macOS プラットフォームのシングル サインオンの既知の問題とトラブルシューティング (プレビュー)
この記事では、macOS プラットフォームのシングル サインオン (PSSO) に関する現時点での既知の問題と一般的な質問について説明します。 また、問題のソリューションや、対応されていない問題を報告する方法に関する情報も提供します。 この記事にはトラブルシューティングに関するガイダンスも含まれています。
検証するシナリオ
デバイスに PSSO をデプロイした後、デプロイが正常に行われたことを確認するためのいくつかの検証シナリオがあります。 問題がある場合は、問題の報告に関する記事を参照してください。
パスワード変更イベント
セルフサービス パスワード リセット (SSPR) を通じて変更された Microsoft Entra ID パスワードがローカル コンピューターに正常に同期されていることを確認します。 Microsoft Entra ID パスワードを Mac に同期した後に変更した場合、4 時間以内に新しいパスワードを入力するよう求められます。
デバイスの修復または PSSO 登録の削除
このセクションでは、macOS バージョンに応じて、Mac デバイスから PSSO 登録を修復または削除する方法について説明します。
macOS 14 Sonoma では、デバイス登録に問題がある場合、既存の PSSO 登録を修復できます。
- [設定] アプリを開き、[ユーザーとグループ]>[ネットワーク アカウント サーバー] に移動します。
- [編集] を選択してから、[修復] を選択します。 デバイス登録は、初回登録時と同じ流れになります。
次の手順を実行して、デバイスの登録を完全に解除することもできます。
- [ポータル サイト] アプリを開き、[ユーザー設定] に移動します。
- デバイスの登録を解除するには、[登録解除] を選択します。
システム更新後に Enterprise SSO プラグインがアクティブにならない
システム更新がデバイスに適用された後に Enterprise SSO プラグインがアクティブにならない場合は、ソフトウェア更新デーモンを再起動する必要があります。
[ターミナル] アプリを開き、次のコマンドを入力して
swcdプロセスを強制終了します。sudo killall swcdその後、次のコマンドを入力してプロセスをリセットします。
sudo swcutil reset
パスワード リセット時に発行された一時パスワードはプラットフォーム SSO と同期できません
パスワード リセット中に発行された一時パスワードはローカル デバイスに同期できません ユーザーは、SSO 拡張機能を使用して、一時パスワードを使用してパスワード リセット プロセスを完了することをお勧めします。
デバイスの移行
PSSO デバイスが正常に登録された後、以前に登録されたデバイス (キーチェーン アクセスに社内参加キーを使用) でキーが削除されることを確認します。
よく寄せられる質問
ハイブリッド参加のデプロイで macOS PSSO を使用できますか?
macOS PSSO は、Microsoft Entra 参加デプロイでのみサポートされています。 Mac ユーザーには完全なクラウド ベースが推奨されるため、ハイブリッド参加のデプロイをサポートする予定はありません。
既知の問題
パスコード ポリシーの複雑さの不一致
適用された MDM 構成で、コンピューターへのサインインに使用される Microsoft Entra アカウントよりも複雑度の高いローカル パスワード ポリシーが指定される既知の問題があります。 この場合、Microsoft Entra ID とローカル コンピューター間のパスワード同期操作は失敗します。
MDM 構成中に、パスワードの複雑さの要件がローカル コンピューターと Microsoft Entra ID の間で同一であることを確認します。
長時間の操作
登録中に SSO 認証プロンプト ダイアログが閉じました
SSO 認証プロンプト ダイアログを閉じて登録プロセスをキャンセルした場合は、Mac デバイスからサインアウトしてもう一度サインインする必要があります。 サインインに成功すると、登録通知が再び表示され、正しく動作します。
ユーザーごとの MFA でのパスワード同期の失敗
PSSO を設定するアカウントでユーザーごとの MFA が有効になっている場合、次の手順で Microsoft Entra ID 資格情報を入力することができず、エラーが発生します。 このエラーを回避するために、管理者は Microsoft Entra ID の推奨事項に従って条件付きアクセス MFA を有効にする必要があります。 パスワードの同期が正常に完了するように、これによって登録中の MFA を抑制します。
FileVault 回復または MDM 駆動型の回復からパスワードのリセットが開始された後に必要な PSSO 再登録
Secure Enclave キーはローカル アカウントのパスワードによって保護されているため、このパスワードを指定せずにパスワードをリセットすると (FileVault や MDM ベースの回復など)、Secure Enclave がリセットされます。 Secure Enclave をリセットすると、このアカウント用に以前に保存されたキーにアクセスできなくなります。 Secure Enclave キーが失われたデバイスは、Platform SSO を使用するために再登録する必要があります。
問題の報告
PSSO で問題が発生した場合は、ポータル サイトで報告することができます。
- [ポータル サイト] アプリを開き、[ヘルプ]>[診断レポートの送信] に移動します。
- [診断レポートの送信] ウィンドウが表示されます。 ログを送信するには、[Email ログ] を選択します。
- ウィンドウを閉じる前に、インシデント ID をメモしておいてください。
[ターミナル] アプリを開くと、コンピューターの現在の PSSO 状態をいつでも確認できます。 次のコマンドを実行します。
お問い合わせ
フィードバックをお寄せください。 次の情報を含める必要があります。
Apple のログ
sudo log config --mode "level:debug,persist:debug" --subsystem com.apple.AppSSO"診断データ
sudo sysdiagnose問題を再現する手順
該当する場合は、関連するスクリーンショットやレコーディングを含めてください
トラブルシューティング ガイド
アクセス許可が不十分です
ユーザーが Microsoft Entra ID の参加と登録を完了するのに十分なアクセス許可がない場合、エラー メッセージは表示されません。 デバイスの参加と登録を正常に完了するには、登録フローを開始したユーザーが許可リストに登録されている必要があります。
- Microsoft Entra 管理センターで、[ID]>[デバイス]>[概要]>[デバイスの設定] に移動します。
- [Microsoft Entra ID の参加と登録の設定] で、[ユーザーがデバイスを Microsoft Entra に参加させる可能性がある] のトグル メニューで [すべて] オプションが選択されていることを確認します。
- [保存] をクリックして変更を適用します。
パスキーの問題のトラブルシューティング
[パスキーとしてのプラットフォーム資格情報] オプションは、セキュリティで保護されたエンクレーブがプラットフォーム SSO の認証方法として構成されている場合にのみ使用できます。 以下を確認する必要があります。
- 管理者が認証方法としてセキュリティで保護されたエンクレーブをを使用してデバイスを設定し、組織のパスキー (FIDO2) を有効にしていることを確認します。
- ユーザーとして、デバイス設定でパスキー プロバイダーとしてポータル サイトを有効にしていることを確認します。 [設定] アプリ、[パスワード]、[パスワード オプション] に移動し、ポータル サイトが有効になっていることを確認します。
Google Chrome の SSO に関する問題のトラブルシューティング
ユーザーが Google Chrome 用の Microsoft シングル サインオン拡張機能をインストールしている場合、Chrome ブラウザーは、SSO ユーザー エクスペリエンスとデバイスベースの条件付きアクセス ポリシーの操作の両方について Microsoft SSO ブローカーと通信できる必要があります。 ユーザーが Google Chrome でデバイスベースの条件付きアクセス ポリシーを渡すことができない場合は、ポータル サイト アプリケーションのインストール方法に問題があり、Chrome が SSO ブローカーと通信できない可能性があります。 この問題を修復するには、次の手順を実行する必要があります。
- Mac で [アプリケーション] フォルダーを開きます
- [ポータル サイト] アプリケーションを右クリックし、[ごみ箱に移動] を選択します
- https://go.microsoft.com/fwlink/?linkid=853070 からポータル サイト インストーラーの最新バージョンをダウンロードします
- ダウンロードした CompanyPortal-Installer.pkg を使用してポータル サイトを新しくインストールします
次のファイルがあることを確認して、問題が解決されたことを確認します: ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json
ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json
または、MDM または他の自動化ツールを使って JSON ファイルを正しい場所にコピーして、次のスクリプトを展開することもできます。 このスクリプトを、Chrome SSO の問題が発生するユーザーごとに、ユーザーのコンテキストで実行する必要があります。
#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it
# For Google Chrome (user-specific, default path)
if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi
cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/
# For Edge (user-specific, default path, not channel specific)
# See: https://video2.skills-academy.com/en-us/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos
if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi
cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/
重要
注: この問題は、特定の状況においてポータル サイトがインストールまたは更新される方法に関するバグが原因です。 この問題は、ポータル サイトの今後の更新プログラムで解決される予定です。
関連項目
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示