Library Item
Automatisierte Geräteregistrierung
Authentifizierung erforderlich
Wenn Sie die Option "Authentifizierung erforderlich" in der automatischen Geräteregistrierung verwenden und einen Benutzer einem Gerätedatensatz zuweisen, wird das Vorausfüllen der Details zur anfänglichen Kontoerstellung nicht empfohlen. Passport verwendet die Kontodaten, die bei der ersten Anmeldung des Benutzers über das Passport-Anmeldefenster angegeben werden.
Deaktivieren Sie das Kontrollkästchen Details zur ersten Kontoerstellung vorab ausfüllen.
Erstellung eines primären Kontos
Wenn Sie Passport verwenden, wählen Sie unter Primärer Kontotyp die Option Erstellung des primären Kontos überspringen aus. Auf diese Weise wird der Mac-Account bereitgestellt, wenn Benutzer zum Passport-Anmeldebildschirm gelangen und sich mit ihren IdP-Anmeldeinformationen anmelden.
Wenn Sie die Kontoerstellung nicht überspringen, zeigt das Gerät beim Versuch, das lokale Benutzerkonto zu erstellen, einen Fehler an.
Wählen Sie das Dropdown-Menü Erstellung des primären Kontos aus.
Wählen Sie Erstellung des primären Kontos überspringen aus.
Kennung
Wenn Sie Passport verwenden, wird dringend empfohlen , das Element der Passcode-Library aus allen Blueprints zu entfernen, die Passport enthalten. Ihr IdP sollte die Kennwortanforderungen erfüllen. Wenn die von Ihrem Identitätsanbieter festgelegten Passcode-Anforderungen weniger restriktiv sind als die vom Code-Library Item festgelegten, führt dies dazu, dass der Benutzer sein Passwort nicht ändern kann, da es nicht den Passwortanforderungen des lokalen Mac entspricht.
Wenn Sie die Passcode-Richtlinien für die Einstellungen "Passcode nach dem Energiesparmodus erforderlich" oder "Bildschirmschoner starten" und/oder " Bildschirmschoner starten nach" erzwingen müssen, sind diese mit Passport kompatibel. Wenn Sie diese beiden Einstellungen bereitstellen müssen, stellen Sie sicher, dass alle anderen Passcode-Einstellungen deaktiviert sind, um Probleme bei der Kennwortsynchronisierung zu vermeiden.
Login-Fenster
Das Bibliothekselement im Anmeldefenster enthält einige Elemente, die mit Passport kompatibel sind.
Kompatible Optionen
Die Option "Sperrnachricht festlegen " im Bibliothekselement "Anmeldefenster" ist mit Passport kompatibel.
Die Optionen, die im Abschnitt "Angemeldete Benutzer" des Library Items "Anmeldefenster" aufgeführt sind, sind mit Passport kompatibel.
Die schnelle Benutzerumschaltung sollte für Geräte mit macOS 13 oder niedriger deaktiviert werden, da beim Wechsel keine Passport-Authentifizierung verwendet wird. Geräte mit macOS 14 oder neuer können den schnellen Benutzerwechsel mit Passport ohne Probleme nutzen.
Inkompatible Optionen
Die Elemente im Abschnitt "Menüleiste" des Bibliothekselements des Anmeldefensters sind nicht mit Passport kompatibel und sollten deaktiviert werden.
Die Elemente im Abschnitt "Benutzersichtbarkeit " des Library Items des Anmeldefensters sind nicht mit Passport kompatibel und sollten deaktiviert werden. Der zusätzliche Vorteil des Deaktivierens dieser Einstellung besteht darin, dass Benutzer nicht aufgefordert werden, ihren Benutzernamen einzugeben. Dadurch wird eine Verwechslung zwischen der vollständigen E-Mail-Adresse im Passport-Anmeldefenster und dem lokalen Kurznamen im FileVault-Anmeldefenster vermieden.
Die Elemente in den Abschnitten "Optionen" des Bibliothekselements im Anmeldefenster sind nicht mit Passport kompatibel und sollten deaktiviert werden.
Netzwerk & Wi-Fi
Um mit dem IdP in Kontakt treten zu können, benötigt Passport eine Netzwerkverbindung. Es ist üblich, dass Benutzer einen tragbaren Mac an verschiedenen Orten verwenden, die ein WLAN-Netzwerk bereitstellen, mit dem der Mac noch nicht verbunden ist. In Passport wird in der oberen rechten Ecke des Bildschirms ein WLAN-Symbol angezeigt. Sie können auf das WLAN-Symbol klicken, um einem WLAN-Netzwerk beizutreten, das ein Kennwort für die Verbindung mit dem Netzwerk akzeptiert. Derzeit unterstützt Passport keine Netzwerke, die Captive Portal, Click-through-Authentifizierung oder Unternehmensnetzwerke verwenden, die einen Benutzernamen und ein Kennwort für die 802.1X-Authentifizierung erfordern.
Parameter
Erzwingen eines benutzerdefinierten Richtlinienbanners
Wenn Sie den Parameter "Benutzerdefinierte Richtlinie erzwingen " verwenden, deaktivieren Sie ihn für alle Blueprints, die das Passport-Library Item enthalten.
Herabstufung von Benutzerkonten auf Standard
Da Passport den Benutzerkontotyp auswertet und ihn möglicherweise von "Administrator" in "Standard" oder umgekehrt ändert, kann die Kombination mit dem Parameter "Benutzerkonten auf Standard herabstufen " zu Neustartschleifen führen. Wenn Sie Benutzerkonten als Administratoren in Ihrem Passport-Bibliothekselement bereitstellen, stellen Sie sicher, dass die Option Benutzerkonten auf Standardparameter herabstufen im selben Blueprint nicht aktiviert ist. Die Verwendung des Parameters Benutzerkonten auf Standard herabstufen für einen Blueprint mit zugewiesenem Passport wird nicht empfohlen.
Sichere WLAN-Einstellungen
Passport erfordert eine Netzwerkverbindung, um die Anmeldeinformationen des Benutzers mit dem IdP abzugleichen. Wenn Sie das Anmeldefenster in Passport anpassen, zeigen Sie den Netzwerkmanager an, damit Benutzer bei Bedarf einem WLAN-Netzwerk beitreten können. Der Netzwerkmanager berücksichtigt die AirPort-Sicherheitseinstellungen in macOS. Sie können den Parameter Sicheres WLAN in Kandji verwenden, um lokale Administratoranmeldeinformationen für den Netzwerkwechsel anzufordern. Wenn diese Option aktiviert ist, werden Benutzer beim Wechseln des Netzwerks im Passport-Fenster mit einem nativen Authentifizierungsdialog aufgefordert.
Um sicherzustellen, dass sich Benutzer immer an ihren Mac-Computern anmelden können, ermöglicht Passport ihnen, sich mit ihren IdP-Anmeldeinformationen anzumelden, wenn keine Netzwerkverbindung besteht.
macOS-Funktionen
Migrations-Assistent
Die Verwendung des Migrationsassistenten mit Passport wird nicht unterstützt. Wenn der Migrationsassistent mit Passport verwendet wurde, können Sie die folgenden Schritte ausführen, um das Problem zu beheben. Wenn Sie den Migrationsassistenten verwenden, um Daten von einem Gerät zu migrieren, das bei Kandji registriert ist, entfernen Sie bitte Passport von dem Gerät, von dem Sie migrieren, bevor Sie eine Migration versuchen. Wenn Passport auf dem Gerät verbleibt und auf das Zielgerät migriert wird, bleiben Benutzer möglicherweise auf dem Passport-Bildschirm hängen und können nicht fortfahren.
Wenn Sie Hilfe bei der Behebung dieser Situation benötigen, wenden Sie sich bitte an den Support.
Alias für verwaltete Apple-Konten
In einigen Situationen kann es vorkommen, dass ein Benutzer mit einem Accountnamen bei einem Apple-Account angemeldet ist, der mit dem Namen des IdP-Accounts übereinstimmt. Ähnlich wie bei Passport wird im lokalen Verzeichnis ein Alias erstellt, der mit dem Namen dieses Apple-Account-Accounts übereinstimmt. Wenn der Apple-Account mit dem Namen des IdP-Accounts übereinstimmt, kann es zu einem Konflikt kommen, der den Benutzer daran hindert, sich mit dem Namen des IdP-Accounts anzumelden.
Dieser Konflikt tritt nur auf, wenn sich der Benutzer vom Apple-Konto abmeldet. Durch den Abmeldevorgang wird der Alias für den Apple-Account entfernt. Da dieser Alias mit dem von Passport verwendeten Kontonamen übereinstimmt, wird auch der Alias für Passport entfernt.
Um dieses Problem zu beheben, muss der Alias wiederhergestellt werden. Dies kann manuell über den Bereich "Benutzer & Gruppen" in den Systemeinstellungen (oder Systemeinstellungen) oder in der App "Verzeichnisdienstprogramm" auf dem lokalen Computer erfolgen.
Wenn Sie Hilfe bei der Behebung dieser Situation benötigen, wenden Sie sich bitte an den Support.
Mobile Konten
Passport ist mit lokalen macOS-Konten kompatibel. Mobile Konten werden nicht unterstützt. Bevor Sie Passport verwenden, konvertieren Sie vorhandene mobile Konten in lokale Konten, um eine erfolgreiche Kontozusammenführung zu ermöglichen.