Jamf Pro와 Microsoft Intune의 통합 문제 해결

이 문서는 Intune 관리자가 MacOS용 Jamf Pro와 Microsoft Intune의 통합 문제를 이해하고 해결하는 데 도움이 됩니다. 다음 각 섹션에서는 일반적인 문제에 대해 설명하고 해결을 위한 잠재적 원인 및 문제 해결 단계를 제공합니다.

Important

조건부 액세스에 대한 Jamf macOS 디바이스 지원은 더 이상 사용되지 않습니다.

2024년 9월 1일부터 Jamf Pro의 조건부 액세스 기능이 빌드된 플랫폼은 더 이상 지원되지 않습니다.

macOS 디바이스에 Jamf Pro의 조건부 액세스 통합을 사용하는 경우 Jamf의 문서화된 지침에 따라 macOS 조건부 액세스에서 macOS 디바이스 준수로 디바이스를 마이그레이션합니다.

질문이 있거나 도움이 필요한 경우 Jamf Customer Success에 문의하세요. 자세한 내용은 조건부 액세스에서 디바이스 준수로 Jamf macOS 디바이스 전환을 참조하세요.

필수 조건

문제 해결을 시작하기 전에 몇 가지 기본 정보를 수집하여 문제를 명확히 하고 해결 방법을 찾는 시간을 줄입니다. 예를 들어 Jamf-Intune 통합 관련 문제가 발생하는 경우 항상 필수 구성 요소가 충족되었는지 확인합니다. 문제 해결을 시작하기 전에 다음 사항을 고려하세요.

• Intune과 Jamf Pro 통합을 구성하는 방법에 따라 다음 문서의 필수 구성 요소를 검토합니다.
  • Jamf Cloud Connector를 사용하여 Jamf Pro와 Intune 통합
  • Intune과 Jamf Pro 통합
• 모든 사용자에게 Microsoft Intune 및 Microsoft Entra ID P1 라이선스가 있어야 합니다.
• Jamf Pro 콘솔에 Microsoft Intune 통합 권한이 있는 사용자 계정이 있어야 합니다.
• Azure에서 전역 관리자 권한이 있는 사용자 계정이 있어야 합니다.

Intune과 Jamf Pro 통합을 조사할 때 다음 정보를 수집합니다.

• 정확한 오류 메시지
• 오류 메시지의 위치
• 문제가 시작된 경우 및 Intune과의 Jamf Pro 통합이 이전에 작동했는지 여부
• 영향을 받는 사용자 수(모든 사용자 또는 일부만)
• 영향을 받는 디바이스 수(모든 디바이스 또는 일부만)

디바이스가 Jamf Pro에서 응답하지 않는 것으로 표시됨

원인: 다음은 디바이스가 Jamf Pro에 의해 응답하지 않는 것으로 표시되는 일반적인 원인입니다.

• 디바이스가 Jamf Pro에서 체크 인하지 못합니다.
  Jamf Pro는 디바이스가 15분마다 체크인할 것으로 예상합니다. 디바이스는 24시간 동안 체크 인에 실패할 때 Jamf에서 응답하지 않는 것으로 표시됩니다.

• 디바이스가 Microsoft Entra ID를 사용하여 체크 인하지 못합니다.
  Microsoft Entra ID에 성공적으로 등록되면 macOS 디바이스는 Azure 토큰을 받습니다.

  • 이 토큰은 12시간마다 새로 고쳐집니다.
  • 토큰 새로 고침이 24시간 이상 실패하면 Jamf Pro는 디바이스를 응답하지 않는 것으로 표시합니다.
  • Azure 토큰이 만료되면 사용자에게 새 토큰을 얻기 위해 Azure에 로그인하라는 메시지가 표시됩니다. Azure 액세스에 대한 새로 고침 토큰은 7일마다 생성됩니다.

솔루션
Jamf Pro에서 디바이스가 응답하지 않는 것으로 표시되면 디바이스의 등록된 사용자가 로그인하여 응답하지 않는 상태를 수정해야 합니다. 키 집합에 Intune의 ID가 있으므로 회사 가입 계정이 있는 사용자여야 합니다.

앱을 열 때 Mac 디바이스에서 키 집합 로그인을 묻는 메시지를 표시합니다.

Intune 및 Jamf Pro 통합을 구성하고 조건부 액세스 정책을 배포한 후 Jamf Pro로 관리되는 디바이스 사용자는 Microsoft 365 애플리케이션(예: Teams, Outlook 및 Microsoft Entra 인증이 필요한 기타 앱)을 열 때 암호 프롬프트를 받습니다.

예를 들어 Microsoft Teams를 열 때 다음 예제와 유사한 텍스트가 포함된 프롬프트가 나타납니다.

Microsoft Teams는 키 집합에서 "Microsoft Workplace Join Key" 키를 사용하여 서명하려고 합니다.
이를 허용하려면 "로그인" 키 집합 암호를 입력합니다.

원인: 이러한 프롬프트는 Microsoft Entra 등록이 필요한 각 적용 가능한 앱에 대해 Jamf Pro에서 생성됩니다.

솔루션
프롬프트에서 사용자는 Microsoft Entra ID에 로그인할 디바이스 암호를 제공해야 합니다. 표시되는 옵션은 다음과 같습니다.

• 거부 - 로그인하지 않고 앱을 사용하지 마세요.
• 허용 - 한 번 로그인합니다. 다음에 앱이 열리면 다시 로그인하라는 메시지가 표시됩니다.
• Always Allow - 로그인 자격 증명이 애플리케이션에 대해 캐시됩니다. 다음에 앱이 열리면 로그인하라는 메시지가 표시되지 않습니다.

한 앱에 대해 Always Allow를 선택하면 나중에 로그인할 수 있도록 해당 앱만 승인됩니다. 추가 앱은 Always Allow로 설정될 때까지 인증을 요청합니다. 한 앱에 대해 캐시된 자격 증명은 다른 앱에서 사용할 수 없습니다.

디바이스가 Intune에 등록되지 않습니다.

Jamf Pro를 통해 Intune에 등록하지 못하는 Mac 디바이스에는 몇 가지 일반적인 원인이 있습니다.

원인 1 - Jamf Pro에 올바른 권한이 없습니다.

Azure의 Jamf Pro 엔터프라이즈 애플리케이션에 잘못된 권한이 있거나 둘 이상의 권한이 있습니다. Azure에서 앱을 만들 때 모든 기본 API 권한을 제거한 다음 Intune에 update_device_attributes 단일 권한을 할당해야 합니다.

솔루션
Jamf 앱에 대한 사용 권한을 검토하고 필요한 경우 수정합니다. Jamf Pro Cloud Connector를 사용하는 경우 이 앱이 만들어집니다. 통합을 수동으로 구성한 경우 Microsoft Entra ID로 앱을 만들었습니다. 앱 권한은 Microsoft Entra ID에서 애플리케이션 만들기(Jamf용)를 참조하세요.

원인 2 - 잘못된 테넌트 또는 계정

Jamf Native macOS Connector 앱이 Microsoft Entra 테넌트에서 만들어지지 않았거나 커넥터에 대한 동의가 전역 관리자 권한이 없는 계정으로 서명되었습니다.

솔루션
docs.jamf.com Microsoft Intune과 통합의 macOS Intune 통합 구성 섹션을 참조하세요.

원인 3 - 사용자에게 유효한 라이선스가 없습니다.

유효한 Intune 또는 Jamf 라이선스가 없으므로 Jamf 라이선스가 만료되었음을 나타내는 다음 오류가 발생할 수 있습니다.

Microsoft Intune에 연결할 수 없습니다.
Microsoft Intune 통합 구성을 확인합니다.

솔루션

• Jamf 라이선스: Jamf에 대한 새 라이선스를 얻으려면 Jamf에 문의하세요.
• Intune 라이선스: 사용자에게 유효한 라이선스를 할당하거나 현재 라이선스를 얻는 방법에 대한 자세한 내용은 Microsoft 또는 파트너에게 문의하세요.

원인 4 - 사용자가 Jamf 셀프 서비스를 사용하지 않음

디바이스가 Jamf를 통해 Intune에 성공적으로 등록하고 등록하려면 사용자가 Jamf 셀프 서비스를 사용하여 Intune 회사 포털 열어야 합니다. 사용자가 회사 포털 수동으로 열면 디바이스가 Jamf에 연결하지 않고 등록됩니다.

디바이스가 등록 및 등록하는 데 사용한 서비스를 확인하려면 디바이스의 회사 포털 앱을 확인합니다. Jamf를 통해 등록하는 경우 셀프 서비스 앱을 열어 변경하라는 알림을 받아야 합니다.

회사 포털 앱에서 사용자에게 표시Not registered될 수 있으며 다음 예제와 유사한 항목이 회사 포털 로그에 나타날 수 있습니다.

줄 7783: <DATE><IP ADDRESS> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift: 253(startLogin()) 계정이 파트너 관리 중인 동안 WPJ 전용 인수 없이 포털이 시작됨

솔루션

등록 원본을 Intune에서 Jamf로 변경하려면 다음을 수행합니다.

1. Intune에서 macOS 디바이스를 제거합니다. Intune에서 완전히 제거되지 않은 디바이스에 대한 추가 복잡성을 방지하려면 아래의 원인 6을 참조하세요.

2. 디바이스에서 Jamf 셀프 서비스를 사용하여 회사 포털 앱을 연 다음 Microsoft Entra ID로 디바이스를 등록합니다. 이 작업을 수행하려면 다음 작업을 이미 완료해야 합니다.

   • Jamf Pro에서 macOS용 회사 포털 앱 배포
   • Jamf Pro에서 사용자가 Microsoft Entra ID를 사용하여 디바이스를 등록하도록 하는 정책 만들기

3. 포털이 열리면 표시되는 첫 번째 화면에 로그인하라는 메시지가 표시됩니다. 회사 또는 학교 계정 사용

4. 회사 포털 계정 정보를 확인하고 디바이스 등록 및 디바이스 준수 상태를 표시합니다. 노란색 삼각형은 학교 또는 회사용 macOS 디바이스를 보호하기 위해 수행해야 하는 작업을 강조 표시합니다. 시작을 클릭하여 등록을 시작합니다.

5. 메시지가 표시되면 컴퓨터의 로그인 정보를 입력합니다.

디바이스를 등록하는 데 몇 분 정도 걸릴 수 있습니다. 등록이 완료된 후 완료된 것을 알리는 메시지가 표시됩니다.

원인 5 - Intune 통합이 해제되었습니다.

Intune 통합이 해제된 경우 사용자는 디바이스를 등록하려고 할 때 다음 메시지와 함께 회사 포털 팝업 창을 받습니다.

잘못된 명령줄 입력 등록 전용 명령줄 플래그(-r)는 Intune에서 파트너 관리를 사용하도록 설정한 경우에만 사용할 수 있습니다. IT 관리자에게 문의하세요.

통합이 해제되면 Jamf Pro 서버가 Intune 서버에 펄스를 보내 통합이 비활성화됨을 Intune에 알립니다.

솔루션
Jamf Pro 내에서 Intune 통합을 다시 사용하도록 설정합니다. 통합을 구성하는 방법에 따라 다음을 참조하세요.

• Jamf Cloud Connector를 사용하여 Jamf Pro와 Intune 통합
• Jamf Pro에서 Microsoft Intune 통합을 수동으로 구성합니다.

원인 6 - 디바이스가 이전에 Intune에 등록되었습니다.

디바이스가 Jamf에서 등록 취소되었지만 Intune에서 올바르게 제거되지 않았거나(이전에 등록한 경우) 사용자가 여러 차례 등록을 시도한 경우 포털에 동일한 디바이스의 여러 인스턴스가 표시될 수 있습니다. 이로 인해 Jamf 등록이 실패합니다.

솔루션

1. Mac에서 터미널을 시작합니다.

2. sudo JAMF removemdmprofile을 실행 합니다.

3. sudo JAMF removeFramework를 실행합니다.

4. JAMF Pro 서버에서 컴퓨터의 인벤토리 레코드를 삭제합니다.

5. AzureAD에서 디바이스를 삭제합니다.

6. 디바이스에 있는 경우 다음 파일을 삭제합니다.

   • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
   • /Library/Application Support/com.microsoft.CompanyPortal
   • /Library/Application Support/com.jamfsoftware.selfservice.mac
   • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
   • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
   • /Library/Preferences/com.microsoft.CompanyPortal.plist
   • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
   • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
   • /Users/<username>/Library/Cookies/com.microsoft.CompanyPortal.binarycookies
   • /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
   • com.microsoft.CompanyPortal
   • com.microsoft.CompanyPortal.HockeySDK
   • enterpriseregistration.windows.net
   • https://device.login.microsoftonline.com
   • https://device.login.microsoftonline.com/
   • Microsoft 세션 전송 키(퍼블릭 및 프라이빗 키)
   • Microsoft Workplace 조인 키(퍼블릭 및 프라이빗 키)

7. DeviceLogin.microsoft.com 인증서를 포함하여 Microsoft, Intune 또는 회사 포털 참조하는 디바이스의 키 집합에서 모든 항목을 제거합니다. JAMF 퍼블릭 및 프라이빗 키를 제외한 JAMF 참조를 제거합니다.

   Important

   공개 및 프라이빗 키를 제거하면 디바이스 등록이 중단됩니다.

8. 찾은 다음 항목을 삭제합니다.

   • 종류: 애플리케이션 암호; 계정: com.microsoft.workplacejoin.thumbprint
   • 종류: 애플리케이션 암호; 계정: com.microsoft.workplacejoin.registeredUserPrincipalName
   • 종류: 인증서; 발급자: MS-Organization-Access
   • 종류: ID 기본 설정; 이름(있는 경우 ADFS STS URL): https://<DNS NAME>.com/adfs/ls
   • 종류: ID 기본 설정; 이름: https://enterpriseregistration.windows.net
   • 종류: ID 기본 설정; 이름: https://enterpriseregistration.windows.net/

9. Mac 디바이스를 다시 시작합니다.

10. 디바이스에서 회사 포털 제거합니다.

11. portal.manage.microsoft.com 이동하여 Mac 디바이스의 모든 인스턴스를 삭제합니다. 다음 단계로 가기 전에 30분 이상 기다립니다.

12. JAMF Pro에서 디바이스를 다시 등록합니다.

13. 셀프 서비스를 다시 열고 등록 정책을 시작합니다.

원인 7 - 사용자가 해당 키에 대한 JamfAAD 액세스를 제공하지 않음

JamfAAD는 사용자의 키 집합에서 "Microsoft Workplace Join Key"에 대한 액세스를 요청합니다. 등록하는 동안 macOS 디바이스의 사용자는 키 집합에서 키에 대한 JamfAAD 액세스를 허용하는 다음 프롬프트를 받습니다.

JamfAAD는 키 집합의 "Microsoft Workplace Join Key" 키에 액세스하려고 합니다. 이를 허용하려면 "로그인" 키 집합 암호를 입력합니다.

솔루션
Microsoft Entra ID를 사용하여 디바이스를 성공적으로 등록하려면 Jamf에서 사용자가 계정 암호를 제공하고 허용을 선택해야 합니다.

이 요청은 앱을 열 때 키 집합 로그인을 요청하는 Mac 디바이스에 대한 요청과 유사합니다.

Mac 디바이스는 Intune에서 규격을 표시하지만 Azure에서는 비준수로 표시됩니다.

원인: 다음 조건으로 인해 디바이스가 Intune에서 규격으로 표시되지만 Azure에서는 규격으로 표시되지 않을 수 있습니다.

• 디바이스가 올바르게 등록되지 않았습니다.
• 디바이스가 필요한 정리 없이 여러 번 등록되었습니다.

솔루션
이 문제를 해결하려면 원인 6의 단계를 수행합니다.

Jamf를 사용하여 등록된 Mac용 Intune 콘솔에 중복 항목이 표시됩니다.

원인: 디바이스는 Intune에 여러 번 등록되며 일반적으로 Intune에서 제거된 후 다시 등록됩니다.

Intune 및 Jamf Pro 통합에서 디바이스가 제거되면 일부 데이터를 남겨 두면 연속 등록이 중복 항목을 만들 수 있습니다.

솔루션
이 문제를 해결하려면 원인 6의 단계를 수행합니다.

준수 정책이 디바이스를 평가하지 못함

원인: Jamf와 Intune의 통합은 디바이스 그룹을 대상으로 하는 규정 준수 정책을 지원하지 않습니다.

솔루션
사용자 그룹에 할당할 macOS 디바이스에 대한 규정 준수 정책을 수정합니다.

Microsoft Graph API에 대한 액세스 토큰을 검색할 수 없습니다.

다음과 같은 오류가 나타날 수 있습니다.

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

이 오류의 원인은 다음 원인 중 하나일 수 있습니다.

원인 1

Azure에서 Jamf Pro 애플리케이션에 사용 권한 문제가 있습니다. Azure에서 Jamf Pro 앱을 등록하는 동안 다음 조건 중 하나가 발생했습니다.

• 앱이 둘 이상의 권한을 받았습니다.
• 회사> 옵션에 대한 <관리자 동의 부여가 선택되지 않았습니다.

솔루션
이 문서의 앞부분에서 디바이스의 원인 1 등록 실패에 대한 해결 방법을 참조하세요.

원인 2

Jamf-Intune 통합에 필요한 라이선스가 만료되었습니다.

해결 방법: 디바이스의 원인 3 등록 실패에 대한 해결 방법을 참조하세요.

원인 3

필요한 포트가 네트워크에서 열리지 않습니다.

솔루션 Jamf Pro를 Intune과 통합하기 위한 필수 구성 요소의 네트워크 포트에 대한 정보를 검토합니다.