Udostępnij za pośrednictwem

Rozwiązywanie problemów z integracją narzędzia Jamf Pro z aplikacją Microsoft Intune

  • Artykuł

Ten artykuł pomaga Intune administratorom w zrozumieniu i rozwiązywaniu problemów z integracją narzędzia Jamf Pro dla systemu macOS z Microsoft Intune. Każda z poniższych sekcji opisuje typowy problem i oferuje potencjalną przyczynę i kroki rozwiązywania problemów.

Ważna

Obsługa urządzeń jamf z systemem macOS dla dostępu warunkowego jest przestarzała.

Od 1 września 2024 r. platforma oparta na funkcji dostępu warunkowego narzędzia Jamf Pro nie będzie już obsługiwana.

Jeśli używasz integracji dostępu warunkowego narzędzia Jamf Pro dla urządzeń z systemem macOS, postępuj zgodnie z udokumentowanymi wytycznymi narzędzia Jamf, aby przeprowadzić migrację urządzeń z dostępu warunkowego systemu macOS do zgodności urządzeń z systemem macOS.

Jeśli masz pytania lub potrzebujesz pomocy, skontaktuj się z firmą Jamf Customer Success. Aby uzyskać więcej informacji, zobacz Przenoszenie urządzeń z systemem macOS jamf z dostępu warunkowego do zgodności urządzeń.

Wymagania wstępne

Przed rozpoczęciem rozwiązywania problemów zbierz podstawowe informacje, aby wyjaśnić problem i skrócić czas znajdowania rozwiązania. Jeśli na przykład wystąpi Jamf-Intune problem związany z integracją, zawsze sprawdź, czy zostały spełnione wymagania wstępne. Przed rozpoczęciem rozwiązywania problemów należy wziąć pod uwagę następujące kwestie:

Zbierz następujące informacje podczas badania integracji narzędzia Jamf Pro z Intune:

  • Dokładne komunikaty o błędach
  • Lokalizacja komunikatów o błędzie
  • Po rozpoczęciu problemu i tym, czy integracja narzędzia Jamf Pro z Intune działała wcześniej
  • Ilu użytkowników dotyczy problem (wszyscy użytkownicy lub tylko niektórzy)
  • Ilu urządzeń dotyczy problem (wszystkie urządzenia lub tylko niektóre)

Urządzenia są oznaczone jako nieodpowiedziające w narzędziu Jamf Pro

Przyczyna: Poniżej przedstawiono typowe przyczyny oznaczania urządzeń jako nieodpowiadających przez narzędzie Jamf Pro:

  • Nie można zaewidencjonować urządzenia przy użyciu narzędzia Jamf Pro.
    Narzędzie Jamf Pro oczekuje, że urządzenia będą zaewidencjonowywać co 15 minut. Urządzenia są oznaczone jako nieodpowiedziające przez narzędzie Jamf, gdy nie można ich zaewidencjonować w ciągu 24 godzin.

  • Nie można zaewidencjonować urządzenia przy użyciu Tożsamość Microsoft Entra.
    Po pomyślnej rejestracji w Tożsamość Microsoft Entra urządzenia z systemem macOS otrzymują token platformy Azure:

    • Ten token jest odświeżany co 12 godzin.
    • Gdy odświeżanie tokenu kończy się niepowodzeniem przez co najmniej 24 godziny, narzędzie Jamf Pro oznacza urządzenie jako nieodpowiedziające.
    • Jeśli token platformy Azure wygaśnie, użytkownicy zostaną poproszeni o zalogowanie się na platformie Azure w celu uzyskania nowego tokenu. Token odświeżania dostępu do platformy Azure jest generowany co siedem dni.

Rozwiązanie
Po oznaczeniu urządzenia jako Brak odpowiedzi przez narzędzie Jamf Pro zarejestrowany użytkownik urządzenia musi zalogować się, aby poprawić stan braku odpowiedzi. Musi to być użytkownik, który dołączył do konta w miejscu pracy, ponieważ ma tożsamość z Intune w pęku kluczy.

Po otwarciu aplikacji na urządzeniach Mac zostanie wyświetlony monit o zalogowanie się za pomocą łańcucha kluczy

Po skonfigurowaniu integracji Intune i narzędzia Jamf Pro oraz wdrożeniu zasad dostępu warunkowego użytkownicy urządzeń zarządzanych za pomocą narzędzia Jamf Pro otrzymują monity o hasło podczas otwierania aplikacji platformy Microsoft 365, takich jak Teams, Outlook i inne aplikacje wymagające uwierzytelniania Microsoft Entra.

Na przykład podczas otwierania aplikacji Microsoft Teams zostanie wyświetlony monit z tekstem podobnym do następującego:

Usługa Microsoft Teams chce podpisać się przy użyciu klucza "Microsoft Workplace Join Key" w pęku kluczy.
Aby na to zezwolić, wprowadź hasło łańcucha kluczy "login"

Przyczyna: te monity są generowane przez narzędzie Jamf Pro dla każdej odpowiedniej aplikacji, która wymaga rejestracji Microsoft Entra.

Rozwiązanie
Po wyświetleniu monitu użytkownik musi podać swoje hasło urządzenia, aby zalogować się do Tożsamość Microsoft Entra. Dostępne opcje:

  • Odmowa — nie loguj się i nie używaj aplikacji.
  • Zezwalaj — jednorazowe logowanie. Przy następnym otwarciu aplikacji zostanie wyświetlony monit o ponowne zalogowanie.
  • Zawsze zezwalaj — poświadczenia logowania są buforowane dla aplikacji. Przy następnym otwarciu aplikacji nie jest wyświetlany monit o zalogowanie.

Wybranie opcji Zawsze zezwalaj dla jednej aplikacji powoduje zatwierdzenie tylko tej aplikacji na potrzeby przyszłego logowania. Dodatkowe aplikacje monitują o uwierzytelnianie, dopóki nie zostaną ustawione jako Zawsze zezwalaj. Buforowane poświadczenia dla jednej aplikacji nie mogą być używane przez inną aplikację.

Nie można zarejestrować urządzeń przy użyciu Intune

Istnieje kilka typowych przyczyn, dla których nie można zarejestrować się w Intune za pośrednictwem narzędzia Jamf Pro.

Przyczyna 1 — Narzędzie Jamf Pro nie ma prawidłowych uprawnień

Aplikacja jamf Pro dla przedsiębiorstw na platformie Azure ma nieprawidłowe uprawnienia lub ma więcej niż jedno uprawnienie. Podczas tworzenia aplikacji na platformie Azure należy usunąć wszystkie domyślne uprawnienia interfejsu API, a następnie przypisać Intune jedno uprawnienie update_device_attributes.

Rozwiązanie
Przejrzyj i w razie potrzeby popraw uprawnienia aplikacji Jamf. Jeśli używasz łącznika jamf Pro Cloud Connector, ta aplikacja została utworzona dla Ciebie. Jeśli integracja została skonfigurowana ręcznie, aplikacja została utworzona w Tożsamość Microsoft Entra. Aby uzyskać uprawnienia aplikacji, zobacz Tworzenie aplikacji (dla narzędzia Jamf) w Tożsamość Microsoft Entra.

Przyczyna 2 — nieprawidłowa dzierżawa lub konto

Aplikacja Jamf Native macOS Connector nie została utworzona w dzierżawie Microsoft Entra lub zgoda na łącznik została podpisana przez konto, które nie ma praw administratora globalnego.

Rozwiązanie
Zobacz sekcję Konfigurowanie integracji Intune z systemem macOS w temacie Integrowanie z Microsoft Intune w docs.jamf.com.

Przyczyna 3 — użytkownik nie ma prawidłowych licencji

Brak prawidłowej licencji Intune lub Jamf może spowodować następujący błąd, co oznacza, że licencja narzędzia Jamf wygasła:

Nie można nawiązać połączenia z Microsoft Intune.
Sprawdź konfigurację integracji Microsoft Intune.

Rozwiązanie

  • Licencja narzędzia Jamf: Skontaktuj się z narzędziem Jamf, aby uzyskać pomoc w uzyskaniu nowej licencji dla narzędzia Jamf.
  • Intune licencji: przypisz użytkownikowi ważną licencję lub skontaktuj się z firmą Microsoft lub partnerem, aby uzyskać informacje o sposobie uzyskania bieżącej licencji.

Przyczyna 4 — użytkownik nie korzystał z samoobsługi narzędzia Jamf

Aby urządzenie zostało pomyślnie zarejestrowane i zarejestrowane w Intune za pośrednictwem narzędzia Jamf, użytkownik musi użyć samoobsługi narzędzia Jamf, aby otworzyć Intune — Portal firmy. Jeśli użytkownik otworzy Portal firmy ręcznie, urządzenie zostanie zarejestrowane i zarejestrowane bez połączenia z narzędziem Jamf.

Aby określić usługę używaną przez urządzenie do rejestrowania i rejestrowania, zajrzyj do aplikacji Portal firmy na urządzeniu. Po zarejestrowaniu za pomocą narzędzia Jamf powinno zostać wyświetlone powiadomienie o otwarciu aplikacji Self-Service w celu wprowadzenia zmian.

W aplikacji Portal firmy w dziennikach Portal firmy może zostać wyświetlony Not registeredwpis podobny do następującego przykładu:

Wiersz 7783: <DATA><ADRESU> IP INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift: 253 (startLogin()) Portal uruchomiony bez ARG tylko WPJ, gdy konto jest w ramach zarządzania partnerami

Rozwiązanie

Aby zmienić źródło rejestracji z Intune na Jamf:

  1. Usuń urządzenie z systemem macOS z Intune. Aby uniknąć dalszych komplikacji dla urządzeń, które nie są w pełni usunięte z Intune, zobacz Przyczyna 6 poniżej.

  2. Na urządzeniu otwórz aplikację Portal firmy za pomocą samoobsługi narzędzia Jamf, a następnie zarejestruj urządzenie w Tożsamość Microsoft Entra. To zadanie wymaga wykonania już następujących zadań:

  3. Po otwarciu portalu zostanie wyświetlony pierwszy ekran z monitem o zalogowanie się. Korzystanie z konta służbowego

  4. Portal firmy potwierdza informacje o koncie i pokazuje stan rejestracji urządzenia i zgodności urządzenia. Żółte trójkąty wyróżniają akcje, które należy wykonać, aby zabezpieczyć urządzenie z systemem macOS na potrzeby nauki lub pracy. Kliknij przycisk Rozpocznij, aby rozpocząć rejestrację.

  5. Jeśli zostanie wyświetlony monit, wpisz informacje o logowaniu na komputerze.

Zarejestrowanie urządzenia może potrwać kilka minut. Po zakończeniu rejestracji zostanie wyświetlony komunikat informujący o zakończeniu rejestracji.

Przyczyna 5 — integracja Intune jest wyłączona

Jeśli integracja Intune jest wyłączona, użytkownicy otrzymają wyskakujące okno w Portal firmy z następującym komunikatem podczas próby zarejestrowania urządzenia:

Nieprawidłowa flaga wiersza polecenia wprowadzania wiersza polecenia Tylko rejestracja (-r) może być używana tylko wtedy, gdy zarządzanie partnerami jest włączone w Intune. Skontaktuj się z administratorem IT.

Serwer Jamf Pro wysyła impuls do serwerów Intune po wyłączeniu integracji, co informuje Intune, że integracja jest wyłączona.

Rozwiązanie
Ponownie włącz integrację Intune w narzędziu Jamf Pro. Zobacz następujące informacje w zależności od sposobu konfigurowania integracji:

Przyczyna 6 — urządzenie zostało wcześniej zarejestrowane w Intune

Jeśli urządzenie zostało wyrejestrowane z narzędzia Jamf, ale nie zostało poprawnie usunięte z Intune (jeśli zostało zarejestrowane wcześniej) lub jeśli użytkownik podjął kilka prób rejestracji, w portalu może zostać wyświetlonych wiele wystąpień tego samego urządzenia. Powoduje to niepowodzenie rejestracji narzędzia Jamf.

Rozwiązanie

  1. Na komputerze Mac uruchom terminal.

  2. Uruchom polecenie sudo JAMF removemdmprofile.

  3. Uruchom polecenie sudo JAMF removeFramework.

  4. Na serwerze JAMF Pro usuń rekord spisu komputera.

  5. Usuń urządzenie z usługi AzureAD.

  6. Usuń następujące pliki na urządzeniu, jeśli istnieją:

    • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
    • /Library/Application Support/com.microsoft.CompanyPortal
    • /Library/Application Support/com.jamfsoftware.selfservice.mac
    • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
    • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
    • /Library/Preferences/com.microsoft.CompanyPortal.plist
    • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
    • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
    • /Users/<username>/Library/Cookies/com.microsoft.CompanyPortal.binarycookies
    • /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
    • com.microsoft.CompanyPortal
    • com.microsoft.CompanyPortal.HockeySDK
    • enterpriseregistration.windows.net
    • https://device.login.microsoftonline.com
    • https://device.login.microsoftonline.com/
    • Klucz transportu sesji firmy Microsoft (klucze publiczne i prywatne)
    • Microsoft Workplace Join Key (klucze publiczne I prywatne)

  7. Usuń wszystkie elementy z łańcucha kluczy na urządzeniu, które odwołują się do firmy Microsoft, Intune lub Portal firmy, w tym certyfikatów DeviceLogin.microsoft.com. Usuń odwołania JAMF z wyjątkiem klucza publicznego i prywatnego JAMF.

    Ważna

    Usunięcie klucza publicznego i prywatnego spowoduje przerwanie rejestracji urządzenia.

  8. Usuń dowolny z następujących wpisów, które znajdziesz:

    • Rodzaj: hasło aplikacji ; Konto: com.microsoft.workplacejoin.thumbprint
    • Rodzaj: hasło aplikacji ; Konto: com.microsoft.workplacejoin.registeredUserPrincipalName
    • Rodzaj: Certyfikat ; Wystawione przez: MS-Organization-Access
    • Rodzaj: Preferencja tożsamości ; Nazwa (adres URL usługi ADFS STS, jeśli jest obecny): https://<DNS NAME>.com/adfs/ls
    • Rodzaj: Preferencja tożsamości ; Nazwa: https://enterpriseregistration.windows.net
    • Rodzaj: Preferencja tożsamości ; Nazwa: https://enterpriseregistration.windows.net/

  9. Uruchom ponownie urządzenie Mac.

  10. Odinstaluj Portal firmy z urządzenia.

  11. Przejdź do portal.manage.microsoft.com i usuń wszystkie wystąpienia urządzenia Mac. Poczekaj co najmniej 30 minut, zanim przejdziesz do następnego kroku.

  12. Ponownie zarejestruj urządzenie w narzędziu JAMF Pro.

  13. Otwórz ponownie samoobsługę i uruchom zasady rejestracji.

Przyczyna 7 — użytkownik nie zapewnił jamfAAD dostępu do swojego klucza

Narzędzie JamfAAD żąda dostępu do klucza "Microsoft Workplace Join Key" z łańcucha kluczy użytkowników. Podczas rejestracji użytkownik urządzenia z systemem macOS otrzymuje następujący monit, aby zezwolić narzędziu JamfAAD na dostęp do klucza z łańcucha kluczy:

Narzędzie JamfAAD chce uzyskać dostęp do klucza "Microsoft Workplace Join Key" w pęku kluczy. Aby na to zezwolić, wprowadź hasło łańcucha kluczy "login"

Rozwiązanie
Aby pomyślnie zarejestrować urządzenie przy użyciu Tożsamość Microsoft Entra, narzędzie Jamf wymaga od użytkownika podania hasła konta i wybrania pozycji Zezwalaj.

To żądanie jest podobne do żądania dla urządzeń Mac monitu o logowanie łańcucha kluczy po otwarciu aplikacji.

Urządzenie Mac wyświetla zgodność w Intune, ale niezgodne na platformie Azure

Przyczyna: Następujące warunki mogą spowodować, że urządzenie będzie wyświetlane jako zgodne w Intune, ale nie jako zgodne na platformie Azure:

  • Urządzenie nie jest poprawnie zarejestrowane.
  • Urządzenie zostało zarejestrowane wiele razy bez konieczności czyszczenia.

Rozwiązanie
Aby rozwiązać ten problem, wykonaj kroki opisane w temacie Przyczyna 6.

Zduplikowane wpisy są wyświetlane w konsoli Intune dla urządzeń mac zarejestrowanych przy użyciu narzędzia Jamf

Przyczyna: urządzenie jest zarejestrowane w Intune wiele razy, zazwyczaj jest ponownie zarejestrowane po usunięciu z Intune.

Po usunięciu urządzenia z integracji Intune i narzędzia Jamf Pro niektóre dane mogą pozostać w tyle, co może powodować tworzenie zduplikowanych wpisów przez kolejne rejestracje.

Rozwiązanie
Aby rozwiązać ten problem, wykonaj kroki opisane w temacie Przyczyna 6.

Nie można ocenić urządzenia za pomocą zasad zgodności

Przyczyna: Integracja narzędzia Jamf z Intune nie obsługuje zasad zgodności, które są przeznaczone dla grup urządzeń.

Rozwiązanie
Zmodyfikuj zasady zgodności dla urządzeń z systemem macOS, które mają być przypisane do grup użytkowników.

Nie można pobrać tokenu dostępu dla usługi Microsoft interfejs Graph API

Zostanie wyświetlony następujący błąd:

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

Źródłem tego błędu może być jedna z następujących przyczyn:

Przyczyna 1

Wystąpił problem z uprawnieniami aplikacji Jamf Pro na platformie Azure. Podczas rejestrowania aplikacji Jamf Pro na platformie Azure wystąpił jeden z następujących warunków:

  • Aplikacja otrzymała więcej niż jedno uprawnienie.
  • Nie wybrano opcji Udziel zgody administratora dla <twojej firmy> .

Rozwiązanie
Zapoznaj się z rozwiązaniem problemu dotyczącego niepowodzenia rejestracji przyczyny 1 dla urządzeń, które opisano wcześniej w tym artykule.

Przyczyna 2

Licencja wymagana do integracji Jamf-Intune wygasła.

Rozwiązanie Zapoznaj się z rozwiązaniem problemu przyczyny 3, jeśli rejestracja urządzeń nie powiodła się.

Przyczyna 3

Wymagane porty nie są otwarte w sieci.

Rozwiązanie Przejrzyj informacje dotyczące portów sieciowych w temacie Wymagania wstępne dotyczące integracji narzędzia Jamf Pro z Intune.