macOS 平台單一登入的已知問題與疑難排解（預覽）

本文概述 macOS 平台單一登入（PSSO）的目前已知問題和常見問題。 本文提供問題解決方案，並說明如何回報本文未涵蓋的問題。 本文另包含疑難排解指導。

要驗證的案例

在裝置上部署 PSSO 之後，您可以透過幾個驗證案例，確保部署成功。 如有任何問題，請參閱「回報問題」以取得進一步指示。

密碼變更事件

確認已透過自助式密碼重設（SSPR），成功將 Microsoft Entra ID 密碼的變更內容同步至本機電腦。 如果使用者的 Microsoft Entra ID 密碼在同步至 Mac 後有所變動，系統會提示使用者在 4 小時內輸入新密碼。

修復或移除裝置的 PSSO 註冊

本節概述如何根據 macOS 版本，從 Mac 裝置修復或移除 PSSO 註冊。

macOS 14

在 macOS 14 Sonoma 上，如有裝置註冊的問題，您可以修復現有的 PSSO 註冊。

1. 開啟「設定」應用程式，然後瀏覽至「使用者與群組」>「網路帳號伺服器」。
2. 選取「編輯」，然後選取「修復」。 您會完成與初始註冊程序相同的裝置註冊流程。

您也可以執行下列步驟來完全取消註冊裝置。

1. 開啟「公司入口網站」應用程式，然後瀏覽至 [喜好設定]。
2. 若要取消註冊裝置，請選取 [取消註冊]。

macOS 13

在 macOS 13 Ventura 上，如有裝置 PSSO 註冊的問題，或需要取消註冊裝置，請使用「公司入口網站」，並從您的組織移除裝置。

1. 開啟「公司入口網站」應用程式，然後瀏覽至 [喜好設定]。
2. 若要取消註冊裝置，請選取 [取消註冊]。

如果不小心取消註冊裝置，並需要重新註冊裝置，請參閱「在現成體驗期間，使用 Microsoft Entra ID 加入 Mac 裝置」或「使用公司入口網站加入 Mac 裝置與 Microsoft Entra ID」。

企業 SSO 外掛程式在系統更新之後無法啟用

將系統更新套用至裝置後，如果無法啟用企業 SSO 外掛程式，您必須重新啟動軟體更新精靈。

1. 開啟「終端機」應用程式，輸入以下命令來終止 swcd 流程。

   sudo killall swcd
   

2. 然後輸入以下命令來重設流程。

   sudo swcutil reset
   

密碼重設期間發出的臨時密碼無法與平台 SSO 同步

密碼重設期間發出的臨時密碼無法同步至本機裝置。 建議使用者透過 SSO 延伸模組，使用臨時密碼來完成密碼重設流程。

裝置移轉

確認先前註冊的裝置（在「鑰匙圈存取」中存有 Workplace Join 金鑰）在成功註冊 PSSO 裝置之後，會移除金鑰。

常見問題集

我是否能混合式聯結部署中使用 macOS PSSO？

否，只有 Microsoft Entra 聯結部署支援 macOS PSSO。 沒有任何方案支援混合式聯結部署，因為我們建議 Mac 使用者完全以雲端為基礎。

已知問題

密碼原則的複雜度不相符

我們已知一項問題，套用 MDM 設定所指定的本機密碼原則，其複雜度會高於用來登入電腦的 Microsoft Entra 帳戶。 在此情況下，Microsoft Entra ID 與本機電腦之間的密碼同步化作業將會失敗。

請確保在 MDM 設定期間，本機電腦與 Microsoft Entra ID 之間的密碼複雜度要求一致。

長時間執行的作業

macOS 14

如果無法順利透過「設定」應用程式註冊裝置，系統會在約 10 分鐘後重新顯示「裝置註冊」快顯，您可以再試一次。

macOS 13

裝置註冊需要數分鐘的時間完成。 如果裝置註冊失敗，請等候幾分鐘，並在出現提示時再試一次。

在註冊期間關閉 SSO 驗證提示對話方塊

如果關閉 SSO 驗證提示對話方塊來取消註冊流程，您需要從 Mac 裝置登出，然後再次登入。 成功登入后，註冊通知會重新出現並正常運作。

個別使用者 MFA 導致密碼同步失敗

如果使用者在設定 PSSO 的帳戶上啟用了個別使用者 MFA，您將無法在後續步驟中輸入 Microsoft Entra ID 登入資訊，進而導致錯誤。 若要避免此錯誤，系統管理員應確保已依照 Microsoft Entra ID 建議啟用「條件式存取 MFA」。 這會在註冊期間隱藏 MFA，以便順利完成密碼同步化。

因「檔案保險箱」復原或透過 MDM 進行復原而重設密碼之後，需要重新註冊 PSSO

由於「安全隔離區」金鑰受本機帳戶的密碼保護，因此在沒有提供此密碼的情況下重設密碼（例如「檔案保險箱」復原或透過 MDM 進行復原）後，系統將會重設「安全隔離區」。 重設「安全隔離區」後，將使先前為此帳戶儲存的金鑰無法取用。 遺失「安全隔離區」金鑰的裝置必須重新註冊，才能使用平台 SSO。

回報問題

如果無法順利使用 PSSO，您可以在「公司入口網站」中回報問題。

1. 開啟「公司入口網站」應用程式，然後瀏覽至 [說明]>[傳送診斷報告]。
2. [傳送診斷報告] 視窗隨即出現。 選取 [電子郵件記錄] 以傳送記錄。
3. 在關閉視窗之前，請記下您的事件識別碼。

您可以隨時開啟「終端機」應用程式，檢查機器上目前的 PSSO 狀態。 執行下列命令。

與我們連絡

我們很樂意聽取您的意見反應。 請務必包含下列資訊：

• Sysdiagnose 和診斷記錄
• 重現問題的步驟
• 適用時，請包含相關的螢幕擷取畫面和/或螢幕錄影

擷取 Sysdiagnose 和診斷記錄

1. 通過在終端中執行以下命令啟用偵錯記錄持續性。

   sudo log config --mode "level:debug,persist:debug" --subsystem com.apple.AppSSO"
   

2. 重現問題，以便為受影響的案例產生新的記錄。 請在您的問題報告中提供相關時間戳記，以協助記錄調查。

3. 透過在終端中執行以下命令擷取診斷資料。

   sudo sysdiagnose
   

疑難排解指南

權限不足

如果用戶沒有足夠權限完成 Microsoft Entra ID 聯結與註冊，則不會顯示錯誤訊息。 若要順利完成裝置聯結與註冊，便須將發起註冊流程的使用者加入允許清單。

1. 在 Microsoft Entra 系統管理中心中，瀏覽至 [身分識別]>[裝置]>[概觀]>[裝置設定]。
2. 在 Microsoft Entra ID 聯結與註冊設定底下，確保已選取 [全部] 選項（位於 [使用者可以將裝置加入 Microsoft Entra] 的切換選單中）。
3. 選取儲存以套用變更。

針對通行金鑰問題進行疑難排解

只有將「安全隔離區」設定為平台 SSO 的驗證方法時，才能選取「使用平台認證作為通行金鑰」選項。 請務必檢查下列事項：

1. 確保系統管理員已將您的裝置設定為使用「安全隔離區」作為驗證方法，並且已為您的組織啟用通行金鑰（FIDO2）。
2. 身為使用者，請檢查您是否已在裝置設定中，啟用「公司入口網站」作為通行金鑰供應商。 瀏覽至「設定」應用程式、[密碼] 和 [密碼] 選項，並確定已啟用「公司入口網站」。

針對 Google Chrome SSO 問題進行疑難排解

如果使用者已安裝 Google Chrome 的 Microsoft 單一登入延伸模組，則其 Chrome 瀏覽器應該能與 Microsoft SSO 代理程式通訊，以獲得 SSO 用戶體驗，並使用裝置型條件式存取原則。 如果使用者無法在 Google Chrome 中傳遞裝置型條件式存取原則，則「公司入口網站」應用程式的安裝方式可能會有問題，進而導致 Chrome 無法與 SSO 代理程式通訊。 請務必採取下列步驟來補救此問題：

1. 在 Mac 上開啟「應用程式」資料夾
2. 以滑鼠右鍵按一下「公司入口網站」應用程式，然後選擇「丟到垃圾桶」
3. 從 https://go.microsoft.com/fwlink/?linkid=853070 下載最新版本的「公司入口網站」安裝程式
4. 使用所下載的 CompanyPortal-Installer.pkg，全新安裝「公司入口網站」

檢查此檔案是否存在，以驗證問題是否已解決：~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

或者，您也可以透過 MDM 或其他自動化工具來部署下列指令碼，以便將 JSON 檔案複製到正確位置。 此指令碼應會在針對每位遇到 Chrome SSO 問題的使用者內容中執行：

#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it

# For Google Chrome (user-specific, default path)

if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/en-us/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos

if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

重要

注意事項：發生此問題的原因在於「公司入口網站」在特定情況下安裝或更新的方式所引起的錯誤。 此問題將在「公司入口網站」的日後更新中解決。

另請參閱

• 在現成體驗期間，使用 Microsoft Entra ID 加入 Mac 裝置
• 使用 公司入口網站 加入 Mac 裝置與 Microsoft Entra ID
• 適用於 Apple 裝置的 Microsoft 企業單一登入外掛程式
• 針對 Apple 裝置上的 Microsoft Enterprise SSO 擴充功能外掛程式進行疑難解答