Bekannte Probleme und Problembehandlung mit macOS Platform Single Sign-On (Preview)

Dieser Artikel beschreibt die derzeit bekannten Probleme und häufigen Fragen zu macOS Platform Single Sign-On (PSSO). Hier finden Sie Problemlösungen und Informationen darüber, wie Sie ein Problem melden können, das nicht abgedeckt ist. Außerdem enthält dieser Artikel Hinweise zur Problembehandlung.

Zu überprüfende Szenarien

Nach der Bereitstellung von PSSO auf Ihrem Gerät gibt es einige Validierungsszenarien, die Sie durchführen können, um sicherzustellen, dass die Bereitstellung erfolgreich war. Wenn Probleme auftauchen, finden Sie weitere Anweisungen unter Problem melden.

Kennwortänderungsereignisse

Vergewissern Sie sich, dass Änderungen am Microsoft Entra ID-Kennwort, die durch das Zurücksetzen des Kennworts per Self-Service (SSPR) vorgenommen wurden, erfolgreich mit dem lokalen Rechner synchronisiert wurden. Wenn sich das Microsoft Entra ID-Kennwort einer Benutzerin oder eines Benutzers nach der Synchronisierung mit dem Mac ändert, wird die Benutzerin oder der Benutzer aufgefordert, das neue Kennwort innerhalb von 4 Stunden einzugeben.

Reparieren oder Entfernen der PSSO-Registrierung von einem Gerät

In diesem Abschnitt wird beschrieben, wie Sie die PSSO-Registrierung von einem Mac-Gerät abhängig von der macOS-Version reparieren oder entfernen.

Unter macOS 14 Sonoma können Sie die vorhandene PSSO-Registrierung reparieren, wenn Probleme mit der Geräteregistrierung auftreten.

  1. Öffnen Sie die Einstellungen-App, und navigieren Sie zu Benutzerkonten und Gruppen>Netzwerkkontoserver.
  2. Wählen Sie Bearbeiten und dann Reparieren aus. Sie werden durch denselben Flow der Geräteregistrierung geführt wie bei der ersten Registrierung.

Sie können das Gerät auch vollständig abmelden, indem Sie die folgenden Schritte ausführen.

  1. Öffnen Sie die Unternehmensportal-App und navigieren Sie zu Einstellungen.
  2. Um das Gerät abzumelden, wählen Sie Registrierung aufheben aus.

Das Enterprise SSO-Plugin wird nach einer Systemaktualisierung nicht aktiviert

Wenn das Enterprise SSO-Plugin nicht aktiviert werden kann, nachdem Systemaktualisierungen auf das Gerät angewendet wurden, sollten Sie den Softwareupdate-Daemon neu starten.

  1. Öffnen Sie die Terminal-App, und geben Sie den folgenden Befehl ein, um den swcd-Prozess zu beenden.

    sudo killall swcd
    
  2. Geben Sie dann den folgenden Befehl ein, um den Prozess zurückzusetzen.

    sudo swcutil reset
    

Temporäre Kennwörter, die während der Kennwortzurücksetzung ausgegeben wurden, können nicht mit Platform SSO synchronisiert werden.

Temporäre Kennwörter, die während der Kennwortzurücksetzung ausgegeben wurden, können nicht mit dem lokalen Gerät synchronisiert werden. Benutzerinnen und Benutzern wird empfohlen, den Kennwortzurücksetzungsprozess mit ihrem temporären Kennwort mithilfe der SSO-Erweiterung abzuschließen.

Gerätemigration

Vergewissern Sie sich, dass ein zuvor registriertes Gerät (mit einem Workplace Join-Schlüssel im Schlüsselbundzugriff) den Schlüssel nach erfolgreicher PSSO-Geräteregistrierung entfernt.

Häufig gestellte Fragen

Kann ich macOS PSSO in einer Hybridbeitrittsbereitstellung verwenden?

Nein, macOS PSSO wird nur in Microsoft Entra Join-Bereitstellungen unterstützt. Es gibt keine Pläne zur Unterstützung von Hybridbeitrittsbereitstellungen, da wir empfehlen, dass Mac-Benutzerinnen und -Benutzer vollständig cloudbasiert arbeiten.

Wie kann ich mein Kennwort ändern, wenn ich Plattform-SSO verwende?

Benutzer können ihr Kennwort mithilfe der Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) auf ihrem Gerät ändern.

Wenn das SSPR auf einem anderen Computer erfolgt, können sich Benutzer entweder mit dem alten oder dem neuen Kennwort beim Mac-Gerät anmelden. Wenn Sie das alte Kennwort verwenden, wird das Gerät entsperrt, und der Benutzer wird aufgefordert, das neue Kennwort einzugeben, um die Synchronisierung der Daten fortzusetzen. Durch die Verwendung des neuen Kennworts wird das Gerät entsperrt, und die Daten werden sofort synchronisiert.

Es wird empfohlen, dass IT-Administratoren verwalteten Apple-IDs verwenden, da dies Organisationen weitere Optionen zur Kennwortverwaltung bietet.

Was soll ich tun, wenn ich mein Kennwort vergessen habe?

Kennwortsynchronisierung

Wenn Benutzer sich auf dem Sperrbildschirm oder auf dem Anmeldebildschirm befinden, können sie ihr Kennwort von dort aus zurücksetzen. Wenn der Benutzer ein temporäres Kennwort von einem IT-Administrator erhalten hat, sollte er ein anderes Gerät zum Anmelden verwenden, ein neues Kennwort vergeben und dieses Kennwort verwenden, um sich bei seinem eigenen Gerät anzumelden. Weitere Informationen finden Sie in der Dokumentation von Apple zu vergessenen Kennwörtern.

Wichtig

Es gibt derzeit ein bekanntes Problem mit PSSO, das das Entfernen der Registrierung während der Wiederherstellung verursacht und möglicherweise Benutzer dazu auffordert, sich nach der Wiederherstellung erneut zu registrieren. Dieses Verhalten wird erwartet.

IT-Administratoren sollten auch die Keyvault-Wiederherstellung aktivieren, um sicherzustellen, dass Daten im Falle eines vergessenen Kennworts wiederhergestellt werden können. Weitere Informationen finden Sie unter Konfigurieren von Plattform-SSO für macOS-Geräte in Microsoft Intune.

Hinweis

Wenn das Gerät gestartet wird und eine FileVault-Verschlüsselung vorhanden ist, funktioniert das neue Entra-Kennwort nur unter macOS15.

Secure Enclave

Benutzer können das lokale Kennwort über die Apple-ID oder mithilfe eines Administratorwiederherstellungsschlüssels zurücksetzen.

Bekannte Probleme

Komplexitätskonflikt für Passcode-Richtlinien

Es gibt ein bekanntes Problem, bei dem eine angewandte MDM-Konfiguration eine lokale Kennwort-Richtlinie mit einem höheren Komplexitätsgrad angibt als das Microsoft Entra-Konto, das für die Anmeldung am Rechner verwendet wird. In diesem Fall schlägt der Vorgang der Synchronisierung des Kennworts zwischen Microsoft Entra ID und dem lokalen Rechner fehl.

Stellen Sie bei der MDM-Konfiguration sicher, dass die Komplexitätanforderungen des Kennworts auf dem lokalen Rechner und der Microsoft Entra ID identisch sind.

Vorgänge mit langer Ausführung

Wenn die Geräteregistrierung über die Anwendung Einstellungen fehlschlägt, erscheint das Popup-Fenster „Geräteregistrierung“ nach etwa 10 Minuten erneut, und Sie können es erneut versuchen.

Der Dialog zur SSO-Authentifizierung wurde geschlossen, während die Registrierung ausgeführt wurde

Wenn Sie den Registrierungsprozess abbrechen, indem Sie das Dialogfeld zur SSO-Authentifizierung schließen, müssen Sie sich von Ihrem Mac-Gerät abmelden und erneut anmelden. Nach einer erfolgreichen Anmeldung erscheint die Registrierungsbenachrichtigung wieder und funktioniert ordnungsgemäß.

MFA pro Benutzerkonto verursacht Fehler bei der Kennwortsynchronisierung

Wenn für ein Benutzerkonto MFA pro Benutzerkonto in dem Konto aktiviert ist, in dem PSSO eingerichtet ist, können Sie in den nächsten Schritten keine Microsoft Entra ID-Anmeldeinformationen eingeben, was zu einem Fehler führt. Um diesen Fehler zu vermeiden, sollten Admins sicherstellen, dass sie MFA für den bedingten Zugriff gemäß den Empfehlungen von Microsoft Entra ID aktiviert haben. Dies unterdrückt MFA während der Anmeldung, so dass die Synchronisierung der Kennwörter erfolgreich abgeschlossen werden kann.

PSSO-Neuregistrierung erforderlich, nachdem die Kennwortzurücksetzung von der FileVault-Wiederherstellung oder der MDM-gesteuerten Wiederherstellung initiiert wurde

Da Secure Enclave-Schlüssel durch das Kennwort Ihres lokalen Kontos geschützt sind, wird Secure Enclave durch Kennwortzurücksetzungen, die ohne Angabe dieses Kennworts auftreten, zurückgesetzt (z. B. durch eine FileVault- oder MDM-basierte Wiederherstellung). Nach dem Zurücksetzen von Secure Enclave ist der Zugriff auf Schlüssel, die zuvor für dieses Konto gespeichert wurden, nicht mehr möglich. Geräte, deren Secure Enclave-Schlüssel verloren gegangen sind, müssen für die Verwendung von Plattform-SSO neu registriert werden.

Melden eines Problems

Wenn Sie Probleme mit PSSO haben, können Sie diese im Unternehmensportal melden.

  1. Öffnen Sie die Unternehmensportal-App, und navigieren Sie zu Hilfe>Diagnosebericht senden.
  2. Es wird ein Fenster zum Senden von Diagnoseberichten angezeigt. Wählen Sie E-Mail-Protokolle aus, um die Protokolle zu senden.
  3. Notieren Sie sich Ihre Vorfall-ID, bevor Sie das Fenster schließen.

Sie können den aktuellen PSSO-Zustand auf Ihrem Computer jederzeit überprüfen, indem Sie die Terminal-App öffnen. Führen Sie den folgenden Befehl aus.

app-sso platform -s

Kontakt

Wir freuen uns über Ihr Feedback! Sie sollten dabei unbedingt die folgenden Informationen angeben:

  • Sysdiagnose- und Diagnoseprotokolle
  • Schritte zum Reproduzieren des Problems
  • Gegebenenfalls relevante Screenshots und/oder Aufzeichnungen einschließen

Erfassen von Sysdiagnose- und Diagnoseprotokollen

  1. Aktivieren Sie die Persistenz von Debuggenprotokollen, indem Sie den folgenden Befehl im Terminal ausführen.

    sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"
    
  2. Reproduzieren Sie das Problem, so dass neue Protokolle für das betroffene Szenario generiert werden. Bitte geben Sie relevante Zeitstempel in Ihrem Problembericht an, um die Protokolluntersuchung zu unterstützen.

  3. Erfassen Sie Diagnosedaten, indem Sie den folgenden Befehl im Terminal ausführen.

    sudo sysdiagnose
    
  4. Setzen Sie die Debugprotokolle auf die Standardeinstellungen zurück, indem Sie den folgenden Befehl im Terminal ausführen.

    sudo log config --reset --subsystem "com.apple.AppSSO"
    

Handbuch zur Problembehandlung

Insufficient permissions

Wenn eine Benutzerin oder ein Benutzer über unzureichende Berechtigungen zum Abschließen der Teilnahme und Registrierung von Microsoft Entra ID verfügt, wird keine Fehlermeldung angezeigt. Damit der Gerätebeitritt und die Registrierung erfolgreich abgeschlossen werden können, muss die Benutzerin oder der Benutzer, die bzw. der den Registrierungsablauf initiiert, auf die Positivliste gesetzt werden.

  1. Navigieren Sie im Microsoft Entra Admin Centerzu Identität>Geräte>Übersicht>Geräteeinstellungen.
  2. Stellen Sie unter den Anmelde- und Registrierungseinstellungen von Microsoft Entra ID sicher, dass die Option Alle im Umschaltmenü Benutzerinnen und Benutzer können eine Verknüpfung zwischen Geräten und Microsoft Entra herstellen ausgewählt ist.
  3. Klicken Sie auf Speichern, um die Änderungen zu übernehmen.

Behandeln von Passkey-Problemen

Die Option Platform Credential as Passkey ist nur verfügbar, wenn Secure Enclave als Authentifizierungsmethode für Platform SSO konfiguriert ist. Sie sollten Folgendes überprüfen:

  1. Stellen Sie sicher, dass Ihr Admin Ihr Gerät mit Secure Enklave als Authentifizierungsmethode eingerichtet hat und Passkeys (FIDO2) für Ihre Organisation aktiviert hat.
  2. Überprüfen Sie mit einem Benutzerkonto, ob Sie das Unternehmensportal als Passkey-Anbieter in Ihren Geräteeinstellungen aktiviert haben. Navigieren Sie in Ihrer Einstellungen-App zu Kennwörter und Kennwortoptionen, und stellen Sie sicher, dass das Unternehmensportal aktiviert ist.

Behandeln von Problemen mit Google Chrome SSO

Wenn eine Benutzerin oder ein Benutzer die Microsoft Single Sign On-Erweiterung für Google Chrome installiert hat, sollte der Chrome-Browser mit dem Microsoft SSO-Broker kommunizieren können – sowohl für eine SSO-Benutzeroberfläche als auch für die Arbeit mit gerätebasierten Richtlinien für bedingten Zugriff. Wenn Benutzerinnen und Benutzer keine gerätebasierten Richtlinien für bedingten Zugriff in Google Chrome übergeben können, gibt es möglicherweise ein Problem mit der Installation der Unternehmensportalanwendung, wodurch verhindert werden kann, dass Chrome mit dem SSO-Broker kommuniziert. Führen Sie die folgenden Schritte aus, um dieses Problem zu beheben:

  1. Öffnen Sie den Ordner Anwendungen auf dem Mac
  2. Klicken Sie mit der rechten Maustaste auf die Unternehmensportalanwendung, und wählen Sie In Papierkorb verschieben aus.
  3. Laden Sie die neueste Version des Installationsprogramms des Unternehmensportals von https://go.microsoft.com/fwlink/?linkid=853070 herunter.
  4. Installieren Sie das Unternehmensportal mit dem heruntergeladenen CompanyPortal-Installer.pkg.

Überprüfen Sie, ob das Problem behoben wurde, indem Sie überprüfen, ob die folgende Datei vorhanden ist: ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

Alternativ können Sie das folgende Skript über Ihre MDM oder andere Automatisierungstools bereitstellen, um die JSON-Datei an den richtigen Speicherort zu kopieren. Dieses Skript sollte im Kontext des Benutzers für jeden Benutzer ausgeführt werden, bei dem das Chrome SSO-Problem auftritt:

#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it

# For Google Chrome (user-specific, default path)

if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# For Edge (user-specific, default path, not channel specific)
# See: https://video2.skills-academy.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos

if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

Wichtig

Hinweis: Dieses Problem liegt an einem Fehler bei der Installation oder Aktualisierung des Unternehmensportals unter bestimmten Umständen. Dieses Problem wird in einem zukünftigen Update des Unternehmensportals behoben.

Weitere Informationen