Partilhar via


Problemas conhecidos e solução de problemas conhecidos de logon único da plataforma macOS (visualização)

Este artigo descreve os problemas conhecidos atuais e as perguntas comuns sobre o logon único (PSSO) da plataforma macOS. Ele fornece soluções de problemas e informações sobre como relatar um problema que não é coberto. Este artigo também inclui diretrizes para solução de problemas.

Cenários a validar

Depois de implantar o PSSO em seu dispositivo, há alguns cenários de validação que você pode fazer para garantir que a implantação seja bem-sucedida. Se houver algum problema, consulte Relatar um problema para obter mais instruções.

Eventos de alteração de palavra-passe

Confirme se as alterações na senha do Microsoft Entra ID feitas por meio da redefinição de senha de autoatendimento (SSPR) foram sincronizadas com êxito com a máquina local. Se a senha do Microsoft Entra ID de um usuário for alterada depois de sincronizá-la com o Mac, o usuário será solicitado a inserir sua nova senha dentro de 4 horas.

Reparar ou remover o registo PSSO de um dispositivo

Esta seção descreve como reparar ou remover o registro PSSO de um dispositivo Mac, dependendo da versão do macOS.

No macOS 14 Sonoma, se houver problemas com o registro do seu dispositivo, você pode reparar o registro PSSO existente.

  1. Abra o aplicativo Configurações e navegue até Usuários & Grupos>Servidor de Conta de Rede.
  2. Selecione Editar e, em seguida , Reparar. Você é levado através do mesmo fluxo de registro de dispositivo como quando durante o seu registro inicial.

Você também pode cancelar completamente o registro do dispositivo seguindo as etapas a seguir.

  1. Abra o aplicativo Portal da Empresa e navegue até Preferências.
  2. Para cancelar o registro do dispositivo, selecione Cancelar registro.

O plug-in Enterprise SSO não é ativado após a atualização do sistema

Se o plug-in Enterprise SSO não for ativado após as atualizações do sistema serem aplicadas ao dispositivo, reinicie o daemon de atualização de software.

  1. Abra o aplicativo Terminal e digite o seguinte comando para matar o swcd processo.

    sudo killall swcd
    
  2. Em seguida, digite o seguinte comando para redefinir o processo.

    sudo swcutil reset
    

As senhas temporárias emitidas durante a redefinição de senha não podem ser sincronizadas com o SSO da plataforma

As senhas temporárias emitidas durante a redefinição de senha não podem ser sincronizadas com o dispositivo local. Os usuários são aconselhados a concluir o processo de redefinição de senha usando sua senha temporária usando a extensão SSO.

Migração de dispositivos

Confirme se um dispositivo registrado anteriormente (com uma chave de Ingresso no Local de Trabalho no Acesso às Chaves) remove a chave após o registro bem-sucedido do dispositivo PSSO.

Perguntas mais frequentes

Posso usar o macOS PSSO em uma implantação de associação híbrida?

Não, o macOS PSSO só é suportado em implementações de junção do Microsoft Entra. Não há planos para suportar implantações de junção híbrida, pois recomendamos que os usuários de Mac sejam totalmente baseados na nuvem.

Como posso alterar minha senha ao usar o SSO da plataforma?

Os usuários podem alterar suas senhas usando o Self-Service Password Reset (SSPR) em seus dispositivos.

Se o SSPR for feito em outra máquina, os usuários poderão entrar no dispositivo Mac usando a senha antiga ou a nova. Usar a senha antiga desbloqueará o dispositivo e, em seguida, solicitará ao usuário a nova senha para continuar sincronizando dados. Usando a nova senha irá desbloquear o dispositivo e sincronizar dados imediatamente.

Recomendamos que os administradores de TI usem IDs Apple gerenciados sempre que possível, pois isso dá às organizações mais opções para o gerenciamento de senhas.

O que devo fazer se me esquecer da minha palavra-passe?

Sincronização de Palavra-passe

Se os usuários estiverem na tela de bloqueio ou na tela de login, eles podem redefinir sua senha a partir daí. Se o usuário recebeu uma senha temporária de um administrador de TI, ele deve usar outro dispositivo para fazer login, configurar uma nova senha e usar essa nova senha para fazer login em seu próprio dispositivo. Para mais informações, consulte a documentação da Apple sobre palavras-passe esquecidas.

Importante

Atualmente, há um problema conhecido com o PSSO que está causando a remoção do registro durante a recuperação e pode solicitar que os usuários se registrem novamente após a recuperação. Este comportamento está previsto.

Os administradores de TI também devem habilitar a recuperação do keyvault para garantir que os dados possam ser recuperados no caso de uma senha esquecida. Para saber mais, consulte Configurar SSO de plataforma para dispositivos macOS no Microsoft Intune.

Nota

Se o dispositivo for inicializado e houver criptografia FileVault, a nova senha do Entra funcionará apenas no macOS15.

Enclave Seguro

Os utilizadores podem repor a palavra-passe local através do ID Apple ou de uma chave de recuperação de administrador.

Problemas conhecidos

Solicitações de reregistro inesperadas/frequentes no macOS Sequoia

Há um problema conhecido de simultaneidade no macOS 15+ (Sequoia) que pode fazer com que a configuração do dispositivo PSSO fique corrompida. A configuração do dispositivo pode ser corrompida por atualizações simultâneas dos processos AppSSOAgent e AppSSODaemon do sistema. A configuração corrompida faz com que o sistema operacional acione seu fluxo de remediação de registro, resultando em solicitações de registro inesperadas para os usuários.

Este problema está atualmente a ser investigado pela Apple e espera-se que seja corrigido numa próxima atualização do sistema operativo.

Os logs de diagnóstico de sistema dos usuários afetados contêm o seguinte erro:

Error Domain=com.apple.PlatformSSO Code=-1001 "Error deserializing device config." UserInfo={NSLocalizedDescription=Error deserializing device config., NSUnderlyingError=0x9480343f0 {Error Domain=NSCocoaErrorDomain Code=3840 "Garbage at end around line 27, column 1." UserInfo={NSDebugDescription=Garbage at end around line 27, column 1., NSJSONSerializationErrorIndex=3052}}}

Encorajamos os utilizadores e administradores que encontrarem este erro a apresentarem um problema com o Apple Care e a contactarem a Apple para resolver o problema.

Incompatibilidades de complexidade da política de código de acesso

Há um problema conhecido em que uma configuração MDM aplicada especifica uma política de senha local com um grau mais alto de complexidade do que a conta Microsoft Entra usada para entrar na máquina. Nesse caso, a operação de sincronização de senha entre o Microsoft Entra ID e a máquina local falha.

Durante a configuração do MDM, verifique se os requisitos de complexidade de senha são idênticos entre a máquina local e o ID do Microsoft Entra.

Operações de execução prolongada

Se o registo do dispositivo falhar através da aplicação Definições, o pop-up Registo do Dispositivo reaparecerá após cerca de 10 minutos e pode tentar novamente.

Caixa de diálogo de prompt de autenticação SSO fechada enquanto o registro está em andamento

Se você cancelar o processo de registro fechando a caixa de diálogo de prompt de autenticação SSO, precisará sair do seu dispositivo Mac e entrar novamente. Após um login bem-sucedido, a notificação de registro reaparece e funciona corretamente.

A MFA por usuário causa falha na sincronização de senha

Se um usuário tiver a MFA por usuário habilitada na conta em que o PSSO está sendo configurado, você não poderá inserir as credenciais do Microsoft Entra ID nas próximas etapas, causando um erro. Para evitar esse erro, os administradores devem garantir que tenham a MFA de Acesso Condicional habilitada de acordo com as recomendações do Microsoft Entra ID. Isso suprime o MFA durante o registro para que a sincronização de senha possa ser concluída com êxito.

Novo registro PSSO necessário após a redefinição de senha iniciada a partir da recuperação do FileVault ou da recuperação orientada por MDM

Como as chaves do Secure Enclave são protegidas pela senha da sua conta local, as redefinições de senha que ocorrem sem fornecer essa senha (como FileVault ou recuperação baseada em MDM) redefinirão o Secure Enclave. A redefinição do Enclave Seguro torna as chaves armazenadas anteriormente para essa conta inacessíveis. Os dispositivos cujas chaves do Enclave Seguro foram perdidas devem ser registrados novamente para usar o SSO da Plataforma.

Comunicar um problema

Se tiver problemas com o PSSO, pode denunciá-los no Portal da Empresa.

  1. Abra o aplicativo Portal da Empresa e navegue Ajudar > diagnóstico.
  2. Uma janela Enviar relatório de diagnóstico é exibida. Selecione Logs de e-mail para enviar os logs.
  3. Anote o ID do incidente antes de fechar a janela.

Você pode verificar o estado atual do PSSO em sua máquina a qualquer momento abrindo o aplicativo Terminal. Execute o seguinte comando.

app-sso platform -s

Contactos

Adoraríamos ouvir o seu feedback. Deve incluir as seguintes informações:

  • Sysdiagnose e logs de diagnóstico
  • Etapas para reproduzir o problema
  • Se aplicável, inclua capturas de ecrã e/ou gravações relevantes

Capturando logs de diagnóstico e diagnóstico do Sysdiagnose

  1. Habilite a persistência de logs de depuração executando o seguinte comando no Terminal.

    sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"
    
  2. Reproduza o problema, de modo que novos logs sejam gerados para o cenário afetado. Forneça carimbos de data/hora relevantes no seu relatório de emissão para ajudar na investigação do log.

  3. Capture dados de diagnóstico executando o seguinte comando no Terminal.

    sudo sysdiagnose
    
  4. Redefina os logs de depuração para as configurações padrão executando o seguinte comando no Terminal.

    sudo log config --reset --subsystem "com.apple.AppSSO"
    

Guia de resolução de problemas

Permissões insuficientes

Se um usuário tiver permissões insuficientes para concluir a associação e o registro do Microsoft Entra ID, nenhuma mensagem de erro será exibida. Para que a associação do dispositivo e o registro sejam concluídos com êxito, o usuário que inicia o fluxo de registro deve ser permitido.

  1. No centro de administração do Microsoft Entra, navegue até Configurações do dispositivo de visão geraldos>>>.
  2. Em Configurações de ingresso e registro do Microsoft Entra ID, verifique se a opção Todos está selecionada no menu de alternância para Usuários podem ingressar dispositivos no Microsoft Entra.
  3. Selecione Guardar para aplicar as alterações.

Solucionar problemas de chave de acesso

A opção Credencial de plataforma como chave de acesso só estará disponível se o Enclave Seguro estiver configurado como o método de autenticação para SSO de plataforma. Deve verificar o seguinte:

  1. Certifique-se de que o administrador configurou o dispositivo com o Secure Enclave como método de autenticação e ativou as chaves de acesso (FIDO2) para a sua organização.
  2. Como usuário, verifique se você habilitou o Portal da Empresa como um provedor de chave de acesso nas configurações do dispositivo. Navegue até o aplicativo Configurações, as opções Senhas e Senha e verifique se o Portal da Empresa está habilitado.

Solucionar problemas de SSO do Google Chrome

Se um usuário tiver a extensão Microsoft Single Sign On para o Google Chrome instalada, seu navegador Chrome deverá ser capaz de se comunicar com o agente Microsoft SSO para uma experiência de usuário SSO e para trabalhar com políticas de Acesso Condicional baseadas em dispositivo. Se os utilizadores não conseguirem aprovar políticas de Acesso Condicional baseadas no dispositivo no Google Chrome, poderá haver um problema com a forma como a aplicação Portal da Empresa foi instalada, o que pode impedir o Chrome de comunicar com o agente SSO. Você deve tomar as seguintes etapas para corrigir esse problema:

  1. Abra a pasta Aplicações no Mac
  2. Clique com o botão direito do mouse no aplicativo Portal da Empresa e escolha Mover para a Lixeira
  3. Faça o download da versão mais recente do instalador do Portal da Empresa em https://go.microsoft.com/fwlink/?linkid=853070
  4. Instale recentemente o Portal da Empresa usando o CompanyPortal-Installer.pkg baixado

Valide se o problema foi resolvido verificando a existência deste ficheiro: ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

Como alternativa, você pode implantar o script a seguir por meio do MDM ou de outras ferramentas de automação para copiar o arquivo JSON para o local correto. Esse script deve ser executado no contexto do usuário para cada usuário que enfrenta o problema de SSO do Chrome:

#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it

# For Google Chrome (user-specific, default path)

if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos

if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

Importante

Nota: Este problema deve-se a um bug na forma como o Portal da Empresa é instalado ou atualizado em determinadas circunstâncias. Esse problema será resolvido em uma atualização futura do Portal da Empresa.

Consulte também