macOS 平台单一登录已知问题和故障排除(预览版)
本文概述了 macOS 平台单一登录 (PSSO) 的当前已知问题和常见问题。 它还提供有关如何解决问题以及如何报告不受支持的问题的信息。 本文还包括故障排除指南。
要验证的方案
在设备上部署 PSSO 后,可以执行一些验证方案来确保部署成功。 如果有任何问题,请参阅报告问题以获取进一步说明。
密码更改事件
确认通过自助式密码重置 (SSPR) 对 Microsoft Entra ID 密码所做的更改已成功同步到本地计算机。 如果用户的 Microsoft Entra ID 密码在同步到 Mac 后发生更改,系统会提示用户在 4 小时内输入新密码。
修复或移除设备的 PSSO 注册
本部分概述如何根据 macOS 版本从 Mac 设备修复或移除 PSSO 注册。
在 macOS 14 Sonoma 上,如果设备注册出现问题,可以修复现有的 PSSO 注册。
- 打开“设置”应用并导航到“用户和组”>“网络帐户服务器”。
- 选择“编辑”,然后选择“修复”。 设备注册流程与初始注册期间相同。
还可以通过执行以下步骤完全取消设备注册。
- 打开公司门户应用并导航到“首选项”。
- 若要取消注册设备,请选择“取消注册”。
企业 SSO 插件在系统更新后未激活
如果企业 SSO 插件在将系统更新应用到设备后无法激活,则应重新启动软件更新守护程序。
打开“终端”应用并输入以下命令以终止
swcd
进程。sudo killall swcd
然后输入以下命令以重置进程。
sudo swcutil reset
密码重置期间颁发的临时密码无法与平台 SSO 同步
密码重置期间颁发的临时密码无法同步到本地设备。 建议用户通过 SSO 扩展使用临时密码完成密码重置过程。
设备迁移
确认之前注册的设备(在“密钥链访问”中有一个 Workplace Join 密钥)在成功注册 PSSO 设备后移除该密钥。
常见问题解答
是否可以在混合加入部署中使用 macOS PSSO?
否,macOS PSSO 仅在 Microsoft Entra 加入部署中受支持。 没有支持混合加入部署的计划,因为我们建议 Mac 用户完全基于云。
使用 Platform SSO 时,我如何更改密码?
用户可以使用设备上的自助式密码重置 (SSPR) 更改密码。
如果在另一台计算机上完成 SSPR,则允许用户使用旧密码或新密码登录到 Mac 设备。 使用旧密码将解锁设备,然后提示用户输入新密码以继续同步数据。 使用新密码将立即解锁设备并同步数据。
我们建议 IT 管理员尽可能使用受管理的 Apple ID,因为这确实为组织提供了更多密码管理选项。
如果我忘记了密码,该怎么办?
密码同步
如果用户处于锁屏界面或登录屏幕,则可以从那里重置密码。 如果用户从 IT 管理员那里收到临时密码,则可以使用其他设备登录,设置新密码,并使用新密码登录到自己的设备。 有关详细信息,请参阅 Apple 有关忘记密码的文档。
重要
PSSO 目前存在一个已知问题,该问题导致在恢复过程中删除注册,并可能提示用户在恢复后重新注册。 这是预期的行为。
IT 管理员还应启用密钥保管库恢复,以确保在忘记密码的情况下可以恢复数据。 若要了解详细信息,请参阅在 Microsoft Intune 中为 macOS 设备配置 Platform SSO。
注意
如果设备已启动,并且有 FileVault 加密,则新的 Entra 密码仅适用于 macOS15。
安全 Enclave
用户可以通过 Apple ID 或管理员恢复密钥重置本地密码。
已知问题
密码策略复杂性不匹配
存在一个已知问题,即应用的 MDM 配置指定的本地密码策略的复杂程度高于用于登录计算机的 Microsoft Entra 帐户的密码策略的复杂程度。 在这种情况下,Microsoft Entra ID 与本地计算机之间的密码同步操作将失败。
确保在 MDM 配置期间,本地计算机与 Microsoft Entra ID 之间的密码复杂性要求相同。
长期运行的操作
SSO 身份验证提示对话框在注册期间关闭
如果通过关闭 SSO 身份验证提示对话框取消注册过程,则需要从 Mac 设备退出登录并再次登录。 成功登录后,注册通知将重新出现并正常运行。
每用户 MFA 导致密码同步失败
如果在设置 PSSO 的帐户上启用了每用户 MFA,则无法在后续步骤中输入 Microsoft Entra ID 凭据,从而导致错误。 为了避免此错误,管理员应确保根据 Microsoft Entra ID 建议启用条件访问 MFA。 这会在注册期间取消 MFA,以便可以成功完成密码同步。
从 FileVault 恢复或 MDM 驱动的恢复启动密码重置后,需要重新注册 PSSO
由于安全 Enclave 密钥受本地帐户密码保护,因此在未提供此密码的情况下发生的密码重置(例如 FileVault 或基于 MDM 的恢复)将重置安全 Enclave。 重置安全 Enclave 会使之前为该帐户存储的密钥无法访问。 必须重新注册安全 Enclave 密钥丢失的设备才能使用平台 SSO。
报告问题
如果遇到 PSSO 问题,可以在公司门户上报告这些问题。
- 打开“公司门户”应用并导航到“帮助”>“发送诊断报告”。
- 此时会显示“发送诊断报告”窗口。 选择“电子邮件日志”以发送日志。
- 在关闭窗口之前,请记下事件 ID。
可以通过打开“终端”应用随时检查计算机上的当前 PSSO 状态。 运行以下命令。
app-sso platform -s
联系我们
我们非常希望收到你的反馈! 应包括以下信息:
- Sysdiagnose 和诊断日志
- 重现问题的步骤
- 如果适用,请包括相关的屏幕截图和/或录制内容
捕获 Sysdiagnose 和诊断日志
通过在终端中运行以下命令以启用调试日志持久化。
sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"
重现问题,以便为受影响的方案生成新日志。 请在问题报告中提供相关的时间戳,以帮助进行日志调查。
通过在终端中运行以下命令来捕获诊断数据。
sudo sysdiagnose
故障排除指南
权限不足
如果用户没有足够的权限来完成 Microsoft Entra ID 加入和注册,则不会显示错误消息。 若要使设备加入和注册成功完成,必须将启动注册流的用户加入允许列表。
- 在 Microsoft Entra 管理中心,导航到“标识”>“设备”>“概述”>“设备设置”。
- 在“Microsoft Entra ID 加入和注册设置”下,确保在“用户可以将设备加入 Microsoft Entra”切换菜单中选择了“全部”选项。
- 选择“保存”应用所做的更改。
排查 Google Chrome SSO 问题
如果用户安装了 Google Chrome 的 Microsoft 单一登录 扩展,则其 Chrome 浏览器应能够与 Microsoft SSO 代理通信,以获取 SSO 用户体验和使用基于设备的条件访问策略。 如果用户无法在 Google Chrome 中传递基于设备的条件访问策略,则安装公司门户应用程序的方式可能存在问题,这可能会阻止 Chrome 与 SSO 代理通信。 应执行以下步骤来修正此问题:
- 在 Mac 上打开 Applications 文件夹
- 右键单击“公司门户”应用程序,然后选择“移动到回收站”
- 从 https://go.microsoft.com/fwlink/?linkid=853070 下载最新版本的公司门户安装程序
- 使用下载的 CompanyPortal-Installer.pkg 全新安装公司门户
通过检查是否存在此文件来验证此问题是否已解决:~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json
ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json
或者,可以通过 MDM 或其他自动化工具部署以下脚本,将 JSON 文件复制到正确的位置。 对于遇到 Chrome SSO 问题的每个用户,应在用户的上下文中运行此脚本:
#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it
# For Google Chrome (user-specific, default path)
if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi
cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/
# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos
if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi
cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/
重要
注意:此问题是由于某些情况下公司门户的安装或更新方式出现 bug 导致的。 此问题将在今后发布的公司门户更新中予以解决。