Problemi noti relativi all'accesso Single Sign-On di macOS Platform (anteprima)

Questo articolo descrive i problemi noti e le domande comuni correnti sull'accesso Single Sign-On (PSSO) di macOS Platform. Fornisce soluzioni ai problemi e informazioni su come segnalare un problema che non è trattato. In questo articolo sono incluse anche delle indicazioni sulla risoluzione dei problemi.

Scenari da convalidare

Dopo aver distribuito PSSO sul tuo dispositivo, puoi eseguire alcuni scenari di convalida per assicurarti che la distribuzione sia riuscita. In caso di problemi, vedere segnalare un problema per altre istruzioni.

Eventi di modifica della password

Verificare che le modifiche apportate alla password di Microsoft Entra ID tramite la reimpostazione della password self-service (SSPR) siano state sincronizzate correttamente con il computer locale. Se la password di Microsoft Entra ID di un utente cambia dopo la sincronizzazione con il Mac, all'utente viene richiesto di immettere la nuova password entro 4 ore.

Ripristinare o rimuovere la registrazione PSSO da un dispositivo

Questa sezione illustra come ripristinare o rimuovere la registrazione PSSO da un dispositivo Mac, a seconda della versione di macOS.

macOS 14

In macOS 14 Sonoma, se si verificano problemi con la registrazione del dispositivo, è possibile ripristinare la registrazione PSSO esistente.

1. Aprire l'app Impostazioni e passare a Utenti e gruppi>Server account di rete.
2. Selezionare Modifica, quindi Ripristina. Viene eseguito lo stesso flusso di registrazione del dispositivo durante la registrazione iniziale.

È anche possibile annullare la registrazione completa del dispositivo seguendo questa procedura.

1. Aprire l'app Portale aziendale e passare a Preferenze.
2. Per annullare la registrazione del dispositivo, selezionare Annulla registrazione.

macOS 13

In macOS 13 Ventura, in caso di problemi con la registrazione PSSO del dispositivo o se è necessario annullare la registrazione del dispositivo, usare Portale aziendale e rimuovere il dispositivo dall'organizzazione.

1. Aprire l'app Portale aziendale e passare a Preferenze.
2. Per annullare la registrazione del dispositivo, selezionare Annulla registrazione.

Se hai annullato la registrazione del tuo dispositivo a causa di un errore, fai riferimento a Unisci un dispositivo Mac con l'ID Microsoft Entra durante l'esperienza fuori dalla scatola o Unisci un dispositivo Mac con Microsoft Entra ID usando il Portale aziendale per registrare nuovamente il dispositivo.

Il plug-in Enterprise Single Sign-On (SSO) non viene attivato dopo l'aggiornamento del sistema

Se il plug-in Enterprise SSO non riesce ad attivarsi dopo l'applicazione degli aggiornamenti di sistema al dispositivo, è necessario riavviare il daemon di aggiornamento del software.

1. Aprire l'app Terminale e immettere il comando seguente per terminare il processo di swcd.

   sudo killall swcd
   

2. Immettere quindi il comando seguente per reimpostare il processo.

   sudo swcutil reset
   

Le password temporanee rilasciate durante la reimpostazione della password non possono essere sincronizzate con Platform SSO

Le password temporanee rilasciate durante la reimpostazione della password non possono essere sincronizzate con il dispositivo locale. Gli utenti sono invitati a completare il processo di reimpostazione della password usando la password temporanea usando l'estensione SSO.

Migrazione dei dispositivi

Verificare che un dispositivo registrato in precedenza (con una chiave di aggiunta all'area di lavoro in Accesso Keychain) rimuova la chiave dopo la corretta registrazione del dispositivo PSSO.

Domande frequenti

È possibile usare macOS PSSO in una distribuzione di aggiunta ibrida?

No, macOS PSSO è supportato solo nelle distribuzioni di join di Microsoft Entra. Non sono previsti piani per supportare le distribuzioni di join ibrido, perché è consigliabile che gli utenti Mac siano completamente basati sul cloud.

Come è possibile modificare la password quando si usa l'accesso Single Sign-On di Platform?

Gli utenti possono modificare la password usando la reimpostazione della password self-service (SSPR) nel dispositivo.

Se la reimpostazione della password self-service viene effettuata su un altro computer, gli utenti possono usare la vecchia o la nuova password per accedere al dispositivo Mac. L'uso della vecchia password sblocca il dispositivo e quindi richiede all'utente di immettere la nuova password per continuare a sincronizzare i dati. L'uso della nuova password sblocca immediatamente il dispositivo e sincronizza i dati.

È consigliabile che gli amministratori IT usino gli ID Apple gestiti, se possibile, in quanto offrono alle organizzazioni più opzioni per la gestione delle password.

Cosa devo fare se dimentico la mia password?

Sincronizzazione delle password

Gli utenti possono reimpostare la password nella schermata di accesso o nella schermata di blocco. Se l'utente ha ricevuto una password temporanea da un amministratore IT, deve usare un altro dispositivo per accedere, configurare una nuova password e usare tale nuova password in per accedere al proprio dispositivo. Per altre info, vedere documentazione di Apple sulle password dimenticate.

Importante

Esiste attualmente un problema noto con PSSO che causa la rimozione della registrazione durante il ripristino e potrebbe richiedere agli utenti di ripetere la registrazione dopo il ripristino. Si tratta di un comportamento previsto.

Gli amministratori IT dovrebbero abilitare anche il ripristino del Keyvault per garantire che i dati possano essere recuperati in caso di password smarrita. Per altre informazioni, vedere Configurare l'accesso Single Sign-On della piattaforma per i dispositivi macOS in Microsoft Intune.

Nota

Se il dispositivo viene avviato ed è presente la crittografia FileVault, la nuova password Entra funzionerà solo su macOS15.

Enclave sicura

Gli utenti possono reimpostare la password locale tramite ID Apple o una chiave di ripristino amministratore.

Problemi noti

Richieste di registrazione impreviste/frequenti su macOS Sequoia

Esiste un problema di concorrenza noto in macOS 15+ (Sequoia) che può causare il danneggiamento della configurazione del dispositivo PSSO. La configurazione del dispositivo può essere danneggiata da aggiornamenti simultanei dai processi AppSSOAgent e AppSSODaemon di sistema. La configurazione danneggiata induce il sistema operativo ad attivare il flusso di correzione per la ri-registrazione, portando a richieste di registrazione inattese per gli utenti.

Questo problema è attualmente in corso di analisi da Apple.

I log sysdiagnose degli utenti interessati contengono l'errore seguente:

Error Domain=com.apple.PlatformSSO Code=-1001 "Error deserializing device config." UserInfo={NSLocalizedDescription=Error deserializing device config., NSUnderlyingError=0x9480343f0 {Error Domain=NSCocoaErrorDomain Code=3840 "Garbage at end around line 27, column 1." UserInfo={NSDebugDescription=Garbage at end around line 27, column 1., NSJSONSerializationErrorIndex=3052}}}

Invitiamo gli utenti e gli amministratori che riscontrano questo errore a inviare un problema di Apple Care e a contattare Apple per risolvere il problema.

Mancata corrispondenza della complessità dei criteri passcode

Esiste un problema noto in cui una configurazione MDM applicata specifica un criterio password locale con un livello di complessità superiore rispetto all'account Microsoft Entra usato per accedere al computer. In questo caso, l'operazione di sincronizzazione delle password tra Microsoft Entra ID e il computer locale ha esito negativo.

Assicurarsi che durante la configurazione MDM i requisiti di complessità delle password siano identici tra il computer locale e l'ID Microsoft Entra.

Operazioni a esecuzione prolungata

macOS 14

Se la registrazione del dispositivo non riesce tramite l'applicazione Impostazioni, il popup Registrazione dispositivo verrà visualizzato di nuovo dopo circa 10 minuti e sarà possibile riprovare.

macOS 13

Il completamento della registrazione del dispositivo può richiedere alcuni minuti. Se la registrazione del dispositivo non riesce, attendere alcuni minuti e riprovare se richiesto.

Finestra di dialogo di richiesta di autenticazione SSO chiusa mentre la registrazione è in corso

Se si annulla il processo di registrazione chiudendo la finestra di dialogo di richiesta di autenticazione SSO, è necessario disconnettersi dal dispositivo Mac e accedere di nuovo. Al termine dell'accesso, la notifica di registrazione viene nuovamente visualizzata e funziona correttamente.

L'autenticazione a più fattori per utente causa un errore di sincronizzazione delle password

Se un utente ha abilitato l'autenticazione a più fattori per utente nell'account in cui è in corso la configurazione di PSSO, non sarà possibile immettere le credenziali di Microsoft Entra ID nei passaggi successivi, causando un errore. Per evitare questo errore, gli amministratori devono assicurarsi che l'autenticazione a più fattori di accesso condizionale sia abilitata in base alle raccomandazioni relative a Microsoft Entra ID. Questa operazione elimina l'autenticazione a più fattori durante la registrazione in modo che la sincronizzazione delle password possa essere completata correttamente.

Registrazione PSSO necessaria dopo la reimpostazione della password avviata dal ripristino di FileVault o dal ripristino basato su MDM

Poiché le chiavi dell'Enclave Sicura sono protette dalla password del tuo account locale, le reimpostazioni della password che si verificano senza fornire questa password (come nel caso di FileVault o del ripristino basato su MDM) reimpostano l'Enclave Sicura. La reimpostazione di Secure Enclave esegue il rendering delle chiavi archiviate in precedenza per questo account inaccessibile. I dispositivi le cui chiavi Secure Enclave vengono perse devono essere registrati nuovamente per usare l'accesso Single Sign-On di Platform.

Segnala un problema

Se si verificano problemi con PSSO, è possibile segnalarli nel portale aziendale.

1. Aprire l'app Portale aziendale e passare a Guida>Invia report di diagnostica.
2. Viene visualizzata una finestra Invia report di diagnostica. Selezionare Log di posta elettronica per inviare i log.
3. Prendere nota dell'ID evento imprevisto prima di chiudere la finestra.

È possibile controllare lo stato PSSO corrente nel computer in qualsiasi momento aprendo l'app Terminal. Esegui il comando seguente:

app-sso platform -s

Contatti

Il feedback degli utenti è molto apprezzato. È necessario includere le informazioni seguenti:

• Sysdiagnose e log di diagnostica
• Procedura per riprodurre il problema
• Se applicabile, includere screenshot e/o registrazioni pertinenti

Acquisizione di log di diagnostica e sysdiagnose

1. Abilitare la persistenza dei log di debug eseguendo il comando seguente in Terminale.

   sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"
   

2. Riprodurre il problema, in modo che vengano generati nuovi log per lo scenario interessato. Specificare i timestamp pertinenti nel report del problema per facilitare l'analisi dei log.

3. Acquisire i dati di diagnostica eseguendo il comando seguente in Terminale.

   sudo sysdiagnose
   

4. Ripristinare le impostazioni predefinite dei log di debug eseguendo il comando seguente in Terminale.

   sudo log config --reset --subsystem "com.apple.AppSSO"
   

Guida alla risoluzione dei problemi

Autorizzazioni insufficienti

Se un utente non dispone di autorizzazioni sufficienti per completare l'aggiunta e la registrazione di Microsoft Entra ID, non viene visualizzato alcun messaggio di errore. Affinché l'aggiunta al dispositivo e la registrazione vengano completate correttamente, l'utente che avvia il flusso di registrazione deve essere inserito nell'elenco degli ammessi.

1. Nell'interfaccia di amministrazione di Microsoft Entra, passare a Identità>Dispositivi>Panoramica>Impostazioni dispositivi.
2. In Impostazioni di aggiunta e registrazione di Microsoft Entra ID assicurarsi che l'opzione Tutto sia selezionata nel menu Attiva/Disattiva per Gli utenti possono aggiungere dispositivi a Microsoft Entra.
3. Seleziona Salva per applicare le modifiche.

Risolvere i problemi relativi a Passkey

L'opzione Platform Credential as Passkey è disponibile solo se Secure Enclave è configurato come metodo di autenticazione per Platform SSO. È necessario verificare quanto segue:

1. Assicurarsi che l'amministratore configuri il dispositivo con Secure Enclave come metodo di autenticazione e passkey abilitati (FIDO2) per l'organizzazione.
2. Come utente, verificare di aver abilitato Portale aziendale come provider passkey nelle impostazioni del dispositivo. Passare all'app Impostazioni, alle Password e opzioni Password e verificare che il portale aziendale sia abilitato.

Risolvere i problemi relativi all'accesso Single Sign-On di Google Chrome

Per gli utenti con l'estensione Microsoft Single Sign On installata per Google Chrome, il browser Chrome dovrebbe essere in grado di comunicare con il broker Microsoft SSO sia per offrire un'esperienza utente SSO sia per lavorare con i criteri di accesso condizionale basati su dispositivo. Se gli utenti non sono in grado di passare i criteri di accesso condizionale basato su dispositivo in Google Chrome, potrebbe verificarsi un problema con il modo in cui è stata installata l'applicazione Portale aziendale, che può impedire a Chrome di comunicare con il broker SSO. Per risolvere il problema, attenersi alla procedura seguente:

1. Aprire la cartella Applicazioni nel Mac
2. Fare clic con il pulsante destro del mouse sull'applicazione Portale aziendale e scegliere Sposta nel Cestino
3. Scaricare la versione più recente del programma di installazione del portale aziendale da https://go.microsoft.com/fwlink/?linkid=853070
4. Installare il portale aziendale con il CompanyPortal-Installer.pkg scaricato

Verificare che il problema è risolto controllando l'esistenza di questo file : ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

In alternativa, è possibile distribuire lo script seguente tramite MDM o altri strumenti di automazione per copiare il file JSON nel percorso corretto. Questo script deve essere eseguito nel contesto dell'utente per ogni utente che riscontra il problema di Chrome SSO:

#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it

# For Google Chrome (user-specific, default path)

if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos

if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

Importante

Nota: questo problema è dovuto a un bug relativo alla modalità di installazione o aggiornamento del portale aziendale in determinate circostanze. Questo problema verrà risolto in un aggiornamento futuro del portale aziendale.

Vedi anche

• Aggiungere un dispositivo Mac con Microsoft Entra ID durante l'esperienza predefinita
• Aggiungere un dispositivo Mac con Microsoft Entra ID usando il portale aziendale
• Plug-in Microsoft Enterprise SSO per dispositivi Apple
• Risoluzione dei problemi del plug-in Microsoft Enterprise SSO Extension nei dispositivi Apple