Microsoft Entra ID (旧称 Azure AD) を使用した Passport のトラブルシューティング

Passport と Microsoft Entra ID で問題が発生した場合に使用する一般的なトラブルシューティング手法について説明します

注: Microsoft Entra IDはAzure AD (Azure Active Directory) の 新しい名前です

ログインに関する考慮事項

Passport ログインウィンドウでログインするときは、認証セッションがローカル認証ではなく IdP に接続されていることを確認するために、ユーザー名フィールドには常に完全なメールアドレスを使用する必要があります。FileVault ログインウィンドウでメールアドレスを使用する際の混乱を避けるため、ログインウィンドウライブラリアイテムの 「ユーザー表示の管理」 ボックスがオフになっていることを確認してください。これについての詳細は、 Passportの互換性の記事をご覧ください。

Kandji Passport診断

ユーザーが Passport ログインウィンドウでログインできない場合は、キーボードの Command-Shift-K-L を押して Kandji Passport診断を起動できます。IdPからのエラーメッセージなど、役立つ情報が表示されます。

ネットワーク接続

Passport では、ユーザーの資格情報を IdP と照合するためにネットワーク接続が必要です。Passport でログインウィンドウをカスタマイズするときは、必要に応じてユーザーが Wi-Fi ネットワークに接続できるように、ネットワークマネージャーを表示します。ネットワークマネージャーは、macOSのAirMacセキュリティ設定を尊重します。

IdP に接続するには、Passport にネットワーク接続が必要です。ポータブルMacは、Macがまだ接続されていないWi-Fiネットワークを提供するさまざまな場所で使用することが一般的です。Passport では、画面の右上隅に Wi-Fiアイコンが表示されます。Wi-Fiアイコンをクリックして、ネットワークに参加するためのパスワードを受け入れるWi-Fiネットワークに参加できます。現時点では、Passport は、キャプティブポータル、クリックスルー認証を利用するネットワーク、または 802.1x 認証にユーザ名とパスワードが必要なエンタープライズネットワークをサポートしていません。

一般的な Microsoft Entra ID エラー

Microsoft Entra IDエラーコード (通常は AADSTS で始まる) を検索するには、このリンクを使用してください。

AADSTS50076

  • Microsoft Entra ID メッセージ: 管理者による構成変更または新しい場所に移動したため、'{resource}' にアクセスするには多要素認証を使用する必要があります - ユーザーは多要素認証を実行する必要があります。条件付きアクセスポリシー、ユーザーごとの適用、クライアントからの要求など、多要素を必要とするものが複数ある可能性があります。

  • 修正方法: このサポート記事の「 多要素認証 (MFA) に関する考慮事項 」セクションを確認して、Microsoft Entra ID 環境の Passport エンタープライズ アプリで多要素認証がオフになっていることを確認してください。

AADSTS50020

  • Microsoft Entra ID メッセージ: ID プロバイダー <Microsoft Entra ID Active Directory テナント ID> からのユーザー アカウント <ユーザー プリンシパル名> がテナント <テナント名> に存在せず、そのテナントのアプリケーション <Passport アプリケーション (クライアント) ID> にアクセスできません。まず、アカウントをテナントに外部ユーザーとして追加する必要があります。

  • 修正方法: Microsoft Entra 管理センターで、[ユーザー] >  [すべてのユーザー] よりユーザーが存在することを確認します。

AADSTS50034

  • Microsoft Entra ID メッセージ: ユーザー アカウント <@signとドメインのないユーザープリンシパル名> が <テナント名> ディレクトリに存在しません。

  • 修正方法: MFA サポート付きの Passport を使用するには、Microsoft Entra ID のユーザーに Email 属性が必要です。ユーザーにメール属性がない場合、ユーザーは Microsoft Entra ID の Web ビューで MFA を使用して認証できますが、[Microsoft Entra ID パスワードの入力] 確認画面では正常に認証できません。「Entra ID > ユーザー」>「すべてのユーザー」で、ユーザーを選択して「 プロパティを編集」をクリックし、「 Email 」フィールドにユーザーのメールアドレスを入力して 、「保存」をクリックします。メールを受け入れるアドレスでない場合でも、値を追加する必要があります。ユーザーの ユーザープリンシパル名と同じ値を使用するのが一般的です。

AADSTS50126

  • Microsoft Entra ID メッセージ: InvalidUserNameOrPassword - ユーザー名またはパスワードが無効であるため、資格情報の検証中にエラーが発生しました。ユーザーが正しい資格情報を入力しませんでした。 ユーザーの操作ミスによるエラーがログに一定数記録されることが予想されます。

  • 修正方法: これは非常に一般的な Microsoft Entra ID エラー メッセージです。Passport のコンテキストでは、このエラーが見られるシナリオがいくつかあります。

    • ユーザー名またはパスワードが実際に正しくない可能性があります。

    • Microsoft Entra ID が AD FS または別の ID プロバイダーとフェデレーションされている可能性があります。これにより、認証フローで Passport にエラーが送信されます。詳細については、この記事の「フェデレーション環境での認証フロー」セクションを参照してください。

AADSTS700025

  • Microsoft Entra ID メッセージ: クライアントはパブリックであるため、'client_assertion' または'client_secret' のいずれも提示するべきではありません。

  • 修正方法: Entra 管理センターの >[アプリケーション] > [アプリの登録] > [すべてのアプリケーション] > [Passportアプリ] > [認証] > プラットフォーム構成] > [モバイルおよびデスクトップ アプリケーション] にて、[リダイレクト URI] セクションで [https://login.microsoftonline.com/common/oauth2/nativeclient] のチェックボックスがオンになっていることを確認します。 「証明書とシークレット 」に移動し、「 クライアントシークレット」を削除します。Kandjiで、Passportライブラリアイテムの[Client secret (optional)] フィールドが空であることを確認します。

AADSTS7000215

  • Microsoft Entra ID メッセージ: 無効なクライアントシークレットが提供されました。リクエストで送信されるシークレットがクライアント ークレットの値であることを確認してください。

  • 修正方法: Entra 管理センターの >[アプリケーション] > [アプリの登録] > [Passportアプリ] >[認証] > プラットフォーム構成 > モバイル アプリケーションとデスクトップ アプリケーションで、[リダイレクト URI] セクションの [https://login.microsoftonline.com/common/oauth2/nativeclient] チェック ボックスがオンになっていることを確認します。 「証明書とシークレット 」に移動し、「クライアントシークレット」を削除します。Kandjiで、Passportライブラリアイテムの[Client secret (optional)] フィールドが空であることを確認します。

AADSTS50079

  • 管理者による設定変更、または新しい場所に移動したため、'{identifier}' にアクセスするには多要素認証に登録する必要があります。

  • 修正方法: Passport認証にMacログインを使用している場合、ユーザーは従来のユーザーごとのMFA が有効になっている可能性があります。管理対象ユーザーがセキュリティ情報を登録して多要素認証を完了するか、フェデレーションユーザーがフェデレーション ID プロバイダーから多要素要求を取得する必要があります。条件付きアクセスポリシー、ユーザーごとの適用、クライアントからの要求など、多要素を必要とするものが複数ある可能性があります。

チケットのデコードに失敗しました

チケットのデコードに失敗しました

ログインに失敗しました。考えられるエラー: 不明

これは通常、オプションのクライアントシークレットの問題です。トラブルシューティングの目的で、オプションのクライアントシークレットを Passport ライブラリアイテムから完全に削除し、デバイスがチェックインすることを確認します。チェックイン後、ローカルユーザーからログアウトし、Passport で再度ログインします。このエラーは、ネットワークの状態に関連している可能性もあります。これを除外するには、トラブルシューティングの一環としてモバイルホットスポットに接続して、エラーが継続するかどうかを確認してください。

ユーザー情報の取得中にエラーが発生しました: "givenName" に一致するキーが見つかりませんでした

  • 修正方法: Microsoft Entra 管理センターの アイデンティティ > [ユーザー] >ログインしているユーザーに [名] プロパティが設定されていることを確認します