Problemas e solução de problemas conhecidos do logon único da Plataforma macOS (versão prévia)

Este artigo descreve os problemas conhecidos atuais e as perguntas comuns com o PSSO (logon único) da Plataforma macOS. Ele fornece soluções de problema e informações sobre como relatar um problema que não é abordado. Este artigo também inclui orientação para solução de problemas.

Cenários a serem validados

Depois de implantar o PSSO em seu dispositivo, há alguns cenários de validação que você pode fazer para garantir que a implantação seja bem-sucedida. Se houver problemas, consulte relatar um problema para obter mais instruções.

Eventos de alteração de senha

Confirme se as alterações na senha do Microsoft Entra ID feitas por meio da SSPR (redefinição de senha de autoatendimento) foram sincronizadas com êxito com o computador local. Se a senha do Microsoft Entra ID de um usuário for alterada após sincronizá-la com o Mac, o usuário será solicitado a inserir sua nova senha dentro de 4 horas.

Reparar ou remover o registro de PSSO de um dispositivo

Esta seção descreve como reparar ou remover o registro PSSO de um dispositivo Mac, dependendo da versão do macOS.

macOS 14

No macOS 14 Sonoma, se houver problemas com o registro do dispositivo, você poderá reparar o registro de PSSO existente.

1. Abra o aplicativo Configurações e navegue até Usuários e Grupos>Servidor de Conta de Rede.
2. Selecione Editare, em seguida, Reparar. Você é levado pelo mesmo fluxo de registro de dispositivo que quando durante o registro inicial.

Você também pode cancelar completamente o dispositivo executando as etapas a seguir.

1. Abra o aplicativo Portal da Empresa e navegue até de Preferências.
2. Para cancelar o registro do dispositivo, selecione Cancelar registro.

macOS 13

No macOS 13 Ventura, se houver problemas com o registro PSSO do dispositivo ou se você precisar cancelar o registro do dispositivo, use o Portal da Empresa e remova o dispositivo da sua organização.

1. Abra o aplicativo Portal da Empresa e navegue até de Preferências.
2. Para cancelar o registro do dispositivo, selecione Cancelar registro.

Se você cancelou o registro do seu dispositivo como resultado de um erro e precisa registrá-lo novamente, consulte Ingressar em um dispositivo Mac com Microsoft Entra ID durante a experiência pronta para uso ou Ingressar em um dispositivo Mac com Microsoft Entra ID usando o Portal da Empresa.

O plug-in de SSO da empresa não é ativado após a atualização do sistema

Se o plug-in de SSO enterprise falhar ao ser ativado depois que as atualizações do sistema forem aplicadas ao dispositivo, você deverá reinicializar o daemon de atualização de software.

1. Abra o aplicativo Terminal e insira o comando a seguir para encerrar o processo swcd.

   sudo killall swcd
   

2. Em seguida, reinicie o processo, use o seguinte comando.

   sudo swcutil reset
   

Senhas temporárias emitidas durante a redefinição de senha não podem ser sincronizadas com o SSO da Plataforma

Senhas temporárias emitidas durante a redefinição de senha não podem ser sincronizadas com o dispositivo local. Os usuários são aconselhados a concluir o processo de redefinição de senha usando sua senha temporária usando a extensão de SSO.

Migração de dispositivo

Confirme se um dispositivo registrado anteriormente (com uma chave de Workplace Join no Acesso ao Conjunto de Chaves) remove a chave após o registro bem-sucedido do dispositivo PSSO.

Perguntas frequentes

Posso usar o PSSO do macOS em uma implantação de ingresso híbrido?

Não, o PSSO do macOS só tem suporte em implantações de ingresso do Microsoft Entra. Não há planos para dar suporte a implantações de ingresso híbrido, pois recomendamos que os usuários do Mac sejam totalmente baseados em nuvem.

Como posso alterar minha senha ao usar o SSO da Plataforma?

Os usuários podem alterar sua senha usando a SSPR (Redefinição de Senha de Autoatendimento) em seu dispositivo.

Se a SSPR for feita em outro computador, os usuários poderão entrar no dispositivo Mac usando a senha antiga ou a nova. O uso da senha antiga desbloqueará o dispositivo e solicitará ao usuário que a nova senha continue sincronizando dados. O uso da nova senha desbloqueará o dispositivo e sincronizará os dados imediatamente.

Recomendamos que os administradores de TI usem IDs gerenciadas da Apple sempre que possível, pois isso oferece às organizações mais opções para o gerenciamento de senhas.

O que devo fazer se esquecer minha senha?

Sincronização de senha

Se os usuários estiverem na tela de bloqueio ou na tela de logon, eles poderão redefinir a senha nela. Se o usuário recebeu uma senha temporária de um administrador de TI, ele deve usar outro dispositivo para fazer logon, configure uma nova senha e use essa nova senha para fazer logon em seu próprio dispositivo. Para obter mais informações, consulte a documentação da Apple sobre senhas esquecidas.

Importante

Atualmente, há um problema conhecido com o PSSO que está causando a remoção do registro durante a recuperação e pode solicitar que os usuários se registrem novamente após a recuperação. Este comportamento é esperado.

Os administradores de TI também devem habilitar a recuperação de keyvault para garantir que os dados possam ser recuperados em caso de uma senha esquecida. Para saber mais, consulte Configurar o SSO da Plataforma para dispositivos macOS no Microsoft Intune.

Observação

Se o dispositivo for inicializado e houver criptografia FileVault, a nova senha do Entra funcionará somente no macOS15.

Secure Enclave

Os usuários podem redefinir a senha local por meio da ID da Apple ou de uma chave de recuperação de administrador.

Problemas conhecidos

Incompatibilidades de complexidade da política de senha

Há um problema conhecido em que uma configuração de MDM aplicada especifica uma política de senha local com um grau de complexidade maior do que a conta do Microsoft Entra usada para entrar no computador. Nesse caso, a operação de sincronização de senha entre o Microsoft Entra ID e o computador local falhará.

Verifique durante a configuração do MDM se os requisitos de complexidade de senha são idênticos entre o computador local e o Microsoft Entra ID.

Operações de execução prolongada

macOS 14

Se o registro do dispositivo falhar por meio do aplicativo Configurações, o pop-up de Registro de Dispositivo reaparecerá após cerca de 10 minutos e você poderá tentar novamente.

macOS 13

O registro do dispositivo pode levar alguns minutos. Se o registro do dispositivo falhar, aguarde alguns minutos e tente novamente se solicitado.

Caixa de diálogo de prompt de autenticação de SSO fechada enquanto o registro está em andamento

Se você cancelar o processo de registro fechando a caixa de diálogo de prompt de autenticação de SSO, precisará sair do seu dispositivo Mac e entrar novamente. Após uma entrada bem-sucedida, a notificação de registro reaparece e funciona corretamente.

A MFA por usuário causa falha de sincronização de senha

Se um usuário tiver uma MFA por usuário habilitada na conta em que o PSSO está sendo configurado, você não poderá inserir as credenciais do Microsoft Entra ID nas próximas etapas, causando um erro. Para evitar esse erro, os administradores devem garantir que tenham o MFA de Acesso Condicional habilitado de acordo com recomendações do Microsoft Entra ID. Isso suprime a MFA durante o registro para que a sincronização de senha possa ser concluída com êxito.

O novo registro do PSSO é necessário após a redefinição de senha iniciada a partir da recuperação do FileVault ou da recuperação controlada por MDM

Como as chaves do Enclave Seguro são protegidas pela senha da sua conta local, as redefinições de senha que ocorrem sem fornecer essa senha (como FileVault ou recuperação baseada em MDM) redefinirão o Enclave Seguro. A redefinição do Enclave Seguro renderizará as chaves armazenadas anteriormente para essa conta inacessíveis. Os dispositivos cujas chaves do Enclave Seguro foram perdidas devem ser registrados novamente para usar o SSO da plataforma.

Relatar um problema

Se você estiver enfrentando problemas com o PSSO, poderá denunciá-los no Portal da Empresa.

1. Abra o aplicativo Portal da Empresa e navegue até Ajuda>Enviar relatório de diagnóstico.
2. Uma janela Enviar relatório de diagnóstico é exibida. Selecione logs de email para enviar os logs.
3. Anote a ID do incidente antes de fechar a janela.

Você pode verificar o estado atual do PSSO em seu computador a qualquer momento abrindo o aplicativo Terminal. Execute o comando a seguir.

app-sso platform -s

Fale conosco

Adoraríamos receber seus comentários. Você deve incluir as seguintes informações:

• Sysdiagnose e logs de diagnóstico
• Etapas para reproduzir o problema
• Quando aplicável, inclua capturas de tela relevantes e/ou gravações

Capturando Sysdiagnose e logs de diagnóstico

1. Habilite a persistência dos logs de depuração executando o seguinte comando no Terminal.

   sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"
   

2. Reproduza o problema, de modo que novos logs sejam gerados para o cenário afetado. Forneça carimbos de data/hora relevantes em seu relatório de problemas para ajudar na investigação do registro.

3. Capture dados de diagnóstico executando o seguinte comando no Terminal.

   sudo sysdiagnose
   

4. Redefina os logs de depuração para as configurações padrão executando o comando a seguir no Terminal.

   sudo log config --reset --subsystem "com.apple.AppSSO"
   

Guia de Solução de Problemas

Permissões insuficientes

Se um usuário tiver permissões insuficientes para concluir o ingresso e o registro do Microsoft Entra ID, nenhuma mensagem de erro será mostrada. Para que o ingresso e o registro do dispositivo sejam concluídos com êxito, o usuário que inicia o fluxo de registro deve estar na lista de permissões.

1. No Centro de administração do Microsoft Entra, navegue até Identidade>Dispositivos>Visão Geral>Configurações do Dispositivo.
2. Em Configurações de ingresso e registro do Microsoft Entra ID, verifique se a opção Todos está selecionada no menu de alternância de Os usuários podem ingressar nos dispositivos no Microsoft Entra.
3. Selecione Salvar para aplicar as alterações.

Solucionar problemas de chave de acesso

A opção Credencial de Plataforma como Chave de Acesso só estará disponível se o Enclave Seguro estiver configurado como o método de autenticação para o SSO da Plataforma. Você deverá verificar o seguinte:

1. Verifique se o administrador configurou seu dispositivo com o Enclave Seguro como o método de autenticação e chave de acesso habilitada (FIDO2) para sua organização.
2. Como usuário, verifique se você habilitou o Portal da Empresa como um provedor de chave de acesso nas configurações do dispositivo. Navegue até o aplicativo Configurações, Senhas e Opções de senha e certifique-se de que o Portal da Empresa esteja habilitado.

Solucionar problemas de SSO do Google Chrome

Se um usuário tiver a extensão Logon Único da Microsoft no Google Chrome instalada, o navegador Chrome poderá se comunicar com o intermediário de SSO da Microsoft para proporcionar uma experiência de usuário de SSO e trabalhar com políticas de acesso condicional baseadas em dispositivos. Se os usuários não conseguirem aprovar as políticas de acesso condicional baseadas em dispositivos no Google Chrome, pode haver um problema com a instalação do aplicativo Portal da Empresa, o que pode impedir que o Chrome se comunique com o agente SSO. Você deve executar as seguintes etapas para corrigir esse problema:

1. Abra a pasta Aplicativos no Mac
2. Clique com o botão direito do mouse no aplicativo Portal da Empresa e escolha Mover para a Lixeira
3. Baixe a versão mais recente do instalador do Portal da Empresa do https://go.microsoft.com/fwlink/?linkid=853070
4. Instalar o Portal da Empresa recentemente usando o CompanyPortal-Installer.pkg baixado

Valide se o problema foi resolvido verificando a existência deste arquivo: ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

Como alternativa, você pode implantar o script a seguir por meio do MDM ou de outras ferramentas de automação para copiar o arquivo JSON para o local correto. Esse script deve ser executado no contexto do usuário para cada usuário que enfrentar o problema de SSO do Chrome:

#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it

# For Google Chrome (user-specific, default path)

if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos

if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

Importante

Observação: esse problema se deve a um bug na forma como o Portal da Empresa é instalado ou atualizado em determinadas circunstâncias. Esse problema será resolvido em uma atualização futura do Portal da Empresa.

Confira também

• Ingressar um dispositivo Mac com o Microsoft Entra ID durante a experiência pronta para uso
• Ingressar um dispositivo Mac com o Microsoft Entra ID usando o Portal da Empresa
• Plug-in do Microsoft Enterprise SSO para dispositivos Apple
• Solução de problemas do plug-in de extensão SSO do Microsoft Enterprise em dispositivos Apple