Znane problemy z logowaniem jednokrotnym platformy macOS i rozwiązywanie problemów (wersja zapoznawcza)

W tym artykule opisano bieżące znane problemy i typowe pytania dotyczące logowania jednokrotnego (PSSO) platformy macOS. Zawiera on rozwiązania problemów i informacje na temat sposobu zgłaszania problemu, który nie jest omówiony. Ten artykuł zawiera również wskazówki dotyczące rozwiązywania problemów.

Scenariusze sprawdzania poprawności

Po wdrożeniu PSSO na urządzeniu istnieje kilka scenariuszy weryfikacji, które można wykonać, aby upewnić się, że wdrożenie zakończyło się pomyślnie. Jeśli występują jakiekolwiek problemy, zapoznaj się z raportem o problemie, aby uzyskać dalsze instrukcje.

Zdarzenia zmiany hasła

Upewnij się, że zmiany hasła identyfikatora entra firmy Microsoft wprowadzone za pośrednictwem samoobsługowego resetowania hasła (SSPR) zostały pomyślnie zsynchronizowane z maszyną lokalną. Jeśli hasło użytkownika Microsoft Entra ID zmieni się po zsynchronizowaniu go z komputerem Mac, użytkownik zostanie poproszony o wprowadzenie nowego hasła w ciągu 4 godzin.

Naprawianie lub usuwanie rejestracji PSSO z urządzenia

W tej sekcji opisano sposób naprawy lub usunięcia rejestracji PSSO z urządzenia Mac w zależności od wersji systemu macOS.

macOS 14

W systemie macOS 14 Sonoma, jeśli występują problemy z rejestracją urządzenia, możesz naprawić istniejącą rejestrację PSSO.

1. Otwórz aplikację Ustawienia i przejdź do .
2. Wybierz pozycję Edytuj, a następnie napraw. Przechodzisz przez ten sam przepływ rejestracji urządzenia, co podczas początkowej rejestracji.

Możesz również całkowicie wyrejestrować urządzenie, wykonując następujące kroki.

1. Otwórz aplikację Portal firmy i przejdź do pozycji Preferencje.
2. Aby wyrejestrować urządzenie, wybierz pozycję Wyrejestruj.

macOS 13

W systemie macOS 13 Ventura, jeśli występują problemy z rejestracją PSSO urządzenia lub musisz wyrejestrować urządzenie, użyj Portal firmy i usuń urządzenie z organizacji.

1. Otwórz aplikację Portal firmy i przejdź do pozycji Preferencje.
2. Aby wyrejestrować urządzenie, wybierz pozycję Wyrejestruj.

Jeśli wyrejestrowałeś urządzenie w wyniku błędu, zapoznaj się z tematem Dołączanie urządzenia Mac z identyfikatorem Microsoft Entra podczas procesu pierwszego uruchomienia lub Dołączanie urządzenia Mac z identyfikatorem Microsoft Entra za pomocą aplikacji Portal firmy, aby ponownie zarejestrować urządzenie.

Wtyczka logowania jednokrotnego przedsiębiorstwa (SSO) nie aktywuje się po aktualizacji oprogramowania.

Jeśli wtyczka logowania jednokrotnego przedsiębiorstwa nie może zostać aktywowana po zastosowaniu aktualizacji systemu do urządzenia, należy ponownie uruchomić demona aktualizacji oprogramowania.

1. Otwórz aplikację Terminal i wprowadź następujące polecenie, aby zabić swcd proces.

   sudo killall swcd
   

2. Następnie wprowadź następujące polecenie, aby zresetować proces.

   sudo swcutil reset
   

Nie można zsynchronizować haseł tymczasowych wystawionych podczas resetowania hasła z logowaniem jednokrotnym platformy

Nie można zsynchronizować haseł tymczasowych wystawionych podczas resetowania hasła do urządzenia lokalnego. Zaleca się ukończenie procesu resetowania hasła przy użyciu hasła tymczasowego przy użyciu rozszerzenia logowania jednokrotnego.

Migracja urządzenia

Upewnij się, że wcześniej zarejestrowane urządzenie (z kluczem dołączania w miejscu pracy w programie Keychain Access) usuwa klucz po pomyślnej rejestracji urządzenia PSSO.

Często zadawane pytania

Czy mogę używać logowania jednokrotnego systemu macOS we wdrożeniu przyłączania hybrydowego?

Nie, logowanie jednokrotne dla systemu macOS jest obsługiwane tylko we wdrożeniach dołączania do firmy Microsoft Entra. Nie ma planów obsługi wdrożeń dołączania hybrydowego, ponieważ zalecamy, aby użytkownicy komputerów Mac korzystali z pełnej chmury.

Jak mogę zmienić hasło podczas korzystania z logowania jednokrotnego platformy?

Użytkownicy mogą zmieniać swoje hasło przy użyciu samoobsługowego resetowania hasła (SSPR) na swoim urządzeniu.

Jeśli resetowanie hasła odbywa się na innym komputerze, użytkownicy mogą się zalogować do urządzenia Mac przy użyciu starego lub nowego hasła. Użycie starego hasła odblokowuje urządzenie, a następnie monituj użytkownika o nowe hasło, aby kontynuować synchronizowanie danych. Użycie nowego hasła odblokowuje urządzenie i natychmiast synchronizuje dane.

Zalecamy, aby administratorzy IT używali zarządzanych identyfikatorów Apple ID, jeśli to możliwe, ponieważ zapewnia to organizacjom więcej opcji zarządzania hasłami.

Co należy zrobić, jeśli zapomnę hasło?

Synchronizacja haseł

Użytkownicy mogą zresetować swoje hasło na ekranie logowania lub na ekranie blokady. Jeśli użytkownik otrzymał tymczasowe hasło od administratora IT, powinien użyć innego urządzenia do zalogowania się, skonfiguruj nowe hasło i użyj nowego hasła, aby zalogować się do własnego urządzenia. Aby uzyskać więcej informacji, zapoznaj się dokumentacją firmy Apple dotyczącą zapomnianych haseł.

Ważne

Obecnie występuje znany problem z logowaniem jednokrotnym, który powoduje usunięcie rejestracji podczas odzyskiwania i może monitować użytkowników o ponowne zarejestrowanie się po odzyskaniu. Jest to oczekiwane zachowanie.

Administratorzy IT powinni również włączyć odzyskiwanie usługi Keyvault w celu zapewnienia, że dane można odzyskać w przypadku zapomnianego hasła. Aby dowiedzieć się więcej, zapoznaj się z Konfigurowaniem logowania jednokrotnego dla urządzeń z systemem macOS w usłudze Microsoft Intune.

Uwaga

Jeśli urządzenie jest uruchamiane i istnieje szyfrowanie FileVault, nowe hasło entra będzie działać tylko w systemie macOS15.

Bezpieczna enklawa

Użytkownicy mogą zresetować hasło lokalne za pomocą identyfikatora Apple ID lub klucza odzyskiwania administratora.

Znane problemy

Nieoczekiwane/częste zapytania przy ponownej rejestracji w systemie macOS Sequoia

Istnieje znany problem z współbieżnością w systemie macOS 15 lub nowszym (Sequoia), który może spowodować uszkodzenie konfiguracji urządzenia PSSO. Konfiguracja urządzenia może być uszkodzona przez jednoczesne aktualizacje procesów systemowych AppSSOAgent i AppSSODaemon. Uszkodzona konfiguracja powoduje, że system operacyjny uruchamia proces naprawy ponownej rejestracji, co skutkuje nieoczekiwanymi powiadomieniami o rejestracji dla użytkowników.

Ten problem jest obecnie badany przez firmę Apple.

Dzienniki sysdiagnose od użytkowników, których dotyczy problem, zawierają następujący błąd:

Error Domain=com.apple.PlatformSSO Code=-1001 "Error deserializing device config." UserInfo={NSLocalizedDescription=Error deserializing device config., NSUnderlyingError=0x9480343f0 {Error Domain=NSCocoaErrorDomain Code=3840 "Garbage at end around line 27, column 1." UserInfo={NSDebugDescription=Garbage at end around line 27, column 1., NSJSONSerializationErrorIndex=3052}}}

Zachęcamy użytkowników i administratorów, którzy napotykają ten błąd, aby zgłosić problem z usługą Apple Care i zaangażować firmę Apple w celu rozwiązania problemu.

Niezgodność złożoności zasad kodu dostępu

Istnieje znany problem polegający na tym, że zastosowana konfiguracja rozwiązania MDM określa lokalne zasady haseł o wyższym stopniu złożoności niż konto Microsoft Entra używane do logowania się na maszynie. W takim przypadku operacja synchronizacji haseł między identyfikatorem Entra firmy Microsoft a maszyną lokalną kończy się niepowodzeniem.

Upewnij się, że podczas konfigurowania rozwiązania MDM wymagania dotyczące złożoności hasła są identyczne między komputerem lokalnym a identyfikatorem Entra firmy Microsoft.

Długotrwałe operacje

macOS 14

Jeśli rejestracja urządzenia zakończy się niepowodzeniem za pośrednictwem aplikacji Ustawienia, po około 10 minutach pojawi się okno podręczne Rejestrowanie urządzenia i możesz spróbować ponownie.

macOS 13

Rejestracja urządzenia może potrwać kilka minut. Jeśli rejestracja urządzenia zakończy się niepowodzeniem, zaczekaj kilka minut i spróbuj ponownie, jeśli zostanie wyświetlony monit.

Okno dialogowe monitu uwierzytelniania logowania jednokrotnego zostało zamknięte, gdy rejestracja jest w toku

Jeśli anulujesz proces rejestracji, zamykając okno dialogowe monitu uwierzytelniania logowania jednokrotnego, musisz wylogować się z urządzenia Mac i zalogować się ponownie. Po pomyślnym zalogowaniu powiadomienie rejestracji jest ponownie wyświetlane i działa poprawnie.

Uwierzytelnianie wieloskładnikowe dla każdego użytkownika powoduje niepowodzenie synchronizacji haseł

Jeśli użytkownik ma włączoną uwierzytelnianie wieloskładnikowe dla użytkownika na koncie, na którym jest konfigurowane logowanie jednokrotne, nie będzie można wprowadzić poświadczeń identyfikatora entra firmy Microsoft w następnych krokach, co powoduje błąd. Aby uniknąć tego błędu, administratorzy powinni upewnić się, że mają włączoną uwierzytelnianie wieloskładnikowe dostępu warunkowego zgodnie z zaleceniami dotyczącymi identyfikatora Entra firmy Microsoft. Spowoduje to pominięcie uwierzytelniania wieloskładnikowego podczas rejestracji, aby synchronizacja haseł mogła zostać pomyślnie ukończona.

Ponowne rejestrowanie logowania jednokrotnego wymagane po zainicjowaniu resetowania hasła z odzyskiwania programu FileVault lub odzyskiwania opartego na oprogramowaniu MDM

Ponieważ klucze w Bezpiecznej Enklawie są chronione hasłem Twojego lokalnego konta, resetowanie hasła bez podawania tego hasła (na przykład za pomocą odzyskiwania FileVault lub MDM) powoduje zresetowanie Bezpiecznej Enklawy. Zresetowanie bezpiecznej enklawy powoduje, że klucze są wcześniej przechowywane dla tego konta niedostępne. Urządzenia, których klucze Bezpiecznej Enklawy zostały utracone, muszą zostać ponownie zarejestrowane do korzystania z logowania jednokrotnego platformy.

Zgłoś problem

Jeśli występują problemy z logowaniem jednokrotnym, możesz zgłosić je w Portal firmy.

1. Otwórz aplikację Portal firmy i przejdź do pozycji Pomoc>Wyślij raport diagnostyczny.
2. Zostanie wyświetlone okno Wysyłanie raportu diagnostycznego. Wybierz pozycję Dzienniki poczty e-mail, aby wysłać dzienniki.
3. Przed zamknięciem okna zanotuj identyfikator zdarzenia.

Bieżący stan logowania jednokrotnego na maszynie można sprawdzić w dowolnym momencie, otwierając aplikację Terminal . Uruchom następujące polecenie.

app-sso platform -s

Kontakt z nami

Chcielibyśmy usłyszeć Twoją opinię. Należy uwzględnić następujące informacje:

• Dzienniki sysdiagnose i diagnostyczne
• Kroki odtworzenia problemu
• Jeśli ma to zastosowanie, dołącz odpowiednie zrzuty ekranu i/lub nagrania

Przechwytywanie dzienników sysdiagnose i diagnostycznych

1. Włącz trwałość dzienników debugowania, uruchamiając następujące polecenie w terminalu.

   sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"
   

2. Odtwórz problem, tak aby nowe dzienniki zostały wygenerowane w scenariuszu, którego dotyczy problem. Podaj odpowiednie znaczniki czasu w raporcie o problemie, aby ułatwić śledzenie dziennika.

3. Przechwyć dane diagnostyczne, uruchamiając następujące polecenie w terminalu.

   sudo sysdiagnose
   

4. Zresetuj dzienniki debugowania do domyślnych ustawień, uruchamiając następujące polecenie w terminalu.

   sudo log config --reset --subsystem "com.apple.AppSSO"
   

Przewodnik po rozwiązywaniu problemów

Niewystarczające uprawnienia

Jeśli użytkownik ma niewystarczające uprawnienia do ukończenia dołączania i rejestracji identyfikatora Entra firmy Microsoft, nie jest wyświetlany żaden komunikat o błędzie. Aby logowanie i rejestracja urządzenia zakończyła się pomyślnie, użytkownik inicjujący przepływ rejestracji musi być dozwolony.

1. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji urządzenia.>
2. W obszarze Ustawienia dołączania i rejestracji identyfikatora Entra firmy Microsoft upewnij się, że opcja Wszystkie jest zaznaczona w menu przełącznika dla opcji Użytkownicy mogą dołączać urządzenia do firmy Microsoft Entra.
3. Wybierz Zapisz, aby zastosować zmiany.

Rozwiązywanie problemów z kluczem dostępu

Opcja Poświadczenia platformy jako klucz dostępu jest dostępna tylko wtedy, gdy bezpieczna enklawa jest skonfigurowana jako metoda uwierzytelniania dla logowania jednokrotnego platformy. Należy sprawdzić następujące kwestie:

1. Upewnij się, że administrator skonfigurował urządzenie przy użyciu bezpiecznej enklawy jako metody uwierzytelniania, a włączonymi kluczami dostępu (FIDO2) dla organizacji.
2. Jako użytkownik sprawdź, czy włączono Portal firmy jako dostawca kluczy dostępu w ustawieniach urządzenia. Przejdź do aplikacji Ustawienia, opcji Hasła i Hasło i upewnij się, że Portal firmy jest włączona.

Rozwiązywanie problemów z logowaniem jednokrotnym w przeglądarce Google Chrome

W przypadku użytkowników z zainstalowanym rozszerzeniem logowania jednokrotnego firmy Microsoft dla przeglądarki Google Chrome przeglądarka Chrome powinna mieć możliwość komunikowania się z brokerem logowania jednokrotnego firmy Microsoft dla środowiska użytkownika logowania jednokrotnego i pracy z zasadami dostępu warunkowego opartego na urządzeniach. Jeśli użytkownicy nie mogą spełniać zasad dostępu warunkowego opartego na urządzeniach w przeglądarce Google Chrome, może wystąpić problem z instalacją aplikacji Company Portal, co może uniemożliwić komunikację przeglądarki Chrome z brokerem logowania jednokrotnego. Aby rozwiązać ten problem, należy wykonać następujące czynności:

1. Otwórz folder Applications na komputerze Mac
2. Kliknij prawym przyciskiem myszy aplikację Portal firmy i wybierz polecenie Przenieś do kosza
3. Pobierz najnowszą wersję instalatora Portal firmy z witrynyhttps://go.microsoft.com/fwlink/?linkid=853070
4. Świeżo zainstaluj Portal firmy przy użyciu pobranego CompanyPortal-Installer.pkg

Sprawdź, czy problem został rozwiązany, sprawdzając istnienie tego pliku : ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

Alternatywnie możesz wdrożyć następujący skrypt za pomocą rozwiązania MDM lub innych narzędzi automatyzacji, aby skopiować plik JSON do właściwej lokalizacji. Ten skrypt powinien być uruchamiany w kontekście użytkownika dla każdego użytkownika, który napotyka problem z logowaniem jednokrotnym w przeglądarce Chrome:

#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it

# For Google Chrome (user-specific, default path)

if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos

if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

Ważne

Uwaga: ten problem jest spowodowany usterką dotyczącą sposobu instalowania lub aktualizowania Portal firmy w określonych okolicznościach. Ten problem zostanie rozwiązany w przyszłej aktualizacji w celu Portal firmy.

Zobacz też

• Dołączanie urządzenia Mac przy użyciu identyfikatora Microsoft Entra ID podczas korzystania z gotowego środowiska
• Dołączanie urządzenia Mac przy użyciu identyfikatora Entra firmy Microsoft przy użyciu Portal firmy
• Wtyczka logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple
• Rozwiązywanie problemów z wtyczką rozszerzenia logowania jednokrotnego firmy Microsoft Enterprise na urządzeniach firmy Apple