Résolution des problèmes d’intégration de Jamf Pro à Microsoft Intune

Cet article aide les administrateurs Intune à comprendre et à résoudre les problèmes liés à l’intégration de Jamf Pro pour macOS avec Microsoft Intune. Chacune des sections suivantes décrit un problème courant et fournit une cause potentielle et des étapes de dépannage pour une résolution.

Importante

La prise en charge des appareils MacOS Jamf pour l’accès conditionnel est déconseillée.

À compter du 1er septembre 2024, la plateforme sur laquelle repose la fonctionnalité d’accès conditionnel de Jamf Pro ne sera plus prise en charge.

Si vous utilisez l’intégration de l’accès conditionnel de Jamf Pro pour les appareils macOS, suivez les instructions documentées de Jamf pour migrer vos appareils de l’accès conditionnel macOS vers la conformité des appareils macOS.

Si vous avez des questions ou si vous avez besoin d’aide, contactez Jamf Customer Success. Pour plus d’informations, consultez Transition des appareils Jamf macOS de l’accès conditionnel à la conformité des appareils.

Configuration requise

Avant de commencer la résolution des problèmes, collectez des informations de base pour clarifier le problème et réduire le temps nécessaire pour trouver une solution. Par exemple, lorsque vous rencontrez un Jamf-Intune problème lié à l’intégration, vérifiez toujours que les conditions préalables ont été remplies. Avant de commencer à résoudre les problèmes, tenez compte des éléments suivants :

• Passez en revue les prérequis des articles suivants, en fonction de la façon dont vous configurez l’intégration de Jamf Pro à Intune :
  • Utilisez Jamf Cloud Connector pour intégrer Jamf Pro à Intune
  • Intégrer Jamf Pro à Intune
• Tous les utilisateurs doivent avoir des licences Microsoft Intune et Microsoft Entra ID P1
• Vous devez disposer d’un compte d’utilisateur disposant Microsoft Intune autorisations d’intégration dans la console Jamf Pro.
• Vous devez disposer d’un compte d’utilisateur disposant d’autorisations Administration globales dans Azure.

Collectez les informations suivantes lors de l’examen de l’intégration de Jamf Pro à Intune :

• Message(s) d’erreur exact(s)
• Emplacement du ou des messages d’erreur
• Quand le problème a commencé et si votre intégration De Jamf Pro à Intune fonctionné précédemment
• Combien d’utilisateurs sont affectés (tous les utilisateurs ou seulement certains)
• Nombre d’appareils affectés (tous les appareils ou seulement certains)

Les appareils sont marqués comme ne répondant pas dans Jamf Pro

Cause : Les causes courantes des appareils marqués comme ne répondant pas par Jamf Pro sont les suivantes :

• L’appareil ne parvient pas à case activée avec Jamf Pro.
  Jamf Pro s’attend à ce que les appareils case activée toutes les 15 minutes. Les appareils sont marqués comme ne répondant pas par Jamf lorsqu’ils ne parviennent pas à case activée sur une période de 24 heures.

• L’appareil ne parvient pas à case activée avec Microsoft Entra ID.
  Une fois l’inscription réussie à Microsoft Entra ID, les appareils macOS reçoivent un jeton Azure :

  • Ce jeton est actualisé toutes les 12 heures.
  • Lorsque l’actualisation du jeton échoue pendant 24 heures ou plus, Jamf Pro marque l’appareil comme ne répond pas.
  • Si le jeton Azure expire, les utilisateurs sont invités à se connecter à Azure pour obtenir un nouveau jeton. Un jeton d’actualisation pour l’accès Azure est généré tous les sept jours.

Solution
Une fois qu’un appareil est marqué comme non réactif par Jamf Pro, l’utilisateur inscrit de l’appareil doit se connecter pour corriger l’état non réactif. Il doit s’agir de l’utilisateur qui a joint le compte à l’espace de travail, car il a l’identité de Intune dans son keychain.

Les appareils Mac demandent keychain connexion lorsque vous ouvrez une application

Après avoir configuré Intune et l’intégration de Jamf Pro et déployé des stratégies d’accès conditionnel, les utilisateurs d’appareils gérés avec Jamf Pro reçoivent des invites de mot de passe lors de l’ouverture d’applications Microsoft 365, telles que Teams, Outlook et d’autres applications qui nécessitent une authentification Microsoft Entra.

Par exemple, une invite avec du texte similaire à l’exemple suivant s’affiche lors de l’ouverture de Microsoft Teams :

Microsoft Teams souhaite vous connecter à l’aide de la clé « Microsoft Workplace Join Key » dans votre keychain.
Pour ce faire, entrez le mot de passe « login » keychain

Cause : Ces invites sont générées par Jamf Pro pour chaque application applicable qui nécessite Microsoft Entra inscription.

Solution
À l’invite, l’utilisateur doit fournir son mot de passe d’appareil pour se connecter à Microsoft Entra ID. Les options suivantes sont disponibles :

• Refuser : ne vous connectez pas et n’utilisez pas l’application.
• Autoriser : connexion unique. La prochaine fois que l’application s’ouvre, elle invite à se reconnecter.
• Toujours autoriser : les informations d’identification de connexion sont mises en cache pour l’application. La prochaine fois que l’application s’ouvre, elle n’invite pas à se connecter.

La sélection de Toujours autoriser pour une application approuve uniquement cette application pour une connexion future. D’autres applications demandent l’authentification jusqu’à ce qu’elles soient également définies comme Toujours autoriser. Les informations d’identification mises en cache pour une application ne peuvent pas être utilisées par une autre application.

Les appareils ne parviennent pas à s’inscrire auprès de Intune

Il existe plusieurs causes courantes pour les appareils Mac qui ne parviennent pas à s’inscrire auprès de Intune via Jamf Pro.

Cause 1 : Jamf Pro n’a pas les autorisations appropriées

L’application d’entreprise Jamf Pro dans Azure dispose d’une autorisation incorrecte ou de plusieurs autorisations. Lorsque vous créez l’application dans Azure, vous devez supprimer toutes les autorisations d’API par défaut, puis affecter Intune une seule autorisation de update_device_attributes.

Solution
Passez en revue et, si nécessaire, corrigez les autorisations pour l’application Jamf. Si vous utilisez Jamf Pro Cloud Connector, cette application a été créée pour vous. Si vous avez configuré manuellement l’intégration, vous avez créé l’application dans Microsoft Entra ID. Pour les autorisations d’application, consultez Créer une application (pour Jamf) dans Microsoft Entra ID.

Cause 2 - Locataire ou compte incorrect

L’application Jamf Native macOS Connector n’a pas été créée dans votre locataire Microsoft Entra ou le consentement pour le connecteur a été signé par un compte qui ne dispose pas de droits d’administrateur général.

Solution
Consultez la section Configuration de l’intégration de Intune macOS dans Intégration avec Microsoft Intune sur docs.jamf.com.

Cause 3 : l’utilisateur n’a pas de licence(s) valide(s)

L’absence d’une Intune valide ou d’une licence Jamf peut entraîner l’erreur suivante, ce qui indique que la licence Jamf a expiré :

Impossible de se connecter à Microsoft Intune.
Vérifiez votre configuration d’intégration Microsoft Intune.

Solution

• Licence Jamf : contactez Jamf pour obtenir de l’aide afin d’obtenir une nouvelle licence pour Jamf.
• Intune licence : attribuez à l’utilisateur une licence valide ou contactez Microsoft ou votre partenaire pour plus d’informations sur la façon d’obtenir une licence actuelle.

Cause 4 : l’utilisateur n’a pas utilisé Jamf En libre-service

Pour qu’un appareil s’inscrive et s’inscrit avec succès auprès de Intune via Jamf, l’utilisateur doit utiliser Jamf En libre-service pour ouvrir le Portail d'entreprise Intune. Si l’utilisateur ouvre l’Portail d'entreprise manuellement, l’appareil s’inscrit et s’inscrit sans sa connexion à Jamf.

Pour déterminer le service utilisé par l’appareil pour inscrire et inscrire, recherchez l’application Portail d'entreprise sur l’appareil. Une fois inscrit via Jamf, vous devez recevoir une notification pour ouvrir l’application Self-Service afin d’apporter des modifications.

Dans l’application Portail d'entreprise, l’utilisateur peut voir Not registered, et une entrée similaire à l’exemple suivant peut apparaître dans les journaux Portail d'entreprise :

Ligne 7783 : <DATE><ADRESSE> IP INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift : 253 (startLogin()) Le portail a été lancé sans WPJ uniquement alors que le compte est géré par les partenaires

Solution

Pour changer la source d’inscription de Intune en Jamf :

1. Supprimez l’appareil macOS de Intune. Pour éviter d’autres complications pour les appareils qui ne sont pas entièrement supprimés de Intune, consultez Cause 6 ci-dessous.

2. Sur l’appareil, utilisez Jamf Self Service pour ouvrir l’application Portail d'entreprise, puis inscrivez l’appareil auprès de Microsoft Entra ID. Cette tâche nécessite que vous ayez déjà effectué les tâches suivantes :

   • Déployer l’application Portail d’entreprise pour macOS dans Jamf Pro
   • Créez une stratégie dans Jamf Pro pour que les utilisateurs inscrivent leurs appareils auprès de Microsoft Entra ID

3. Lorsque le portail s’ouvre, le premier écran que vous voyez vous invite à vous connecter. Utiliser votre compte professionnel ou scolaire

4. Le Portail d'entreprise confirme les informations de votre compte et affiche vos états d’inscription et de conformité des appareils. Les triangles jaunes mettent en évidence les actions que vous devez effectuer pour sécuriser votre appareil macOS à l’école ou au travail. Cliquez sur Commencer pour démarrer l’inscription.

5. Si vous y êtes invité, tapez les informations de connexion de votre ordinateur.

L’inscription de votre appareil peut prendre quelques minutes. Vous recevrez un message une fois l’inscription terminée pour vous informer que vous avez terminé.

Cause 5 : Intune’intégration est désactivée

Si Intune’intégration est désactivée, les utilisateurs reçoivent une fenêtre contextuelle dans le Portail d'entreprise avec le message suivant lorsqu’ils tentent d’inscrire un appareil :

Entrée de ligne de commande non valide L’indicateur de ligne de commande Inscription seule (-r) ne peut être utilisé que lorsque la gestion des partenaires est activée dans Intune. Contactez votre administrateur informatique.

Le serveur Jamf Pro envoie une impulsion aux serveurs Intune lorsque l’intégration est désactivée, ce qui indique Intune que l’intégration est désactivée.

Solution
Réactivez l’intégration Intune dans Jamf Pro. Consultez les rubriques suivantes en fonction de la façon dont vous configurez l’intégration :

• Utilisez Jamf Cloud Connector pour intégrer Jamf Pro à Intune
• Configurez manuellement Microsoft Intune Integration dans Jamf Pro.

Cause 6 : l’appareil a déjà été inscrit dans Intune

Si un appareil est désinscrit de Jamf, mais qu’il n’est pas correctement supprimé de Intune (s’il a été inscrit précédemment), ou si l’utilisateur a effectué plusieurs tentatives d’inscription, plusieurs instances du même appareil peuvent apparaître dans le portail. Cela entraîne l’échec de l’inscription Jamf.

Solution

1. Sur le Mac, démarrez Terminal.

2. Exécutez sudo JAMF removemdmprofile.

3. Exécutez sudo JAMF removeFramework.

4. Sur le serveur JAMF Pro, supprimez l’enregistrement d’inventaire de l’ordinateur.

5. Supprimez l’appareil d’AzureAD.

6. Supprimez les fichiers suivants sur l’appareil s’ils existent :

   • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
   • /Library/Application Support/com.microsoft.CompanyPortal
   • /Library/Application Support/com.jamfsoftware.selfservice.mac
   • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
   • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
   • /Library/Preferences/com.microsoft.CompanyPortal.plist
   • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
   • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
   • /Users/<username>/Library/Cookies/com.microsoft.CompanyPortal.binarycookies
   • /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
   • com.microsoft.CompanyPortal
   • com.microsoft.CompanyPortal.HockeySDK
   • enterpriseregistration.windows.net
   • https://device.login.microsoftonline.com
   • https://device.login.microsoftonline.com/
   • Clé de transport de session Microsoft (clés publiques et privées)
   • Clé de jointure Microsoft Workplace (clés publiques et privées)

7. Supprimez tout élément du keychain sur l’appareil qui fait référence à Microsoft, Intune ou Portail d'entreprise, y compris les certificats DeviceLogin.microsoft.com. Supprimez les références JAMF à l’exception des clés publiques et privées JAMF.

   Importante

   La suppression de la clé publique et privée interrompt l’inscription de l’appareil.

8. Supprimez l’une des entrées suivantes que vous trouvez :

   • Type : Mot de passe de l’application ; Compte : com.microsoft.workplacejoin.thumbprint
   • Type : Mot de passe de l’application ; Compte : com.microsoft.workplacejoin.registeredUserPrincipalName
   • Type : Certificat ; Émis par : MS-Organization-Access
   • Type : Préférence d’identité ; Nom (URL STS ADFS le cas échéant) : https://<DNS NAME>.com/adfs/ls
   • Type : Préférence d’identité ; Nom: https://enterpriseregistration.windows.net
   • Type : Préférence d’identité ; Nom: https://enterpriseregistration.windows.net/

9. Redémarrez l’appareil Mac.

10. Désinstallez Portail d'entreprise de l’appareil.

11. Accédez à portal.manage.microsoft.com et supprimez toutes les instances de l’appareil Mac. Attendez au moins 30 minutes avant de passer à l’étape suivante.

12. Réinscrivez l’appareil dans JAMF Pro.

13. Rouvrez le libre-service et démarrez la stratégie d’inscription.

Cause 7 : l’utilisateur n’a pas fourni l’accès JamfAAD à sa clé

JamfAAD demande l’accès à une « Microsoft Workplace Join Key » à partir de la keychain des utilisateurs. Lors de l’inscription, l’utilisateur d’un appareil macOS reçoit l’invite suivante pour autoriser JamfAAD à accéder à une clé à partir de son keychain :

JamfAAD souhaite accéder à la clé « Microsoft Workplace Join Key » dans votre keychain. Pour ce faire, entrez le mot de passe « login » keychain

Solution
Pour inscrire correctement l’appareil auprès de Microsoft Entra ID, Jamf demande à l’utilisateur de fournir son mot de passe de compte, puis de sélectionner Autoriser.

Cette demande est similaire à la demande pour les appareils Mac qui demande keychain connexion lorsque vous ouvrez une application.

L’appareil Mac est conforme dans Intune mais non conforme dans Azure

Cause : Les conditions suivantes peuvent entraîner l’affichage d’un appareil comme conforme dans Intune, mais pas comme conforme dans Azure :

• L’appareil n’est pas inscrit correctement.
• L’appareil a été inscrit plusieurs fois sans le nettoyage nécessaire.

Solution
Pour résoudre ce problème, suivez les étapes décrites dans Cause 6.

Les entrées en double s’affichent dans la console Intune pour les appareils Mac inscrits à l’aide de Jamf

Cause : un appareil est inscrit avec Intune plusieurs fois, généralement réinscrit après avoir été supprimé de Intune.

Lorsqu’un appareil est supprimé de Intune et de l’intégration Jamf Pro, certaines données peuvent être laissées derrière, ce qui peut entraîner la création d’entrées en double par des inscriptions successives.

Solution
Pour résoudre ce problème, suivez les étapes décrites dans Cause 6.

La stratégie de conformité ne parvient pas à évaluer l’appareil

Cause : L’intégration de Jamf à Intune ne prend pas en charge la stratégie de conformité qui cible les groupes d’appareils.

Solution
Modifier la stratégie de conformité pour les appareils macOS à affecter à des groupes d’utilisateurs.

Impossible de récupérer le jeton d’accès pour Microsoft API Graph

Vous recevez l'erreur suivante :

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

La source de cette erreur peut être l’une des causes suivantes :

Cause 1

Il existe un problème d’autorisation avec l’application Jamf Pro dans Azure. Lors de l’inscription de l’application Jamf Pro dans Azure, l’une des conditions suivantes s’est produite :

• L’application a reçu plusieurs autorisations.
• L’option Accorder le consentement de l’administrateur pour <votre entreprise> n’a pas été sélectionnée.

Solution
Consultez la résolution de cause 1 pour l’échec de l’inscription des appareils, plus haut dans cet article.

Cause 2

Une licence requise pour Jamf-Intune'intégration a expiré.

Solution Consultez la résolution de cause 3 pour l’échec de l’inscription des appareils.

Cause 3

Les ports requis ne sont pas ouverts sur votre réseau.

Solution Passez en revue les informations relatives aux ports réseau dans Prérequis pour l’intégration de Jamf Pro à Intune.