bekende problemen met eenmalige aanmelding van macOS Platform en probleemoplossing (preview)

In dit artikel vindt u een overzicht van de huidige bekende problemen en veelgestelde vragen over eenmalige aanmelding (PSSO) van macOS Platform. Het biedt oplossingen voor problemen en informatie over het rapporteren van een probleem dat niet wordt behandeld. Dit artikel bevat ook richtlijnen voor probleemoplossing.

Scenario's om te valideren

Zodra PSSO op uw apparaat is geïmplementeerd, zijn er enkele validatiescenario's die u kunt doen om ervoor te zorgen dat de implementatie is geslaagd. Als er problemen zijn, raadpleegt u een probleem melden voor verdere instructies.

Gebeurtenissen voor wachtwoordwijziging

Controleer of wijzigingen in het Wachtwoord van Microsoft Entra ID die zijn aangebracht via selfservice voor wachtwoordherstel (SSPR) zijn gesynchroniseerd met de lokale computer. Als het Wachtwoord voor Microsoft Entra ID van een gebruiker wordt gewijzigd nadat het is gesynchroniseerd met de Mac, wordt de gebruiker binnen 4 uur gevraagd om het nieuwe wachtwoord in te voeren.

PSSO-registratie herstellen of verwijderen van een apparaat

In deze sectie wordt beschreven hoe u PSSO-registratie kunt herstellen of verwijderen van een Mac-apparaat, afhankelijk van de macOS-versie.

macOS 14

In macOS 14 Sonoma, als er problemen zijn met de apparaatregistratie, kunt u de bestaande PSSO-registratie herstellen.

1. Open de app Instellingen en navigeer naar de netwerkaccountserver gebruikers en groepen>.
2. Selecteer Bewerken en vervolgens Herstellen. U doorloopt dezelfde apparaatregistratiestroom als wanneer tijdens uw eerste registratie.

U kunt de registratie van het apparaat ook volledig ongedaan maken door de volgende stappen uit te voeren.

1. Open de Bedrijfsportal-app en navigeer naar Voorkeuren.
2. Als u de registratie van het apparaat ongedaan wilt maken, selecteert u Registratie ongedaan maken.

macOS 13

In macOS 13 Ventura, als er problemen zijn met de PSSO-registratie van uw apparaat of als u de registratie van uw apparaat ongedaan moet maken, gebruikt u Bedrijfsportal en verwijdert u het apparaat uit uw organisatie.

1. Open de Bedrijfsportal-app en navigeer naar Voorkeuren.
2. Als u de registratie van het apparaat ongedaan wilt maken, selecteert u Registratie ongedaan maken.

Als u de registratie van uw apparaat ongedaan hebt gemaakt als gevolg van een fout, raadpleeg dan Een Mac-apparaat koppelen aan Microsoft Entra ID tijdens de out-of-box ervaring of Een Mac-apparaat koppelen aan Microsoft Entra ID via de bedrijfsportal om het apparaat opnieuw te registreren.

De invoegtoepassing Voor eenmalige aanmelding (SSO) van Enterprise wordt niet geactiveerd na de systeemupdate

Als de Enterprise SSO-invoegtoepassing niet kan worden geactiveerd nadat systeemupdates op het apparaat zijn toegepast, moet u de software-update-daemon opnieuw opstarten.

1. Open de Terminal-app en voer de volgende opdracht in om het swcd proces te beëindigen.

   sudo killall swcd
   

2. Voer vervolgens de volgende opdracht in om het proces opnieuw in te stellen.

   sudo swcutil reset
   

Tijdelijke wachtwoorden die zijn uitgegeven tijdens het opnieuw instellen van wachtwoorden, kunnen niet worden gesynchroniseerd met Platform SSO

Tijdelijke wachtwoorden die zijn uitgegeven tijdens het opnieuw instellen van wachtwoorden, kunnen niet worden gesynchroniseerd met het lokale apparaat. Gebruikers wordt aangeraden het proces voor wachtwoordherstel te voltooien met behulp van hun tijdelijke wachtwoord met behulp van de SSO-extensie.

Apparaatmigratie

Controleer of een eerder geregistreerd apparaat (met een Workplace Join-sleutel in Sleutelhangertoegang) de sleutel verwijdert nadat het PSSO-apparaat is geregistreerd.

Veelgestelde vragen

Kan ik macOS PSSO gebruiken in een hybrid join-implementatie?

Nee, macOS PSSO wordt alleen ondersteund in Implementaties van Microsoft Entra Join. Er zijn geen plannen om hybride join-implementaties te ondersteunen, omdat we raden mac-gebruikers aan om volledig in de cloud te gaan.

Hoe kan ik mijn wachtwoord wijzigen bij gebruik van Platform SSO?

Gebruikers kunnen hun wachtwoord wijzigen met selfservice voor wachtwoordherstel (SSPR) op hun apparaat.

Als SSPR wordt uitgevoerd op een andere computer, kunnen gebruikers zich aanmelden bij het Mac-apparaat met het oude of het nieuwe wachtwoord. Als u het oude wachtwoord gebruikt, ontgrendelt u het apparaat en vraagt u de gebruiker vervolgens om het nieuwe wachtwoord om door te gaan met het synchroniseren van gegevens. Met het nieuwe wachtwoord wordt het apparaat ontgrendeld en worden gegevens onmiddellijk gesynchroniseerd.

Het is raadzaam dat IT-beheerders waar mogelijk beheerde Apple-id's moeten gebruiken, omdat dit organisaties meer opties biedt voor wachtwoordbeheer.

Wat moet ik doen als ik mijn wachtwoord vergeet?

Wachtwoordsynchronisatie

Gebruikers kunnen hun wachtwoord opnieuw instellen op het aanmeldingsscherm of het vergrendelingsscherm. Als de gebruiker een tijdelijk wachtwoord van een IT-beheerder heeft ontvangen, moet hij een ander apparaat gebruiken om zich aan te melden, een nieuw wachtwoord instellen en dat nieuwe wachtwoord gebruiken om zich aan te melden bij hun eigen apparaat. Raadpleeg Apple-documentatie over vergeten wachtwoordenvoor meer informatie.

Belangrijk

Er is momenteel een bekend probleem met PSSO dat registratieverwijdering veroorzaakt tijdens het herstel en kan gebruikers vragen zich opnieuw te registreren na herstel. Dit is normaal.

IT-beheerders moeten keyvault-herstel ook inschakelen om ervoor te zorgen dat gegevens kunnen worden hersteld in het geval van een vergeten wachtwoord. Raadpleeg Platform SSO configureren voor macOS-apparaten in Microsoft Intunevoor meer informatie.

Notitie

Als het apparaat is opgestart en er FileVault-versleuteling is, werkt het nieuwe Entra-wachtwoord alleen op macOS15.

Beveiligde enclave

Gebruikers kunnen het lokale wachtwoord opnieuw instellen via Apple ID of een beheerdersherstelsleutel.

Bekende problemen

Onverwachte/frequente prompts voor opnieuw registreren op macOS Sequoia

Er is een bekend gelijktijdigheidsprobleem op macOS 15+ (Sequoia) waardoor de PSSO-apparaatconfiguratie beschadigd raakt. De apparaatconfiguratie kan worden beschadigd door gelijktijdige updates van de processen AppSSOAgent en AppSSODaemon van het systeem. De beschadigde configuratie zorgt ervoor dat het besturingssysteem de herstelstroom voor opnieuw registreren activeert, wat resulteert in onverwachte registratieprompts voor gebruikers.

Dit probleem wordt momenteel onderzocht door Apple..

Sysdiagnose-logboeken van betrokken gebruikers bevatten de volgende fout:

Error Domain=com.apple.PlatformSSO Code=-1001 "Error deserializing device config." UserInfo={NSLocalizedDescription=Error deserializing device config., NSUnderlyingError=0x9480343f0 {Error Domain=NSCocoaErrorDomain Code=3840 "Garbage at end around line 27, column 1." UserInfo={NSDebugDescription=Garbage at end around line 27, column 1., NSJSONSerializationErrorIndex=3052}}}

We raden gebruikers en beheerders aan die deze fout tegenkomen om een Apple Care-probleem in te voeren en contact op te nemen met Apple om het probleem op te lossen.

Complexiteit van wachtwoordcodebeleid komt niet overeen

Er is een bekend probleem waarbij een toegepaste MDM-configuratie een lokaal wachtwoordbeleid specificeert met een hogere mate van complexiteit dan het Microsoft Entra-account dat wordt gebruikt om u aan te melden bij de computer. In dit geval mislukt de bewerking voor wachtwoordsynchronisatie tussen Microsoft Entra-id en de lokale computer.

Zorg ervoor dat tijdens de MDM-configuratie de vereisten voor wachtwoordcomplexiteit identiek zijn tussen de lokale computer en de Microsoft Entra-id.

Langlopende bewerkingen

macOS 14

Als de apparaatregistratie mislukt via de toepassing Instellingen, wordt het pop-upvenster Apparaatregistratie na ongeveer 10 minuten opnieuw weergegeven en kunt u het opnieuw proberen.

macOS 13

Het kan enkele minuten duren voordat de apparaatregistratie is voltooid. Als de apparaatregistratie mislukt, wacht u enkele minuten en probeert u het opnieuw als u hierom wordt gevraagd.

Het dialoogvenster SSO-verificatieprompt is gesloten terwijl de registratie wordt uitgevoerd

Als u het registratieproces annuleert door het dialoogvenster SSO-verificatieprompt te sluiten, moet u zich afmelden bij uw Mac-apparaat en u opnieuw aanmelden. Na een geslaagde aanmelding wordt de registratiemelding opnieuw weergegeven en werkt deze correct.

MFA per gebruiker veroorzaakt een fout in wachtwoordsynchronisatie

Als een gebruiker MFA per gebruiker heeft ingeschakeld voor het account waarop PSSO wordt ingesteld, kunt u in de volgende stappen geen Referenties voor Microsoft Entra-id invoeren, waardoor er een fout optreedt. Om deze fout te voorkomen, moeten beheerders ervoor zorgen dat MFA voor voorwaardelijke toegang is ingeschakeld in overeenstemming met de aanbevelingen van Microsoft Entra ID. Dit onderdrukt MFA tijdens de inschrijving, zodat wachtwoordsynchronisatie kan worden voltooid.

PSSO-registratie vereist na het opnieuw instellen van het wachtwoord dat is geïnitieerd vanuit FileVault-herstel of MDM-gestuurd herstel

Omdat Secure Enclave-sleutels worden beveiligd door het wachtwoord van uw lokale account, wordt de Secure Enclave opnieuw ingesteld wanneer het wachtwoord opnieuw wordt ingesteld zonder dit wachtwoord op te geven (zoals bij FileVault of MDM-gebaseerd herstel). Het opnieuw instellen van de Secure Enclave geeft sleutels weer die eerder zijn opgeslagen voor dit account, zijn niet toegankelijk. Apparaten waarvan de Secure Enclave-sleutels verloren gaan, moeten opnieuw worden geregistreerd voor gebruik van Platform SSO.

Een probleem melden

Als u problemen ondervindt met PSSO, kunt u deze rapporteren op Bedrijfsportal.

1. Open de Bedrijfsportal-app en navigeer door het diagnostische rapport Help>verzenden.
2. Er wordt een venster diagnostisch rapport verzenden weergegeven. Selecteer E-maillogboeken om de logboeken te verzenden.
3. Noteer uw incident-id voordat u het venster sluit.

U kunt de huidige PSSO-status op uw computer op elk gewenst moment controleren door de Terminal-app te openen. Voer de volgende opdracht uit.

app-sso platform -s

Contact opnemen

We horen graag uw feedback. Neem de volgende informatie op:

• Sysdiagnose- en diagnostische logboeken
• Stappen voor het reproduceren van het probleem
• Neem, indien van toepassing, relevante schermafbeeldingen en/of opnamen op

Sysdiagnose- en diagnostische logboeken vastleggen

1. Schakel persistentie van foutopsporingslogboeken in door de volgende opdracht uit te voeren in Terminal.

   sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"
   

2. Reproduceer het probleem, zodat er nieuwe logboeken worden gegenereerd voor het betreffende scenario. Geef relevante tijdstempels op in uw probleemrapport om logboekonderzoek te helpen.

3. Leg diagnostische gegevens vast door de volgende opdracht uit te voeren in Terminal.

   sudo sysdiagnose
   

4. Stel de logboeken voor foutopsporing opnieuw in op de standaardinstellingen door de volgende opdracht uit te voeren in Terminal.

   sudo log config --reset --subsystem "com.apple.AppSSO"
   

Guide voor probleemoplossing

Onvoldoende machtigingen

Als een gebruiker onvoldoende machtigingen heeft om microsoft Entra ID join en registratie te voltooien, wordt er geen foutbericht weergegeven. De gebruiker die de registratiestroom initieert, moet zijn toegestaan om de apparaatdeelname en -registratie te voltooien.

1. Navigeer in het Microsoft Entra-beheercentrum naar Apparaatinstellingen voor>identiteitsapparaten>>.
2. Zorg ervoor dat onder Microsoft Entra ID-join- en registratie-instellingen de optie Alles is geselecteerd in het wisselmenu voor gebruikers, apparaten kunnen toevoegen aan Microsoft Entra.
3. Selecteer Opslaan om de wijzigingen toe te passen.

Problemen met wachtwoordsleutel oplossen

Optie Voor platformreferenties als wachtwoordsleutel is alleen beschikbaar als Secure Enclave is geconfigureerd als de verificatiemethode voor Platform SSO. Controleer het volgende:

1. Zorg ervoor dat uw beheerder uw apparaat heeft ingesteld met Secure Enclave als verificatiemethode en wachtwoordsleutels (FIDO2) voor uw organisatie.
2. Als gebruiker controleert u of u Bedrijfsportal hebt ingeschakeld als wachtwoordsleutelprovider in de apparaatinstellingen. Navigeer naar de instellingen-app, wachtwoorden en wachtwoordopties en zorg ervoor dat Bedrijfsportal is ingeschakeld.

Problemen met eenmalige aanmelding van Google Chrome oplossen

Voor gebruikers met de Microsoft Single Sign On-extensie voor Google Chrome geïnstalleerd, moet hun Chrome-browser kunnen communiceren met de Microsoft SSO-broker voor zowel een SSO-gebruikerservaring als om te werken met beleid voor voorwaardelijke toegang op basis van apparaten. Als gebruikers geen beleid voor voorwaardelijke toegang op basis van apparaten kunnen doorgeven in Google Chrome, is er mogelijk een probleem met de installatie van de bedrijfsportaltoepassing, waardoor Chrome niet kan communiceren met de SSO-broker. Voer de volgende stappen uit om dit probleem op te lossen:

1. Open de map Toepassingen op de Mac
2. Klik met de rechtermuisknop op de Bedrijfsportal toepassing en kies Verplaatsen naar Prullenbak
3. Download de nieuwste versie van het Bedrijfsportal-installatieprogramma vanhttps://go.microsoft.com/fwlink/?linkid=853070
4. Installeer Bedrijfsportal met behulp van de gedownloade CompanyPortal-Installer.pkg

Controleer of het probleem is opgelost door te controleren op het bestaan van dit bestand: ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

U kunt ook het volgende script implementeren via uw MDM- of andere automatiseringsprogramma's om het JSON-bestand naar de juiste locatie te kopiëren. Dit script moet worden uitgevoerd in de context van de gebruiker voor elke gebruiker die het probleem met eenmalige aanmelding van Chrome ondervindt:

#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it

# For Google Chrome (user-specific, default path)

if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos

if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

Belangrijk

Opmerking: dit probleem wordt veroorzaakt door een fout met de wijze waarop Bedrijfsportal onder bepaalde omstandigheden wordt geïnstalleerd of bijgewerkt. Dit probleem wordt opgelost in een toekomstige update naar Bedrijfsportal.

Zie ook

• Deelnemen aan een Mac-apparaat met Microsoft Entra-id tijdens de out-of-box-ervaring
• Een Mac-apparaat toevoegen met Microsoft Entra-id met behulp van Bedrijfsportal
• Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten
• Problemen met de Microsoft Enterprise SSO Extension-invoegtoepassing op Apple-apparaten oplossen