Bekannte Probleme und Problembehandlung mit macOS Platform Single Sign-On (Preview)

Dieser Artikel beschreibt die derzeit bekannten Probleme und häufigen Fragen zu macOS Platform Single Sign-On (PSSO). Hier finden Sie Problemlösungen und Informationen darüber, wie Sie ein Problem melden können, das nicht abgedeckt ist. Außerdem enthält dieser Artikel Hinweise zur Problembehandlung.

Zu überprüfende Szenarien

Sobald PSSO auf Ihrem Gerät bereitgestellt wurde, gibt es einige Validierungsszenarien, die Sie ausführen können, um sicherzustellen, dass die Bereitstellung erfolgreich ist. Wenn Probleme auftauchen, finden Sie weitere Anweisungen unter Problem melden.

Kennwortänderungsereignisse

Vergewissern Sie sich, dass Änderungen am Microsoft Entra ID-Kennwort, die durch das Zurücksetzen des Kennworts per Self-Service (SSPR) vorgenommen wurden, erfolgreich mit dem lokalen Rechner synchronisiert wurden. Wenn sich das Microsoft Entra ID-Kennwort einer Benutzerin oder eines Benutzers nach der Synchronisierung mit dem Mac ändert, wird die Benutzerin oder der Benutzer aufgefordert, das neue Kennwort innerhalb von 4 Stunden einzugeben.

Reparieren oder Entfernen der PSSO-Registrierung von einem Gerät

In diesem Abschnitt wird beschrieben, wie Sie die PSSO-Registrierung von einem Mac-Gerät abhängig von der macOS-Version reparieren oder entfernen.

macOS 14

Unter macOS 14 Sonoma können Sie die vorhandene PSSO-Registrierung reparieren, wenn Probleme mit der Geräteregistrierung auftreten.

1. Öffnen Sie die Einstellungen-App, und navigieren Sie zu Benutzerkonten und Gruppen>Netzwerkkontoserver.
2. Wählen Sie Bearbeiten und dann Reparieren aus. Sie werden durch denselben Flow der Geräteregistrierung geführt wie bei der ersten Registrierung.

Sie können das Gerät auch vollständig abmelden, indem Sie die folgenden Schritte ausführen.

1. Öffnen Sie die Unternehmensportal-App und navigieren Sie zu Einstellungen.
2. Um das Gerät abzumelden, wählen Sie Registrierung aufheben aus.

macOS 13

Wenn es unter macOS 13 Ventura Probleme mit der PSSO-Registrierung Ihres Geräts gibt oder Sie Ihr Gerät abmelden müssen, verwenden Sie das Unternehmensportal und entfernen das Gerät aus Ihrer Organisation.

1. Öffnen Sie die Unternehmensportal-App und navigieren Sie zu Einstellungen.
2. Um das Gerät abzumelden, wählen Sie Registrierung aufheben aus.

Wenn Sie die Registrierung Ihres Geräts aufgrund eines Fehlers aufgehoben haben, lesen Sie Beitreten eines Mac-Geräts mit Microsoft Entra ID während der Out-of-the-Box-Erfahrung oder Beitreten eines Mac-Geräts mit Microsoft Entra ID mithilfe des Unternehmensportals, um das Gerät erneut zu registrieren.

SSO-Plug-In (Enterprise Single Sign-On) wird nach dem Systemupdate nicht aktiviert

Wenn das Enterprise SSO-Plugin nicht aktiviert werden kann, nachdem Systemaktualisierungen auf das Gerät angewendet wurden, sollten Sie den Softwareupdate-Daemon neu starten.

1. Öffnen Sie die Terminal-App, und geben Sie den folgenden Befehl ein, um den swcd-Prozess zu beenden.

   sudo killall swcd
   

2. Geben Sie dann den folgenden Befehl ein, um den Prozess zurückzusetzen.

   sudo swcutil reset
   

Temporäre Kennwörter, die während der Kennwortzurücksetzung ausgegeben wurden, können nicht mit Platform SSO synchronisiert werden.

Temporäre Kennwörter, die während der Kennwortzurücksetzung ausgegeben wurden, können nicht mit dem lokalen Gerät synchronisiert werden. Benutzerinnen und Benutzern wird empfohlen, den Kennwortzurücksetzungsprozess mit ihrem temporären Kennwort mithilfe der SSO-Erweiterung abzuschließen.

Gerätemigration

Vergewissern Sie sich, dass ein zuvor registriertes Gerät (mit einem Workplace Join-Schlüssel im Schlüsselbundzugriff) den Schlüssel nach erfolgreicher PSSO-Geräteregistrierung entfernt.

Häufig gestellte Fragen

Kann ich macOS PSSO in einer Hybridbeitrittsbereitstellung verwenden?

Nein, macOS PSSO wird nur in Microsoft Entra Join-Bereitstellungen unterstützt. Es gibt keine Pläne zur Unterstützung von Hybridbeitrittsbereitstellungen, da wir empfehlen, dass Mac-Benutzerinnen und -Benutzer vollständig cloudbasiert arbeiten.

Wie kann ich mein Kennwort ändern, wenn ich Plattform-SSO verwende?

Benutzer können ihr Kennwort mithilfe der Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) auf ihrem Gerät ändern.

Wenn SSPR auf einem anderen Computer ausgeführt wird, können sich Benutzer entweder mit dem alten oder dem neuen Kennwort beim Mac-Gerät anmelden. Wenn Sie das alte Kennwort verwenden, wird das Gerät entsperrt und der Benutzer wird aufgefordert, das neue Kennwort einzugeben, um die Daten-Synchronisierung fortzusetzen. Durch die Verwendung des neuen Kennworts wird das Gerät entsperrt und Daten sofort synchronisiert.

Es wird empfohlen, dass IT-Administratoren verwalteten Apple-IDs verwenden, da dies Organisationen weitere Optionen zur Kennwortverwaltung bietet.

Was soll ich tun, wenn ich mein Kennwort vergessen habe?

Kennwortsynchronisierung

Benutzer können ihr Kennwort auf dem Anmeldebildschirm oder sperrbildschirm zurücksetzen. Wenn der Benutzer ein temporäres Kennwort von einem IT-Administrator erhalten hat, sollte er ein anderes Gerät zum Anmelden verwenden, ein neues Kennwort vergeben und dieses Kennwort verwenden, um sich bei seinem eigenen Gerät anzumelden. Weitere Informationen finden Sie in der Dokumentation von Apple zu vergessenen Kennwörtern.

Wichtig

Es gibt derzeit ein bekanntes Problem mit PSSO, das das Entfernen der Registrierung während der Wiederherstellung verursacht und möglicherweise Benutzer dazu auffordert, sich nach der Wiederherstellung erneut zu registrieren. Dieses Verhalten wird erwartet.

IT-Administratoren sollten auch die Keyvault-Wiederherstellung aktivieren, um sicherzustellen, dass Daten im Falle eines vergessenen Kennworts wiederhergestellt werden können. Weitere Informationen finden Sie unter Plattform-SSO für macOS-Geräte konfigurieren in Microsoft Intune.

Hinweis

Wenn das Gerät gestartet wird und eine FileVault-Verschlüsselung vorhanden ist, funktioniert das neue Entra-Kennwort nur unter macOS15.

Secure Enclave

Benutzer können das lokale Kennwort über die Apple-ID oder mithilfe eines Administratorwiederherstellungsschlüssels zurücksetzen.

Bekannte Probleme

Unerwartete/häufige Aufforderungen zur erneuten Registrierung unter macOS Sequoia

Hinweis

Neuestes Update zum PSSO-Neuregistrierungsproblem, das unten beschrieben ist: Apple bestätigte, dass der Fix in macOS 15.3 bereitgestellt ist. Wenn benutzer weiterhin das Problem mit der erneuten Registrierung unter macOS 15.3+ feststellen, wenden Sie sich bitte an Apple, und teilen Sie die Protokolle über den Apple-Support.

Es gibt ein bekanntes Parallelitätsproblem unter macOS 15+ (Sequoia), das dazu führen kann, dass die PSSO-Gerätekonfiguration beschädigt wird. Die Gerätekonfiguration kann durch gleichzeitige Updates aus den Prozessen "AppSSOAgent" und "AppSSODaemon" beschädigt werden. Die beschädigte Konfiguration bewirkt, dass das Betriebssystem den Erneutregistrierungs-Wartungsfluss auslöst, was zu unerwarteten Registrierungsaufforderungen für Benutzer führt.

Dieses Problem wird derzeit von Apple untersucht.

Sysdiagnoseprotokolle betroffener Benutzer enthalten den folgenden Fehler:

Error Domain=com.apple.PlatformSSO Code=-1001 "Error deserializing device config." UserInfo={NSLocalizedDescription=Error deserializing device config., NSUnderlyingError=0x9480343f0 {Error Domain=NSCocoaErrorDomain Code=3840 "Garbage at end around line 27, column 1." UserInfo={NSDebugDescription=Garbage at end around line 27, column 1., NSJSONSerializationErrorIndex=3052}}}

Wir empfehlen Benutzern und Administratoren, die auf diesen Fehler stoßen, ein Apple Care-Problem zu übermitteln und sich mit Apple zu beschäftigen, um das Problem zu beheben.

Komplexitätskonflikt für Passcode-Richtlinien

Es gibt ein bekanntes Problem, bei dem eine angewandte MDM-Konfiguration eine lokale Kennwort-Richtlinie mit einem höheren Komplexitätsgrad angibt als das Microsoft Entra-Konto, das für die Anmeldung am Rechner verwendet wird. In diesem Fall schlägt der Vorgang der Synchronisierung des Kennworts zwischen Microsoft Entra ID und dem lokalen Rechner fehl.

Stellen Sie bei der MDM-Konfiguration sicher, dass die Komplexitätanforderungen des Kennworts auf dem lokalen Rechner und der Microsoft Entra ID identisch sind.

Vorgänge mit langer Ausführung

macOS 14

Wenn die Geräteregistrierung über die Anwendung Einstellungen fehlschlägt, erscheint das Popup-Fenster „Geräteregistrierung“ nach etwa 10 Minuten erneut, und Sie können es erneut versuchen.

macOS 13

Die Geräteregistrierung kann einige Minuten dauern. Wenn die Geräteregistrierung fehlschlägt, warten Sie ein paar Minuten und versuchen Sie es erneut, wenn Sie dazu aufgefordert werden.

Der Dialog zur SSO-Authentifizierung wurde geschlossen, während die Registrierung ausgeführt wurde

Wenn Sie den Registrierungsprozess abbrechen, indem Sie das Dialogfeld zur SSO-Authentifizierung schließen, müssen Sie sich von Ihrem Mac-Gerät abmelden und erneut anmelden. Nach einer erfolgreichen Anmeldung erscheint die Registrierungsbenachrichtigung wieder und funktioniert ordnungsgemäß.

MFA pro Benutzer verursacht Kennwortsynchronisierungsfehler

Wenn für ein Benutzerkonto MFA pro Benutzerkonto in dem Konto aktiviert ist, in dem PSSO eingerichtet ist, können Sie in den nächsten Schritten keine Microsoft Entra ID-Anmeldeinformationen eingeben, was zu einem Fehler führt. Um diesen Fehler zu vermeiden, sollten Admins sicherstellen, dass sie MFA für den bedingten Zugriff gemäß den Empfehlungen von Microsoft Entra ID aktiviert haben. Dies unterdrückt MFA während der Anmeldung, so dass die Synchronisierung der Kennwörter erfolgreich abgeschlossen werden kann.

PSSO-Neuregistrierung erforderlich, nachdem die Kennwortzurücksetzung von der FileVault-Wiederherstellung oder der MDM-gesteuerten Wiederherstellung initiiert wurde

Da Sichere Enklave-Schlüssel durch Ihr lokales Kontokennwort geschützt sind, führen Kennwortzurücksetzungen, die ohne Angabe dieses Kennworts erfolgen (z. B. FileVault- oder MDM-basierte Wiederherstellung), zu einem Zurücksetzen der Sicheren Enklave. Nach dem Zurücksetzen von Secure Enclave ist der Zugriff auf Schlüssel, die zuvor für dieses Konto gespeichert wurden, nicht mehr möglich. Geräte, deren Schlüssel für sichere Enklaven verloren gehen, müssen für die Verwendung von Platform SSO erneut registriert werden.

Melden eines Problems

Wenn Sie Probleme mit PSSO haben, können Sie diese im Unternehmensportal melden.

1. Öffnen Sie die Unternehmensportal-App, und navigieren Sie zu Hilfe>Diagnosebericht senden.
2. Es wird ein Fenster zum Senden von Diagnoseberichten angezeigt. Wählen Sie E-Mail-Protokolle aus, um die Protokolle zu senden.
3. Notieren Sie sich Ihre Vorfall-ID, bevor Sie das Fenster schließen.

Sie können den aktuellen PSSO-Zustand auf Ihrem Computer jederzeit überprüfen, indem Sie die Terminal-App öffnen. Führen Sie den folgenden Befehl aus.

app-sso platform -s

Kontakt

Wir freuen uns über Ihr Feedback! Sie sollten dabei unbedingt die folgenden Informationen angeben:

• Sysdiagnose- und Diagnoseprotokolle
• Schritte zum Reproduzieren des Problems
• Gegebenenfalls relevante Screenshots und/oder Aufzeichnungen einschließen

Erfassen von Sysdiagnose- und Diagnoseprotokollen

1. Aktivieren Sie die Persistenz von Debugprotokollen, indem Sie den folgenden Befehl in Terminal ausführen.

   sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"
   

2. Reproduzieren Sie das Problem, so dass neue Protokolle für das betroffene Szenario generiert werden. Stellen Sie relevante Zeitstempel in Ihrem Problembericht bereit, um die Untersuchung zu protokollieren.

3. Erfassen Sie Diagnosedaten, indem Sie den folgenden Befehl im Terminal ausführen.

   sudo sysdiagnose
   

4. Setzen Sie die Debugprotokolle auf die Standardeinstellungen zurück, indem Sie den folgenden Befehl im Terminal ausführen.

   sudo log config --reset --subsystem "com.apple.AppSSO"
   

Handbuch zur Problembehandlung

Insufficient permissions

Wenn eine Benutzerin oder ein Benutzer über unzureichende Berechtigungen zum Abschließen der Teilnahme und Registrierung von Microsoft Entra ID verfügt, wird keine Fehlermeldung angezeigt. Damit der Gerätebeitritt und die Registrierung erfolgreich abgeschlossen werden können, muss die Benutzerin oder der Benutzer, die bzw. der den Registrierungsablauf initiiert, auf die Positivliste gesetzt werden.

1. Navigieren Sie im Microsoft Entra Admin Centerzu Identität>Geräte>Übersicht>Geräteeinstellungen.
2. Stellen Sie unter den Anmelde- und Registrierungseinstellungen von Microsoft Entra ID sicher, dass die Option Alle im Umschaltmenü Benutzerinnen und Benutzer können eine Verknüpfung zwischen Geräten und Microsoft Entra herstellen ausgewählt ist.
3. Klicken Sie auf Speichern, um die Änderungen zu übernehmen.

Behandeln von Passkey-Problemen

Die Option Platform Credential as Passkey ist nur verfügbar, wenn Secure Enclave als Authentifizierungsmethode für Platform SSO konfiguriert ist. Sie sollten Folgendes überprüfen:

1. Stellen Sie sicher, dass Ihr Administrator Ihr Gerät mit Secure Enclave als Authentifizierungsmethode eingerichtet hat und dass aktivierte Passkeys (FIDO2) für Ihre Organisationverwendet werden.
2. Überprüfen Sie mit einem Benutzerkonto, ob Sie das Unternehmensportal als Passkey-Anbieter in Ihren Geräteeinstellungen aktiviert haben. Navigieren Sie in Ihrer Einstellungen-App zu Kennwörter und Kennwortoptionen, und stellen Sie sicher, dass das Unternehmensportal aktiviert ist.

Fehlerbehebung bei Problemen mit der Microsoft Edge SSO

Wenn Edge-Benutzer nach der Plattform-SSO-Registrierung SSO-Probleme haben, überprüfen Sie, ob sich der Benutzer beim Edgeprofil angemeldet hat. Benutzer müssen sich bei ihrem Edge-Profil für die Browser-SSO anmelden, damit das Edge auf plattform-SSO-registrierten Geräten funktioniert.

Behandeln von Problemen mit Google Chrome SSO

Für Benutzer mit der Microsoft Single Sign On Erweiterung für Google Chrome installiert, sollte ihr Chrome-Browser mit dem Microsoft SSO-Broker sowohl für eine SSO-Benutzererfahrung als auch für die Arbeit mit gerätebasierten Richtlinien für bedingten Zugriff kommunizieren können. Wenn Benutzer keine gerätebasierten Richtlinien für bedingten Zugriff in Google Chrome übergeben können, gibt es möglicherweise ein Problem mit der Installation der Unternehmensportalanwendung, wodurch die Kommunikation von Chrome mit dem SSO-Broker verhindert werden kann. Führen Sie die folgenden Schritte aus, um dieses Problem zu beheben:

1. Öffnen Sie den Ordner Anwendungen auf dem Mac
2. Klicken Sie mit der rechten Maustaste auf die Unternehmensportalanwendung, und wählen Sie In Papierkorb verschieben aus.
3. Laden Sie die neueste Version des Installationsprogramms des Unternehmensportals von https://go.microsoft.com/fwlink/?linkid=853070 herunter.
4. Installieren Sie das Unternehmensportal mit dem heruntergeladenen CompanyPortal-Installer.pkg.

Überprüfen Sie, ob das Problem behoben ist, indem Sie überprüfen, ob diese Datei vorhanden ist: ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

Alternativ können Sie das folgende Skript über Ihre MDM oder andere Automatisierungstools bereitstellen, um die JSON-Datei an den richtigen Speicherort zu kopieren. Dieses Skript sollte im Kontext des Benutzers für jeden Benutzer ausgeführt werden, bei dem das Chrome SSO-Problem auftritt:

#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it

# For Google Chrome (user-specific, default path)

if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos

if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

Wichtig

Hinweis: Dieses Problem liegt an einem Fehler bei der Installation oder Aktualisierung des Unternehmensportals unter bestimmten Umständen. Dieses Problem wird in einem zukünftigen Update des Unternehmensportals behoben.

Weitere Informationen

• Einbinden eines Mac-Geräts in Microsoft Entra ID während der Out-of-Box-Experience
• Einbinden eines Mac-Geräts in Microsoft Entra ID mithilfe des Unternehmensportals
• Microsoft Enterprise SSO-Plug-In für Apple-Geräte
• Problembehandlung für das Microsoft Enterprise SSO-Erweiterungs-Plug-In auf Apple-Geräten