macOS プラットフォームのシングル サインオンの既知の問題とトラブルシューティング (プレビュー)

この記事では、macOS プラットフォームのシングル サインオン (PSSO) に関する現時点での既知の問題と一般的な質問について説明します。 また、問題のソリューションや、対応されていない問題を報告する方法に関する情報も提供します。 この記事にはトラブルシューティングに関するガイダンスも含まれています。

検証するシナリオ

PSSO がデバイスにデプロイされると、デプロイが成功したことを確認するために実行できる検証シナリオがいくつかあります。 問題がある場合は、問題の報告に関する記事を参照してください。

パスワード変更イベント

セルフサービス パスワード リセット (SSPR) を通じて変更された Microsoft Entra ID パスワードがローカル コンピューターに正常に同期されていることを確認します。 Microsoft Entra ID パスワードを Mac に同期した後に変更した場合、4 時間以内に新しいパスワードを入力するよう求められます。

デバイスの修復または PSSO 登録の削除

このセクションでは、macOS バージョンに応じて、Mac デバイスから PSSO 登録を修復または削除する方法について説明します。

システムの更新後に Enterprise Single Sign-on (SSO) プラグインがアクティブ化されない

システム更新がデバイスに適用された後に Enterprise SSO プラグインがアクティブにならない場合は、ソフトウェア更新デーモンを再起動する必要があります。

1. [ターミナル] アプリを開き、次のコマンドを入力して swcd プロセスを強制終了します。

   sudo killall swcd
   

2. その後、次のコマンドを入力してプロセスをリセットします。

   sudo swcutil reset
   

プラットフォーム SSO 用に除外する TLS 検査 URL

プラットフォーム SSO トークンの取得と更新をプラットフォーム SSO 対象デバイスで正常に実行できるように、以下の URL が TLS 傍受/検査から除外されていることを確認してください。

• app-site-association.cdn-apple.com
• app-site-association.networking.appleの
• login.microsoftonline.com
• login.microsoft.com
• sts.windows.net
• login.partner.microsoftonline.cn(※)
• login.chinacloudapi.cn(※)
• login.microsoftonline.us(※)
• login-us.microsoftonline.com(※)
• config.edge.skype.com(**)

SSO 拡張機能が機能するためには、Apple のアプリ サイトアソシエーション ドメインが不可欠です。 ソブリンクラウドドメインは、環境でそれらに依存している場合にのみ許可する必要があります。 (**)実験構成サービス (ECS) との通信を維持することで、Microsoft が重大なバグにタイムリーに対応できるようになります。

パスワードリセット中に発行された一時パスワードを Platform SSO と同期できない

パスワードのリセット中に発行された一時パスワードをローカル デバイスに同期することはできません。 ユーザーは、SSO 拡張機能を使用して、一時パスワードを使用してパスワード リセット プロセスを完了することをお勧めします。

デバイスの移行

PSSO デバイスが正常に登録された後、以前に登録されたデバイス (キーチェーン アクセスに社内参加キーを使用) でキーが削除されることを確認します。

よく寄せられる質問

ハイブリッド参加のデプロイで macOS PSSO を使用できますか?

macOS PSSO は、Microsoft Entra 参加デプロイでのみサポートされています。 Mac ユーザーには完全なクラウド ベースが推奨されるため、ハイブリッド参加のデプロイをサポートする予定はありません。

Platform SSO の使用時にパスワードを変更するにはどうすればよいですか?

ユーザーは、デバイス上でセルフサービス パスワード リセット (SSPR) を使用してパスワードを変更できます。

SSPR が別のコンピューターで実行された場合、ユーザーは古いパスワードまたは新しいパスワードを使用して Mac デバイスにサインインできます。 古いパスワードを使用すると、デバイスのロックが解除され、データの同期を続行するための新しいパスワードの入力をユーザーに求められます。 新しいパスワードを使用すると、デバイスのロックが解除され、データがすぐに同期されます。

組織にとってパスワード管理のオプションが増えるため、可能であれば、IT 管理者はマネージド Apple ID を使用することをお勧めします。

パスワードを忘れた場合はどうすればよいですか?

パスワードの同期

ユーザーはログイン画面またはロック画面でパスワードをリセットできます。 ユーザーが IT 管理者から一時パスワードを受け取った場合は、別のデバイスを使用してログインし、新しいパスワードを設定し、その新しいパスワードを使用して自分のデバイスにログインする必要があります。 詳細については、忘れたパスワードに関する Apple のドキュメントを参照してください。

IT 管理者は、パスワードを忘れた場合にデータを確実に回復できるように、Keyvault の回復も有効にする必要があります。 詳細については、「Microsoft Intuneでの macOS デバイスのプラットフォーム SSO の構成」を参照してください。

セキュア エンクレーブ

ユーザーは、Apple ID または管理者回復キーを使用してローカル パスワードをリセットできます。

既知の問題

macOS Sequoia での予期しない/頻繁な再登録プロンプト

macOS 15 以降 (Sequoia) には、PSSO デバイス構成が破損する可能性がある既知のコンカレンシーの問題があります。 デバイス構成は、システムの AppSSOAgent プロセスと AppSSODaemon プロセスからの同時更新によって破損する可能性があります。 構成が破損すると、オペレーティング システムによって再登録修復フローがトリガーされ、ユーザーに対して予期しない登録プロンプトが表示されます。

この問題は現在、Apple によって調査中です。.

影響を受けるユーザーからの Sysdiagnose ログに次のエラーが含まれています。

Error Domain=com.apple.PlatformSSO Code=-1001 "Error deserializing device config." UserInfo={NSLocalizedDescription=Error deserializing device config., NSUnderlyingError=0x9480343f0 {Error Domain=NSCocoaErrorDomain Code=3840 "Garbage at end around line 27, column 1." UserInfo={NSDebugDescription=Garbage at end around line 27, column 1., NSJSONSerializationErrorIndex=3052}}}

このエラーが発生したユーザーと管理者は、Apple Care の問題を報告し、Apple と連携して問題を解決することをお勧めします。

パスコード ポリシーの複雑さの不一致

適用された MDM 構成で、コンピューターへのサインインに使用される Microsoft Entra アカウントよりも複雑度の高いローカル パスワード ポリシーが指定される既知の問題があります。 この場合、Microsoft Entra ID とローカル コンピューター間のパスワード同期操作は失敗します。

MDM 構成中に、パスワードの複雑さの要件がローカル コンピューターと Microsoft Entra ID の間で同一であることを確認します。

長時間の操作

登録中に SSO 認証プロンプト ダイアログが閉じました

SSO 認証プロンプト ダイアログを閉じて登録プロセスをキャンセルした場合は、Mac デバイスからサインアウトしてもう一度サインインする必要があります。 サインインに成功すると、登録通知が再び表示され、正しく動作します。

ユーザーごとの MFA によってパスワード同期エラーが発生する

PSSO を設定するアカウントでユーザーごとの MFA が有効になっている場合、次の手順で Microsoft Entra ID 資格情報を入力することができず、エラーが発生します。 このエラーを回避するために、管理者は Microsoft Entra ID の推奨事項に従って条件付きアクセス MFA を有効にする必要があります。 パスワードの同期が正常に完了するように、これによって登録中の MFA を抑制します。

FileVault 回復または MDM 駆動型の回復からパスワードのリセットが開始された後に必要な PSSO 再登録

セキュリティで保護されたエンクレーブ キーはローカル アカウントのパスワードによって保護されているため、このパスワード (FileVault や MDM ベースの回復など) を指定せずにパスワードをリセットすると、セキュリティで保護されたエンクレーブがリセットされます。 Secure Enclave をリセットすると、このアカウント用に以前に保存されたキーにアクセスできなくなります。 セキュリティで保護されたエンクレーブ キーが失われたデバイスは、Platform SSO を使用するために再登録する必要があります。

問題の報告

PSSO で問題が発生した場合は、ポータル サイトで報告することができます。

1. [ポータル サイト] アプリを開き、[ヘルプ]>[診断レポートの送信] に移動します。
2. [診断レポートの送信] ウィンドウが表示されます。 ログを送信するには、[Email ログ] を選択します。
3. ウィンドウを閉じる前に、インシデント ID をメモしておいてください。

[ターミナル] アプリを開くと、コンピューターの現在の PSSO 状態をいつでも確認できます。 次のコマンドを実行します。

app-sso platform -s

お問い合わせ

フィードバックをお寄せください。 次の情報を含める必要があります。

• Sysdiagnose ログと診断ログ
• 問題を再現する手順
• 該当する場合は、関連するスクリーンショットやレコーディングを含めてください

Sysdiagnose ログと診断ログのキャプチャ

1. ターミナルで次のコマンドを実行して、デバッグ ログの永続化を有効にします。

   sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"
   

2. 影響を受けるシナリオ用に新しいログが生成されるように、問題を再現します。 問題レポートに関連するタイムスタンプを指定して、ログ調査に役立ててください。

3. ターミナルで次のコマンドを実行して、診断データをキャプチャします。

   sudo sysdiagnose
   

4. デバッグ ログを既定の設定にリセットするには、ターミナルで次のコマンドを実行します。

   sudo log config --reset --subsystem "com.apple.AppSSO"
   

トラブルシューティング ガイド

アクセス許可が不十分です

ユーザーが Microsoft Entra ID の参加と登録を完了するのに十分なアクセス許可がない場合、エラー メッセージは表示されません。 デバイスの参加と登録を正常に完了するには、登録フローを開始したユーザーが許可リストに登録されている必要があります。

1. Microsoft Entra 管理センターで、Entra ID>Devices>Overview>Device Settings に移動します。
2. [Microsoft Entra ID の参加と登録の設定] で、[ユーザーがデバイスを Microsoft Entra に参加させる可能性がある] のトグル メニューで [すべて] オプションが選択されていることを確認します。
3. [保存] をクリックして変更を適用します。

パスキーの問題のトラブルシューティング

[パスキーとしてのプラットフォーム資格情報] オプションは、セキュリティで保護されたエンクレーブがプラットフォーム SSO の認証方法として構成されている場合にのみ使用できます。 以下を確認する必要があります。

1. 管理者が認証方法としてセキュアエンクレーブを使用してデバイスを設定し、組織 のためにパスキー (FIDO2) を有効にしていることを確認してください。
2. ユーザーとして、デバイス設定でパスキー プロバイダーとしてポータル サイトを有効にしていることを確認します。 [設定] アプリ、[パスワード]、[パスワード オプション] に移動し、ポータル サイトが有効になっていることを確認します。

Microsoft Edge SSO に関する問題のトラブルシューティング

プラットフォーム SSO 登録後に Edge ユーザーが SSO の問題に直面している場合は、ユーザーが Edge プロファイルにサインインしているかどうかを確認してください。 ユーザーが Edge on Platform SSO 登録済みデバイスを使用するには、ブラウザー SSO のために Edge プロファイルにサインインする必要があります。

Google Chrome の SSO に関する問題のトラブルシューティング

Google Chrome の Microsoft シングル サインオン 拡張機能がインストールされているユーザーの場合、Chrome ブラウザーは、SSO ユーザー エクスペリエンスとデバイスベースの条件付きアクセス ポリシーの両方について Microsoft SSO ブローカーと通信できる必要があります。 ユーザーが Google Chrome でデバイスベースの条件付きアクセス ポリシーを渡すことができない場合は、ポータル サイト アプリケーションのインストール方法に問題がある可能性があります。これにより、Chrome が SSO ブローカーと通信できなくなる可能性があります。 この問題を修復するには、次の手順を実行する必要があります。

1. Mac で [アプリケーション] フォルダーを開きます
2. [ポータル サイト] アプリケーションを右クリックし、[ごみ箱に移動] を選択します
3. https://go.microsoft.com/fwlink/?linkid=853070 からポータル サイト インストーラーの最新バージョンをダウンロードします
4. ダウンロードした CompanyPortal-Installer.pkg を使用してポータル サイトを新しくインストールします

このファイル のの存在を確認して、問題が解決されたことを検証します: ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json

または、MDM または他の自動化ツールを使って JSON ファイルを正しい場所にコピーして、次のスクリプトを展開することもできます。 次のスクリプトは、Chrome SSO の問題が発生しているユーザーごとに、そのユーザーのコンテキストで実行する必要があります。

#!/usr/bin/env zsh
# Copy over Browser Core json file to the right ___location
# If the folder doesn't exist, create it

# For Google Chrome (user-specific, default path)

if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos

if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
  mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi

cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

関連項目

• 既定のエクスペリエンスの間に Mac デバイスを Microsoft Entra ID に参加させる
• ポータル サイトを使用して Mac デバイスを Microsoft Entra ID に参加させる
• Apple デバイス用の Microsoft Enterprise SSO プラグイン
• Apple デバイス上の Microsoft Enterprise SSO 拡張機能プラグインのトラブルシューティング