macOS プラットフォームのシングル サインオンの既知の問題とトラブルシューティング (プレビュー)
この記事では、macOS プラットフォームのシングル サインオン (PSSO) に関する現時点での既知の問題と一般的な質問について説明します。 また、問題のソリューションや、対応されていない問題を報告する方法に関する情報も提供します。 この記事にはトラブルシューティングに関するガイダンスも含まれています。
検証するシナリオ
デバイスに PSSO をデプロイした後、デプロイが正常に行われたことを確認するためのいくつかの検証シナリオがあります。 問題がある場合は、問題の報告に関する記事を参照してください。
パスワード変更イベント
セルフサービス パスワード リセット (SSPR) を通じて変更された Microsoft Entra ID パスワードがローカル コンピューターに正常に同期されていることを確認します。 Microsoft Entra ID パスワードを Mac に同期した後に変更した場合、4 時間以内に新しいパスワードを入力するよう求められます。
デバイスの修復または PSSO 登録の削除
このセクションでは、macOS バージョンに応じて、Mac デバイスから PSSO 登録を修復または削除する方法について説明します。
macOS 14 Sonoma では、デバイス登録に問題がある場合、既存の PSSO 登録を修復できます。
- [設定] アプリを開き、[ユーザーとグループ]>[ネットワーク アカウント サーバー] に移動します。
- [編集] を選択してから、[修復] を選択します。 デバイス登録は、初回登録時と同じ流れになります。
次の手順を実行して、デバイスの登録を完全に解除することもできます。
- [ポータル サイト] アプリを開き、[ユーザー設定] に移動します。
- デバイスの登録を解除するには、[登録解除] を選択します。
システム更新後に Enterprise SSO プラグインがアクティブにならない
システム更新がデバイスに適用された後に Enterprise SSO プラグインがアクティブにならない場合は、ソフトウェア更新デーモンを再起動する必要があります。
[ターミナル] アプリを開き、次のコマンドを入力して
swcd
プロセスを強制終了します。sudo killall swcd
その後、次のコマンドを入力してプロセスをリセットします。
sudo swcutil reset
パスワード リセット時に発行された一時パスワードはプラットフォーム SSO と同期できません
パスワード リセット中に発行された一時パスワードはローカル デバイスに同期できません ユーザーは、SSO 拡張機能を使用して、一時パスワードを使用してパスワード リセット プロセスを完了することをお勧めします。
デバイスの移行
PSSO デバイスが正常に登録された後、以前に登録されたデバイス (キーチェーン アクセスに社内参加キーを使用) でキーが削除されることを確認します。
よく寄せられる質問
ハイブリッド参加のデプロイで macOS PSSO を使用できますか?
macOS PSSO は、Microsoft Entra 参加デプロイでのみサポートされています。 Mac ユーザーには完全なクラウド ベースが推奨されるため、ハイブリッド参加のデプロイをサポートする予定はありません。
Platform SSO の使用時にパスワードを変更するにはどうすればよいですか?
ユーザーは、デバイス上でセルフサービス パスワード リセット (SSPR) を使用してパスワードを変更できます。
別のマシン上で SSPR が実行された場合、ユーザーは古いまたは新しいパスワードを使用して Mac デバイスにサインインできます。 古いパスワードを使用すると、デバイスのロックが解除されます。データの同期を続行するには、新しいパスワードの入力がユーザーに求められます。 新しいパスワードを使用すると、デバイスのロックが解除され、データはすぐに同期されます。
組織にとってパスワード管理のオプションが増えるため、可能であれば、IT 管理者はマネージド Apple ID を使用することをお勧めします。
パスワードを忘れた場合はどうすればよいですか?
パスワードの同期
ロック画面またはログイン画面がユーザーに表示されている場合は、そこからパスワードをリセットできます。 ユーザーが IT 管理者から一時パスワードを受け取った場合は、別のデバイスを使用してログインし、新しいパスワードを設定し、その新しいパスワードを使用して自分のデバイスにログインする必要があります。 詳細については、忘れたパスワードに関する Apple のドキュメントを参照してください。
重要
現在、PSSO には、回復中に登録が削除され、回復後にユーザーに再登録が求められることがあるという既知の問題があります。 これは正しい動作です。
IT 管理者は、パスワードを忘れた場合でもデータを確実に回復できるように、keyvault の回復も有効にする必要があります。 詳細については、「Microsoft Intune で macOS デバイスのプラットフォーム SSO を構成する」を参照してください。
Note
デバイスが起動し、FileVault 暗号化が有効な場合、新しい Entra パスワードは macOS15 上でのみ機能します。
セキュア エンクレーブ
ユーザーは、Apple ID または管理者回復キーを使用してローカル パスワードをリセットできます。
既知の問題
パスコード ポリシーの複雑さの不一致
適用された MDM 構成で、コンピューターへのサインインに使用される Microsoft Entra アカウントよりも複雑度の高いローカル パスワード ポリシーが指定される既知の問題があります。 この場合、Microsoft Entra ID とローカル コンピューター間のパスワード同期操作は失敗します。
MDM 構成中に、パスワードの複雑さの要件がローカル コンピューターと Microsoft Entra ID の間で同一であることを確認します。
長時間の操作
登録中に SSO 認証プロンプト ダイアログが閉じました
SSO 認証プロンプト ダイアログを閉じて登録プロセスをキャンセルした場合は、Mac デバイスからサインアウトしてもう一度サインインする必要があります。 サインインに成功すると、登録通知が再び表示され、正しく動作します。
ユーザーごとの MFA でのパスワード同期の失敗
PSSO を設定するアカウントでユーザーごとの MFA が有効になっている場合、次の手順で Microsoft Entra ID 資格情報を入力することができず、エラーが発生します。 このエラーを回避するために、管理者は Microsoft Entra ID の推奨事項に従って条件付きアクセス MFA を有効にする必要があります。 パスワードの同期が正常に完了するように、これによって登録中の MFA を抑制します。
FileVault 回復または MDM 駆動型の回復からパスワードのリセットが開始された後に必要な PSSO 再登録
Secure Enclave キーはローカル アカウントのパスワードによって保護されているため、このパスワードを指定せずにパスワードをリセットすると (FileVault や MDM ベースの回復など)、Secure Enclave がリセットされます。 Secure Enclave をリセットすると、このアカウント用に以前に保存されたキーにアクセスできなくなります。 Secure Enclave キーが失われたデバイスは、Platform SSO を使用するために再登録する必要があります。
問題の報告
PSSO で問題が発生した場合は、ポータル サイトで報告することができます。
- [ポータル サイト] アプリを開き、[ヘルプ]>[診断レポートの送信] に移動します。
- [診断レポートの送信] ウィンドウが表示されます。 ログを送信するには、[Email ログ] を選択します。
- ウィンドウを閉じる前に、インシデント ID をメモしておいてください。
[ターミナル] アプリを開くと、コンピューターの現在の PSSO 状態をいつでも確認できます。 次のコマンドを実行します。
app-sso platform -s
お問い合わせ
フィードバックをお寄せください。 次の情報を含める必要があります。
- Sysdiagnose ログと診断ログ
- 問題を再現する手順
- 該当する場合は、関連するスクリーンショットやレコーディングを含めてください
Sysdiagnose ログと診断ログのキャプチャ
ターミナルで次のコマンドを実行して、デバッグ ログの永続化を有効にします。
sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"
影響を受けるシナリオ用に新しいログが生成されるように、問題を再現します。 ログ調査を支援するために、関連するタイムスタンプを問題レポートに記入してください。
ターミナルで次のコマンドを実行して、診断データをキャプチャします。
sudo sysdiagnose
デバッグ ログを既定の設定にリセットするには、ターミナルで次のコマンドを実行します。
sudo log config --reset --subsystem "com.apple.AppSSO"
トラブルシューティング ガイド
アクセス許可が不十分です
ユーザーが Microsoft Entra ID の参加と登録を完了するのに十分なアクセス許可がない場合、エラー メッセージは表示されません。 デバイスの参加と登録を正常に完了するには、登録フローを開始したユーザーが許可リストに登録されている必要があります。
- Microsoft Entra 管理センターで、[ID]>[デバイス]>[概要]>[デバイスの設定] に移動します。
- [Microsoft Entra ID の参加と登録の設定] で、[ユーザーがデバイスを Microsoft Entra に参加させる可能性がある] のトグル メニューで [すべて] オプションが選択されていることを確認します。
- [保存] をクリックして変更を適用します。
パスキーの問題のトラブルシューティング
[パスキーとしてのプラットフォーム資格情報] オプションは、セキュリティで保護されたエンクレーブがプラットフォーム SSO の認証方法として構成されている場合にのみ使用できます。 以下を確認する必要があります。
- 管理者が認証方法としてセキュリティで保護されたエンクレーブをを使用してデバイスを設定し、組織のパスキー (FIDO2) を有効にしていることを確認します。
- ユーザーとして、デバイス設定でパスキー プロバイダーとしてポータル サイトを有効にしていることを確認します。 [設定] アプリ、[パスワード]、[パスワード オプション] に移動し、ポータル サイトが有効になっていることを確認します。
Google Chrome の SSO に関する問題のトラブルシューティング
ユーザーが Google Chrome 用の Microsoft シングル サインオン拡張機能をインストールしている場合、Chrome ブラウザーは、SSO ユーザー エクスペリエンスとデバイスベースの条件付きアクセス ポリシーの操作の両方について Microsoft SSO ブローカーと通信できる必要があります。 ユーザーが Google Chrome でデバイスベースの条件付きアクセス ポリシーを渡すことができない場合は、ポータル サイト アプリケーションのインストール方法に問題があり、Chrome が SSO ブローカーと通信できない可能性があります。 この問題を修復するには、次の手順を実行する必要があります。
- Mac で [アプリケーション] フォルダーを開きます
- [ポータル サイト] アプリケーションを右クリックし、[ごみ箱に移動] を選択します
- https://go.microsoft.com/fwlink/?linkid=853070 からポータル サイト インストーラーの最新バージョンをダウンロードします
- ダウンロードした CompanyPortal-Installer.pkg を使用してポータル サイトを新しくインストールします
次のファイルがあることを確認して、問題が解決されたことを確認します: ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json
ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json
または、MDM または他の自動化ツールを使って JSON ファイルを正しい場所にコピーして、次のスクリプトを展開することもできます。 次のスクリプトは、Chrome SSO の問題が発生しているユーザーごとに、そのユーザーのコンテキストで実行する必要があります。
#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it
# For Google Chrome (user-specific, default path)
if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi
cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/
# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos
if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi
cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/
重要
注: この問題は、特定の状況においてポータル サイトがインストールまたは更新される方法に関するバグが原因です。 この問題は、ポータル サイトの今後の更新プログラムで解決される予定です。