다음을 통해 공유

macOS 플랫폼 Single Sign-On의 알려진 문제 및 문제 해결(미리 보기)

  • 아티클

이 문서에서는 macOS PSSO(플랫폼 Single Sign-On)와 관련된 현재 알려진 문제와 일반적인 질문에 대해 간략하게 설명합니다. 여기서는 다루지 않는 문제를 보고하는 방법에 대한 문제 솔루션과 정보를 제공합니다. 이 문서에는 문제 해결 지침도 포함되어 있습니다.

유효성을 검사할 시나리오

디바이스에 PSSO를 배포한 후 배포가 성공했는지 유효성을 검사하기 위해 수행할 수 있는 몇 가지 유효성 검사 시나리오가 있습니다. 문제가 있는 경우 자세한 지침은 문제 보고를 참조하세요.

암호 변경 이벤트

SSPR(셀프 서비스 암호 재설정)을 통해 수행된 Microsoft Entra ID 암호 변경 내용이 로컬 컴퓨터에 성공적으로 동기화되었는지 확인합니다. 사용자의 Microsoft Entra ID 암호를 Mac에 동기화한 후 변경하면 4시간 이내에 새 암호를 입력하라는 메시지가 사용자에게 표시됩니다.

디바이스에서 PSSO 등록 복구 또는 제거

이 섹션에서는 macOS 버전에 따라 Mac 디바이스에서 PSSO 등록을 복구하거나 제거하는 방법을 간략하게 설명합니다.

macOS 14 Sonoma에서 디바이스 등록에 문제가 있는 경우 기존 PSSO 등록을 복구할 수 있습니다.

  1. 설정 앱을 열고 사용자 및 그룹>네트워크 계정 서버로 이동합니다.
  2. 편집을 선택한 다음 복구를 선택합니다. 초기 등록 시와 동일한 디바이스 등록 흐름을 수행하게 됩니다.

다음 단계를 수행하여 디바이스 등록을 완전히 취소할 수도 있습니다.

  1. 회사 포털 앱을 열고 기본 설정으로 이동합니다.
  2. 디바이스 등록을 취소하려면 등록 취소를 선택합니다.

시스템 업데이트 후 Enterprise SSO 플러그 인이 활성화되지 않습니다.

시스템 업데이트가 디바이스에 적용된 후 Enterprise SSO 플러그 인이 활성화되지 않으면 소프트웨어 업데이트 디먼을 다시 부팅해야 합니다.

  1. 터미널 앱을 열고 다음 명령을 입력하여 swcd 프로세스를 종료합니다.

    sudo killall swcd

  2. 그런 후 다음 명령을 입력하여 프로세스를 다시 설정합니다.

    sudo swcutil reset

암호 재설정 시 발급된 임시 암호는 플랫폼 SSO와 동기화할 수 없습니다.

암호 재설정 시 발급된 임시 암호는 로컬 디바이스와 동기화할 수 없습니다. 사용자는 SSO 확장을 사용하여 임시 암호를 사용해 암호 재설정 프로세스를 완료하는 것이 좋습니다.

디바이스 마이그레이션

PSSO 디바이스 등록이 성공한 후 이전에 등록된 디바이스(키 집합 액세스의 작업 공간 조인 키 포함)가 키를 제거하는지 확인합니다.

자주 묻는 질문

하이브리드 조인 배포에서 macOS PSSO를 사용할 수 있나요?

아니요, macOS PSSO는 Microsoft Entra 조인 배포에서만 지원됩니다. Mac 사용자는 완전한 클라우드 기반을 권장하므로 하이브리드 조인 배포를 지원할 계획은 없습니다.

플랫폼 SSO를 사용할 때 암호를 변경하려면 어떻게 해야 하나요?

사용자는 디바이스에서 SSPR(셀프 서비스 암호 재설정)을 사용하여 암호를 변경할 수 있습니다.

다른 컴퓨터에서 SSPR이 수행된 경우 사용자는 이전 또는 새 암호를 사용하여 Mac 디바이스에 로그인할 수 있습니다. 이전 암호를 사용하면 디바이스의 잠금을 해제한 다음 사용자에게 새 암호를 입력하라는 메시지를 표시하여 데이터를 계속 동기화합니다. 새 암호를 사용하면 디바이스의 잠금이 해제되고 데이터가 즉시 동기화됩니다.

IT 관리자는 가능한 경우 관리되는 Apple ID를 사용하는 것이 좋습니다. 이렇게 하면 조직에서 암호 관리를 위한 더 많은 옵션을 제공할 수 있습니다.

암호를 잊어버린 경우 어떻게 해야 하나요?

암호 동기화

사용자가 잠금 화면 또는 로그인 화면에 있는 경우 해당 위치에서 암호를 재설정할 수 있습니다. 사용자가 IT 관리자로부터 임시 암호를 받은 경우 다른 디바이스를 사용하여 로그인하고, 새 암호를 설정하고, 새 암호를 사용하여 자신의 디바이스에 로그인해야 합니다. 자세한 내용은 잊어버린 암호에 대한 Apple의 설명서를 참조 하세요.

Important

현재 PSSO에는 복구 중에 등록 제거가 발생하며 복구 후 사용자에게 다시 등록하라는 메시지가 표시되어 있는 알려진 문제가 있습니다. 이는 정상적인 동작입니다.

또한 IT 관리자는 암호를 잊어버린 경우 데이터를 복구할 수 있도록 keyvault 복구를 사용하도록 설정해야 합니다. 자세한 내용은 Microsoft Intune에서 macOS 디바이스용 플랫폼 SSO 구성을 참조하세요.

참고 항목

디바이스가 부팅되고 FileVault 암호화가 있는 경우 새 Entra 암호는 macOS15에서만 작동합니다.

보안 Enclave

사용자는 Apple ID 또는 관리자 복구 키를 통해 로컬 암호를 재설정할 수 있습니다.

알려진 문제

macOS Sequoia에서 예기치 않은/빈번한 재등록 프롬프트

PSSO 디바이스 구성이 손상될 수 있는 동시성 문제는 macOS 15 이상(Sequoia)에서 알려진 사항입니다. 시스템 AppSSOAgent 및 AppSSODaemon 프로세스의 동시 업데이트로 인해 디바이스 구성이 손상될 수 있습니다. 손상된 구성으로 인해 운영 체제가 다시 등록 수정 흐름을 트리거하여 사용자에게 예기치 않은 등록 프롬프트가 표시됩니다.

이 문제는 현재 Apple에서 조사 중이며 향후 운영 체제 업데이트에서 해결될 것으로 예상됩니다.

영향을 받는 사용자의 Sysdiagnose 로그에는 다음 오류가 포함됩니다.

Error Domain=com.apple.PlatformSSO Code=-1001 "Error deserializing device config." UserInfo={NSLocalizedDescription=Error deserializing device config., NSUnderlyingError=0x9480343f0 {Error Domain=NSCocoaErrorDomain Code=3840 "Garbage at end around line 27, column 1." UserInfo={NSDebugDescription=Garbage at end around line 27, column 1., NSJSONSerializationErrorIndex=3052}}}

이 오류가 발생한 사용자 및 관리자는 Apple Care 문제를 제출하고 Apple과 협력하여 문제를 해결하는 것이 좋습니다.

암호 정책 복잡성 불일치

적용된 MDM 구성이 컴퓨터에 로그인하는 데 사용되는 Microsoft Entra 계정보다 더 복잡한 로컬 암호 정책을 지정하는 알려진 문제가 있습니다. 이 경우 Microsoft Entra ID와 로컬 컴퓨터 간의 암호 동기화 작업이 실패합니다.

MDM 구성 중에 로컬 컴퓨터와 Microsoft Entra ID 간의 암호 복잡성 요구 사항이 동일한지 확인합니다.

장기 실행 작업

설정 애플리케이션을 통해 디바이스 등록에 실패한 경우, 약 10분 후에 디바이스 등록 팝업이 다시 나타나며, 다시 시도할 수 있습니다.

등록이 진행되는 동안 SSO 인증 프롬프트 대화 상자가 닫혔습니다.

SSO 인증 프롬프트 대화 상자를 닫아 등록 프로세스를 취소하는 경우 Mac 디바이스에서 로그아웃했다가 다시 로그인해야 합니다. 로그인에 성공하면 등록 알림이 다시 나타나고 올바르게 작동합니다.

사용자별 MFA로 인해 암호 동기화가 실패함

사용자가 PSSO가 설정되는 계정에서 사용자별 MFA를 사용하도록 설정한 경우 다음 단계에서 Microsoft Entra ID 자격 증명을 입력할 수 없어 오류가 발생합니다. 이 오류를 방지하려면 관리자는 Microsoft Entra ID 권장 사항에 따라 조건부 액세스 MFA가 사용하도록 설정되어 있는지 확인해야 합니다. 이렇게 하면 등록 중에 MFA가 억제되므로 암호 동기화가 성공적으로 완료될 수 있습니다.

FileVault 복구 또는 MDM 기반 복구에서 암호 재설정이 시작된 후 PSSO 재등록이 필요함

보안 Enclave 키는 로컬 계정 암호로 보호되기 때문에 이 암호를 제공하지 않고 발생하는 암호 재설정(예: FileVault 또는 MDM 기반 복구)은 보안 Enclave를 다시 설정합니다. 보안 Enclave를 다시 설정하면 이 계정에 대해 이전에 저장된 키에 액세스할 수 없게 됩니다. 보안 Enclave 키를 분실한 디바이스는 플랫폼 SSO를 사용하려면 다시 등록해야 합니다.

문제 보고

PSSO에 문제가 있는 경우 회사 포털에 보고할 수 있습니다.

  1. 회사 포털 앱을 열고 도움말>진단 보고서 보내기를 탐색합니다.
  2. 진단 보고서 보내기 창이 나타납니다. 로그를 보내려면 이메일 로그를 선택합니다.
  3. 창을 닫기 전에 인시던트 ID를 기록해 둡니다.

터미널 앱을 열어 언제든지 컴퓨터의 현재 PSSO 상태를 확인할 수 있습니다. 다음 명령을 실행합니다.

app-sso platform -s

문의하기

피드백을 보내 주세요. 다음 정보를 포함해야 합니다.

  • 시스템 진단 및 진단 로그
  • 문제 재현 단계
  • 해당하는 경우 관련 스크린샷 및/또는 레코드 파일을 포함합니다.

Sysdiagnose 및 진단 로그 캡처

  1. 터미널에서 다음 명령을 실행하여 디버그 로그 지속성을 사용하도록 설정합니다.

    sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"

  2. 영향을 받는 시나리오에 대해 새 로그가 생성되도록 문제를 재현합니다. 로그 조사에 도움이 되도록 문제 보고서에 관련 타임스탬프를 제공하세요.

  3. 터미널에서 다음 명령을 실행하여 진단 데이터를 캡처합니다.

    sudo sysdiagnose

  4. 터미널에서 다음 명령을 실행하여 디버그 로그를 기본 설정으로 다시 설정합니다.

    sudo log config --reset --subsystem "com.apple.AppSSO"

문제 해결 가이드

권한 부족

사용자에게 Microsoft Entra ID 조인 및 등록을 완료할 수 있는 권한이 충분하지 않은 경우 오류 메시지가 표시되지 않습니다. 디바이스 조인 및 등록이 성공적으로 완료되려면 등록 흐름을 시작하는 사용자가 허용 목록에 추가되어야 합니다.

  1. Microsoft Entra 관리 센터에서 ID>디바이스>개요>디바이스 설정으로 이동합니다.
  2. Microsoft Entra ID 조인 및 등록 설정에서 사용자가 Microsoft Entra에 디바이스를 조인할 수 있음에 대한 토글 메뉴에서 모두 옵션이 선택되어 있는지 확인합니다.
  3. 변경 내용을 적용하려면 저장을 선택합니다.

암호 문제 해결

암호 옵션인 플랫폼 자격 증명은 보안 Enclave가 플랫폼 SSO에 대한 인증 방법으로 구성된 경우에만 사용할 수 있습니다. 다음 사항을 확인해야 합니다.

  1. 관리자가 인증 방법으로 보안 Enclave를 사용하여 디바이스를 설정했고 조직에 대해 암호(FIDO2)를 사용하도록 설정했는지 확인합니다.
  2. 사용자로서 디바이스 설정에서 회사 포털을 암호 공급자로 사용하도록 설정했는지 확인합니다. 설정 앱, 암호암호 옵션으로 이동하여 회사 포털이 사용하도록 설정되어 있는지 확인합니다.

Google Chrome SSO 문제 해결

사용자가 Google Chrome용 Microsoft Single Sign On 확장을 설치한 경우 Chrome 브라우저는 SSO 사용자 환경과 디바이스 기반 조건부 액세스 정책 모두를 위해 Microsoft SSO 브로커와 통신할 수 있어야 합니다. 사용자가 Google Chrome에서 디바이스 기반 조건부 액세스 정책을 전달할 수 없는 경우 회사 포털 애플리케이션이 설치된 방식에 문제가 있을 수 있으며, 이로 인해 Chrome이 SSO 브로커와 통신하지 못할 수 있습니다. 이 문제를 수정하려면 다음 단계를 수행해야 합니다.

  1. Mac에서 애플리케이션 폴더를 엽니다.
  2. 회사 포털 애플리케이션을 마우스 오른쪽 단추로 클릭하고 휴지통으로 이동을 선택합니다.
  3. https://go.microsoft.com/fwlink/?linkid=853070에서 최신 버전의 회사 포털 설치 프로그램을 다운로드합니다.
  4. 다운로드한 CompanyPortal-Installer.pkg를 사용하여 회사 포털을 새로 설치합니다.

이 파일이 있는지 확인하여 문제가 해결되었는지 유효성을 검사합니다. ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

또는 MDM 또는 기타 자동화 도구를 통해 다음 스크립트를 배포하여 JSON 파일을 올바른 위치에 복사할 수 있습니다. 이 스크립트는 Chrome SSO 문제가 발생한 각 사용자에 대해 사용자 컨텍스트에서 실행되어야 합니다.

#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it

# For Google Chrome (user-specific, default path)

if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos

if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

Important

참고: 이 문제는 특정 상황에서 회사 포털이 설치되거나 업데이트되는 방식의 버그로 인해 발생합니다. 이 문제는 회사 포털에 대한 향후 업데이트에서 해결될 예정입니다.

참고 항목