Solución de problemas de integración de Jamf Pro con Microsoft Intune

Este artículo ayuda a Intune administradores a comprender y solucionar problemas con la integración de Jamf Pro para macOS con Microsoft Intune. Cada una de las secciones siguientes describe un problema común y ofrece una posible causa y pasos de solución de problemas para una resolución.

Importante

La compatibilidad del dispositivo jamf macOS con el acceso condicional está en desuso.

A partir del 1 de septiembre de 2024, ya no se admitirá la plataforma en la que se basa la característica de acceso condicional de Jamf Pro.

Si usa la integración de acceso condicional de Jamf Pro para dispositivos macOS, siga las instrucciones documentadas de Jamf para migrar los dispositivos desde el acceso condicional de macOS al cumplimiento de dispositivos macOS.

Si tiene preguntas o necesita ayuda, póngase en contacto con Jamf Customer Success. Para obtener más información, consulte Transición de dispositivos Jamf macOS desde el acceso condicional al cumplimiento de dispositivos.

Requisitos previos

Antes de empezar a solucionar problemas, recopile información básica para aclarar el problema y reducir el tiempo necesario para encontrar una resolución. Por ejemplo, cuando encuentre un problema relacionado con la integración de Jamf-Intune, compruebe siempre que se cumplen los requisitos previos. Tenga en cuenta lo siguiente antes de empezar a solucionar problemas:

• Revise los requisitos previos de los artículos siguientes, en función de cómo configure la integración de Jamf Pro con Intune:
  • Use Jamf Cloud Connector para integrar Jamf Pro con Intune
  • Integración de Jamf Pro con Intune
• Todos los usuarios deben tener licencias de Microsoft Intune y Microsoft Entra ID P1
• Debe tener una cuenta de usuario que tenga Microsoft Intune permisos de integración en la consola de Jamf Pro.
• Debe tener una cuenta de usuario que tenga permisos de Administración globales en Azure.

Recopile la siguiente información al investigar la integración de Jamf Pro con Intune:

• Mensajes de error exactos
• Ubicación de los mensajes de error
• Cuando se inició el problema y si la integración de Jamf Pro con Intune funcionó anteriormente
• Cuántos usuarios se ven afectados (todos los usuarios o solo algunos)
• Cuántos dispositivos se ven afectados (todos los dispositivos o solo algunos)

Los dispositivos se marcan como no respondes en Jamf Pro

Causa: Las causas comunes de que los dispositivos se marquen como no respondes por Jamf Pro son las siguientes:

• El dispositivo no se puede registrar con Jamf Pro.
  Jamf Pro espera que los dispositivos se comprueben cada 15 minutos. Jamf marca los dispositivos como no responde cuando no pueden realizar la comprobación durante un período de 24 horas.

• El dispositivo no se puede proteger con Microsoft Entra ID.
  Con el registro correcto en Microsoft Entra ID, los dispositivos macOS reciben un token de Azure:

  • Este token se actualiza cada 12 horas.
  • Cuando se produce un error en la actualización del token durante 24 horas o más, Jamf Pro marca el dispositivo como no responde.
  • Si el token de Azure expira, se pedirá a los usuarios que inicien sesión en Azure para obtener un nuevo token. Cada siete días se genera un token de actualización para el acceso a Azure.

Solución
Después de que Jamf Pro marca un dispositivo como No responde , el usuario inscrito del dispositivo debe iniciar sesión para corregir el estado que no responde. Debe ser el usuario el que se haya unido al área de trabajo de la cuenta, ya que tiene la identidad de Intune en la cadena de claves.

Los dispositivos Mac solicitan el inicio de sesión de cadena de claves al abrir una aplicación

Después de configurar la integración de Intune y Jamf Pro e implementar directivas de acceso condicional, los usuarios de dispositivos administrados con Jamf Pro reciben mensajes de contraseña al abrir aplicaciones de Microsoft 365, como Teams, Outlook y otras aplicaciones que requieren Microsoft Entra autenticación.

Por ejemplo, aparece un mensaje con texto similar al ejemplo siguiente al abrir Microsoft Teams:

Microsoft Teams quiere firmar con la clave "Clave de unión a Microsoft Workplace" en la cadena de claves.
Para permitir esto, escriba la contraseña de cadena de claves de "inicio de sesión".

Causa: Jamf Pro genera estas solicitudes para cada aplicación aplicable que requiere Microsoft Entra registro.

Solución
En el símbolo del sistema, el usuario debe proporcionar su contraseña de dispositivo para iniciar sesión en Microsoft Entra ID. Entre las opciones se incluyen:

• Denegar : no inicie sesión y no use la aplicación.
• Permitir : un inicio de sesión único. La próxima vez que se abra la aplicación, se le pedirá que vuelva a iniciar sesión.
• Permitir siempre : las credenciales de inicio de sesión se almacenan en caché para la aplicación. La próxima vez que se abra la aplicación, no solicitará el inicio de sesión.

Al seleccionar Permitir siempre para una aplicación, solo se aprueba esa aplicación para el inicio de sesión futuro. Las aplicaciones adicionales solicitan autenticación hasta que también se establecen como Permitir siempre. Otra aplicación no puede usar las credenciales almacenadas en caché de una aplicación.

Los dispositivos no se pueden registrar con Intune

Hay varias causas comunes para los dispositivos Mac que no se pueden registrar con Intune a través de Jamf Pro.

Causa 1: Jamf Pro no tiene los permisos correctos

La aplicación empresarial Jamf Pro en Azure tiene el permiso incorrecto o tiene más de un permiso. Al crear la aplicación en Azure, debe quitar todos los permisos de API predeterminados y, a continuación, asignar Intune un único permiso de update_device_attributes.

Solución
Revise y, si es necesario, corrija los permisos de la aplicación Jamf. Si usa Jamf Pro Cloud Connector, esta aplicación se creó automáticamente. Si configuró manualmente la integración, creó la aplicación en Microsoft Entra ID. Para obtener los permisos de la aplicación, consulte Creación de una aplicación (para Jamf) en Microsoft Entra ID.

Causa 2: inquilino o cuenta incorrectos

La aplicación Conector macOS nativo de Jamf no se creó en el inquilino de Microsoft Entra o el consentimiento para el conector lo firmó una cuenta que no tiene derechos de administrador global.

Solución
Consulte la sección Configuración de macOS Intune Integration en Integración con Microsoft Intune en docs.jamf.com.

Causa 3: el usuario no tiene licencias válidas

La falta de una licencia de Intune o Jamf válida puede dar lugar al siguiente error, que indica que la licencia de Jamf ha expirado:

No se puede conectar a Microsoft Intune.
Compruebe la configuración de integración de Microsoft Intune.

Solución

• Licencia de Jamf: póngase en contacto con Jamf para obtener ayuda para obtener una nueva licencia para Jamf.
• Intune licencia: asigne al usuario una licencia válida o póngase en contacto con Microsoft o su partner para obtener información sobre cómo obtener una licencia actual.

Causa 4: el usuario no usó Jamf Self Service

Para que un dispositivo se inscriba correctamente y se registre con Intune a través de Jamf, el usuario debe usar Jamf Self Service para abrir el Portal de empresa de Intune. Si el usuario abre el Portal de empresa manualmente, el dispositivo se inscribe y se registra sin su conexión a Jamf.

Para determinar qué servicio usó el dispositivo para inscribirse y registrarse, busque en la aplicación Portal de empresa del dispositivo. Cuando se registra a través de Jamf, debe recibir una notificación para abrir la aplicación Self-Service para realizar cambios.

En la aplicación Portal de empresa, el usuario podría ver Not registeredy una entrada similar al ejemplo siguiente podría aparecer en los registros de Portal de empresa:

Línea 7783: <DATE><IP ADDRESS> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift: 253 (startLogin()) Portal iniciado sin WPJ solo arg mientras la cuenta está bajo administración de asociados

Solución

Para cambiar el origen de registro de Intune a Jamf:

1. Quite el dispositivo macOS de Intune. Para evitar complicaciones adicionales para los dispositivos que no se quitan por completo de Intune, consulte la causa 6 a continuación.

2. En el dispositivo, use Jamf Self Service para abrir la aplicación Portal de empresa y, a continuación, registre el dispositivo con Microsoft Entra ID. Esta tarea requiere que ya haya completado las siguientes tareas:

   • Implementar la aplicación Portal de empresa para macOS en Jamf Pro
   • Cree una directiva en Jamf Pro para que los usuarios registren sus dispositivos con Microsoft Entra ID

3. Cuando se abre el portal, la primera pantalla que ve le pide que inicie sesión. Uso de su cuenta profesional o educativa

4. El Portal de empresa confirma la información de la cuenta y muestra los estados de inscripción de dispositivos y cumplimiento de dispositivos. Los triángulos amarillos resaltan las acciones que debe realizar para proteger el dispositivo macOS para la escuela o el trabajo. Haga clic en Comenzar para iniciar la inscripción.

5. Si se le solicita, escriba la información de inicio de sesión del equipo.

El registro del dispositivo puede tardar unos minutos. Recibirá un mensaje una vez completado el registro para informarle de que ha terminado.

Causa 5: la integración Intune está desactivada

Si Intune integración está desactivada, los usuarios reciben una ventana emergente en el Portal de empresa con el siguiente mensaje al intentar registrar un dispositivo:

Solo se puede usar la marca de línea de comandos (-r) de entrada de línea de comandos no válida cuando la administración de asociados está habilitada en Intune. Póngase en contacto con el administrador de TI.

El servidor Jamf Pro envía un pulso a los servidores de Intune cuando se desactiva la integración que indica a Intune que la integración está deshabilitada.

Solución
Vuelva a habilitar la integración Intune en Jamf Pro. Consulte lo siguiente en función de cómo configure la integración:

• Use Jamf Cloud Connector para integrar Jamf Pro con Intune
• Configure manualmente la integración de Microsoft Intune en Jamf Pro.

Causa 6: el dispositivo se inscribió previamente en Intune

Si un dispositivo no está inscrito en Jamf pero no se ha quitado correctamente de Intune (si se inscribió anteriormente) o si el usuario ha realizado varios intentos de registro, es posible que vea varias instancias del mismo dispositivo en el portal. Esto hace que se produzca un error en la inscripción de Jamf.

Solución

1. En el Equipo Mac, inicie Terminal.

2. Ejecute sudo JAMF removemdmprofile.

3. Ejecute sudo JAMF removeFramework.

4. En el servidor JAMF Pro, elimine el registro de inventario del equipo.

5. Elimine el dispositivo de AzureAD.

6. Elimine los siguientes archivos en el dispositivo si existen:

   • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
   • /Library/Application Support/com.microsoft.CompanyPortal
   • /Library/Application Support/com.jamfsoftware.selfservice.mac
   • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
   • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
   • /Library/Preferences/com.microsoft.CompanyPortal.plist
   • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
   • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
   • /Users/<username>/Library/Cookies/com.microsoft.CompanyPortal.binarycookies
   • /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
   • com.microsoft.CompanyPortal
   • com.microsoft.CompanyPortal.HockeySDK
   • enterpriseregistration.windows.net
   • https://device.login.microsoftonline.com
   • https://device.login.microsoftonline.com/
   • Clave de transporte de sesión de Microsoft (claves públicas y privadas)
   • Clave de unión a Microsoft Workplace (claves públicas y privadas)

7. Quite cualquier cosa de la cadena de claves del dispositivo que haga referencia a Microsoft, Intune o Portal de empresa, incluidos los certificados de DeviceLogin.microsoft.com. Quite las referencias JAMF , excepto la clave pública y privada jamf.

   Importante

   La eliminación de la clave pública y privada interrumpirá la inscripción de dispositivos.

8. Elimine cualquiera de las siguientes entradas que encuentre:

   • Tipo: contraseña de aplicación ; Cuenta: com.microsoft.workplacejoin.thumbprint
   • Tipo: contraseña de aplicación ; Cuenta: com.microsoft.workplacejoin.registeredUserPrincipalName
   • Tipo: Certificado ; Emitido por: MS-Organization-Access
   • Tipo: preferencia de identidad ; Nombre (dirección URL de STS de ADFS si está presente): https://<DNS NAME>.com/adfs/ls
   • Tipo: preferencia de identidad ; Nombre: https://enterpriseregistration.windows.net
   • Tipo: preferencia de identidad ; Nombre: https://enterpriseregistration.windows.net/

9. Reinicie el dispositivo Mac.

10. Desinstale Portal de empresa del dispositivo.

11. Vaya a portal.manage.microsoft.com y elimine todas las instancias del dispositivo Mac. Espere al menos 30 minutos antes de ir al paso siguiente.

12. Vuelva a inscribir el dispositivo en JAMF Pro.

13. Vuelva a abrir autoservicio e inicie la directiva de registro.

Causa 7: el usuario no proporcionó acceso de JamfAAD a su clave

JamfAAD solicita acceso a una "clave de unión a Microsoft Workplace" desde la cadena de claves de los usuarios. Durante el registro, el usuario de un dispositivo macOS recibe el siguiente mensaje para permitir que JamfAAD acceda a una clave desde su cadena de claves:

JamfAAD quiere acceder a la clave "Microsoft Workplace Join Key" en la cadena de claves. Para permitir esto, escriba la contraseña de cadena de claves de "inicio de sesión".

Solución
Para registrar correctamente el dispositivo con Microsoft Entra ID, Jamf requiere que el usuario proporcione su contraseña de cuenta y seleccione Permitir.

Esta solicitud es similar a la solicitud de inicio de sesión de cadena de claves para dispositivos Mac al abrir una aplicación.

El dispositivo Mac muestra compatibilidad en Intune pero no conforme en Azure

Causa: Las siguientes condiciones pueden hacer que un dispositivo se muestre como compatible en Intune pero no como conforme en Azure:

• El dispositivo no está registrado correctamente.
• El dispositivo se registró varias veces sin la limpieza necesaria.

Solución
Para resolver este problema, siga los pasos descritos en la causa 6.

Las entradas duplicadas aparecen en la consola de Intune para dispositivos Mac inscritos mediante Jamf

Causa: un dispositivo se registra con Intune varias veces, normalmente se vuelve a registrar después de quitarse de Intune.

Cuando se quita un dispositivo de la integración de Intune y Jamf Pro, algunos datos se pueden dejar atrás, lo que puede hacer que los registros sucesivos creen entradas duplicadas.

Solución
Para resolver este problema, siga los pasos descritos en la causa 6.

La directiva de cumplimiento no puede evaluar el dispositivo

Causa: La integración de Jamf con Intune no admite la directiva de cumplimiento destinada a grupos de dispositivos.

Solución
Modifique la directiva de cumplimiento de los dispositivos macOS que se asignarán a grupos de usuarios.

No se pudo recuperar el token de acceso para Microsoft Graph API

Recibe el siguiente error:

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

El origen de este error puede ser una de las siguientes causas:

Causa 1

Hay un problema de permisos con la aplicación Jamf Pro en Azure. Al registrar la aplicación Jamf Pro en Azure, se produjo una de las condiciones siguientes:

• La aplicación recibió más de un permiso.
• No se seleccionó la opción Conceder consentimiento de administrador para <la empresa> .

Solución
Consulte la resolución de la causa 1 para que los dispositivos no se registren, anteriormente en este artículo.

Causa 2

Ha expirado una licencia necesaria para Jamf-Intune integración.

Solución Consulte la resolución de la causa 3 para que los dispositivos no se registren.

Causa 3

Los puertos necesarios no están abiertos en la red.

Solución Revise la información de los puertos de red en Requisitos previos para integrar Jamf Pro con Intune.