Problembehandlung bei Passport mit Microsoft Entra ID (ehemals Azure AD)

Hinweis: Microsoft Entra ID ist der neue Name für Azure AD (Azure Active Directory)

Überlegungen zur Anmeldung

Wenn Sie sich am Passport-Anmeldefenster anmelden, sollte immer die vollständige E-Mail-Adresse im Feld für den Benutzernamen verwendet werden, um sicherzustellen, dass die Authentifizierungssitzung mit dem IdP und nicht mit der lokalen Authentifizierung verbunden ist. Um Verwirrung bei der Verwendung von E-Mail-Adressen im FileVault-Anmeldefenster zu vermeiden, stellen Sie sicher, dass das Kontrollkästchen Sichtbarkeit für verwaltete Benutzer im Library Item des Anmeldefensters deaktiviert ist. Mehr dazu lesen Sie in unserem Passport Compatibility article.

Kandji Passport Diagnose

Wenn sich ein Benutzer nicht im Passport-Anmeldefenster anmelden kann, können Sie die Kandji Passport-Diagnose aufrufen, indem Sie Befehl-Umschalt-K-L auf der Tastatur drücken. Es werden hilfreiche Informationen angezeigt, z. B. Fehlermeldungen von Ihrem IdP.

Netzwerkverbindung

Passport erfordert eine Netzwerkverbindung, um die Anmeldeinformationen des Benutzers mit dem IdP abzugleichen. Wenn Sie das Anmeldefenster in Passport anpassen, zeigen Sie den Netzwerkmanager an, damit Benutzer bei Bedarf einem WLAN-Netzwerk beitreten können. Der Netzwerkmanager berücksichtigt die AirPort-Sicherheitseinstellungen in macOS.

Um mit dem IdP in Kontakt treten zu können, benötigt Passport eine Netzwerkverbindung. Es ist üblich, dass Benutzer einen tragbaren Mac an verschiedenen Orten verwenden, die ein WLAN-Netzwerk bereitstellen, mit dem der Mac noch nicht verbunden ist. In Passport wird in der oberen rechten Ecke des Bildschirms ein WLAN-Symbol angezeigt. Sie können auf das WLAN-Symbol klicken, um einem WLAN-Netzwerk beizutreten, das ein Kennwort für die Verbindung mit dem Netzwerk akzeptiert. Derzeit unterstützt Passport keine Netzwerke, die Captive Portal, Click-through-Authentifizierung oder Unternehmensnetzwerke verwenden, die einen Benutzernamen und ein Kennwort für die 802.1x-Authentifizierung erfordern.

Häufige Microsoft Entra ID-Fehler

Unter diesem Link können Sie diesen Link verwenden, um Microsoft Entra ID-Fehlercodes nachzuschlagen, die in der Regel mit AADSTS beginnen.

AADSTS50076

  • Microsoft Entra ID-Nachricht: Aufgrund einer Konfigurationsänderung, die Ihr Administrator vorgenommen hat, oder weil Sie an einen neuen Speicherort gewechselt sind, müssen Sie die mehrstufige Authentifizierung verwenden, um auf "{resource}" zuzugreifen. - Der Benutzer muss die mehrstufige Authentifizierung durchführen. Es kann mehrere Dinge geben, die Multi-Factor erfordern, z. B. Richtlinien für bedingten Zugriff, Durchsetzung pro Benutzer und vom Client angefordert, unter anderem.

  • Behebung: Lesen Sie unbedingt den Abschnitt Multi-factor Authentication (MFA) Considerations in diesem Supportartikel, um sicherzustellen, dass die mehrstufige Authentifizierung für die Passport-Unternehmens-App in Ihrer Microsoft Entra ID-Umgebung deaktiviert ist.

AADSTS50020

  • Microsoft Entra ID-Meldung: Das Benutzerkonto <Benutzerprinzipalname> vom Identitätsanbieter <Ihre Microsoft Entra ID Active Directory-Mandanten-ID> ist im Mandanten <Ihr Mandantenname> nicht vorhanden und kann nicht auf die Anwendung <Ihre Passport-Anwendungs-ID (Client)> in diesem Mandanten zugreifen. Das Konto muss zuerst als externer Benutzer im Mandanten hinzugefügt werden.

  • Wartung: Bestätigen Sie im Microsoft Entra Admin Center > Benutzer > Alle Benutzer >, dass der Benutzer vorhanden ist.

AADSTS50034

  • Microsoft Entra ID-Meldung: Das Benutzerkonto <Benutzerprinzipalname ohne @sign und Domäne> ist im Verzeichnis <Name Ihres Mandantennamens> nicht vorhanden.

  • Behebung: Um Passport mit MFA-Unterstützung verwenden zu können, muss ein Benutzer in Microsoft Entra ID über ein E-Mail-Attribut verfügen. Wenn der Benutzer nicht über ein E-Mail-Attribut verfügt, kann er sich zwar in der Webansicht für Microsoft Entra ID mit MFA authentifizieren, aber er kann sich nicht erfolgreich auf dem Verifizierungsbildschirm "Geben Sie Ihr Microsoft Entra ID-Kennwort ein" authentifizieren. Wählen Sie in Entra ID > Benutzer > Alle Benutzer den Benutzer aus, klicken Sie auf Eigenschaften bearbeiten, geben Sie dann im Feld E-Mail die E-Mail-Adresse des Benutzers ein und klicken Sie auf Speichern. Sie müssen einen Wert hinzufügen, auch wenn es sich nicht um eine Adresse handelt, die E-Mails akzeptiert. Es ist üblich, einfach denselben Wert wie den Benutzerprinzipalnamen des Benutzers zu verwenden.

AADSTS50126

  • Microsoft Entra ID-Meldung: InvalidUserNameOrPassword – Fehler beim Überprüfen von Anmeldeinformationen aufgrund eines ungültigen Benutzernamens oder Kennworts. Der Benutzer hat nicht die richtigen Anmeldeinformationen eingegeben.  Es wird erwartet, dass eine gewisse Anzahl dieser Fehler in Ihren Protokollen angezeigt wird, da Benutzer Fehler machen.

  • Behebung: Dies ist eine sehr allgemeine Microsoft Entra ID-Fehlermeldung. Im Zusammenhang mit Passport gab es einige Szenarien, in denen dieser Fehler aufgetreten ist.

    • Es ist möglich, dass der Benutzername oder das Passwort tatsächlich falsch ist.

    • Es ist möglich, dass Microsoft Entra ID mit AD FS oder einem anderen Identitätsanbieter verbunden ist. Dies führt dazu, dass der Authentifizierungsablauf dazu führt, dass ein Fehler an Passport gesendet wird. Weitere Informationen finden Sie im Abschnitt Authentifizierungsablauf in einer Verbundumgebung in diesem Artikel .

AADSTS700025

  • Microsoft Entra ID-Nachricht: Der Client ist öffentlich, daher sollten weder "client_assertion" noch "client_secret" angezeigt werden.

  • Behebung: Stellen Sie im Entra Admin Center > Anwendungen > App-Registrierungen > Alle Anwendungen > [Ihre Passport-App] > Authentifizierungs- > Plattformkonfigurationen > Mobil- und Desktopanwendungen sicher, dass im Abschnitt Umleitungs-URIs das Kontrollkästchen für https://login.microsoftonline.com/common/oauth2/nativeclient aktiviert ist. Navigieren Sie zu Zertifikate und Geheimnisse, und entfernen Sie den geheimen Clientschlüssel. Vergewissern Sie sich in Kandji, dass in Ihrem Passport-Bibliothekselement das Feld Client secret (optional) leer ist.

AADSTS7000215

  • Microsoft Entra ID-Nachricht: Ungültiger geheimer Clientschlüssel angegeben. Stellen Sie sicher, dass der in der Anforderung gesendete geheime Schlüssel dem Wert des geheimen Clientschlüssels entspricht.

  • Behebung: Stellen Sie im Entra Admin Center > Anwendungen > App-Registrierungen > [Ihre Passport-App] > Authentifizierung > Plattformkonfigurationen > Mobil- und Desktopanwendungen sicher, dass im Abschnitt Umleitungs-URIs das Kontrollkästchen für https://login.microsoftonline.com/common/oauth2/nativeclient aktiviert ist. Navigieren Sie zu Zertifikate und Geheimnisse, und entfernen Sie den geheimen Clientschlüssel. Vergewissern Sie sich in Kandji, dass in Ihrem Passport-Library Item das Feld Client secret (optional) leer ist.

AADSTS50079

  • Aufgrund einer Konfigurationsänderung, die Ihr Administrator vorgenommen hat, oder weil Sie an einen neuen Speicherort gewechselt sind, müssen Sie sich für die mehrstufige Authentifizierung registrieren, um auf "{identifier}" zugreifen zu können.

  • Behebung: Wenn Sie Mac Login für die Passport-Authentifizierung verwenden, ist es möglich, dass der Benutzer die Legacy-MFA pro Benutzer aktiviert hat. Entweder muss ein verwalteter Benutzer Sicherheitsinformationen registrieren, um die mehrstufige Authentifizierung abzuschließen, oder ein Verbundbenutzer muss den mehrstufigen Anspruch vom Verbundidentitätsanbieter abrufen. Es kann mehrere Dinge geben, die mehrere Faktoren erfordern, z. B. Richtlinien für bedingten Zugriff, Durchsetzung pro Benutzer, die vom Client angefordert werden, um nur einige zu nennen.

Fehler bei der Ticketdekodierung

Fehler beim Dekodieren des Tickets

Fehler beim Anmelden mit möglichem Fehler: Unbekannt

Dies ist in der Regel ein Problem mit dem optionalen geheimen Clientschlüssel. Entfernen Sie zur Problembehandlung den optionalen geheimen Clientschlüssel vollständig aus dem Passport-Bibliothekselement, und stellen Sie sicher, dass das Gerät eingecheckt wird. Melden Sie sich nach dem Einchecken vom lokalen Benutzer ab und mit Passport wieder an. Dieser Fehler kann auch mit einer Netzwerkbedingung zusammenhängen. Um dies auszuschließen, versuchen Sie, im Rahmen der Fehlerbehebung eine Verbindung zu einem mobilen Hotspot herzustellen, um festzustellen, ob der Fehler weiterhin besteht.

Beim Abrufen von Benutzerinformationen ist ein Fehler aufgetreten: Es wurde kein Schlüssel gefunden, der mit "givenName" übereinstimmt.

  • Behebung: Überprüfen Sie im Microsoft Entra Admin Center > Identifizierung > Benutzer > Überprüfen Sie, ob für den Benutzer, der sich anmeldet, die Eigenschaft Vorname ausgefüllt ist