Problèmes connus liés à l’authentification unique de la plateforme macOS et résolution des problèmes (préversion)

Cet article décrit les problèmes connus actuels et les questions courantes en relation avec l’authentification unique de la plateforme (PSSO) macOS. Il fournit des solutions aux problèmes et des informations sur la façon de signaler un problème qui n’est pas couvert. Cet article contient également des informations sur la résolution des problèmes.

Scénarios à valider

Après avoir déployé la PSSO sur votre appareil, il existe quelques scénarios de validation que vous pouvez exécuter pour vous assurer que le déploiement est réussi. S’il existe des problèmes, reportez-vous à l’article Signaler un problème pour obtenir des instructions supplémentaires.

Événements de modification de mot de passe

Vérifiez que les modifications apportées au mot de passe Microsoft Entra ID par le biais de la réinitialisation de mot de passe en libre-service (SSPR) sont correctement synchronisées avec l’ordinateur local. Si le mot de passe Microsoft Entra ID d’un utilisateur change après la synchronisation avec le Mac, l’utilisateur est invité à entrer son nouveau mot de passe dans les 4 heures.

Réparer ou supprimer l’inscription PSSO d’un appareil

Cette section explique comment réparer ou supprimer l’inscription PSSO d’un appareil Mac, en fonction de la version de macOS.

macOS 14

Sur macOS 14 Sonoma, s’il existe des problèmes avec l’inscription de votre appareil, vous pouvez réparer l’inscription PSSO existante.

1. Ouvrez l’application Paramètres et accédez à Utilisateurs et groupes>Serveur de compte réseau.
2. Sélectionnez Modifier, puis Réparer. Vous êtes redirigé vers le même flux d’inscription d’appareil que lors de votre inscription initiale.

Vous pouvez également désinscrire complètement l’appareil en effectuant les étapes suivantes.

1. Ouvrez l’application Portail d’entreprise et accédez à Préférences.
2. Pour désinscrire l’appareil, sélectionnez Désinscrire.

macOS 13

Sur macOS 13 Ventura, s’il existe des problèmes avec l’inscription PSSO de votre appareil ou si vous devez désinscrire votre appareil, utilisez le Portail d’entreprise et supprimez l’appareil de votre organisation.

1. Ouvrez l’application Portail d’entreprise et accédez à Préférences.
2. Pour désinscrire l’appareil, sélectionnez Désinscrire.

Si vous avez désinscrit votre appareil à la suite d’une erreur et que vous devez le réinscrire, reportez-vous à Joindre un appareil Mac à Microsoft Entra ID pendant l’expérience prête à l’emploi ou Joindre un appareil Mac à Microsoft Entra ID à l’aide du Portail d’entreprise.

Le plug-in SSO de l’entreprise ne s’active pas après la mise à jour du système

Si le plug-in SSO de l’entreprise ne parvient pas à s’activer une fois que les mises à jour système sont appliquées à l’appareil, vous devez redémarrer le démon de mise à jour du logiciel.

1. Ouvrez l’application Terminal et entrez la commande suivante pour tuer le processus swcd.

   sudo killall swcd
   

2. Entrez ensuite la commande suivante pour réinitialiser le processus.

   sudo swcutil reset
   

Les mots de passe temporaires émis lors de la réinitialisation de mot de passe ne peuvent pas être synchronisés avec l’authentification unique de la plateforme

Les mots de passe temporaires émis lors de la réinitialisation du mot de passe ne peuvent pas être synchronisés avec l’appareil local. Les utilisateurs sont invités à effectuer le processus de réinitialisation de mot de passe à l’aide de leur mot de passe temporaire et de l’extension SSO.

Migration d’appareil

Vérifiez qu’un appareil précédemment inscrit (avec une clé Workplace Join dans Keychain Access) supprime la clé après l’inscription PSSO réussie de l’appareil.

Forum aux questions

Puis-je utiliser l’authentification unique de la plateforme macOS dans un déploiement de jointure hybride ?

Non, la PSSO macOS n’est prise en charge que dans les déploiements de jointure Microsoft Entra. Il n’existe aucun plan de prise en charge des déploiements de jointure hybride, car nous recommandons aux utilisateurs Mac de se baser entièrement sur le cloud.

Comment puis-je modifier mon mot de passe lors de l’utilisation de l’authentification unique plateforme ?

Les utilisateurs peuvent modifier leur mot de passe à l’aide de la réinitialisation de mot de passe en libre-service (SSPR) sur leur appareil.

Si SSPR est effectué sur un autre ordinateur, les utilisateurs sont autorisés à se connecter à l’appareil Mac à l’aide de l’ancien ou du nouveau mot de passe. L’ancien mot de passe déverrouille l’appareil, puis invite l’utilisateur à saisir le nouveau mot de passe pour continuer la synchronisation des données. L’utilisation du nouveau mot de passe déverrouille immédiatement l’appareil et synchronise les données.

Nous vous recommandons d’utiliser ID Apple géré dans la mesure du possible, car cela permet aux organisations d’utiliser davantage d’options pour la gestion des mots de passe.

Que dois-je faire si j’oublie mon mot de passe ?

Synchronisation de mot de passe

Si les utilisateurs se trouvent à l’écran de verrouillage ou à l’écran de connexion, ils peuvent réinitialiser leur mot de passe à partir de là. Si l’utilisateur a reçu un mot de passe temporaire d’un administrateur informatique, il doit utiliser un autre appareil pour se connecter, configurer un nouveau mot de passe et utiliser ce nouveau mot de passe pour se connecter à son propre appareil. Pour plus d’informations, consultez documentation d’Apple sur les mots de passe oubliés.

Important

Il existe actuellement un problème connu avec l’authentification unique qui provoque la suppression de l’inscription pendant la récupération et peut inviter les utilisateurs à se réinscrire après la récupération. Ce comportement est normal.

Les administrateurs informatiques doivent également activer la récupération de coffre de clés pour s’assurer que les données peuvent être récupérées en cas de mot de passe oublié. Pour en savoir plus, consultez Configurer l’authentification unique de plateforme pour les appareils macOS dans Microsoft Intune.

Remarque

Si l’appareil est démarré et qu’il existe un chiffrement FileVault, le nouveau mot de passe Entra fonctionne uniquement sur macOS15.

Secure Enclave

Les utilisateurs peuvent réinitialiser le mot de passe local via l’ID Apple ou une clé de récupération d’administrateur.

Problèmes connus

Incompatibilités de complexité de la stratégie de code secret

Il existe un problème connu où une configuration GPM appliquée spécifie une stratégie de mot de passe locale avec un degré de complexité plus élevé que le compte Microsoft Entra utilisé pour se connecter à l’ordinateur. Dans ce cas, l’opération de synchronisation de mot de passe entre Microsoft Entra ID et l’ordinateur local échoue.

Vérifiez que pendant la configuration GPM, les exigences de complexité du mot de passe sont identiques entre l’ordinateur local et Microsoft Entra ID.

Opérations de longue durée

macOS 14

Si l’inscription de l’appareil échoue via l’application Paramètres, la fenêtre contextuelle Inscription de l’appareil réapparaît après environ 10 minutes, et vous pouvez réessayer.

macOS 13

L’inscription de l’appareil peut prendre quelques minutes. Si l’inscription de l’appareil échoue, patientez quelques minutes et réessayez si vous y êtes invité.

La boîte de dialogue d’invite d’authentification SSO s’est fermée pendant que l’inscription était en cours

Si vous annulez le processus d’inscription en fermant la boîte de dialogue d’invite d’authentification SSO, vous devez vous déconnecter de votre appareil Mac et vous reconnecter. Une fois la connexion réussie, la notification d’inscription réapparaît et fonctionne correctement.

L’authentification multifacteur par utilisateur provoque un échec de la synchronisation de mot de passe

Si un utilisateur a activé l’authentification multifacteur par utilisateur sur le compte où la PSSO est en cours de configuration, vous ne pourrez pas entrer les informations d’identification Microsoft Entra ID dans les étapes suivantes, provoquant une erreur. Pour éviter cette erreur, les administrateurs doivent s’assurer d’avoir activé l’authentification multifacteur d’accès conditionnel conformément aux Recommandations relatives à Microsoft Entra ID. Cela supprime l’authentification multifacteur pendant l’inscription afin que la synchronisation de mot de passe puisse être effectuée avec succès.

Réinscription PSSO requise après la réinitialisation du mot de passe lancée à partir de la récupération FileVault ou de la récupération pilotée par la gestion des appareils mobiles

Étant donné que les clés d’enclave sécurisée sont protégées par le mot de passe de votre compte local, les réinitialisations de mot de passe qui se produisent sans fournir ce mot de passe (comme la récupération basée sur FileVault ou MDM) réinitialisent l’enclave sécurisée. La réinitialisation de l’enclave sécurisée affiche les clés précédemment stockées pour ce compte inaccessibles. Les appareils dont les clés d’enclave sécurisée ont été perdues doivent être réinscrits pour utiliser l’authentification unique de plateforme.

Signaler un problème

Si vous rencontrez des problèmes avec la PSSO, vous pouvez les signaler sur le Portail d’entreprise.

1. Ouvrez l’application Portail d’entreprise et accédez à Aide>Envoyer un rapport de diagnostic.
2. La fenêtre Envoyer un rapport de diagnostic s’affiche. Sélectionnez Journaux de messagerie pour envoyer les journaux d’activité.
3. Notez votre ID d’incident avant de fermer la fenêtre.

Vous pouvez vérifier l’état actuel de la PSSO sur votre ordinateur à tout moment en ouvrant l’application Terminal. Exécutez la commande suivante :

app-sso platform -s

Nous contacter

Nous aimerions recevoir vos commentaires. Veillez à inclure les informations suivantes :

• Journaux de diagnostic et sysdiagnose
• Étapes pour reproduire le problème
• Le cas échéant, incluez des captures d’écran et/ou des enregistrements pertinents

Capture des journaux de diagnostic et sysdiagnose

1. Activez la persistance des journaux de débogage en exécutant la commande suivante dans le Terminal.

   sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"
   

2. Reproduisez le problème, de sorte que de nouveaux journaux d’activité soient générés pour le scénario concerné. Fournissez des horodatages pertinents dans votre ticket pour faciliter l’examen des journaux.

3. Capturez les données de diagnostic en exécutant la commande suivante dans le Terminal.

   sudo sysdiagnose
   

4. Réinitialisez les journaux de débogage sur les paramètres par défaut en exécutant la commande suivante dans Terminal.

   sudo log config --reset --subsystem "com.apple.AppSSO"
   

Guide de résolution des problèmes

Autorisations insuffisantes

Si un utilisateur dispose d’autorisations insuffisantes pour terminer et l’inscription et la jointure à Microsoft Entra ID, aucun message d’erreur n’est affiché. Pour que l’inscription et la jointure de l’appareil se terminent correctement, l’utilisateur qui lance le flux d’inscription doit figurer sur la liste d’autorisation.

1. Dans le Centre d’administration Microsoft Entra, naviguez vers Identity>Appareils>Vue d’ensemble>Paramètres de l’appareil.
2. Sous Paramètres d’inscription et de jonction Microsoft Entra ID, assurez-vous que l’option Toutes est sélectionnée dans le menu à bascule de utilisateurs peuvent joindre des appareils à Microsoft Entra ID.
3. Sélectionnez Enregistrer pour appliquer la modification.

Résoudre les problèmes de clé d’accès

L’option Informations d’identification de la plateforme en tant que clé d’accès est disponible uniquement si Secure Enclave est configuré comme méthode d’authentification pour l’authentification unique de la plateforme. Vous devez vérifier ce qui suit :

1. Vérifiez que votre administrateur a configuré votre appareil avec Secure Enclave comme méthode d’authentification et a activé les clés d’accès (FIDO2) pour votre organisation.
2. En tant qu’utilisateur, vérifiez que vous avez activé le Portail d’entreprise en tant que fournisseur de clé d’accès dans les paramètres de votre appareil. Accédez à votre application Paramètres, Mots de passe et Options de mot de passe et vérifiez que le Portail d’entreprise est activé.

Résoudre les problèmes d’authentification unique Google Chrome

Si un(e) utilisateur(-trice) dispose de l’extension l’authentification unique Microsoft pour Google Chrome installée, son navigateur Chrome doit être en mesure de communiquer avec le répartiteur Microsoft SSO pour une expérience utilisateur d’authentification unique et pour utiliser des stratégies d’accès conditionnel basées sur l’appareil. Si les utilisateurs ne sont pas en mesure de passer les règles d’accès conditionnel basées sur l’appareil dans Google Chrome, il peut y avoir un problème avec la façon dont l’application du Portail d’entreprise a été installée, ce qui peut empêcher Chrome de communiquer avec le courtier SSO. Vous devez prendre les mesures suivantes pour remédier à ce problème :

1. Ouvrez le dossier Applications sur Mac
2. Cliquez avec le bouton droit sur l’application Portail d’entreprise et choisissez Déplacer vers la corbeille
3. Téléchargez la dernière version du programme d’installation du Portail d’entreprise à l’adresse suivante https://go.microsoft.com/fwlink/?linkid=853070
4. Installez le Portail d’entreprise à l’aide du CompanyPortal-Installer.pkgtéléchargé

Vérifiez que le problème a été résolu en vérifiant l’existence de ce fichier : ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

Vous pouvez également déployer le script suivant via votre GPM ou d’autres outils d’automatisation afin de copier le fichier JSON à l’emplacement approprié. Ce script doit être exécuté dans le contexte de l’utilisateur pour chaque utilisateur qui rencontre le problème d’authentification unique Chrome :

#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it

# For Google Chrome (user-specific, default path)

if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos

if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

Important

Remarque : ce problème est dû à un bogue lié à l’installation ou à la mise à jour du Portail d’entreprise dans certaines circonstances. Ce problème sera résolu dans une mise à jour ultérieure vers le Portail d’entreprise.

Voir aussi

• Joindre un appareil Mac à Microsoft Entra ID pendant l’expérience prête à l’emploi
• Joindre un appareil Mac à Microsoft Entra ID à l’aide du Portail d’entreprise
• Plug-in Microsoft Enterprise Single Sign-On pour les appareils Apple
• Résolution des problèmes liés au plug-in d’extension Microsoft Enterprise Single Sign-On sur les appareils Apple