macOS 平台单一登录已知问题和故障排除

本文概述了 macOS 平台单一登录 (PSSO) 的当前已知问题和常见问题。 它提供问题解决方案,以及有关如何报告未涵盖问题的信息。 本文还包括故障排除指南。

要验证的方案

在设备上部署 PSSO 后,即可执行一些验证应用场景来确保部署成功。 如果有任何问题,请参阅报告问题以获取进一步说明。

密码更改事件

确认通过自助式密码重置 (SSPR) 对 Microsoft Entra ID 密码所做的更改已成功同步到本地计算机。 如果用户的 Microsoft Entra ID 密码在同步到 Mac 后发生更改,系统会提示用户在 4 小时内输入新密码。

修复或从设备中移除 PSSO 注册

本部分概述如何根据 macOS 版本从 Mac 设备修复或移除 PSSO 注册。

在 macOS 14 Sonoma 上,如果设备注册出现问题,可以修复现有的 PSSO 注册。

  1. 打开“设置”应用并导航到“用户和组”>“网络帐户服务器”。
  2. 选择“编辑”,然后选择“修复”。 你将按照与初次注册时相同的流程进行设备注册。

还可以通过执行以下步骤完全取消设备注册。

  1. 打开公司门户应用并导航到“首选项”。
  2. 若要取消注册设备,请选择“取消注册”。

企业单一登录 (SSO) 插件在系统更新后未激活

如果企业 SSO 插件在将系统更新应用到设备后无法激活,则应重新启动软件更新守护程序。

  1. 打开“终端”应用并输入以下命令以终止 swcd 进程。

    sudo killall swcd

  2. 输入以下命令以重置进程。

    sudo swcutil reset

要排除用于平台 SSO 的 TLS 检查 URL

PSSO注册流程中需要允许的URL

确保默认允许流向 此处 列出的 URL 的流量,并显式免除 TLS 拦截或检查。 这对于依赖 TLS 挑战才能成功完成的注册和设备认证流程至关重要。

2. 需要豁免于 PSSO 令牌获取和刷新过程的 URL

确保以下 URL 不受 TLS 拦截/检查的豁免,以便可以在平台 SSO 目标设备上成功执行平台 SSO 令牌获取和刷新:

  • app-site-association.cdn-apple.com
  • app-site-association.networking.apple
  • login.microsoftonline.com
  • login.microsoft.com
  • sts.windows.net
  • login.partner.microsoftonline.cn
  • login.chinacloudapi.cn
  • login.microsoftonline.us\
  • login-us.microsoftonline.com\
  • config.edge.skype.com(**)

Apple 的应用站点关联域对于 SSO 扩展运行至关重要。 (*)仅当依赖于环境中的主权云域时,才需要允许主权云域。 维护与试验配置服务(ECS)的通信可确保微软能够及时响应严重问题。

注意

使用公司代理部署租户限制时,平台 SSO 与 Microsoft Entra ID 租户限制 v2 功能不兼容。 备用选项在 TRv2 已知限制中列出

重要

注意:最近更新了注册流中使用的 TLS 终结点。 请验证环境的允许列表是否反映了最新的 URL 要求,以避免中断。

密码重置期间颁发的临时密码无法与平台 SSO 同步

密码重置期间颁发的临时密码无法同步到本地设备。 建议用户通过 SSO 扩展使用临时密码完成密码重置过程。

设备迁移

确认先前已注册的设备(其“钥匙串访问”中含有 Workplace Join 密钥)在成功完成 PSSO 设备注册后会删除该密钥。

常见问题解答

能否在混合加入部署中使用 macOS PSSO?

否,macOS PSSO 仅在 Microsoft Entra 加入部署中受支持。 暂无支持混合加入部署的计划,因为我们建议 Mac 用户完全采用云端方案。

使用 Platform SSO 时,我如何更改密码?

用户可以使用设备上的自助式密码重置 (SSPR) 更改密码。

如果在另一台计算机上完成 SSPR,则允许用户使用旧密码或新密码登录到 Mac 设备。 使用旧密码将解锁设备,然后提示用户输入新密码以继续同步数据。 使用新密码将立即解锁设备并同步数据。

我们建议 IT 管理员尽可能使用受管理的 Apple ID,因为这确实为组织提供了更多密码管理选项。

如果我忘记了密码,该怎么办?

密码同步

用户可以在登录界面和锁屏界面重置密码。 如果用户收到 IT 管理员的临时密码,他们应使用另一台设备登录,请设置新密码,并在登录提示符下使用该新密码登录到自己的设备。 有关详细信息,请参阅 Apple 有关忘记密码的文档

重要

PSSO 存在导致恢复期间删除注册的已知问题,并可能提示用户在恢复后重新注册。 这是预期的行为。

IT 管理员还应启用密钥保管库恢复,以确保在忘记密码的情况下可以恢复数据。 若要了解详细信息,请参阅在 Microsoft Intune 中为 macOS 设备配置 Platform SSO

注意

如果设备已启动,并且存在 FileVault 加密,则新的Microsoft Entra密码仅适用于 macOS15。

安全隔区

用户可以通过 Apple ID 或管理员恢复密钥重置本地密码。

已知问题

macOS Sequoia 上意外或频繁出现的重新注册提示

注意

macOS 15.x 上 PSSO 重新注册问题的最新更新如下:Apple 确认修补程序部署在 macOS 15.3 中。 如果用户仍遇到 macOS 15.3+ 上的重新注册问题,请与 Apple 联系并通过 Apple 支持共享日志。

macOS 15+ (Sequoia) 上存在已知的并发问题,可能导致 PSSO 设备配置损坏。 系统 AppSSOAgent 和 AppSSODaemon 进程的同时更新可能会使设备配置损坏。 损坏的配置导致操作系统触发其重新注册补救流程,导致用户收到意外的注册提示。

苹果目前正在调查此问题。

受影响用户的 Sysdiagnose 日志包含以下错误:

Error Domain=com.apple.PlatformSSO Code=-1001 "Error deserializing device config." UserInfo={NSLocalizedDescription=Error deserializing device config., NSUnderlyingError=0x9480343f0 {Error Domain=NSCocoaErrorDomain Code=3840 "Garbage at end around line 27, column 1." UserInfo={NSDebugDescription=Garbage at end around line 27, column 1., NSJSONSerializationErrorIndex=3052}}}

我们鼓励遇到此错误的用户和管理员提交 Apple Care 问题并与 Apple 联系解决该问题。

密码策略复杂性不匹配

存在一个已知问题,即应用的 MDM 配置指定的本地密码策略的复杂程度高于用于登录计算机的 Microsoft Entra 帐户的密码策略的复杂程度。 在这种情况下,Microsoft Entra ID 与本地计算机之间的密码同步操作将失败。

确保在 MDM 配置期间,本地计算机与 Microsoft Entra ID 之间的密码复杂性要求相同。

长期运行的操作

如果未能通过“设置”应用程序注册设备,“设备注册”弹出窗口将在大约 10 分钟后重新出现,你可以重试。

SSO 身份验证提示对话框在注册期间关闭

如果通过关闭 SSO 身份验证提示对话框取消注册过程,则需要从 Mac 设备退出登录并再次登录。 成功登录后,注册通知将重新出现并正常运行。

按用户设置的多重身份验证(MFA)会导致密码同步失败

如果用户在正在设置 PSSO 的帐户上启用了按用户设置的 MFA,则您将无法在后续步骤中输入 Microsoft Entra ID 凭据,从而导致出错。 为了避免此错误,管理员应确保根据 Microsoft Entra ID 建议启用条件访问 MFA。 这会在注册期间取消 MFA,以便可以成功完成密码同步。

从 FileVault 恢复或由 MDM 驱动的恢复发起密码重置后,需要重新注册 PSSO

由于安全 Enclave 密钥受本地帐户密码保护,因此在未提供此密码的情况下发生的密码重置(例如 FileVault 或基于 MDM 的恢复)将重置安全 Enclave。 重置安全 Enclave 会使之前为该帐户存储的密钥无法访问。 必须重新注册安全 Enclave 密钥丢失的设备才能使用平台 SSO。

报告问题

如果遇到 PSSO 问题,可以在公司门户上报告这些问题。

  1. 打开“公司门户”应用并导航到“帮助”>“发送诊断报告”。
  2. 此时会显示“发送诊断报告”窗口。 选择“电子邮件日志”以发送日志。
  3. 在关闭窗口之前,请记下事件 ID。

可以通过打开“终端”应用随时检查计算机上的当前 PSSO 状态。 运行以下命令。

app-sso platform -s

联系我们

我们非常希望收到你的反馈! 应包括以下信息:

  • Sysdiagnose 和诊断日志
  • 重现问题的步骤
  • 如果适用,请包括相关的屏幕截图和/或录制内容

获取 Sysdiagnose 和诊断日志

  1. 通过在终端中运行以下命令以启用调试日志持久化。

    sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"

  2. 重现问题,以便为受影响的方案生成新日志。 在问题报告中提供相关的时间戳,以帮助进行日志调查。

  3. 通过在终端中运行以下命令来捕获诊断数据。

    sudo sysdiagnose

  4. 通过在“终端”中运行以下命令,将调试日志重置为默认设置。

    sudo log config --reset --subsystem "com.apple.AppSSO"

故障排除指南

权限不足

如果用户没有足够的权限来完成 Microsoft Entra ID 加入和注册,则不会显示错误消息。 若要使设备加入和注册成功完成,必须将启动注册流的用户加入允许列表。

  1. Microsoft Entra 管理中心,导航到 Entra ID> 设备概述>设备>设置
  2. 在“Microsoft Entra ID 加入和注册设置”下,确保在“用户可以将设备加入 Microsoft Entra”切换菜单中选择了“全部”选项
  3. 选择保存以应用所做的更改。

排查 Microsoft Edge SSO 问题

如果 Microsoft Edge 用户在平台 SSO 注册后遇到 SSO 问题,请检查该用户是否已登录 Edge 个人资料。 用户需要登录其 Edge 个人资料,浏览器 SSO 才能在已注册平台 SSO 的设备上的 Edge 中正常工作。

排查 Google Chrome SSO 问题

如果用户安装了 Google Chrome 的 Microsoft 单一登录扩展,则其 Chrome 浏览器应能够与 Microsoft SSO 代理通信,以获取 SSO 用户体验和使用基于设备的条件访问策略。 如果用户无法在 Google Chrome 中传递基于设备的条件访问策略,则公司门户应用程序的安装方式可能存在问题,这可能会阻止 Chrome 与 SSO 代理通信。 应执行以下步骤来修正此问题:

  1. 在 Mac 上打开 Applications 文件夹
  2. 右键单击“公司门户”应用程序,然后选择“移动到回收站”
  3. https://go.microsoft.com/fwlink/?linkid=853070 下载最新版本的公司门户安装程序
  4. 使用下载的 CompanyPortal-Installer.pkg 全新安装公司门户

通过检查是否存在此文件来验证此问题是否已解决:~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

或者,可以通过 MDM 或其他自动化工具部署以下脚本,将 JSON 文件复制到正确的位置。 对于遇到 Chrome SSO 问题的每个用户,应在用户的上下文中运行此脚本:

#!/usr/bin/env zsh
# Copy over Browser Core json file to the right location
# If the folder doesn't exist, create it

# For Google Chrome (user-specific, default path)

if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos

if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

重要

注意:此问题是由于某些情况下公司门户的安装或更新方式出现 bug 导致的。 此问题将在今后发布的公司门户更新中予以解决。

无法登录 - 缺少单一登录应用程序

对话框的屏幕截图,显示由于注册帐户进行单一登录时扩展出现问题而无法登录。

问题摘要:在设置助理期间,公司门户/SSO 扩展不可用

如果配置文件和 公司门户 应用(提供 SSO 扩展)下发较晚,即使 PSSO 配置文件已下发,设置助手也可能会显示缺少 SSO 应用的提示。

  • 即使 公司门户 仍在下载或安装,管理配置文件或配置也可能已经存在,因为注册操作是分步骤进行的,而不是作为单一事务一次性完成。
  • 公司门户到达后,使用“重试”按钮重试应成功。
  • 如果该问题仍然存在,并且在设置助理流程进行期间更新了配置文件,则这些更改要等到设备被抹掉并重新开始设置后才会生效。

在 macOS 上使用 EnableRegistrationDuringSetup 通过 Platform SSO 重新注册设备

如果配置不当,需要重新注册 macOS 设备。

若要在安装过程中禁用 PSSO,

  1. 在 Intune 中,从启用了 EnableRegistrationDuringSetup 的 SSO 扩展配置文件中取消分配该设备。
  2. 将设备分配给新的 SSO 扩展配置文件,并将 EnableRegistrationDuringSetup 设为禁用(false)。
  3. 抹掉设备以重新开始注册流程。

注意

必须擦除设备,才能重新开始注册流程并应用更新后的注册配置文件。

在 macOS 设置助理中获取 Sysdiagnose 和 CP 日志

  1. 在 macOS 设置助手中,按 Control + Option + Command + Shift + Period (.) 启动 sysdiagnose 捕获。
    • 触发捕获操作时,屏幕可能会短暂卡住。
    • 日志在后台收集,并打包到.tar.gz文件中。
  2. 在您可以访问系统后,
    • 从 /private/var/tmp/ 检索 sys 诊断文件(有时为 /var/tmp/)。 文件名格式:sysdiagnose_YYYY。MM.DD_*.tar.gz
    • 打开公司门户应用并转到“帮助 ” -> 发送诊断报告并共享事件 ID
  3. 如果用户无法完成设置助手(例如,由于 PSSO 配置错误),仍可以收集和共享 sysdiagnose 输出和 CP 日志。
    • 在设置助手中触发 sysdiagnose 会打开一个类似于查找程序的窗口,其中显示了 sysdiagnose .tar.gz 文件。 使用 AirDrop 共享文件。
    • 在同一查找器窗口中,导航到“应用程序”选项卡并打开公司门户应用。 转到“帮助 ->发送诊断报告”并共享事件 ID。

另请参阅

  • Last updated on