この記事では、macOS プラットフォーム シングル サインオン (PSSO) に関する現在の既知の問題とよく寄せられる質問の概要をまとめています。 問題の解決策と、カバーされていない問題を報告する方法に関する情報を提供します。 この記事にはトラブルシューティングのガイダンスも含まれています。
検証するシナリオ
PSSO がデバイスにデプロイされると、デプロイが成功したことを確認するために実行できる検証シナリオがいくつかあります。 問題がある場合は、問題の報告を参照して詳細な手順を確認してください。
パスワード変更イベント
セルフサービス パスワード リセット (SSPR) を通じて行われた Microsoft Entra ID パスワードの変更がローカル マシンに正常に同期されていることを確認します。 ユーザーの Microsoft Entra ID パスワードが Mac に同期された後に変更された場合、ユーザーは 4 時間以内に新しいパスワードを入力するよう求められます。
デバイスから PSSO 登録を修復または削除する
このセクションでは、macOS のバージョンに応じて、Mac デバイスから PSSO 登録を修復または削除する方法について説明します。
macOS 14 Sonoma では、デバイスの登録に問題がある場合は、既存の PSSO 登録を修復できます。
- [設定] アプリを開き、[ユーザーとグループ]>[ネットワーク アカウント サーバー] に移動します。
- [編集] を選択してから、[修復] を選択します。 初期登録時と同じデバイス登録フローが実行されます。
次の手順を実行して、デバイスの登録を完全に解除することもできます。
- [ポータル サイト] アプリを開き、[ユーザー設定] に移動します。
- デバイスの登録を解除するには、[登録解除] を選択します。
システムの更新後に Enterprise Single Sign-on (SSO) プラグインがアクティブ化されない
システム更新がデバイスに適用された後、Enterprise SSO プラグインがアクティブ化されない場合は、ソフトウェア更新デーモンを再起動する必要があります。
[ターミナル] アプリを開き、次のコマンドを入力して
swcdプロセスを強制終了します。sudo killall swcdその後、次のコマンドを入力してプロセスをリセットします。
sudo swcutil reset
プラットフォーム SSO で除外される TLS 検査 URL
1. PSSO 登録フローで許可する必要がある URL
ここに記載されている URL へのトラフィックが既定で許可され、TLS の傍受または検査から明示的に除外されていることを確認してください。 これは、TLS チャレンジに依存する登録およびデバイス認証フローが正常に完了するために重要です。
2. PSSO トークン取得フローとトークン更新フローで除外する必要がある URL
プラットフォーム SSO トークンの取得と更新をプラットフォーム SSO 対象デバイスで正常に実行できるように、以下の URL が TLS 傍受/検査から除外されていることを確認してください。
- app-site-association.cdn-apple.com
- app-site-association.networking.apple
- login.microsoftonline.com
- login.microsoft.com
- sts.windows.net
- login.partner.microsoftonline.cn(*)
- login.chinacloudapi.cn(*)
- login.microsoftonline.us(*)
- login-us.microsoftonline.com(*)
- config.edge.skype.com(**)
SSO 拡張機能が機能するためには、Apple のアプリ サイトアソシエーション ドメインが不可欠です。 ソブリンクラウドドメインは、環境でそれらに依存している場合にのみ許可する必要があります。 (**)実験構成サービス (ECS) との通信を維持することで、Microsoft が重大なバグにタイムリーに対応できるようになります。
Note
テナント制限が企業プロキシを使用してデプロイされている場合、プラットフォーム SSO は Microsoft Entra ID テナント制限 v2 機能と互換性がありません。 代替オプションが TRv2 の既知の制限事項に記載されている
Important
注: 登録フローで使用される TLS エンドポイントに対する最新の更新が行われています。 中断を回避するために、環境の許可リストに最新の URL 要件が反映されていることを確認してください。
パスワードリセット中に発行された一時パスワードを Platform SSO と同期できない
パスワードのリセット中に発行された一時パスワードをローカル デバイスに同期することはできません。 ユーザーは、SSO 拡張機能を使用して一時パスワードでパスワード リセット プロセスを完了することをお勧めします。
デバイスの移行
以前に登録したデバイス (キーチェーン アクセスに Workplace Join キーがある) が、PSSO デバイスの登録に成功した後にキーを削除することを確認します。
よく寄せられる質問
ハイブリッド参加の展開で macOS PSSO を使用できますか?
いいえ、macOS PSSO は、Microsoft Entra 参加のデプロイでのみサポートされます。 Mac ユーザーには完全なクラウド ベースへの移行を推奨しているため、ハイブリッド参加のデプロイをサポートする予定はありません。
プラットフォーム SSO を使用しているときにパスワードを変更するにはどうすればよいですか?
ユーザーは、デバイス上のセルフサービス パスワード リセット (SSPR) を使用してパスワードを変更できます。
SSPR が別のコンピューターで実行された場合、ユーザーは古いパスワードまたは新しいパスワードを使用して Mac デバイスにサインインできます。 古いパスワードを使用すると、デバイスのロックが解除され、データの同期を続行するための新しいパスワードの入力をユーザーに求められます。 新しいパスワードを使用すると、デバイスのロックが解除され、データがすぐに同期されます。
組織にパスワード管理のオプションをさらに提供できるため、IT 管理者は可能な限りマネージド Apple ID を使用することをお勧めします。
パスワードを忘れた場合はどうすればいいですか?
パスワード同期
ユーザーはログイン画面またはロック画面でパスワードをリセットできます。 ユーザーが IT 管理者から一時パスワードを受け取った場合は、別のデバイスでログインして新しいパスワードを設定し、その新しいパスワードを使用して自分のデバイスにログインする必要があります。 詳細については、忘れたパスワードに関する Apple のドキュメントを参照してください。
Important
現在、PSSO には、回復中に登録が削除され、回復後にユーザーが再登録を求められる場合があるという既知の問題があります。 これは正しい動作です。
IT 管理者は、パスワードを忘れた場合にデータを確実に回復できるように、Keyvault の回復も有効にする必要があります。 詳細については、「Microsoft Intuneでの macOS デバイスのプラットフォーム SSO の構成」を参照してください。
Note
デバイスが起動して、FileVault 暗号化が行われる場合、新しい Entra パスワードは macOS15 でのみ機能します。
セキュリティで保護されたエンクレーブ
ユーザーは、Apple ID または管理者回復キーを使用してローカル パスワードをリセットできます。
既知の問題
macOS Sequoia での予期しない/頻繁な再登録プロンプト
Note
以下で説明する macOS 15.x での PSSO 再登録の問題に関する最新の更新プログラム: Apple は、修正プログラムが macOS 15.3 に展開されていることを確認しました。 macOS 15.3 以降でユーザーに再登録の問題が引き続き発生する場合は、Apple と連携し、Apple サポート経由でログを共有してください。
macOS 15 以降 (Sequoia) には、PSSO デバイス構成が破損する可能性がある既知のコンカレンシーの問題があります。 デバイス構成は、システムの AppSSOAgent プロセスと AppSSODaemon プロセスからの同時更新によって破損する可能性があります。 構成が破損すると、オペレーティング システムによって再登録修復フローがトリガーされ、ユーザーに対して予期しない登録プロンプトが表示されます。
この問題は現在、Apple によって調査されています。
影響を受けるユーザーからの Sysdiagnose ログに次のエラーが含まれています。
Error Domain=com.apple.PlatformSSO Code=-1001 "Error deserializing device config." UserInfo={NSLocalizedDescription=Error deserializing device config., NSUnderlyingError=0x9480343f0 {Error Domain=NSCocoaErrorDomain Code=3840 "Garbage at end around line 27, column 1." UserInfo={NSDebugDescription=Garbage at end around line 27, column 1., NSJSONSerializationErrorIndex=3052}}}
このエラーが発生したユーザーと管理者は、Apple Care の問題を報告し、Apple と連携して問題を解決することをお勧めします。
パスコード ポリシーの複雑さの不一致
適用された MDM 構成で、マシンへのサインインに使用される Microsoft Entra アカウントよりも複雑度の高いローカル パスワード ポリシーが指定されるという既知の問題があります。 この場合、Microsoft Entra ID とローカル マシン間のパスワード同期操作は失敗します。
MDM 構成中に、パスワードの複雑さの要件がローカル マシンと Microsoft Entra ID 間で同一であることを確認します。
長時間の操作
登録中に SSO 認証プロンプト ダイアログが閉じられました
SSO 認証プロンプト ダイアログを閉じて登録プロセスをキャンセルする場合は、Mac デバイスからサインアウトして再度サインインする必要があります。 サインインに成功すると、登録通知が再び表示されて正常に機能します。
ユーザーごとの MFA によってパスワード同期エラーが発生する
PSSO が設定されているアカウントでユーザーごとの MFA が有効になっている場合、次の手順で Microsoft Entra ID 資格情報を入力できず、エラーが発生します。 このエラーを回避するには、管理者は Microsoft Entra ID の推奨事項に従って条件付きアクセス MFA が有効になっていることを確認する必要があります。 これにより、登録中に MFA が抑制されて、パスワード同期が正常に完了します。
FileVault 回復または MDM 駆動型回復からパスワード リセットを開始した後は、PSSO の再登録が必要です
セキュリティで保護されたエンクレーブ キーはローカル アカウントのパスワードによって保護されているため、このパスワード (FileVault や MDM ベースの回復など) を指定せずにパスワードをリセットすると、セキュリティで保護されたエンクレーブがリセットされます。 Secure Enclave をリセットすると、このアカウントに以前保存されたキーにアクセスできなくなります。 セキュリティで保護されたエンクレーブ キーが失われたデバイスは、Platform SSO を使用するために再登録する必要があります。
問題の報告
PSSO で問題が発生している場合は、Company Portal で報告できます。
- [ポータル サイト] アプリを開き、[ヘルプ]>[診断レポートの送信] に移動します。
- [診断レポートの送信] ウィンドウが表示されます。 ログを送信するには、[ログのメール送信] を選択します。
- ウィンドウを閉じる前にインシデント ID をメモしてください。
ターミナル アプリを開くと、コンピューターの現在の PSSO 状態をいつでも確認できます。 次のコマンドを実行します。
app-sso platform -s
お問い合わせください
皆様からのフィードバックをぜひお聞かせください。 次の情報を含める必要があります。
- Sysdiagnose ログと診断ログ
- 問題を再現する手順
- 該当する場合は、関連するスクリーンショットや録画を含めてください。
Sysdiagnose ログと診断ログのキャプチャ
ターミナルで次のコマンドを実行して、デバッグ ログの永続化を有効にします。
sudo log config --mode "level:debug,persist:debug" --subsystem "com.apple.AppSSO"問題を再現し、影響を受けるシナリオの新しいログが生成されます。 問題レポートに関連するタイムスタンプを指定して、ログ調査に役立ててください。
ターミナルで次のコマンドを実行して診断データをキャプチャします。
sudo sysdiagnoseターミナルで次のコマンドを実行して、デバッグ ログを既定の設定にリセットします。
sudo log config --reset --subsystem "com.apple.AppSSO"
トラブルシューティング ガイド
アクセス許可が不十分
ユーザーのアクセス許可が Microsoft Entra ID の参加と登録を完了するには不十分な場合、エラー メッセージは表示されません。 デバイスの参加と登録が正常に完了するには、登録フローを開始するユーザーが許可リストに登録されている必要があります。
- Microsoft Entra 管理センターで、Entra ID>Devices>Overview>Device Settings に移動します。
- [Microsoft Entra ID の参加と登録の設定] で、[ユーザーはデバイスを Microsoft Entra ID に参加させる可能性があります] の切り替えメニューで [すべて] オプションが選択されていることを確認します。
- 保存を選択して、変更を適用します。
パスキーの問題のトラブルシューティング
[パスキーとしてのプラットフォーム資格情報] オプションは、Secure Enclave がプラットフォーム SSO の認証方法として構成されている場合にのみ使用できます。 次をチェックする必要があります。
- 管理者が認証方法としてセキュアエンクレーブを使用してデバイスを設定し、組織 のためにパスキー (FIDO2) を有効にしていることを確認してください。
- ユーザーは、デバイス設定で、[ポータル サイト] をパスキー プロバイダーとして有効にしていることを確認します。 [設定] アプリ、[パスワード]、[パスワード オプション] に移動し、[ポータル サイト] が有効になっていることを確認します。
Microsoft Edge SSO に関する問題のトラブルシューティング
プラットフォーム SSO 登録後に Edge ユーザーが SSO の問題に直面している場合は、ユーザーが Edge プロファイルにサインインしているかどうかを確認してください。 ユーザーが Edge on Platform SSO 登録済みデバイスを使用するには、ブラウザー SSO のために Edge プロファイルにサインインする必要があります。
Google Chrome の SSO に関する問題のトラブルシューティング
Google Chrome の Microsoft シングル サインオン 拡張機能がインストールされているユーザーの場合、Chrome ブラウザーは、SSO ユーザー エクスペリエンスとデバイスベースの条件付きアクセス ポリシーの両方について Microsoft SSO ブローカーと通信できる必要があります。 ユーザーが Google Chrome でデバイスベースの条件付きアクセス ポリシーを渡すことができない場合は、ポータル サイト アプリケーションのインストール方法に問題がある可能性があります。これにより、Chrome が SSO ブローカーと通信できなくなる可能性があります。 この問題を修復するには、次の手順を実行する必要があります。
- Mac で [アプリケーション] フォルダーを開きます
- [ポータル サイト] アプリケーションを右クリックし、[ごみ箱に移動] を選択します
- https://go.microsoft.com/fwlink/?linkid=853070 からポータル サイト インストーラーの最新バージョンをダウンロードします
- ダウンロードした CompanyPortal-Installer.pkg を使用してポータル サイトを新たにインストールします
このファイル のの存在を確認して、問題が解決されたことを検証します: ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json
ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.microsoft.browsercore.json
または、MDM もしくはその他の自動化ツールを使用して次のスクリプトをデプロイし、JSON ファイルを正しい場所にコピーすることもできます。 このスクリプトは、Chrome SSO の問題が発生する各ユーザーに対して、ユーザーのコンテキストで実行する必要があります。
#!/usr/bin/env zsh
# Copy over Browser Core json file to the right ___location
# If the folder doesn't exist, create it
# For Google Chrome (user-specific, default path)
if [ ! -d ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts ]; then
mkdir ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts
fi
cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/
# For Edge (user-specific, default path, not channel specific)
# See: https://learn.microsoft.com/microsoft-edge/extensions-chromium/developer-guide/native-messaging?tabs=v3%2Cmacos
if [ ! -d ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts ]; then
mkdir ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts
fi
cp /Applications/Company\ Portal.app/Contents/Resources/com.microsoft.browsercore.json ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/
Important
注: この問題が発生するのは、特定の状況下でのポータル サイトのインストール方法または更新方法にバグがあることが原因です。 この問題は、ポータル サイトの今後の更新で解決される予定です。