macOS 平台單一登入的已知問題與疑難排解(預覽)
本文概述 macOS 平台單一登入(PSSO)的目前已知問題和常見問題。 本文提供問題解決方案,並說明如何回報本文未涵蓋的問題。 本文另包含疑難排解指導。
要驗證的案例
在裝置上部署 PSSO 之後,您可以執行一些驗證案例,以確保部署成功。 如有任何問題,請參閱「回報問題」以取得進一步指示。
密碼變更事件
確認已透過自助式密碼重設(SSPR),成功將 Microsoft Entra ID 密碼的變更內容同步至本機電腦。 如果使用者的 Microsoft Entra ID 密碼在同步至 Mac 後有所變動,系統會提示使用者在 4 小時內輸入新密碼。
修復或移除裝置的 PSSO 註冊
本節概述如何根據 macOS 版本,從 Mac 裝置修復或移除 PSSO 註冊。
在 macOS 14 Sonoma 上,如有裝置註冊的問題,您可以修復現有的 PSSO 註冊。
- 開啟「設定」應用程式,然後瀏覽至「使用者與群組」>「網路帳號伺服器」。
- 選取「編輯」,然後選取「修復」。 您會完成與初始註冊程序相同的裝置註冊流程。
您也可以執行下列步驟來完全取消註冊裝置。
- 開啟「公司入口網站」應用程式,然後瀏覽至 [喜好設定]。
- 若要取消註冊裝置,請選取 [取消註冊]。
企業單一登錄 (SSO) 外掛程式在系統更新之後不會啟用
將系統更新套用至裝置後,如果無法啟用企業 SSO 外掛程式,您必須重新啟動軟體更新精靈。
開啟「終端機」應用程式,輸入以下命令來終止
swcd
流程。sudo killall swcd
然後輸入以下命令來重設流程。
sudo swcutil reset
密碼重設期間發出的暫時密碼無法與 Platform SSO 同步
密碼重設期間發出的暫時密碼無法同步處理至本機裝置。 建議使用者透過 SSO 延伸模組,使用臨時密碼來完成密碼重設流程。
裝置移轉
確認先前註冊的裝置(在「鑰匙圈存取」中存有 Workplace Join 金鑰)在成功註冊 PSSO 裝置之後,會移除金鑰。
常見問題集
我是否能混合式聯結部署中使用 macOS PSSO?
否,只有 Microsoft Entra 聯結部署支援 macOS PSSO。 沒有任何方案支援混合式聯結部署,因為我們建議 Mac 使用者完全以雲端為基礎。
如何使用 Platform SSO 來變更密碼?
用戶可以在其裝置上使用自助式密碼重設 (SSPR) 來變更其密碼。
如果 SSPR 在另一部電腦上完成,使用者可以使用舊密碼或新密碼登入 Mac 裝置。 使用舊密碼解除鎖定裝置,然後提示使用者輸入新密碼以繼續同步處理數據。 使用新的密碼會解鎖裝置,並立即同步資料。
我們建議 IT 系統管理員盡可能使用 受控 Apple 標識符 ,因為這確實為組織提供更多密碼管理選項。
如果我忘記密碼,該怎麼辦?
密碼同步處理
用戶可以在登入畫面或鎖定畫面重設其密碼。 如果使用者收到 IT 系統管理員的暫時密碼,他們應該使用另一個裝置登入,請設定新的密碼,並使用 該新密碼登入自己的裝置。 如需詳細資訊,請參閱 Apple 關於忘記密碼的檔案。
重要
PSSO 目前有一個已知問題,導致復原期間移除註冊,並可能會提示用戶在復原后重新註冊。 這是預期行為。
IT 系統管理員也應該啟用Keyvault復原,以確保在忘記密碼的情況下可以復原數據。 若要深入瞭解,請參閱 Microsoft Intune中設定 macOS 裝置的平臺單一登入 (SSO)。
注意
如果裝置開機且有 FileVault 加密,則新的 Entra 密碼僅適用於 macOS15。
安全記憶體保護區
用戶可以透過Apple ID或系統管理員修復金鑰重設本機密碼。
已知問題
macOS Sequoia 上的非預期/頻繁重新註冊提示
macOS 15+ (Sequoia) 上有已知的並行問題,可能會導致 PSSO 裝置設定損毀。 來自系統 AppSSOAgent 和 AppSSODaemon 進程的同步更新可能會損毀裝置組態。 損毀的組態會導致操作系統觸發其重新註冊補救流程,導致用戶發生非預期的註冊提示。
Apple 目前正在調查此問題。
來自受影響使用者的 Sysdiagnose 記錄包含下列錯誤:
Error Domain=com.apple.PlatformSSO Code=-1001 "Error deserializing device config." UserInfo={NSLocalizedDescription=Error deserializing device config., NSUnderlyingError=0x9480343f0 {Error Domain=NSCocoaErrorDomain Code=3840 "Garbage at end around line 27, column 1." UserInfo={NSDebugDescription=Garbage at end around line 27, column 1., NSJSONSerializationErrorIndex=3052}}}
我們鼓勵遇到此錯誤的使用者和系統管理員提出Apple Care問題,並與Apple互動以解決問題。
密碼原則的複雜度不相符
我們已知一項問題,套用 MDM 設定所指定的本機密碼原則,其複雜度會高於用來登入電腦的 Microsoft Entra 帳戶。 在此情況下,Microsoft Entra ID 與本機電腦之間的密碼同步化作業將會失敗。
請確保在 MDM 設定期間,本機電腦與 Microsoft Entra ID 之間的密碼複雜度要求一致。
長時間執行的作業
在註冊期間關閉 SSO 驗證提示對話方塊
如果關閉 SSO 驗證提示對話方塊來取消註冊流程,您需要從 Mac 裝置登出,然後再次登入。 成功登入后,註冊通知會重新出現並正常運作。
每個使用者的多因素身份驗證會導致密碼同步失敗
如果使用者在設定 PSSO 的帳戶上啟用了個別使用者 MFA,您將無法在後續步驟中輸入 Microsoft Entra ID 登入資訊,進而導致錯誤。 若要避免此錯誤,系統管理員應確保已依照 Microsoft Entra ID 建議啟用「條件式存取 MFA」。 這會在註冊期間隱藏 MFA,以便順利完成密碼同步化。
因「檔案保險箱」復原或透過 MDM 進行復原而重設密碼之後,需要重新註冊 PSSO
由於安全記憶體保護區密鑰受到本機帳戶密碼的保護,因此在沒有提供此密碼的情況下發生的密碼重設(例如 FileVault 或 MDM 型復原)會重設安全記憶體保護區。 重設「安全隔離區」後,將使先前為此帳戶儲存的金鑰無法取用。 遺失安全記憶體保護區密鑰的裝置必須重新註冊,才能使用 Platform SSO。
回報問題
如果無法順利使用 PSSO,您可以在「公司入口網站」中回報問題。
- 開啟「公司入口網站」應用程式,然後瀏覽至 [說明]>[傳送診斷報告]。
- [傳送診斷報告] 視窗隨即出現。 選取 [電子郵件記錄] 以傳送記錄。
- 在關閉視窗之前,請記下您的事件識別碼。
您可以隨時開啟「終端機」應用程式,檢查機器上目前的 PSSO 狀態。 執行下列命令。
app-sso platform -s
與我們連絡
我們很樂意聽取您的意見反應。 請務必包含下列資訊:
- Sysdiagnose 和診斷記錄
- 重現問題的步驟
- 適用時,請包含相關的螢幕擷取畫面和/或螢幕錄影
擷取 Sysdiagnose 和診斷記錄
在終端機中執行下列命令,以啟用偵錯記錄持續性。
sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"
重現問題,以便為受影響的案例產生新的記錄。 在您的問題報告中提供相關的時間戳,以協助記錄調查。
透過在終端中執行以下命令擷取診斷資料。
sudo sysdiagnose
在終端機中執行下列命令,將偵錯記錄重設為預設設定。
sudo log config --reset --subsystem "com.apple.AppSSO"
疑難排解指南
權限不足
如果用戶沒有足夠權限完成 Microsoft Entra ID 聯結與註冊,則不會顯示錯誤訊息。 若要順利完成裝置聯結與註冊,便須將發起註冊流程的使用者加入允許清單。
- 在 Microsoft Entra 系統管理中心中,瀏覽至 [身分識別]>[裝置]>[概觀]>[裝置設定]。
- 在 Microsoft Entra ID 聯結與註冊設定底下,確保已選取 [全部] 選項(位於 [使用者可以將裝置加入 Microsoft Entra] 的切換選單中)。
- 選取儲存以套用變更。
針對通行金鑰問題進行疑難排解
只有將「安全隔離區」設定為平台 SSO 的驗證方法時,才能選取「使用平台認證作為通行金鑰」選項。 請務必檢查下列事項:
- 請確定您的系統管理員已將您的裝置設定為使用 Secure Enclave 作為驗證方法,並為您的組織啟用通行金鑰(FIDO2)
。 - 身為使用者,請檢查您是否已在裝置設定中,啟用「公司入口網站」作為通行金鑰供應商。 瀏覽至「設定」應用程式、[密碼] 和 [密碼] 選項,並確定已啟用「公司入口網站」。
針對 Google Chrome SSO 問題進行疑難排解
對於已安裝Google Chrome Microsoft 單一登錄 擴充功能的使用者,他們的 Chrome 瀏覽器應該能夠與 Microsoft SSO 訊息代理程式進行通訊,從而提供 SSO 使用者體驗,並支持裝置型條件式存取原則的應用。 如果使用者無法在 Google Chrome 中傳遞裝置型條件式存取原則,則公司入口網站應用程式安裝方式可能會有問題,這可能會導致 Chrome 無法與 SSO 訊息代理程式通訊。 請務必採取下列步驟來補救此問題:
- 在 Mac 上開啟「應用程式」資料夾
- 以滑鼠右鍵按一下「公司入口網站」應用程式,然後選擇「丟到垃圾桶」
- 從 https://go.microsoft.com/fwlink/?linkid=853070 下載最新版本的「公司入口網站」安裝程式
- 使用所下載的 CompanyPortal-Installer.pkg,全新安裝「公司入口網站」
透過檢查此檔案是否存在
ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json
或者,您也可以透過 MDM 或其他自動化工具來部署下列指令碼,以便將 JSON 檔案複製到正確位置。 此指令碼應會在針對每位遇到 Chrome SSO 問題的使用者內容中執行:
#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it
# For Google Chrome (user-specific, default path)
if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi
cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/
# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos
if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi
cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/
重要
注意事項:發生此問題的原因在於「公司入口網站」在特定情況下安裝或更新的方式所引起的錯誤。 此問題將在「公司入口網站」的日後更新中解決。