Problemen met de integratie van Jamf Pro met Microsoft Intune oplossen

Dit artikel helpt Intune beheerders bij het begrijpen en oplossen van problemen met de integratie van Jamf Pro voor macOS met Microsoft Intune. Elk van de volgende secties beschrijft een veelvoorkomend probleem en biedt een mogelijke oorzaak en stappen voor probleemoplossing voor een oplossing.

Belangrijk

Jamf macOS-apparaatondersteuning voor voorwaardelijke toegang wordt afgeschaft.

Vanaf 1 september 2024 wordt het platform waarop de functie voor voorwaardelijke toegang van Jamf Pro is gebouwd, niet meer ondersteund.

Als u de integratie van voorwaardelijke toegang van Jamf Pro voor macOS-apparaten gebruikt, volgt u de gedocumenteerde richtlijnen van Jamf om uw apparaten te migreren van voorwaardelijke toegang van macOS naar macOS-apparaatcompatibiliteit.

Als u vragen hebt of hulp nodig hebt, neemt u contact op met Jamf Customer Success. Zie Jamf macOS-apparaten overzetten van voorwaardelijke toegang naar apparaatcompatibiliteit voor meer informatie.

Voorwaarden

Voordat u begint met het oplossen van problemen, verzamelt u basisinformatie om het probleem te verduidelijken en de tijd te verkorten om een oplossing te vinden. Wanneer u bijvoorbeeld een probleem ondervindt met betrekking tot Jamf-Intune integratie, controleert u altijd of aan de vereisten is voldaan. Houd rekening met het volgende voordat u begint met het oplossen van problemen:

• Bekijk de vereisten uit de volgende artikelen, afhankelijk van hoe u Jamf Pro-integratie configureert met Intune:
  • De Jamf Cloud Connector gebruiken om Jamf Pro te integreren met Intune
  • Jamf Pro integreren met Intune
• Alle gebruikers moeten Microsoft Intune- en Microsoft Entra ID P1-licenties hebben
• U moet een gebruikersaccount hebben met Microsoft Intune integratiemachtigingen in de Jamf Pro-console.
• U moet een gebruikersaccount hebben met globale Beheer-machtigingen in Azure.

Verzamel de volgende informatie bij het onderzoeken van Jamf Pro-integratie met Intune:

• Exacte foutberichten
• Locatie van de foutberichten
• Wanneer het probleem is begonnen en of uw Jamf Pro-integratie met Intune eerder werkte
• Hoeveel gebruikers worden beïnvloed (alle gebruikers of slechts enkele)
• Hoeveel apparaten worden beïnvloed (alle apparaten of slechts enkele)

Apparaten worden gemarkeerd als niet-reagerend in Jamf Pro

Oorzaak: Hier volgen veelvoorkomende oorzaken van apparaten die worden gemarkeerd als Niet reagerend door Jamf Pro:

• Het apparaat kan niet inchecken bij Jamf Pro.
  Jamf Pro verwacht dat apparaten elke 15 minuten inchecken. Apparaten worden gemarkeerd als niet-reagerend door Jamf wanneer ze niet kunnen inchecken gedurende een periode van 24 uur.

• Het apparaat kan niet inchecken met Microsoft Entra ID.
  Wanneer de registratie voor Microsoft Entra ID is voltooid, ontvangen macOS-apparaten een Azure-token:

  • Dit token wordt elke 12 uur vernieuwd.
  • Wanneer het vernieuwen van het token 24 uur of langer mislukt, markeert Jamf Pro het apparaat als niet-reagerend.
  • Als het Azure-token verloopt, wordt gebruikers gevraagd zich aan te melden bij Azure om een nieuw token te verkrijgen. Elke zeven dagen wordt er een vernieuwingstoken voor Azure-toegang gegenereerd.

Oplossing
Nadat een apparaat is gemarkeerd als Niet reagerend door Jamf Pro, moet de ingeschreven gebruiker van het apparaat zich aanmelden om de niet-responsieve status te corrigeren. Het moet de gebruiker zijn die lid is van het account op de werkplek, omdat deze de identiteit van Intune in de sleutelhanger heeft.

Mac-apparaten vragen om aanmelding met sleutelhanger wanneer u een app opent

Nadat u Intune en Jamf Pro-integratie hebt geconfigureerd en beleid voor voorwaardelijke toegang hebt geïmplementeerd, ontvangen gebruikers van apparaten die worden beheerd met Jamf Pro wachtwoordprompts bij het openen van Microsoft 365-toepassingen, zoals Teams, Outlook en andere apps waarvoor Microsoft Entra verificatie is vereist.

Er wordt bijvoorbeeld een prompt weergegeven met tekst die lijkt op het volgende voorbeeld bij het openen van Microsoft Teams:

Microsoft Teams wil zich aanmelden met de sleutel 'Microsoft Workplace Join Key' in uw sleutelhanger.
Als u dit wilt toestaan, voert u het wachtwoord voor de sleutelhanger 'aanmelding' in

Oorzaak: Deze prompts worden gegenereerd door Jamf Pro voor elke toepasselijke app waarvoor Microsoft Entra registratie is vereist.

Oplossing
Bij de prompt moet de gebruiker het wachtwoord van het apparaat opgeven om zich aan te melden bij Microsoft Entra ID. Opties zijn onder andere:

• Weigeren : meld u niet aan en gebruik de app niet.
• Toestaan : een eenmalige aanmelding. De volgende keer dat de app wordt geopend, wordt opnieuw om aanmelding gevraagd.
• Altijd toestaan : de aanmeldingsreferenties worden in de cache opgeslagen voor de toepassing. De volgende keer dat de app wordt geopend, wordt er niet om aanmelding gevraagd.

Als u Altijd toestaan selecteert voor één app, wordt die app alleen goedgekeurd voor toekomstige aanmelding. Aanvullende apps vragen om verificatie totdat ze ook zijn ingesteld op Altijd toestaan. Referenties in de cache voor een app kunnen niet worden gebruikt door een andere app.

Apparaten kunnen niet worden geregistreerd bij Intune

Er zijn verschillende veelvoorkomende oorzaken voor Mac-apparaten die niet kunnen worden geregistreerd bij Intune via Jamf Pro.

Oorzaak 1: Jamf Pro heeft niet de juiste machtigingen

De Jamf Pro Enterprise-toepassing in Azure heeft de verkeerde machtiging of meer dan één machtiging. Wanneer u de app in Azure maakt, moet u alle standaard-API-machtigingen verwijderen en vervolgens Intune één machtiging van update_device_attributes toewijzen.

Oplossing
Controleer en corrigeer zo nodig de machtigingen voor de Jamf-app. Als u de Jamf Pro Cloud Connector gebruikt, is deze app voor u gemaakt. Als u de integratie handmatig hebt geconfigureerd, hebt u de app gemaakt in Microsoft Entra ID. Zie Een toepassing (voor Jamf) maken in Microsoft Entra ID voor de app-machtigingen.

Oorzaak 2: verkeerde tenant of account

De jamf native macOS Connector-app is niet gemaakt in uw Microsoft Entra tenant of toestemming voor de connector is ondertekend door een account dat geen globale beheerdersrechten heeft.

Oplossing
Zie de sectie MacOS-Intune-integratie configureren in Integreren met Microsoft Intune op docs.jamf.com.

Oorzaak 3- Gebruiker heeft geen geldige licentie(s)

Het ontbreken van een geldige Intune- of Jamf-licentie kan leiden tot de volgende fout, die aangeeft dat de Jamf-licentie is verlopen:

Kan geen verbinding maken met Microsoft Intune.
Controleer de configuratie van uw Microsoft Intune-integratie.

Oplossing

• Jamf-licentie: neem contact op met Jamf voor hulp bij het verkrijgen van een nieuwe licentie voor Jamf.
• Intune licentie: wijs de gebruiker een geldige licentie toe of neem contact op met Microsoft of uw partner voor informatie over het verkrijgen van een huidige licentie.

Oorzaak 4: gebruiker heeft geen Jamf Self Service gebruikt

Een apparaat kan alleen worden ingeschreven en geregistreerd bij Intune via Jamf als de gebruiker de jamf-selfservice gebruikt om het Intune-bedrijfsportal te openen. Als de gebruiker de Bedrijfsportal handmatig opent, wordt het apparaat ingeschreven en geregistreerd zonder verbinding met Jamf.

Als u wilt bepalen welke service het apparaat heeft gebruikt om te registreren en te registreren, kijkt u in de Bedrijfsportal-app op het apparaat. Wanneer u bent geregistreerd via Jamf, ontvangt u een melding om de Self-Service-app te openen om wijzigingen aan te brengen.

In de Bedrijfsportal-app ziet Not registeredde gebruiker mogelijk een vermelding die vergelijkbaar is met het volgende voorbeeld in de Bedrijfsportal-logboeken:

Regel 7783: <DATUM><IP-ADRES> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift: 253 (startLogin()) Portal gestart zonder WPJ alleen arg terwijl het account onder partnerbeheer is

Oplossing

De registratiebron wijzigen van Intune in Jamf:

1. Verwijder het macOS-apparaat uit Intune. Zie Oorzaak 6 hieronder om verdere complicaties te voorkomen voor apparaten die niet volledig uit Intune zijn verwijderd.

2. Gebruik op het apparaat Jamf Self Service om de Bedrijfsportal-app te openen en registreer het apparaat vervolgens bij Microsoft Entra ID. Voor deze taak moet u de volgende taken al hebben voltooid:

   • De Bedrijfsportal-app voor macOS implementeren in Jamf Pro
   • Een beleid maken in Jamf Pro om gebruikers hun apparaten te laten registreren bij Microsoft Entra ID

3. Wanneer de portal wordt geopend, wordt u in het eerste scherm gevraagd u aan te melden. Uw werk- of schoolaccount gebruiken

4. De Bedrijfsportal bevestigt uw accountgegevens en toont de statussen Apparaatinschrijving en Apparaatcompatibiliteit. Gele driehoeken markeren de acties die u moet uitvoeren om uw macOS-apparaat te beveiligen voor school of werk. Klik op Beginnen om de inschrijving te starten.

5. Als u hierom wordt gevraagd, typt u de aanmeldingsgegevens van uw computer.

Het kan enkele minuten duren voordat uw apparaat is geregistreerd. Nadat de registratie is voltooid, ontvangt u een bericht om u te laten weten dat u klaar bent.

Oorzaak 5: Intune-integratie is uitgeschakeld

Als Intune integratie is uitgeschakeld, ontvangen gebruikers een pop-upvenster in de Bedrijfsportal met het volgende bericht wanneer ze een apparaat proberen te registreren:

Ongeldige opdrachtregelinvoer Alleen opdrachtregelvlag registratie (-r) kan alleen worden gebruikt wanneer partnerbeheer is ingeschakeld in Intune. Neem contact op met uw IT-beheerder.

De Jamf Pro-server stuurt een impuls naar de Intune servers wanneer integratie is uitgeschakeld, waardoor Intune wordt aangegeven dat integratie is uitgeschakeld.

Oplossing
Schakel Intune-integratie in Jamf Pro opnieuw in. Zie het volgende, afhankelijk van hoe u de integratie configureert:

• De Jamf Cloud Connector gebruiken om Jamf Pro te integreren met Intune
• Handmatig Microsoft Intune-integratie configureren in Jamf Pro.

Oorzaak 6: het apparaat is eerder ingeschreven bij Intune

Als een apparaat is uitgeschreven bij Jamf, maar niet correct is verwijderd uit Intune (als het eerder is ingeschreven), of als de gebruiker meerdere registratiepogingen heeft gedaan, ziet u mogelijk meerdere exemplaren van hetzelfde apparaat in de portal. Hierdoor mislukt de Jamf-inschrijving.

Oplossing

1. Start Terminal op de Mac.

2. Voer sudo JAMF removemdmprofile uit.

3. Voer sudo JAMF removeFramework uit.

4. Verwijder op de JAMF Pro-server de inventarisrecord van de computer.

5. Verwijder het apparaat uit AzureAD.

6. Verwijder de volgende bestanden op het apparaat als deze bestaan:

   • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
   • /Library/Application Support/com.microsoft.CompanyPortal
   • /Library/Application Support/com.jamfsoftware.selfservice.mac
   • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
   • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
   • /Library/Preferences/com.microsoft.CompanyPortal.plist
   • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
   • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
   • /Users/<username>/Library/Cookies/com.microsoft.CompanyPortal.binarycookies
   • /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
   • com.microsoft.CompanyPortal
   • com.microsoft.CompanyPortal.HockeySDK
   • enterpriseregistration.windows.net
   • https://device.login.microsoftonline.com
   • https://device.login.microsoftonline.com/
   • Microsoft Session Transport Key (openbare EN persoonlijke sleutels)
   • Microsoft Workplace Join Key (openbare EN persoonlijke sleutels)

7. Verwijder alles uit de sleutelhanger op het apparaat dat verwijst naar Microsoft, Intune of Bedrijfsportal, inclusief DeviceLogin.microsoft.com certificaten. Verwijder JAMF-verwijzingen , met uitzondering van de openbare en persoonlijke sleutel van JAMF.

   Belangrijk

   Als u de openbare en persoonlijke sleutel verwijdert, wordt de inschrijving van het apparaat verbroken.

8. Verwijder een van de volgende vermeldingen die u vindt:

   • Soort: Toepassingswachtwoord; Account: com.microsoft.workplacejoin.thumbprint
   • Soort: Toepassingswachtwoord; Account: com.microsoft.workplacejoin.registeredUserPrincipalName
   • Soort: Certificaat ; Uitgegeven door: MS-Organization-Access
   • Soort: Identiteitsvoorkeur; Naam (ADFS STS-URL indien aanwezig): https://<DNS NAME>.com/adfs/ls
   • Soort: Identiteitsvoorkeur; Naam: https://enterpriseregistration.windows.net
   • Soort: Identiteitsvoorkeur; Naam: https://enterpriseregistration.windows.net/

9. Start het Mac-apparaat opnieuw op.

10. Verwijder Bedrijfsportal van het apparaat.

11. Ga naar portal.manage.microsoft.com en verwijder alle exemplaren van het Mac-apparaat. Wacht ten minste 30 minuten voordat u naar de volgende stap gaat.

12. Schrijf het apparaat opnieuw in bij JAMF Pro.

13. Open de selfservice opnieuw en start het registratiebeleid.

Oorzaak 7: gebruiker heeft JamfAAD geen toegang tot de sleutel opgegeven

JamfAAD vraagt toegang tot een 'Microsoft Workplace Join Key' aan vanuit de sleutelhanger van de gebruiker. Tijdens de registratie ontvangt de gebruiker van een macOS-apparaat de volgende prompt om JamfAAD toegang te verlenen tot een sleutel vanuit de sleutelhanger:

JamfAAD wil toegang krijgen tot de sleutel 'Microsoft Workplace Join Key' in uw sleutelhanger. Als u dit wilt toestaan, voert u het wachtwoord voor de sleutelhanger 'aanmelding' in

Oplossing
Als u het apparaat wilt registreren bij Microsoft Entra ID, vereist Jamf dat de gebruiker het wachtwoord voor het account opgeeft en vervolgens Toestaan selecteert.

Deze aanvraag is vergelijkbaar met de aanvraag voor Mac-apparaten om aanmelding met een sleutelhanger wanneer u een app opent.

Mac-apparaat is compatibel in Intune, maar niet-compatibel in Azure

Oorzaak: De volgende omstandigheden kunnen ertoe leiden dat een apparaat wordt weergegeven als compatibel in Intune, maar niet als compatibel in Azure:

• Het apparaat is niet correct geregistreerd.
• Het apparaat is meerdere keren geregistreerd zonder de benodigde opschoning.

Oplossing
Volg de stappen in Oorzaak 6 om dit probleem op te lossen.

Dubbele vermeldingen worden weergegeven in de Intune-console voor Mac-apparaten die zijn ingeschreven met behulp van Jamf

Oorzaak: een apparaat wordt meerdere keren geregistreerd bij Intune, meestal opnieuw geregistreerd nadat het is verwijderd uit Intune.

Wanneer een apparaat wordt verwijderd uit Intune en Jamf Pro-integratie, kunnen sommige gegevens worden achtergelaten, waardoor opeenvolgende registraties dubbele vermeldingen kunnen maken.

Oplossing
Volg de stappen in Oorzaak 6 om dit probleem op te lossen.

Nalevingsbeleid kan het apparaat niet evalueren

Oorzaak: Jamf-integratie met Intune biedt geen ondersteuning voor nalevingsbeleid dat is gericht op apparaatgroepen.

Oplossing
Nalevingsbeleid wijzigen voor macOS-apparaten die moeten worden toegewezen aan gebruikersgroepen.

Kan het toegangstoken voor Microsoft Graph API niet ophalen

U ontvangt de volgende fout:

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

De oorzaak van deze fout kan een van de volgende oorzaken zijn:

Oorzaak 1

Er is een machtigingsprobleem met de Jamf Pro-toepassing in Azure. Tijdens het registreren van de Jamf Pro-app in Azure is een van de volgende omstandigheden opgetreden:

• De app heeft meer dan één machtiging gekregen.
• De optie Beheerderstoestemming verlenen voor <uw bedrijf> is niet geselecteerd.

Oplossing
Zie de oplossing voor Oorzaak 1 voor apparaten kan niet worden geregistreerd, eerder in dit artikel.

Oorzaak 2

Een licentie die is vereist voor Jamf-Intune integratie, is verlopen.

Oplossing Zie de oplossing voor Oorzaak 3 voor apparaten kan niet worden geregistreerd.

Oorzaak 3

De vereiste poorten zijn niet geopend in uw netwerk.

Oplossing Bekijk de informatie voor netwerkpoorten in Vereisten voor het integreren van Jamf Pro met Intune.