoft Intune".

Замечание

Если устройство загрузится и есть шифрование FileVault, новый пароль Entra будет работать только в macOS15.

Безопасный анклав

Пользователи могут сбросить локальный пароль с помощью Apple ID или восстановительного ключа администратора.

Известные проблемы

Непредвиденные или частые запросы повторной регистрации в macOS Sequoia

Замечание

Последнее обновление о проблеме повторной регистрации PSSO в macOS 15.x описано ниже: Apple подтвердила, что исправление развернуто в macOS 15.3. Если пользователи по-прежнему сталкиваются с проблемой повторной регистрации в macOS 15.3+, обратитесь к Apple и поделитесь журналами с помощью поддержки Apple.

Существует известная проблема параллелизма в macOS 15+ (Sequoia), которая может привести к повреждению конфигурации устройства PSSO. Конфигурация устройства может быть повреждена одновременными обновлениями из системных процессов AppSSOAgent и AppSSODaemon. Поврежденная конфигурация приводит к тому, что операционная система запускает процесс восстановления повторной регистрации, что приводит к неожиданным запросам на регистрацию для пользователей.

Эта проблема в настоящее время расследуется Apple..

Журналы sysdiagnose от затронутых пользователей содержат следующую ошибку:

Error Domain=com.apple.PlatformSSO Code=-1001 "Error deserializing device config." UserInfo={NSLocalizedDescription=Error deserializing device config., NSUnderlyingError=0x9480343f0 {Error Domain=NSCocoaErrorDomain Code=3840 "Garbage at end around line 27, column 1." UserInfo={NSDebugDescription=Garbage at end around line 27, column 1., NSJSONSerializationErrorIndex=3052}}}

Мы рекомендуем пользователям и администраторам, которые сталкиваются с этой проблемой, сообщить об этой проблеме в Apple Care и обратиться в Apple для ее устранения.

Несоответствия в сложности политики кодов доступа

Существует известная проблема, из-за которой примененная конфигурация MDM указывает локальную политику паролей с более высокой степенью сложности, чем учетная запись Microsoft Entra, используемая для входа на компьютер. В этом случае операция синхронизации паролей между идентификатором Microsoft Entra и локальным компьютером завершается ошибкой.

Убедитесь, что во время настройки MDM требования к сложности паролей идентичны локальному компьютеру и идентификатору Microsoft Entra.

Длительные операции

Если регистрация устройства завершается ошибкой в приложении "Параметры", всплывающее окно "Регистрация устройства" снова появится через 10 минут, и вы можете повторить попытку.

Диалоговое окно проверки подлинности SSO было закрыто во время регистрации

Если вы отмените процесс регистрации, закрыв диалоговое окно запроса проверки подлинности единого входа, необходимо выйти из устройства Mac и снова войти. После успешного входа уведомление о регистрации снова появится и работает правильно.

Многофакторная проверка подлинности на уровне пользователя приводит к сбою синхронизации паролей

Если пользователь включил многофакторную аутентификацию на уровне пользователя в учетной записи, в которой настроен PSSO, вы не сможете ввести учетные данные Microsoft Entra ID на следующих шагах, что вызовет ошибку. Чтобы избежать этой ошибки, администраторам следует убедиться, что у них включён MFA условного доступа в соответствии с рекомендациями Microsoft Entra ID. Это запрещает многофакторную проверку подлинности во время регистрации, чтобы синхронизация паролей была успешно завершена.

Необходимость повторной регистрации PSSO после сброса пароля, инициированного через восстановление FileVault или через MDM.

Так как ключи защищенного анклава защищены паролем локальной учетной записи, сброс пароля, который происходит без ввода этого пароля (например, восстановление с помощью FileVault или на основе MDM), сбрасывает защищенный анклав. Сброс настроек безопасного анклава делает ключи, ранее сохраненные для этой учетной записи, недоступными. Устройства, у которых утрачены ключи безопасного анклава, необходимо повторно зарегистрировать для использования платформенного SSO.

Сообщение о проблеме

Если у вас возникли проблемы с PSSO, вы можете сообщить о них на корпоративном портале.

  1. Откройте приложение Company Portal и перейдите Справка>Отправить диагностический отчет.
  2. Откроется окно "Отправить диагностический отчет ". Выберите журналы электронной почты для отправки журналов.
  3. Запишите идентификатор инцидента перед закрытием окна.

Текущее состояние PSSO на компьютере можно проверить в любое время, открыв приложение терминала . Выполните следующую команду.

app-sso platform -s

Свяжитесь с нами

Мы хотели бы услышать ваши отзывы. Вы должны включить следующие сведения:

  • Журналы sysdiagnose и журналы диагностики
  • Действия по воспроизведению проблемы
  • Если применимо, включите соответствующие снимки экрана и /или записи

Сбор журналов sysdiagnose и диагностических логов

  1. Включите сохраняемость журналов отладки, выполнив следующую команду в терминале.

    sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"

  2. Воспроизвести проблему таким образом, чтобы новые логи создавались для затрагиваемого сценария. Укажите соответствующие метки времени в отчете о проблеме, чтобы способствовать анализу журналов.

  3. Получите диагностические данные, выполнив следующую команду в терминале.

    sudo sysdiagnose

  4. Сбросьте журналы отладки в параметры по умолчанию, выполнив следующую команду в приложении Терминал.

    sudo log config --reset --subsystem "com.apple.AppSSO"

Руководство по устранению неисправностей

Недостаточно прав

Если у пользователя недостаточно разрешений для завершения присоединения и регистрации идентификатора Microsoft Entra, сообщение об ошибке не отображается. Для успешного присоединения устройства и его регистрации, пользователь, инициирующий поток регистрации, должен быть включен в список разрешенных.

  1. В Центре администрирования Microsoft Entra перейдите к Entra ID>Обзор>.
  2. В разделе параметров присоединения и регистрации идентификатора Microsoft Entra убедитесь, что параметр All выбран в меню переключателя для пользователей, которые могут присоединить устройства к Microsoft Entra.
  3. Выберите Сохранить, чтобы применить изменения.

Устранение неполадок с секретным ключом

Параметр "Учетные данные платформы" как ключ доступа доступен только в том случае, если безопасная среда настроена в качестве метода проверки подлинности для единого входа в систему на платформе. Проверьте следующее:

  1. Убедитесь, что администратор настроил устройство с помощью Secure Enclave в качестве метода проверки подлинности и включил ключи доступа (FIDO2) для вашей организации.
  2. Как пользователь, убедитесь, что вы включили корпоративный портал в качестве поставщика ключей в параметрах устройства. Перейдите к приложению "Параметры ", " Пароли " и " Пароль" и убедитесь, что корпоративный портал включен.

Устранение неполадок SSO (Единого входа) в Microsoft Edge

Если пользователи Edge сталкиваются с проблемами единого входа после регистрации единого входа платформы, проверьте, выполнил ли пользователь вход в профиль Edge. Пользователям потребуется войти в свой профиль Edge для использования единого входа (SSO) браузера, чтобы работать с Edge на устройствах, зарегистрированных в системе единого входа платформы.

Устранение ошибок SSO в Google Chrome

Для пользователей, у которых установлено расширение Microsoft Single Sign On для Google Chrome, браузер Chrome должен иметь возможность взаимодействовать с брокером единого входа Microsoft как для обеспечения опыта единого входа (SSO), так и для работы с политиками условного доступа, основанными на устройствах. Если пользователи не могут соответствовать политикам условного доступа, основанным на устройствах, в Google Chrome, то, возможно, возникла проблема с установкой приложения Company Portal, что может помешать взаимодействию Chrome с брокером единого входа. Чтобы устранить эту проблему, выполните следующие действия.

  1. Открытие папки "Приложения " на Компьютере Mac
  2. Щелкните правой кнопкой мыши приложение корпоративного портала и выберите пункт "Переместить в корзину"
  3. Скачайте последнюю версию установщика корпоративного портала из https://go.microsoft.com/fwlink/?linkid=853070
  4. Установите заново Корпоративный портал, используя скачанный пакет CompanyPortal-Installer.pkg

Убедитесь, что проблема устранена, проверив наличие этого файла: ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

Кроме того, можно развернуть следующий скрипт с помощью MDM или других средств автоматизации, чтобы скопировать JSON-файл в правильное расположение. Этот скрипт должен выполняться в контексте пользователя для каждого пользователя, который испытывает проблему единого входа Chrome:

#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it

# For Google Chrome (user-specific, default path)

if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos

if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

Это важно

Примечание. Эта проблема связана с ошибкой при установке или обновлении корпоративного портала в определенных обстоятельствах. Эта проблема будет устранена в будущем обновлении корпоративного портала.

См. также