Sdílet prostřednictvím

Známé problémy s jednotným přihlašováním a řešením potíží s platformou macOS (Preview)

  • Článek

Tento článek popisuje aktuální známé problémy a běžné dotazy týkající se jednotného přihlašování platformy macOS. (PSSO). Poskytuje řešení problémů a informace o tom, jak nahlásit problém, který není pokryt. Tento článek obsahuje také pokyny k řešení potíží.

Scénáře pro ověření

Po nasazení jednotného přihlašování na vaše zařízení existuje několik scénářů ověření, které můžete provést, abyste zajistili, že nasazení proběhlo úspěšně. Pokud dojde k nějakým problémům, projděte si další pokyny a nahlašte problém .

Události změny hesla

Ověřte, že se změny hesla Microsoft Entra ID provedené prostřednictvím samoobslužného resetování hesla (SSPR) úspěšně synchronizují do místního počítače. Pokud se heslo Microsoft Entra ID uživatele po synchronizaci s Mac změní, zobrazí se uživateli výzva k zadání nového hesla do 4 hodin.

Oprava nebo odebrání registrace jednotného přihlašování pomocí služby PSSO ze zařízení

Tato část popisuje, jak opravit nebo odebrat registraci jednotného přihlašování ze zařízení Mac v závislosti na verzi macOS.

Pokud v systému macOS 14 Sonoma dochází k problémům s registrací zařízení, můžete stávající registraci jednotného přihlašování opravit.

  1. Otevřete aplikaci Nastavení a přejděte na Server>.
  2. Vyberte Upravit a pak Opravit. Procházíte stejným tokem registrace zařízení jako při počáteční registraci.

Zařízení můžete také úplně zrušit provedením následujících kroků.

  1. Otevřete aplikaci Portál společnosti a přejděte na Předvolby.
  2. Pokud chcete zrušit registraci zařízení, vyberte Zrušit registraci.

Modul plug-in podnikového jednotného přihlašování se po aktualizaci systému neaktivuje

Pokud se modul plug-in Enterprise SSO po instalaci aktualizací systému na zařízení nepodaří aktivovat, měli byste proces démon aktualizace softwaru restartovat.

  1. Otevřete terminálovou aplikaci a zadáním následujícího příkazu proces ukončeteswcd.

    sudo killall swcd

  2. Potom zadejte následující příkaz, který proces resetuje.

    sudo swcutil reset

Dočasná hesla vydaná během resetování hesla nejde synchronizovat s jednotným přihlašováním platformy

Dočasná hesla vydaná během resetování hesla se nedají synchronizovat s místním zařízením. Uživatelům doporučujeme dokončit proces resetování hesla pomocí dočasného hesla pomocí rozšíření jednotného přihlašování.

Migrace zařízení

Ověřte, že dříve zaregistrované zařízení (s klíčem připojení k síti na pracovišti v přístupové klíčence) klíč po úspěšné registraci zařízení s jednotným přihlašováním k síti odebere.

Nejčastější dotazy

Můžu v nasazení hybridního připojení použít jednotné přihlašování k systému macOS?

Ne, jednotné přihlašování k macOS se podporuje jenom v nasazeních Microsoft Entra Join. Neexistují žádné plány podpory nasazení hybridního připojení, protože doporučujeme, aby uživatelé Systému Mac přešli plně do cloudu.

Jak můžu změnit heslo při použití jednotného přihlašování platformy?

Uživatelé můžou svoje heslo změnit pomocí samoobslužného resetování hesla (SSPR) na svém zařízení.

Pokud se samoobslužné resetování hesla provádí na jiném počítači, uživatelé se budou moct přihlásit k zařízení Mac pomocí starého nebo nového hesla. Když použijete staré heslo, zařízení se odemkne a vyzve uživatele, aby nové heslo pokračovalo v synchronizaci dat. Při použití nového hesla se zařízení odemkne a okamžitě se synchronizují data.

Doporučujeme, aby správci IT používali spravovaná Apple ID , pokud je to možné, aby organizace měli více možností správy hesel.

Co mám dělat, když zapomenem heslo?

Synchronizace hesla

Pokud jsou uživatelé na zamykací obrazovce nebo na přihlašovací obrazovce, můžou si heslo resetovat odsud. Pokud uživatel obdržel dočasné heslo od správce IT, měl by k přihlášení použít jiné zařízení, nastavte nové heslo a toto nové heslo použijte, abyste se přihlásili ke svému vlastnímu zařízení. Další informace najdete v dokumentaci společnosti Apple týkající se zapomenutých hesel.

Důležité

V současné době existuje známý problém s jednotným přihlašováním, který způsobuje odebrání registrace během obnovení a může uživatele vyzvat k opětovné registraci po obnovení. Toto chování je očekávané.

Správci IT by také měli povolit obnovení služby KeyVault, aby bylo možné obnovit data v případě zapomenutého hesla. Další informace najdete v tématu Konfigurace jednotného přihlašování platformy pro zařízení s macOS v Microsoft Intune.

Poznámka:

Pokud je zařízení spuštěné a existuje šifrování FileVault, nové heslo Entra bude fungovat pouze v macOS15.

Zabezpečení enklávy

Uživatelé můžou resetovat místní heslo prostřednictvím Apple ID nebo obnovovacího klíče správce.

Známé problémy

Neočekávané nebo časté výzvy k opětovné registraci v systému macOS Sequoia

V systému macOS 15+ (Sequoia) existuje známý problém souběžnosti, který může způsobit poškození konfigurace zařízení s jednotným přihlašováním. Konfigurace zařízení může být poškozena souběžnými aktualizacemi ze systémových procesů AppSSOAgent a AppSSODaemon. Poškozená konfigurace způsobí, že operační systém aktivuje tok nápravy opětovné registrace, což vede k neočekávaným výzvám k registraci pro uživatele.

Tento problém v současné době prošetřuje Apple a očekává se, že bude opraven v nadcházející aktualizaci operačního systému.

Protokoly Sysdiagnose od ovlivněných uživatelů obsahují následující chybu:

Error Domain=com.apple.PlatformSSO Code=-1001 "Error deserializing device config." UserInfo={NSLocalizedDescription=Error deserializing device config., NSUnderlyingError=0x9480343f0 {Error Domain=NSCocoaErrorDomain Code=3840 "Garbage at end around line 27, column 1." UserInfo={NSDebugDescription=Garbage at end around line 27, column 1., NSJSONSerializationErrorIndex=3052}}}

Doporučujeme uživatelům a správcům, kteří na tuto chybu narazí, založit problém se službou Apple Care a zapojit se s Applem, aby tento problém vyřešili.

Neshody složitosti zásad hesla

Existuje známý problém, kdy použitá konfigurace MDM určuje místní zásady hesel s vyšší mírou složitosti než účet Microsoft Entra použitý k přihlášení k počítači. V tomto případě selže operace synchronizace hesel mezi ID Microsoft Entra a místním počítačem.

Během konfigurace MDM se ujistěte, že požadavky na složitost hesla jsou stejné mezi místním počítačem a ID Microsoft Entra.

Dlouhotrvající operace

Pokud registrace zařízení selže prostřednictvím aplikace Nastavení, automaticky otevírané okno Registrace zařízení se zobrazí přibližně po 10 minutách a můžete to zkusit znovu.

Dialogové okno výzvy k ověření jednotného přihlašování se zavře při probíhající registraci

Pokud proces registrace zrušíte zavřením dialogového okna výzvy k ověření jednotného přihlašování, musíte se odhlásit ze zařízení Mac a znovu se přihlásit. Po úspěšném přihlášení se oznámení o registraci znovu zobrazí a funguje správně.

Vícefaktorové ověřování pro jednotlivé uživatele způsobí selhání synchronizace hesel.

Pokud má uživatel v účtu, ve kterém je nastavené jednotné přihlašování uživatele, povolené vícefaktorové ověřování, nebudete moct v dalších krocích zadat přihlašovací údaje Microsoft Entra ID, což způsobí chybu. Aby se zabránilo této chybě, měli by správci zajistit, aby měli povolené vícefaktorové ověřování podmíněného přístupu v souladu s doporučeními microsoft Entra ID. Tím se během registrace potlačí vícefaktorové ověřování, aby bylo možné úspěšně dokončit synchronizaci hesel.

Po resetování hesla iniciované obnovením FileVault nebo obnovením řízeném pomocí MDM se vyžaduje opětovné registrace jednotného přihlašování.

Protože zabezpečené klíče enklávy jsou chráněny heslem místního účtu, resetování hesel, ke kterým dochází bez poskytnutí tohoto hesla (jako je FileVault nebo obnovení založeného na MDM), resetuje zabezpečené enklávy. Resetováním zabezpečené enklávy se vykreslují klíče dříve uložené pro tento účet nepřístupný. Zařízení, jejichž zabezpečené klíče enklávy byly ztraceny, je nutné znovu zaregistrovat, aby bylo možné používat jednotné přihlašování platformy.

Oznámit problém

Pokud dochází k problémům s jednotným přihlašováním, můžete je nahlásit na Portál společnosti.

  1. Otevřete aplikaci Portál společnosti a přejděte do diagnostické sestavy>.
  2. Zobrazí se okno Odeslat diagnostickou sestavu . Výběrem možnosti E-mailové protokoly odešlete protokoly.
  3. Před zavřením okna si poznamenejte ID incidentu.

Aktuální stav jednotného přihlašování na vašem počítači můžete kdykoli zkontrolovat tak, že otevřete terminálovou aplikaci. Spusťte následující příkaz:

app-sso platform -s

Kontaktujte nás

Rádi bychom slyšeli vaši zpětnou vazbu. Měli byste zahrnout následující informace:

  • Sysdiagnose a diagnostické protokoly
  • Postup pro reprodukci problému
  • Pokud je to možné, uveďte relevantní snímky obrazovek nebo nahrávky.

Zachytávání diagnostických protokolů Sysdiagnose a diagnostických protokolů

  1. Spuštěním následujícího příkazu v terminálu povolte zachování protokolů ladění.

    sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"

  2. Reprodukujte problém, aby se pro ovlivněný scénář vygenerovaly nové protokoly. V sestavě problému uveďte příslušná časová razítka, která vám pomůžou při vyšetřování protokolu.

  3. Zachyťte diagnostická data spuštěním následujícího příkazu v terminálu.

    sudo sysdiagnose

  4. Resetujte protokoly ladění na výchozí nastavení spuštěním následujícího příkazu v terminálu.

    sudo log config --reset --subsystem "com.apple.AppSSO"

Příručka pro řešení problémů

Nedostatečná oprávnění

Pokud uživatel nemá dostatečná oprávnění k dokončení připojení a registrace ID Microsoft Entra, nezobrazí se žádná chybová zpráva. Aby se připojení a registrace zařízení úspěšně dokončily, musí být uživatel iniciující tok registrace povolený.

  1. V Centru pro správu Microsoft Entra přejděte na Nastavení>.
  2. V části Nastavení připojení a registrace ID Microsoft Entra se ujistěte, že je v přepínací nabídce pro uživatele vybraná možnost Vše, aby se zařízení připojila k Microsoft Entra.
  3. Výběrem možnosti Uložit se změny uplatní.

Řešení potíží s klíči

Přihlašovací údaje platformy jako klíč jsou k dispozici pouze v případě, že je zabezpečená enkláva nakonfigurovaná jako metoda ověřování pro jednotné přihlašování platformy. Měli byste zkontrolovat následující:

  1. Ujistěte se, že správce nastavil zařízení se zabezpečeným enklávou jako metodou ověřování a povolil klíče (FIDO2) pro vaši organizaci.
  2. Jako uživatel zkontrolujte, jestli jste v nastavení zařízení povolili Portál společnosti jako poskytovatele klíče. Přejděte do aplikace Nastavení, hesla a hesla a ujistěte se, že je povolená Portál společnosti.

Řešení potíží s jednotným přihlašováním Google Chrome

Pokud má uživatel nainstalované rozšíření Microsoft Jednotné přihlašování pro Google Chrome, měl by mít prohlížeč Chrome možnost komunikovat s zprostředkovatelem jednotného přihlašování Microsoftu pro uživatelské prostředí jednotného přihlašování a pracovat se zásadami podmíněného přístupu na základě zařízení. Pokud uživatelé nemůžou předávat zásady podmíněného přístupu na základě zařízení v Prohlížeči Google Chrome, může se jednat o problém s nainstalovaným Portál společnosti aplikací, což může zabránit komunikaci Chromu s zprostředkovatelem jednotného přihlašování. Pokud chcete tento problém napravit, měli byste provést následující kroky:

  1. Otevření složky Aplikace na Macu
  2. Klikněte pravým tlačítkem na aplikaci Portál společnosti a zvolte Přesunout do koše.
  3. Stáhněte si nejnovější verzi instalačního programu Portál společnosti zhttps://go.microsoft.com/fwlink/?linkid=853070
  4. Čerstvá instalace Portál společnosti pomocí staženého CompanyPortal-Installer.pkg

Ověřte, že se problém vyřešil, a to tak, že zkontrolujete existenci tohoto souboru: ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

Případně můžete pomocí MDM nebo jiných nástrojů pro automatizaci nasadit následující skript, který zkopíruje soubor JSON do správného umístění. Tento skript by se měl spustit v kontextu uživatele pro každého uživatele, který má problém s jednotným přihlašováním k Chromu:

#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it

# For Google Chrome (user-specific, default path)

if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos

if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

Důležité

Poznámka: Příčinou tohoto problému je chyba s tím, jak se Portál společnosti v určitých případech instaluje nebo aktualizuje. Tento problém bude vyřešen v budoucí aktualizaci Portál společnosti.

Viz také