Artículos de la biblioteca
Inscripción automatizada de dispositivos
Requerir autenticación
Si se utiliza Requerir autenticación dentro de la inscripción automatizada de dispositivos y se asigna un usuario a un registro de dispositivo, no se recomienda rellenar previamente los detalles iniciales de creación de la cuenta. Passport utilizará los datos de la cuenta proporcionados en el primer inicio de sesión del usuario a través de la ventana de inicio de sesión de Passport.
Desmarque la casilla de verificación Rellenar previamente los detalles de creación de la cuenta inicial.
Creación de la cuenta principal
Cuando uses Passport, selecciona Omitir la creación de la cuenta principal en Tipo de cuenta principal. De este modo, cuando los usuarios lleguen a la pantalla de inicio de sesión de Passport e inicien sesión con sus credenciales de IdP, se aprovisionará su cuenta de Mac.
Si no omite la creación de la cuenta, el dispositivo mostrará un error al intentar crear la cuenta de usuario local.
Seleccione el menú desplegable Creación de cuenta principal .
Seleccione Omitir la creación de la cuenta principal.
Código de acceso
Al usar Passport, se recomienda encarecidamente que el elemento de la biblioteca de código de acceso se elimine de cualquier plano que contenga Passport. Su IdP debe manejar los requisitos de contraseña. Si los requisitos de código de acceso establecidos por su IdP son menos restrictivos que los establecidos por el elemento de biblioteca de código de acceso , el usuario no podrá cambiar su contraseña porque no cumple con los requisitos de contraseña de la Mac local.
Si necesita aplicar las políticas de código de acceso para la configuración Requerir código de acceso después de suspender o Comienza el protector de pantalla y/o Iniciar protector de pantalla después de la configuración, estas son compatibles con Passport. Si necesita implementar estas dos configuraciones, asegúrese de que todas las demás configuraciones de código de acceso estén deshabilitadas para evitar problemas de sincronización de contraseñas.
Ventana de inicio de sesión
El elemento de biblioteca de la ventana de inicio de sesión contiene algunos elementos que son compatibles con Passport.
Opciones compatibles
La opción Establecer mensaje de bloqueo en el elemento Libray de la ventana de inicio de sesión es compatible con Passport.
Las opciones enumeradas en la sección Usuarios registrados del elemento Libray de la ventana de inicio de sesión son compatibles con Passport.
El cambio rápido de usuario debe estar deshabilitado para los dispositivos que ejecutan macOS 13 o inferior, ya que no utiliza la autenticación Passport al cambiar. Los dispositivos con macOS 14 o posterior pueden usar el cambio rápido de usuario con Passport sin problemas.
Opciones incompatibles
Los elementos de la sección de la barra de menús del elemento de la biblioteca de la ventana de inicio de sesión son incompatibles con Passport y deben desmarcarse.
Los elementos de la sección Visibilidad del usuario del elemento de la biblioteca de la ventana de inicio de sesión son incompatibles con Passport y deben desmarcarse. El beneficio adicional de desmarcar esta configuración es que los usuarios no tendrán un mensaje para ingresar su nombre de usuario. Esto evitará la confusión entre usar su dirección de correo electrónico completa en la ventana de inicio de sesión de Passport y su nombre corto local en la ventana de inicio de sesión de FileVault.
Los elementos de las secciones Opciones del elemento de la biblioteca de la ventana de inicio de sesión son incompatibles con Passport y deben desmarcarse.
Red y Wi-Fi
Para ponerse en contacto con el IdP, Passport necesita conectividad de red. Es común que las personas usen una Mac portátil en varias ubicaciones que proporcionan una red Wi-Fi a la que la Mac aún no se ha unido. Passport muestra un icono de Wi-Fi en la esquina superior derecha de la pantalla. Puede hacer clic en el icono de Wi-Fi para unirse a una red Wi-Fi que acepte una contraseña para unirse a la red. En este momento, Passport no admite redes que utilicen portal cautivo, autenticación de clic o redes empresariales que requieran un nombre de usuario y una contraseña para la autenticación 802.1X.
Parámetros
Aplicar un banner de política personalizada
Si utiliza el parámetro de banner Aplicar una política personalizada , desactívelo para cualquier plano técnico que contenga el elemento de la biblioteca Passport.
Degradar cuentas de usuario a Estándar
Dado que Passport evalúa el tipo de cuenta de usuario y puede cambiarlo de Administrador a Estándar o viceversa, la combinación con el parámetro Degradar cuentas de usuario a estándar puede provocar bucles de reinicio. Si aprovisiona cuentas de usuario como administradores en su elemento de la biblioteca de Passport, asegúrese de que el parámetro Degradar cuentas de usuario a estándar no esté habilitado en el mismo modelo. No se recomienda utilizar el parámetro Degradar cuentas de usuario a estándar en un modelo con Passport asignado.
Configuración segura de Wi-Fi
Passport requiere conectividad de red para comprobar las credenciales de usuario con el IdP. Al personalizar la ventana de inicio de sesión en Passport, muestre el administrador de red para que los usuarios puedan unirse a una red Wi-Fi según sea necesario. El administrador de red respeta la configuración de seguridad de AirPort en macOS. Puede utilizar el parámetro Configuración de Wi-Fi seguro en Kandji para requerir credenciales de administrador local para cambiar de red. Si está habilitado, los usuarios recibirán un cuadro de diálogo de autenticación nativa en la ventana de Passport cuando cambien de red.
Para garantizar que los usuarios siempre puedan iniciar sesión en sus computadoras Mac, Passport les permitirá iniciar sesión con sus credenciales de IdP cuando no haya conectividad de red.
Características de macOS
Asistente de Migración
No se admite el uso de Migration Assistant con Passport. Si se utilizó el Asistente de Migración con Passport, puede seguir estos pasos para resolver el problema. Cuando utilice el asistente de migración para migrar datos desde un dispositivo inscrito en Kandji, elimine Passport del dispositivo desde el que está migrando antes de intentar una migración. Si Passport permanece en el dispositivo y se migra al dispositivo de destino, es posible que los usuarios se queden atascados en la pantalla de Passport y no puedan continuar.
Si necesitas ayuda para remediar esta situación, comunícate con el equipo de soporte.
Alias de cuenta de Apple administrada
En algunas situaciones, es posible que un usuario inicie sesión en una cuenta de Apple con un nombre de cuenta que coincida con el nombre de la cuenta del IdP. Al igual que Passport, se crea un alias en el directorio local para que coincida con el nombre de la cuenta de Apple. Cuando la cuenta de Apple coincide con el nombre de la cuenta del IdP, puede producirse una colisión que impida al usuario iniciar sesión con el nombre de la cuenta del IdP.
Esta colisión solo se produce cuando el usuario cierra sesión en la cuenta de Apple. El proceso de cierre de sesión elimina el alias de la cuenta de Apple. Dado que este alias coincide con el nombre de la cuenta utilizada por Passport, también elimina el alias de Passport.
Para resolver esto, se debe restaurar el alias. Esto se puede hacer manualmente usando el panel Usuarios y grupos en Configuración del sistema (o Preferencias del sistema) o en la aplicación Utilidad de directorio en la computadora local.
Si necesitas ayuda para remediar esta situación, comunícate con el equipo de soporte.
Cuentas móviles
Passport es compatible con las cuentas locales de macOS. Las cuentas móviles no son compatibles. Antes de usar Passport, convierta las cuentas móviles existentes en cuentas locales para que la combinación de cuentas se realice correctamente.