Udostępnij za pośrednictwem

Konfigurowanie logowania jednokrotnego platformy dla urządzeń z systemem macOS w usłudze Microsoft Intune

  • Artykuł
  • Dotyczy:
    ✅ macOS

Na urządzeniach z systemem macOS można skonfigurować logowanie jednokrotne platformy, aby włączyć logowanie jednokrotne przy użyciu uwierzytelniania bez hasła, kont użytkowników usługi Microsoft Entra ID lub kart inteligentnych. Logowanie jednokrotne platformy to ulepszenie wtyczki logowania jednokrotnego w przedsiębiorstwie firmy Microsoft i rozszerzenia aplikacji logowania jednokrotnego. Logowanie jednokrotne platformy może logować użytkowników na zarządzanych urządzeniach Mac przy użyciu poświadczeń identyfikatora Entra firmy Microsoft i identyfikatora Touch ID.

Ten artykuł dotyczy:

  • macOS

Wtyczka Microsoft Enterprise SSO w usłudze Microsoft Entra ID zawiera dwie funkcje logowania jednokrotnego — logowanie jednokrotne platformy i rozszerzenie aplikacji logowania jednokrotnego. Ten artykuł koncentruje się na konfigurowaniu logowania jednokrotnego platformy z identyfikatorem Entra dla urządzeń z systemem macOS, które są w wersji zapoznawczej.

Niektóre zalety logowania jednokrotnego platformy obejmują:

  • Zawiera rozszerzenie aplikacji logowania jednokrotnego. Rozszerzenie aplikacji logowania jednokrotnego nie jest konfigurowane oddzielnie.
  • Przejdź bez hasła z poświadczeniami odpornymi na wyłudzanie informacji, które są powiązane sprzętowo z urządzeniem Mac.
  • Środowisko logowania jest podobne do logowania się na urządzeniu z systemem Windows przy użyciu konta służbowego, tak jak użytkownicy w usłudze Windows Hello dla firm.
  • Pomaga zminimalizować liczbę poświadczeń identyfikatora entra firmy Microsoft, których użytkownicy potrzebują.
  • Pomaga zmniejszyć liczbę haseł, które użytkownicy muszą zapamiętać.
  • Uzyskaj korzyści wynikające z dołączania do usługi Microsoft Entra, co umożliwia każdemu użytkownikowi organizacji logowanie się do urządzenia.
  • Dołączone do wszystkich planów licencjonowania usługi Microsoft Intune.

Gdy urządzenia mac dołączają do dzierżawy identyfikatora Entra firmy Microsoft, urządzenia otrzymują certyfikat dołączania do miejsca pracy (WPJ), który jest powiązany ze sprzętem i jest dostępny tylko przez wtyczkę logowania jednokrotnego przedsiębiorstwa firmy Microsoft. Aby uzyskać dostęp do zasobów chronionych przy użyciu dostępu warunkowego, aplikacje i przeglądarki internetowe potrzebują tego certyfikatu WPJ. Po skonfigurowaniu logowania jednokrotnego platformy rozszerzenie aplikacji logowania jednokrotnego działa jako broker dla uwierzytelniania identyfikatora Entra firmy Microsoft i dostępu warunkowego.

Logowanie jednokrotne platformy można skonfigurować przy użyciu katalogu ustawień. Gdy zasady będą gotowe, przypiszesz zasady do użytkowników. Firma Microsoft zaleca przypisanie zasad, gdy użytkownik zarejestruje urządzenie w usłudze Intune. Można go jednak przypisać w dowolnym momencie, w tym na istniejących urządzeniach.

W tym artykule pokazano, jak skonfigurować logowanie jednokrotne platformy dla urządzeń z systemem macOS w usłudze Intune.

Wymagania wstępne

Krok 1. Wybieranie metody uwierzytelniania

Podczas tworzenia zasad logowania jednokrotnego platformy w usłudze Intune należy wybrać metodę uwierzytelniania, której chcesz użyć.

Zasady logowania jednokrotnego platformy i używana metoda uwierzytelniania zmieniają sposób logowania użytkowników do urządzeń.

  • Podczas konfigurowania logowania jednokrotnego platformy użytkownicy logują się do swoich urządzeń z systemem macOS przy użyciu skonfigurowanej metody uwierzytelniania.
  • Jeśli nie używasz logowania jednokrotnego platformy, użytkownicy logują się do swoich urządzeń z systemem macOS przy użyciu konta lokalnego. Następnie logują się do aplikacji i witryn internetowych przy użyciu identyfikatora Microsoft Entra.

W tym kroku użyj tych informacji, aby poznać różnice między metodami uwierzytelniania i ich wpływem na środowisko logowania użytkownika.

Porada

Firma Microsoft zaleca używanie bezpiecznej enklawy jako metody uwierzytelniania podczas konfigurowania logowania jednokrotnego platformy.

Funkcja Bezpieczna enklawa Karta inteligentna Password (hasło)
Bez hasła (odporne na wyłudzanie informacji)
Funkcja TouchID obsługiwana do odblokowywania
Może służyć jako klucz dostępu
Uwierzytelnianie wieloskładnikowe obowiązkowe dla konfiguracji

Uwierzytelnianie wieloskładnikowe (MFA) jest zawsze zalecane
Lokalne hasło mac zsynchronizowane z identyfikatorem Entra
Obsługiwane w systemie macOS 13.x +
Obsługiwane w systemie macOS 14.x +
Opcjonalnie zezwól nowym użytkownikom na logowanie się przy użyciu poświadczeń identyfikatora Entra (macOS 14.x +)

Bezpieczna enklawa

Podczas konfigurowania logowania jednokrotnego platformy przy użyciu metody uwierzytelniania bezpiecznej enklawy wtyczka logowania jednokrotnego używa kluczy kryptograficznych powiązanych ze sprzętem. Nie używa poświadczeń usługi Microsoft Entra do uwierzytelniania użytkownika w aplikacjach i witrynach internetowych.

Aby uzyskać więcej informacji na temat bezpiecznej enklawy, przejdź do pozycji Bezpieczna enklawa (otwiera witrynę internetową firmy Apple).

Bezpieczna enklawa:

  • Jest uważany za bez hasła i spełnia wymagania wieloskładnikowe (MFA). Jest to koncepcyjnie podobne do usługi Windows Hello dla firm. Może również korzystać z tych samych funkcji co usługa Windows Hello dla firm, takich jak dostęp warunkowy.
  • Pozostawia nazwę użytkownika i hasło konta lokalnego w następującym formacie. Te wartości nie są zmieniane.

    Uwaga

    To zachowanie jest z założenia spowodowane szyfrowaniem dysków FileVault firmy Apple, które używa hasła lokalnego jako klucza odblokowywania.

  • Po ponownym uruchomieniu urządzenia użytkownicy muszą wprowadzić hasło konta lokalnego. Po odblokowaniu komputera początkowego do odblokowania urządzenia można użyć funkcji Touch ID.
  • Po odblokowaniu urządzenie pobiera oparty na sprzęcie podstawowy token odświeżania (PRT) dla logowania jednokrotnego na całym urządzeniu.
  • W przeglądarkach internetowych ten klucz PRT może służyć jako klucz dostępu przy użyciu interfejsów API webauthn.
  • Jego konfigurację można uruchamiać za pomocą aplikacji uwierzytelniania na potrzeby uwierzytelniania MFA lub tymczasowego dostępu firmy Microsoft (TAP).
  • Umożliwia tworzenie i używanie kluczy dostępu identyfikatora Entra firmy Microsoft.

Password (hasło)

Podczas konfigurowania logowania jednokrotnego platformy przy użyciu metody uwierzytelniania przy użyciu hasła użytkownicy logują się do urządzenia przy użyciu konta użytkownika identyfikatora Microsoft Entra zamiast hasła konta lokalnego.

Ta opcja umożliwia logowanie jednokrotne w aplikacjach korzystających z identyfikatora Microsoft Entra na potrzeby uwierzytelniania.

Za pomocą metody uwierzytelniania haseł :

  • Hasło identyfikatora Usługi Microsoft Entra zastępuje hasło konta lokalnego, a dwa hasła są synchronizowane.

    Uwaga

    Hasło komputera konta lokalnego nie jest całkowicie usuwane z urządzenia. To zachowanie jest z założenia spowodowane szyfrowaniem dysków FileVault firmy Apple, które używa hasła lokalnego jako klucza odblokowywania.

  • Nazwa użytkownika konta lokalnego nie została zmieniona i pozostaje taka, jaka jest.

  • Użytkownicy końcowi mogą używać funkcji Touch ID do logowania się do urządzenia.

  • Użytkowników i administratorów jest mniej haseł do zapamiętania i zarządzania.

  • Użytkownicy muszą wprowadzić hasło identyfikatora Usługi Microsoft Entra po ponownym uruchomieniu urządzenia. Po odblokowaniu początkowej maszyny funkcja Touch ID może odblokować urządzenie.

  • Po odblokowaniu urządzenie pobiera powiązaną sprzętowo poświadczenia podstawowego tokenu odświeżania (PRT) dla logowania jednokrotnego identyfikatora usługi Microsoft Entra.

Uwaga

Wszystkie skonfigurowane zasady haseł usługi Intune również mają wpływ na to ustawienie. Jeśli na przykład masz zasady haseł, które blokują proste hasła, proste hasła są również blokowane dla tego ustawienia.

Upewnij się, że zasady haseł i/lub zasady zgodności usługi Intune są zgodne z zasadami haseł usługi Microsoft Entra. Jeśli zasady nie są zgodne, hasło może nie zostać zsynchronizowane i użytkownikom końcowym odmówiono dostępu.

Karta inteligentna

Podczas konfigurowania logowania jednokrotnego platformy przy użyciu metody uwierzytelniania kart inteligentnych użytkownicy mogą używać certyfikatu karty inteligentnej i skojarzonego numeru PIN do logowania się do urządzenia i uwierzytelniania w aplikacjach i witrynach internetowych.

Ta opcja:

  • Jest uważany za bez hasła.
  • Pozostawia nazwę użytkownika i hasło konta lokalnego w następującym formacie. Te wartości nie są zmieniane.

Aby uzyskać więcej informacji, przejdź do pozycji Uwierzytelnianie oparte na certyfikatach firmy Microsoft Entra w systemach iOS i macOS.

Krok 2. Tworzenie zasad logowania jednokrotnego platformy w usłudze Intune

Aby skonfigurować zasady logowania jednokrotnego platformy, wykonaj następujące kroki, aby utworzyć zasady katalogu ustawień usługi Intune . Te ustawienia są wymagane przez wtyczkę logowania jednokrotnego firmy Microsoft Enterprise. Aby uzyskać więcej informacji, przejdź do wtyczki logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple.

Aby uzyskać szczegółowe informacje na temat ustawień ładunku rozszerzenia Rozszerzalne logowanie jednokrotne, przejdź do obszaru Rozszerzalne ustawienia ładunku MDM dla urządzeń firmy Apple (otwiera witrynę internetową firmy Apple).

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

  2. WybierzpozycjęKonfiguracja>urządzeń> Utwórz >nowe zasady.

  3. Wprowadź następujące właściwości:

    • Platforma: wybierz pozycję macOS.
    • Typ profilu: wybierz pozycję Katalog ustawień.

  4. Wybierz pozycję Utwórz.

  5. W obszarze Podstawowe informacje wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę zasad. Nadaj nazwę zasadom, aby można było je później łatwo rozpoznać. Na przykład nadaj zasadom nazwę macOS — Logowanie jednokrotne platformy.
    • Opis: wprowadź opis zasad. To ustawienie jest opcjonalne, ale zalecane.

  6. Wybierz pozycję Dalej.

  7. W obszarze Ustawienia konfiguracji wybierz pozycję Dodaj ustawienia. W selektorze ustawień rozwiń węzeł Uwierzytelnianie i wybierz pozycję Rozszerzalne logowanie jednokrotne:

    Zrzut ekranu przedstawiający selektor ustawień wykazu ustawień i wybierający kategorię uwierzytelniania i rozszerzalnego logowania jednokrotnego w usłudze Microsoft Intune.

    Na liście wybierz następujące ustawienia:

    • Metoda uwierzytelniania (przestarzała) (tylko system macOS 13)
    • Identyfikator rozszerzenia
    • Rozwiń węzeł Loganie jednokrotne platformy:
      • Wybierz metodę uwierzytelniania (macOS 14+)
      • Wybierz pozycję Użyj kluczy urządzenia udostępnionego
    • Token rejestracji
    • Zachowanie przy zablokowanym ekranie
    • Identyfikator zespołu
    • Type
    • Adresy URL

    Zamknij selektor ustawień.

    Porada

    Istnieją bardziej opcjonalne ustawienia logowania jednokrotnego platformy, które można skonfigurować w zasadach. Aby uzyskać listę, przejdź do pozycji Więcej ustawień logowania jednokrotnego platformy, które można skonfigurować (w tym artykule).

  8. Skonfiguruj następujące wymagane ustawienia:

    Name (Nazwa) Wartość konfiguracji Opis
    Metoda uwierzytelniania (przestarzała)
    (tylko system macOS 13)    		 Hasło lub UserSecureEnclave Wybierz metodę uwierzytelniania logowania jednokrotnego platformy wybraną w kroku 1 — zdecyduj metodę uwierzytelniania (w tym artykule).

    To ustawienie dotyczy tylko systemu macOS 13. W systemie macOS 14.0 lub nowszym użyj ustawieniaMetoda uwierzytelnianialogowania jednokrotnego> platformy.
    Identyfikator rozszerzenia com.microsoft.CompanyPortalMac.ssoextension Ten identyfikator to rozszerzenie aplikacji logowania jednokrotnego, które musi działać w profilu.

    Wartości Identyfikator rozszerzenia i Identyfikator zespołu współpracują ze sobą.
    Logo jednokrotne> platformyMetoda
    uwierzytelniania(macOS 14+)    		 Password, UserSecureEnclave lub SmartCard Wybierz metodę uwierzytelniania logowania jednokrotnego platformy wybraną w kroku 1 — zdecyduj metodę uwierzytelniania (w tym artykule).

    To ustawienie dotyczy systemu macOS 14 lub nowszego. W systemie macOS 13 użyj ustawienia Metoda uwierzytelniania (przestarzała ).
    Logo jednokrotne> platformyUżywanie kluczy
    urządzenia udostępnionego(macOS 14+)    		 Włączone Po włączeniu logowanie jednokrotne platformy używa tych samych kluczy podpisywania i szyfrowania dla wszystkich użytkowników na tym samym urządzeniu.

    Użytkownicy uaktualnieni z systemu macOS 13.x do wersji 14.x są monitowane o ponowne zarejestrowanie się.
    Token rejestracji {{DEVICEREGISTRATION}} Należy uwzględnić nawiasy klamrowe. Aby uzyskać więcej informacji na temat tego tokenu rejestracji, przejdź do tematu Konfigurowanie rejestracji urządzeń w usłudze Microsoft Entra.

    To ustawienie wymaga również skonfigurowania AuthenticationMethod ustawienia.

    — Jeśli używasz tylko urządzeń z systemem macOS 13, skonfiguruj ustawienie Metoda uwierzytelniania (przestarzałe ).
    — Jeśli używasz tylko urządzeń z systemem macOS 14 lub nowszym, skonfiguruj ustawienieMetoda uwierzytelniania jednokrotnego>platformy.
    — Jeśli masz kombinację urządzeń z systemami macOS 13 i macOS 14 lub nowszym, skonfiguruj oba ustawienia uwierzytelniania w tym samym profilu.
    Zachowanie przy zablokowanym ekranie Nie obsługuj Po ustawieniu pozycji Nie obsługuj żądanie będzie kontynuowane bez logowania jednokrotnego.
    Identyfikator zespołu UBF8T346G9 Ten identyfikator jest identyfikatorem zespołu rozszerzenia aplikacji wtyczki logowania jednokrotnego przedsiębiorstwa.
    Type Przekierowanie
    Adresy URL Wprowadź wszystkie następujące adresy URL:

    https://login.microsoftonline.com
    https://login.microsoft.com
    https://sts.windows.net

    Jeśli środowisko musi zezwalać na domeny suwerennej chmury, dodaj również następujące adresy URL:

    https://login.partner.microsoftonline.cn
    https://login.chinacloudapi.cn
    https://login.microsoftonline.us
    https://login-us.microsoftonline.com    		 Te prefiksy adresów URL to dostawcy tożsamości, którzy wykonują rozszerzenia aplikacji logowania jednokrotnego. Adresy URL są wymagane dla ładunków przekierowania i są ignorowane w przypadku ładunków poświadczeń .

    Aby uzyskać więcej informacji na temat tych adresów URL, przejdź do wtyczki logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple.

    Ważna

    Jeśli w środowisku istnieje kombinacja urządzeń z systemami macOS 13 i macOS 14+, skonfigurujmetodę uwierzytelniania jednokrotnego platformy> i ustawienia uwierzytelniania metody uwierzytelniania (przestarzałe) w tym samym profilu.

  9. Wybierz pozycję Dalej.

  10. W obszarze Tagi zakresu (opcjonalnie) przypisz tag, aby filtrować profil do określonych grup IT, takich jak US-NC IT Team lub JohnGlenn_ITDepartment. Aby uzyskać więcej informacji na temat tagów zakresu, przejdź do tematu Używanie ról RBAC i tagów zakresu dla rozproszonej infrastruktury IT.

    Wybierz pozycję Dalej.

  11. W obszarze Przypisania wybierz grupy użytkowników lub urządzeń, które odbierają Twój profil. W przypadku urządzeń z koligacją użytkownika przypisz je do użytkowników lub grup użytkowników. W przypadku urządzeń z wieloma użytkownikami zarejestrowanymi bez koligacji użytkownika przypisz je do urządzeń lub grup urządzeń.

    Aby uzyskać więcej informacji na temat przypisywania profilów, przejdź do tematu Przypisywanie profilów użytkowników i urządzeń.

    Wybierz pozycję Dalej.

  12. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście profilów.

Przy następnym sprawdzaniu aktualizacji konfiguracji przez urządzenie zostaną zastosowane skonfigurowane ustawienia.

Krok 3. Wdrażanie aplikacji Portal firmy dla systemu macOS

Aplikacja Portal firmy dla systemu macOS wdraża i instaluje wtyczkę logowania jednokrotnego firmy Microsoft Enterprise. Ta wtyczka umożliwia logowanie jednokrotne platformy.

Za pomocą usługi Intune możesz dodać aplikację Portal firmy i wdrożyć ją jako wymaganą aplikację na urządzeniach z systemem macOS:

Nie ma żadnych konkretnych kroków konfigurowania aplikacji dla logowania jednokrotnego platformy. Upewnij się, że najnowsza aplikacja Portal firmy została dodana do usługi Intune i wdrożona na urządzeniach z systemem macOS.

Jeśli masz zainstalowaną starszą wersję aplikacji Portal firmy, logowanie jednokrotne platformy nie będzie działać.

Krok 4. Rejestrowanie urządzeń i stosowanie zasad

Aby korzystać z logowania jednokrotnego platformy, urządzenia muszą być zarejestrowane w usłudze Intune przy użyciu jednej z następujących metod:

  • W przypadku urządzeń należących do organizacji można:

  • W przypadku urządzeń należących do użytkownika utwórz zasady rejestracji urządzeń . Dzięki tej metodzie rejestracji użytkownicy końcowi otwierają aplikację Portal firmy i logują się przy użyciu identyfikatora Microsoft Entra. Po pomyślnym zalogowaniu obowiązują zasady rejestracji.

W przypadku nowych urządzeń zalecamy wstępne tworzenie i konfigurowanie wszystkich niezbędnych zasad, w tym zasad rejestracji. Następnie, gdy urządzenia są rejestrowane w usłudze Intune, zasady są stosowane automatycznie.

W przypadku istniejących urządzeń już zarejestrowanych w usłudze Intune przypisz zasady logowania jednokrotnego platformy do użytkowników lub grup użytkowników. Następnym razem, gdy urządzenia zostaną zsynchronizowane lub zaewidencjonowane z usługą Intune, otrzymają utworzone ustawienia zasad logowania jednokrotnego platformy.

Krok 5. Rejestrowanie urządzenia

Gdy urządzenie otrzyma zasady, w Centrum powiadomień jest wyświetlane wymagane powiadomienie Rejestracja .

Zrzut ekranu przedstawiający wymagany monit o rejestrację na urządzeniach użytkowników końcowych podczas konfigurowania logowania jednokrotnego platformy w usłudze Microsoft Intune.

  • Użytkownicy końcowi wybierają to powiadomienie, logują się do wtyczki Microsoft Entra ID przy użyciu konta organizacji i w razie potrzeby dokonują uwierzytelniania wieloskładnikowego (MFA).

    Uwaga

    Uwierzytelnianie wieloskładnikowe to funkcja usługi Microsoft Entra. Upewnij się, że uwierzytelnianie wieloskładnikowe jest włączone w dzierżawie. Aby uzyskać więcej informacji, w tym inne wymagania dotyczące aplikacji, przejdź do pozycji Uwierzytelnianie wieloskładnikowe w usłudze Microsoft Entra.

  • Po pomyślnym uwierzytelnieniu urządzenie jest przyłączone do organizacji przez firmę Microsoft Entra, a certyfikat dołączania do miejsca pracy (WPJ) jest powiązany z urządzeniem.

W poniższych artykułach przedstawiono środowisko użytkownika w zależności od metody rejestracji:

Krok 6. Potwierdzanie ustawień na urządzeniu

Po zakończeniu rejestracji logowania jednokrotnego platformy możesz potwierdzić skonfigurowanie logowania jednokrotnego platformy. Aby uzyskać instrukcje, przejdź do pozycji Microsoft Entra ID — sprawdź stan rejestracji urządzenia.

Na urządzeniach zarejestrowanych w usłudze Intune możesz również przejść do pozycji Ustawienia>Prywatność i profile zabezpieczeń>. Profil logowania jednokrotnego platformy jest wyświetlany w obszarze com.apple.extensiblesso Profile. Wybierz profil, aby wyświetlić skonfigurowane ustawienia, w tym adresy URL.

Aby rozwiązać problemy z logowaniem jednokrotnym platformy, przejdź do znanych problemów z logowaniem jednokrotnym platformy systemu macOS i rozwiązywania problemów.

Krok 7. Anulowanie przypisania wszelkich istniejących profilów rozszerzeń aplikacji logowania jednokrotnego

Po upewnieniu się, że zasady katalogu ustawień działają, usuń przypisanie wszystkich istniejących profilów rozszerzeń aplikacji logowania jednokrotnego utworzonych przy użyciu szablonu Funkcji urządzenia usługi Intune.

Jeśli zachowasz obie zasady, mogą wystąpić konflikty.

Więcej ustawień logowania jednokrotnego platformy, które można skonfigurować

Podczas tworzenia profilu katalogu ustawień w kroku 2 — tworzenie zasad logowania jednokrotnego platformy w usłudze Intune można skonfigurować bardziej opcjonalne ustawienia.

Poniższe ustawienia pozwalają dostosować środowisko użytkownika końcowego i zapewnić bardziej szczegółową kontrolę nad uprawnieniami użytkownika. Żadne nieudokumentowane ustawienia logowania jednokrotnego platformy nie są obsługiwane.

Ustawienia logowania jednokrotnego platformy Dopuszczalne wartości Zastosowanie
Nazwa wyświetlana konta Dowolna wartość ciągu. Dostosuj nazwę organizacji widoczną dla użytkowników końcowych w powiadomieniach logowania jednokrotnego platformy.
Włącz opcję Utwórz użytkownika przy logowaniu Włącz lub wyłącz. Zezwalaj dowolnemu użytkownikowi organizacyjnemu na logowanie się do urządzenia przy użyciu poświadczeń usługi Microsoft Entra.
Nowy tryb autoryzacji użytkownika Standardowa, Administrator lub Grupy Uprawnienia jednorazowe, które użytkownik ma podczas logowania podczas tworzenia konta przy użyciu logowania jednokrotnego platformy. Obecnie obsługiwane są wartości Standard i Admin . Przed użyciem trybu standardowego na urządzeniu jest wymagany co najmniej jeden użytkownik administratora.
Tryb autoryzacji użytkownika Standardowa, Administrator lub Grupy Trwałe uprawnienia, które użytkownik ma podczas logowania za każdym razem, gdy użytkownik uwierzytelnia się przy użyciu logowania jednokrotnego platformy. Obecnie obsługiwane są wartości Standard i Admin . Przed użyciem trybu standardowego na urządzeniu jest wymagany co najmniej jeden użytkownik administratora.

Typowe błędy

Podczas konfigurowania logowania jednokrotnego platformy mogą wystąpić następujące błędy:

  • 10001: misconfiguration in the SSOe payload.

    Ten błąd może wystąpić, jeśli:

    • Istnieje wymagane ustawienie, które nie jest skonfigurowane w profilu katalogu ustawień.
    • W skonfigurowanym profilu wykazu ustawień znajduje się ustawienie, które nie ma zastosowania do ładunku typu przekierowania.

    Ustawienia uwierzytelniania skonfigurowane w profilu katalogu ustawień są różne dla urządzeń z systemami macOS 13.x i 14.x.

    Jeśli w środowisku znajdują się urządzenia z systemami macOS 13 i macOS 14, należy utworzyć jedną zasadę wykazu ustawień i skonfigurować odpowiednie ustawienia uwierzytelniania w tych samych zasadach. Te informacje zostały udokumentowane w kroku 2 — tworzenie zasad logowania jednokrotnego platformy w usłudze Intune (w tym artykule).

  • 10002: multiple SSOe payloads configured.

    Wiele ładunków rozszerzeń logowania jednokrotnego jest stosowanych do urządzenia i jest w konflikcie. Na urządzeniu powinien istnieć tylko jeden profil rozszerzenia, a ten profil powinien być profilem katalogu ustawień.

    Jeśli wcześniej utworzono profil rozszerzenia aplikacji logowania jednokrotnego przy użyciu szablonu Funkcje urządzenia, usuń przypisanie tego profilu. Profil wykazu ustawień jest jedynym profilem, który powinien zostać przypisany do urządzenia.