известные проблемы с единым входом в macOS Platform и устранение неполадок (предварительная версия)

В этой статье описываются текущие известные проблемы и распространенные вопросы с единым входом macOS Platform (PSSO). Он предоставляет решения и сведения о том, как сообщить о проблеме, которая не рассматривается. В этой статье также содержатся рекомендации по устранению неполадок.

Сценарии для проверки

После развертывания PSSO на устройстве есть несколько сценариев проверки, которые можно выполнить, чтобы убедиться, что развертывание успешно выполнено. Если возникли проблемы, обратитесь к отчету о проблеме , чтобы получить дополнительные инструкции.

События изменения пароля

Убедитесь, что изменения пароля идентификатора Microsoft Entra, внесенные с помощью самостоятельного сброса пароля (SSPR), успешно синхронизируются с локальным компьютером. Если после синхронизации пароля пользователя в Microsoft Entra ID изменится на Mac, пользователю будет предложено ввести новый пароль в течение 4 часов.

Восстановление или удаление регистрации PSSO с устройства

В этом разделе описано, как восстановить или удалить регистрацию PSSO с устройства Mac в зависимости от версии macOS.

Подключаемый модуль единого входа enterprise не активируется после обновления системы

Если подключаемый модуль единого входа Enterprise не активируется после применения обновлений системы к устройству, необходимо перезагрузить управляющая программа обновления программного обеспечения.

1. Откройте приложение терминала и введите следующую команду, чтобы убить swcd процесс.

   sudo killall swcd
   

2. Затем введите следующую команду, чтобы сбросить процесс.

   sudo swcutil reset
   

Временные пароли, выданные во время сброса пароля, не могут быть синхронизированы с единым входом платформы

Временные пароли, выданные во время сброса пароля, не могут быть синхронизированы с локальным устройством. Пользователям рекомендуется завершить процесс сброса пароля с помощью временного пароля с помощью расширения единого входа.

Миграция устройств

Убедитесь, что ранее зарегистрированное устройство (с ключом присоединения к рабочему месту в keychain Access) удаляет ключ после успешной регистрации устройства PSSO.

Часто задаваемые вопросы

Можно ли использовать PSSO macOS в развертывании гибридного соединения?

Нет, psSO macOS поддерживается только в развертываниях соединения Microsoft Entra. Нет планов поддержки развертываний гибридного соединения, так как рекомендуется, чтобы пользователи Mac были полностью облачными.

Как изменить пароль при использовании единого входа платформы?

Пользователи могут изменить пароль с помощью самостоятельного сброса пароля (SSPR) на своем устройстве.

Если SSPR выполнен на другом компьютере, пользователи смогут войти на устройство Mac с помощью старого или нового пароля. Используя старый пароль, устройство разблокирует и предложит пользователю продолжить синхронизацию данных. Использование нового пароля разблокирует устройство и немедленно синхронизирует данные.

Мы рекомендуем ИТ-администраторам использовать управляемые идентификаторы Apple, где это возможно, так как это дает организациям больше возможностей для управления паролями.

Что делать, если я забуду свой пароль?

Синхронизация паролей

Если пользователи находятся на экране блокировки или на экране входа, он может сбросить пароль. Если пользователь получил временный пароль от ИТ-администратора, он должен использовать другое устройство для входа, настройте новый пароль и используйте этот новый пароль для входа на свое устройство. Дополнительные сведения см . в документации Apple по забытым паролям.

ИТ-администраторы также должны включить восстановление keyvault, чтобы обеспечить восстановление данных в случае забытого пароля. Дополнительные сведения см. в статье "Настройка единого входа платформы для устройств macOS" в Microsoft Intune.

Безопасный анклава

Пользователи могут сбросить локальный пароль с помощью Apple ID или ключа восстановления администратора.

Известные проблемы

Несоответствия в политике секретного кода

Существует известная проблема, из-за которой примененная конфигурация MDM указывает локальную политику паролей с более высокой степенью сложности, чем учетная запись Microsoft Entra, используемая для входа на компьютер. В этом случае операция синхронизации паролей между идентификатором Microsoft Entra и локальным компьютером завершается ошибкой.

Убедитесь, что во время настройки MDM требования к сложности паролей идентичны локальному компьютеру и идентификатору Microsoft Entra.

Длительные операции

Диалоговое окно запроса проверки подлинности единого входа закрыто во время регистрации

Если вы отмените процесс регистрации, закрыв диалоговое окно запроса проверки подлинности единого входа, необходимо выйти из устройства Mac и снова войти. После успешного входа уведомление о регистрации снова появится и работает правильно.

Многофакторная проверка подлинности пользователя приводит к сбою синхронизации паролей

Если пользователь включил MFA пользователя в учетной записи, в которой настроен PSSO, вы не сможете ввести учетные данные идентификатора Microsoft Entra в следующих шагах, вызвав ошибку. Чтобы избежать этой ошибки, администраторы должны убедиться, что у них включенА MFA условного доступа в соответствии с рекомендациями по идентификатору Microsoft Entra ID. Это запрещает многофакторную проверку подлинности во время регистрации, чтобы синхронизация паролей была успешно завершена.

Повторная регистрация PSSO, необходимая после сброса пароля, инициированного из восстановления FileVault или восстановления на основе MDM

Так как защищенные ключи анклава защищены паролем локальной учетной записи, сброс пароля, который происходит без предоставления этого пароля (например, восстановления на основе FileVault или MDM), сбросит безопасный анклава. Сброс безопасного анклава отрисовывает ключи, ранее сохраненные для этой учетной записи, недоступной. Устройства, ключи безопасного анклава которых были потеряны, необходимо повторно зарегистрировать для использования единого входа платформы.

Сообщение о проблеме

Если у вас возникли проблемы с PSSO, вы можете сообщить о них Корпоративный портал.

1. Откройте приложение Корпоративный портал и перейдите к отчету о диагностике справки>по отправке.
2. Откроется окно "Отправить диагностический отчет ". Выберите журналы электронной почты для отправки журналов.
3. Запишите идентификатор инцидента перед закрытием окна.

Текущее состояние PSSO на компьютере можно проверить в любое время, открыв приложение терминала . Выполните следующую команду.

app-sso platform -s

Свяжитесь с нами

Мы хотели бы услышать ваши отзывы. Вы должны включить следующие сведения:

• Журналы sysdiagnose и диагностики
• Шаги для воспроизведения проблемы
• Если применимо, включите соответствующие снимки экрана и /или записи

Запись журналов sysdiagnose и диагностики

1. Включите сохранение журналов отладки, выполнив следующую команду в терминале.

   sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"
   

2. Воспроизвести проблему, чтобы новые журналы создавались для затронутого сценария. Укажите соответствующие метки времени в отчете о проблеме, чтобы помочь в расследовании журналов.

3. Захват диагностических данных, выполнив следующую команду в терминале.

   sudo sysdiagnose
   

4. Сбросьте журналы отладки в параметры по умолчанию, выполнив следующую команду в терминале.

   sudo log config --reset --subsystem "com.apple.AppSSO"
   

Руководство по устранению неполадок

Недостаточно разрешений

Если у пользователя недостаточно разрешений для завершения присоединения и регистрации идентификатора Microsoft Entra, сообщение об ошибке не отображается. Для успешного присоединения к устройству и регистрации пользователь, инициирующий поток регистрации, должен быть разрешен.

1. В Центре администрирования Microsoft Entra перейдите в раздел "Параметры устройства"Обзор>устройств> удостоверений".>
2. В разделе параметров присоединения и регистрации идентификатора Microsoft Entra убедитесь, что параметр All выбран в меню переключателя для пользователей, которые могут присоединить устройства к Microsoft Entra.
3. Выберите Сохранить, чтобы применить изменения.

Устранение неполадок с секретным ключом

Параметр "Учетные данные платформы" как Passkey доступен только в том случае, если безопасный анклава настроен в качестве метода проверки подлинности для единого входа платформы. Проверьте следующее:

1. Убедитесь, что администратор настроил устройство с помощью Secure Enclave в качестве метода проверки подлинности и включил ключи доступа (FIDO2) для вашей организации.
2. Как пользователь, убедитесь, что вы включили Корпоративный портал в качестве поставщика ключей доступа в параметрах устройства. Перейдите к приложению "Параметры", "Пароли" и "Пароль" и убедитесь, что Корпоративный портал включен.

Устранение неполадок единого входа Google Chrome

Если у пользователя установлено расширение Microsoft Единый вход для Google Chrome, браузер Chrome должен иметь возможность взаимодействовать с брокером единого входа Майкрософт как для единого входа, так и для работы с политиками условного доступа на основе устройств. Если пользователи не могут передавать политики условного доступа на основе устройств в Google Chrome, может возникнуть проблема с установкой приложения Корпоративный портал, что может предотвратить взаимодействие Chrome с брокером единого входа. Чтобы устранить эту проблему, выполните следующие действия.

1. Открытие папки "Приложения" на Компьютере Mac
2. Щелкните правой кнопкой мыши приложение Корпоративный портал и выберите пункт "Переместить в корзину"
3. Скачайте последнюю версию установщика Корпоративный портал изhttps://go.microsoft.com/fwlink/?linkid=853070
4. Новая установка Корпоративный портал с помощью скачанных CompanyPortal-Installer.pkg

Убедитесь, что проблема устранена, проверив наличие этого файла: ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

Кроме того, можно развернуть следующий скрипт с помощью MDM или других средств автоматизации, чтобы скопировать JSON-файл в правильное расположение. Этот скрипт должен выполняться в контексте пользователя для каждого пользователя, который испытывает проблему единого входа Chrome:

#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it

# For Google Chrome (user-specific, default path)

if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# For Edge (user-specific, default path, not channel specific)
# See: https://video2.skills-academy.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos

if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

См. также

• Присоединение устройства Mac к идентификатору Microsoft Entra ID во время выхода из коробки
• Присоединение устройства Mac с идентификатором Microsoft Entra с помощью Корпоративный портал
• Подключаемый модуль единого входа Microsoft Enterprise для устройств Apple
• Устранение неполадок подключаемого модуля расширения единого входа Microsoft Enterprise на устройствах Apple