Library Items
Automated Device Enrollment
Requerir autenticación
Si utiliza Requerir autenticación dentro de la Automated Device Enrollment y asigna un usuario a un registro de dispositivo, no se recomienda rellenar previamente los detalles iniciales de creación de la cuenta. Passport utilizará los datos de la cuenta proporcionados en el primer inicio de sesión del usuario a través de la ventana de inicio de sesión Passport.
Desmarque la casilla de verificación Rellenar previamente los detalles de creación de la cuenta inicial.
Creación de la cuenta principal
Al usar Passport, seleccione Omitir la creación de la cuenta principal en Tipo de cuenta principal. De este modo, cuando los usuarios lleguen a la pantalla de inicio de sesión del Passport e inicien sesión con sus credenciales de IdP, se aprovisionará su cuenta de Mac.
Si no omite la creación de la cuenta, el dispositivo mostrará un error al intentar crear la cuenta de usuario local.
Seleccione el menú desplegable Creación de cuenta principal.
Seleccione Omitir la creación de la cuenta principal.
Bóveda de archivos
La opción Aplicar durante el Asistente de configuración para Automated Device Enrollment (macOS 14+) en el FileVault Library Item no es compatible con Passport y debe desactivarse. Al usar Passport, el usuario local se crea después del Asistente de configuración, lo que significa que no será posible habilitar FileVault hasta que se complete el Asistente de configuración.
Vaya a la FileVault Library Item.
Asegúrese de que la opción Aplicar durante el Asistente de configuración para Automated Device Enrollment (macOS 14+) esté desactivada.
Código de acceso
Al utilizar Passport, se recomienda encarecidamente que el Library Item de código de acceso se elimine de cualquier Blueprint que contenga Passport. Su IdP debe manejar los requisitos de contraseña. Si los requisitos de código de acceso establecidos por su IdP son menos restrictivos que los establecidos por el Library Item de código de acceso , el usuario no podrá cambiar su contraseña porque no cumple con los requisitos de contraseña de la Mac local.
Si necesita aplicar las directivas de código de acceso para la configuración Requerir código de acceso después de la suspensión o Comienza el protector de pantalla y/o Iniciar protector de pantalla después de la configuración, estas son compatibles con Passport. Si necesita implementar estas dos configuraciones, asegúrese de que todas las demás configuraciones de código de acceso estén deshabilitadas para evitar problemas de sincronización de contraseñas.
Ventana de inicio de sesión
La ventana de inicio de sesión Library Item contiene algunos elementos que son compatibles con Passport.
Opciones compatibles
La opción Establecer mensaje de bloqueo en la ventana de inicio de sesión Library Item es compatible con Passport.
Las opciones enumeradas en la sección Usuarios registrados de la ventana de inicio de sesión Library Item son compatibles con Passport.
El cambio rápido de usuario debe estar deshabilitado para los dispositivos que funcionan con macOS 13 o menos, ya que no utiliza la autenticación Passport al cambiar. Los dispositivos que funcionan con macOS 14 o posteriores pueden usar el cambio rápido de usuario con Passport sin problemas.
La opción Administrar visibilidad de usuario establecida en Mostrar una lista de usuarios en la sección Visibilidad de usuario de la ventana de inicio de sesión Library Item es compatible con Passport.
Esta configuración también controla la pantalla de desbloqueo FileVault en Apple Silicon computadora. La pantalla de desbloqueo FileVault no admite el uso de la dirección de correo electrónico para desbloquear el disco. Esto puede causar confusión en la comunicación para los usuarios finales sobre qué nombre de inicio de sesión usar. Además, los dispositivos Intel siempre muestran una lista de usuarios en la pantalla de desbloqueo FileVault , lo que puede dar lugar a una experiencia mixta para los usuarios finales en función de la arquitectura de su ordenador Mac. La configuración recomendada proporciona una experiencia coherente para todos los usuarios finales.
Opciones incompatibles
Los elementos de la sección Barra de menú de la ventana de inicio de sesión Library Item son incompatibles con Passport y deben desmarcarse.
Los elementos de las secciones Opciones del Library Item de la ventana de inicio de sesión son incompatibles con Passport y deben desmarcarse.
Parameters
Aplicar un banner de política personalizada
Si utiliza el parámetro de banner Aplicar una política personalizada , desactívelo para cualquier Blueprints que contenga el Library Item de Passport .
Degradar cuentas de usuario a Estándar
Dado que Passport evalúa el tipo de cuenta de usuario y puede cambiarlo de Administrador a Estándar o viceversa, la combinación con el Parameter Degradar cuentas de usuario a Estándar puede provocar bucles de reinicio. Si aprovisiona cuentas de usuario como administradores en su Passport Library Item, asegúrese de que la opción Degradar cuentas de usuario a Parameter estándar no esté habilitada en el mismo Blueprint. No se recomienda usar la opción Degradar cuentas de usuario a Parameter estándar en un Blueprint con Passport asignado.
Configuración segura de Wi-Fi
Passport requiere conectividad de red para comprobar las credenciales de usuario con el IdP. Al personalizar la ventana de inicio de sesión en Passport, muestra el administrador de red para que los usuarios puedan unirse a una red Wi-Fi según sea necesario. El administrador de red respeta la configuración de seguridad de AirPort en macOS. Puede utilizar el parámetro Configuración de Wi-Fi seguro en Kandji para requerir credenciales de administrador local para cambiar de red. Si se habilita, los usuarios recibirán un cuadro de diálogo de autenticación nativa en la ventana de Passport al cambiar de red.
Para garantizar que los usuarios siempre puedan iniciar sesión en sus computadoras Mac, Passport les permitirá iniciar sesión con sus credenciales de IdP cuando no haya conectividad de red.
macOS Características
Asistente de Migración
No se admite el uso del Asistente de migración con Passport . Si se utilizó el Asistente de migración con Passport, puede seguir estos pasos para resolver el problema. Al usar el Asistente de migración para migrar datos desde un dispositivo inscrito en Kandji, elimine Passport del dispositivo desde el que está migrando antes de intentar una migración. Si Passport permanece en el dispositivo y se migra al dispositivo de destino, es posible que los usuarios se queden atascados en la pantalla Passport y no puedan continuar.
Si necesitas ayuda para remediar esta situación, comunícate con el equipo de soporte.
Alias de Apple Account administrado
En algunas situaciones, es posible que un usuario haya iniciado sesión en un Apple Account con un nombre de cuenta que coincida con el nombre de la cuenta del IdP. Al igual que Passport, se crea un alias en el directorio local para que coincida con este Apple Account nombre de cuenta. Cuando el Apple Account coincide con el nombre de la cuenta de IdP, puede producirse una colisión que impida que el usuario inicie sesión con el nombre de la cuenta de IdP.
Esta colisión solo se produce cuando el usuario cierra sesión en el Apple Account. El proceso de cierre de sesión elimina el alias del Apple Account. Dado que este alias coincide con el nombre de la cuenta utilizado por Passport, también elimina el alias de Passport .
Para resolver esto, se debe restaurar el alias. Esto se puede hacer manualmente usando el panel Usuarios y grupos en Configuración del sistema (o Preferencias del sistema) o en la aplicación Utilidad de directorio en la computadora local.
Si necesitas ayuda para remediar esta situación, comunícate con el equipo de soporte.
Cuentas móviles
Passport es compatible con las cuentas de macOS local. Las cuentas móviles no son compatibles. Antes de usar Passport, convierta las cuentas móviles existentes en cuentas locales para que la combinación de cuentas se realice correctamente.
Red y Wi-Fi
Para ponerse en contacto con el IdP, Passport necesita conectividad de red. Es común que las personas usen una Mac portátil en varias ubicaciones que proporcionan una red Wi-Fi a la que la Mac aún no se ha unido. Passport muestra un icono de Wi-Fi en la esquina superior derecha de la pantalla. Puede hacer clic en el icono de Wi-Fi para unirse a una red Wi-Fi que acepte una contraseña para unirse a la red. En este momento, Passport no admite redes que utilicen portal cautivo, autenticación de clic o redes empresariales que requieran un nombre de usuario y una contraseña para la autenticación 802.1X.
Proveedor de identidad
Contraseñas temporales
Las contraseñas temporales del IdP no son compatibles con Passport cuando se utiliza el modo de autenticación de inicio de sesión de Mac. Las contraseñas temporales son compatibles con el modo de autenticación de inicio de sesión web.