macOS 平台单一登录已知问题和故障排除(预览版)

  • 项目

本文概述了 macOS 平台单一登录 (PSSO) 的当前已知问题和常见问题。 它还提供有关如何解决问题以及如何报告不受支持的问题的信息。 本文还包括故障排除指南。

要验证的方案

在设备上部署 PSSO 后,可以执行一些验证方案来确保部署成功。 如果有任何问题,请参阅报告问题以获取进一步说明。

密码更改事件

确认通过自助式密码重置 (SSPR) 对 Microsoft Entra ID 密码所做的更改已成功同步到本地计算机。 如果用户的 Microsoft Entra ID 密码在同步到 Mac 后发生更改,系统会提示用户在 4 小时内输入新密码。

修复或移除设备的 PSSO 注册

本部分概述如何根据 macOS 版本从 Mac 设备修复或移除 PSSO 注册。

在 macOS 14 Sonoma 上,如果设备注册出现问题,可以修复现有的 PSSO 注册。

  1. 打开“设置”应用并导航到“用户和组”>“网络帐户服务器”。
  2. 选择“编辑”,然后选择“修复”。 设备注册流程与初始注册期间相同。

还可以通过执行以下步骤完全取消设备注册。

  1. 打开公司门户应用并导航到“首选项”。
  2. 若要取消注册设备,请选择“取消注册”。

企业 SSO 插件在系统更新后未激活

如果企业 SSO 插件在将系统更新应用到设备后无法激活,则应重新启动软件更新守护程序。

  1. 打开“终端”应用并输入以下命令以终止 swcd 进程。

    sudo killall swcd

  2. 然后输入以下命令以重置进程。

    sudo swcutil reset

密码重置期间颁发的临时密码无法与平台 SSO 同步

密码重置期间颁发的临时密码无法同步到本地设备。 建议用户通过 SSO 扩展使用临时密码完成密码重置过程。

设备迁移

确认之前注册的设备(在“密钥链访问”中有一个 Workplace Join 密钥)在成功注册 PSSO 设备后移除该密钥。

常见问题解答

是否可以在混合加入部署中使用 macOS PSSO?

否,macOS PSSO 仅在 Microsoft Entra 加入部署中受支持。 没有支持混合加入部署的计划,因为我们建议 Mac 用户完全基于云。

已知问题

密码策略复杂性不匹配

存在一个已知问题,即应用的 MDM 配置指定的本地密码策略的复杂程度高于用于登录计算机的 Microsoft Entra 帐户的密码策略的复杂程度。 在这种情况下,Microsoft Entra ID 与本地计算机之间的密码同步操作将失败。

确保在 MDM 配置期间,本地计算机与 Microsoft Entra ID 之间的密码复杂性要求相同。

长期运行的操作

如果未能通过“设置”应用程序注册设备,“设备注册”弹出窗口将在大约 10 分钟后重新出现,你可以重试。

SSO 身份验证提示对话框在注册期间关闭

如果通过关闭 SSO 身份验证提示对话框取消注册过程,则需要从 Mac 设备退出登录并再次登录。 成功登录后,注册通知将重新出现并正常运行。

每用户 MFA 导致密码同步失败

如果在设置 PSSO 的帐户上启用了每用户 MFA,则无法在后续步骤中输入 Microsoft Entra ID 凭据,从而导致错误。 为了避免此错误,管理员应确保根据 Microsoft Entra ID 建议启用条件访问 MFA。 这会在注册期间取消 MFA,以便可以成功完成密码同步。

从 FileVault 恢复或 MDM 驱动的恢复启动密码重置后,需要重新注册 PSSO

由于安全 Enclave 密钥受本地帐户密码保护,因此在未提供此密码的情况下发生的密码重置(例如 FileVault 或基于 MDM 的恢复)将重置安全 Enclave。 重置安全 Enclave 会使之前为该帐户存储的密钥无法访问。 必须重新注册安全 Enclave 密钥丢失的设备才能使用平台 SSO。

报告问题

如果遇到 PSSO 问题,可以在公司门户上报告这些问题。

  1. 打开“公司门户”应用并导航到“帮助”>“发送诊断报告”。
  2. 此时会显示“发送诊断报告”窗口。 选择“电子邮件日志”以发送日志。
  3. 在关闭窗口之前,请记下事件 ID。

可以通过打开“终端”应用随时检查计算机上的当前 PSSO 状态。 运行以下命令。

app-sso platform -s

联系我们

我们非常希望收到你的反馈! 应包括以下信息:

  • Sysdiagnose 和诊断日志
  • 重现问题的步骤
  • 如果适用,请包括相关的屏幕截图和/或录制内容

捕获 Sysdiagnose 和诊断日志

  1. 通过在终端中运行以下命令以启用调试日志持久化。

    sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"

  2. 重现问题,以便为受影响的方案生成新日志。 请在问题报告中提供相关的时间戳,以帮助进行日志调查。

  3. 通过在终端中运行以下命令来捕获诊断数据。

    sudo sysdiagnose

故障排除指南

权限不足

如果用户没有足够的权限来完成 Microsoft Entra ID 加入和注册,则不会显示错误消息。 若要使设备加入和注册成功完成,必须将启动注册流的用户加入允许列表。

  1. Microsoft Entra 管理中心,导航到“标识”>“设备”>“概述”>“设备设置”
  2. 在“Microsoft Entra ID 加入和注册设置”下,确保在“用户可以将设备加入 Microsoft Entra”切换菜单中选择了“全部”选项
  3. 选择“保存”应用所做的更改。

排查通行密钥问题

仅当安全 Enclave 配置为平台 SSO 的身份验证方法时,“平台凭据作为密钥”选项才可用。 应检查以下内容:

  1. 验证管理员是否已使用安全 Enclave 作为身份验证方法配置你的设备,并已为组织启用通行密钥 (FIDO2)
  2. 作为用户,请检查是否已在设备设置中将公司门户作为通行密钥提供程序启用。 导航到“设置”应用、“密码”和“密码选项”,并确保已启用“公司门户”

排查 Google Chrome SSO 问题

如果用户安装了 Google Chrome 的 Microsoft 单一登录 扩展,则其 Chrome 浏览器应能够与 Microsoft SSO 代理通信,以获取 SSO 用户体验和使用基于设备的条件访问策略。 如果用户无法在 Google Chrome 中传递基于设备的条件访问策略,则安装公司门户应用程序的方式可能存在问题,这可能会阻止 Chrome 与 SSO 代理通信。 应执行以下步骤来修正此问题:

  1. 在 Mac 上打开 Applications 文件夹
  2. 右键单击“公司门户”应用程序,然后选择“移动到回收站”
  3. https://go.microsoft.com/fwlink/?linkid=853070 下载最新版本的公司门户安装程序
  4. 使用下载的 CompanyPortal-Installer.pkg 全新安装公司门户

通过检查是否存在此文件来验证此问题是否已解决~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

或者,可以通过 MDM 或其他自动化工具部署以下脚本,将 JSON 文件复制到正确的位置。 对于遇到 Chrome SSO 问题的每个用户,应在用户的上下文中运行此脚本:

#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it

# For Google Chrome (user-specific, default path)

if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# For Edge (user-specific, default path, not channel specific)
# See: https://video2.skills-academy.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos

if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

重要

注意:此问题是由于某些情况下公司门户的安装或更新方式出现 bug 导致的。 此问题将在今后发布的公司门户更新中予以解决。

另请参阅