Dela via


Felsöka integrering av Jamf Pro med Microsoft Intune

Den här artikeln hjälper Intune administratörer att förstå och felsöka problem med integrering av Jamf Pro för macOS med Microsoft Intune. Vart och ett av följande avsnitt beskriver ett vanligt problem och erbjuder en potentiell orsak och felsökningssteg för en lösning.

Viktigt

Jamf macOS-enhetsstöd för villkorsstyrd åtkomst håller på att fasas ut.

Från och med den 1 september 2024 kommer den plattform som Jamf Pro:s funktion för villkorsstyrd åtkomst bygger på inte längre att stödjas.

Om du använder Jamf Pro:s integrering av villkorsstyrd åtkomst för macOS-enheter följer du Jamfs dokumenterade riktlinjer för att migrera dina enheter från macOS Villkorlig åtkomst till macOS-enhetsefterlevnad.

Om du har frågor eller behöver hjälp kontaktar du Jamf Customer Success. Mer information finns i Överföra Jamf macOS-enheter från villkorlig åtkomst till enhetsefterlevnad.

Förutsättningar

Innan du börjar felsöka samlar du in grundläggande information för att klargöra problemet och minska tiden för att hitta en lösning. När du till exempel stöter på ett Jamf-Intune integrationsrelaterat problem kontrollerar du alltid att kraven har uppfyllts. Tänk på följande innan du börjar felsöka:

Samla in följande information när du undersöker Jamf Pro-integrering med Intune:

  • Exakta felmeddelanden
  • Platsen för felmeddelandena
  • När problemet började och om Jamf Pro-integreringen med Intune fungerade tidigare
  • Hur många användare som påverkas (alla användare eller bara några)
  • Hur många enheter som påverkas (alla enheter eller bara vissa)

Enheter markeras som icke-svarar i Jamf Pro

Orsak: Följande är vanliga orsaker till att enheter markeras som Icke-svarare av Jamf Pro:

  • Enheten kan inte checka in med Jamf Pro.
    Jamf Pro förväntar sig att enheter checkar in var 15:e minut. Enheter markeras som icke-svarare av Jamf när de inte kan checka in under en 24-timmarsperiod.

  • Enheten kan inte checka in med Microsoft Entra ID.
    Med lyckad registrering till Microsoft Entra ID får macOS-enheter en Azure-token:

    • Den här token uppdateras var 12:e timme.
    • När tokenuppdateringen misslyckas i 24 timmar eller mer markerar Jamf Pro att enheten inte svarar.
    • Om Azure-token upphör att gälla uppmanas användarna att logga in på Azure för att hämta en ny token. En uppdateringstoken för Azure-åtkomst genereras var sjunde dag.

Lösning
När en enhet har markerats som Svarar inte av Jamf Pro måste den registrerade användaren av enheten logga in för att korrigera det icke-dynamiska tillståndet. Det måste vara användaren som har arbetsplatsanslutet kontot eftersom de har identiteten från Intune i nyckelringen.

Mac-enheter frågar efter inloggning med nyckelring när du öppnar en app

När du har konfigurerat Intune och Jamf Pro-integrering och distribuerat principer för villkorlig åtkomst får användare av enheter som hanteras med Jamf Pro lösenordsuppaningar när de öppnar Microsoft 365-program, till exempel Teams, Outlook och andra appar som kräver Microsoft Entra autentisering.

En fråga med text som liknar följande exempel visas till exempel när Microsoft Teams öppnas:

Microsoft Teams vill signera med nyckeln "Microsoft Workplace Join Key" i din nyckelring.
Om du vill tillåta detta anger du nyckelringslösenordet "login"

Orsak: Dessa uppmaningar genereras av Jamf Pro för varje tillämplig app som kräver Microsoft Entra registrering.

Lösning
Vid uppmaningen måste användaren ange sitt enhetslösenord för att logga in på Microsoft Entra ID. Alternativen är:

  • Neka – Logga inte in och använd inte appen.
  • Tillåt – en engångsinloggning. Nästa gång appen öppnas uppmanas den att logga in igen.
  • Tillåt alltid – inloggningsuppgifterna cachelagras för programmet. Nästa gång appen öppnas uppmanas den inte att logga in.

Om du väljer Tillåt alltid för en app godkänns endast appen för framtida inloggning. Ytterligare appar frågar efter autentisering tills de också har angetts som Tillåt alltid. Cachelagrade autentiseringsuppgifter för en app kan inte användas av en annan app.

Enheter kan inte registreras med Intune

Det finns flera vanliga orsaker till att Mac-enheter inte registreras med Intune via Jamf Pro.

Orsak 1 – Jamf Pro har inte rätt behörigheter

Jamf Pro-företagsprogrammet i Azure har fel behörighet eller har mer än en behörighet. När du skapar appen i Azure måste du ta bort alla standard-API-behörigheter och sedan tilldela Intune en enda behörighet för update_device_attributes.

Lösning
Granska och korrigera behörigheterna för Jamf-appen om det behövs. Om du använder Jamf Pro Cloud Connector skapades den här appen åt dig. Om du konfigurerade integreringen manuellt skapade du appen i Microsoft Entra ID. Appbehörigheter finns i Skapa ett program (för Jamf) i Microsoft Entra ID.

Orsak 2 – Fel klientorganisation eller konto

Jamf Native macOS Connector-appen skapades inte i din Microsoft Entra klientorganisation eller medgivande för anslutningsappen signerades av ett konto som inte har globala administratörsrättigheter.

Lösning
Se avsnittet Configuring macOS Intune Integration i Integrating with Microsoft Intune on docs.jamf.com (Integrera med Microsoft Intune på docs.jamf.com).

Orsak 3 – Användaren har inte giltiga licenser

Brist på en giltig Intune- eller Jamf-licens kan resultera i följande fel, vilket indikerar att Jamf-licensen har upphört att gälla:

Det går inte att ansluta till Microsoft Intune.
Kontrollera konfigurationen för Microsoft Intune-integrering.

Lösning

  • Jamf-licens: Kontakta Jamf om du behöver hjälp med att skaffa en ny licens för Jamf.
  • Intune licens: Tilldela användaren en giltig licens eller kontakta Microsoft eller din partner för information om hur du skaffar en aktuell licens.

Orsak 4 – Användaren använde inte Jamf Self Service

För att en enhet ska kunna registreras och registreras med Intune via Jamf måste användaren använda Jamf Self Service för att öppna Intune-företagsportal. Om användaren öppnar Företagsportal manuellt registreras och registreras enheten utan anslutning till Jamf.

Om du vill ta reda på vilken tjänst enheten använde för att registrera och registrera tittar du i appen Företagsportal på enheten. När du har registrerat dig via Jamf bör du få ett meddelande om att öppna Self-Service-appen för att göra ändringar.

I den Företagsportal appen kan användaren se Not registered, och en post som liknar följande exempel kan visas i Företagsportal loggarna:

Rad 7783: <DATE><IP ADDRESS> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift: 253-portalen (startLogin()) startades utan WPJ endast arg medan kontot hanteras av partner

Lösning

Så här ändrar du registreringskällan från Intune till Jamf:

  1. Ta bort macOS-enheten från Intune. Information om hur du undviker ytterligare komplikationer för enheter som inte tas bort helt från Intune finns i Orsak 6 nedan.

  2. På enheten använder du Jamf Self Service för att öppna Företagsportal-appen och registrerar sedan enheten med Microsoft Entra ID. Den här uppgiften kräver att du redan har slutfört följande uppgifter:

  3. När portalen öppnas uppmanas du att logga in på den första skärmen du ser. Använda ditt arbets- eller skolkonto

  4. Företagsportal bekräftar din kontoinformation och visar status för enhetsregistrering och enhetsefterlevnad. Gula trianglar belyser de åtgärder du behöver vidta för att skydda din macOS-enhet för skola eller arbete. Klicka på Börja för att starta registreringen.

  5. Om du uppmanas till det skriver du in datorns inloggningsinformation.

Det kan ta några minuter att registrera enheten. Du får ett meddelande när registreringen har slutförts så att du vet att du är klar.

Orsak 5 – Intune integrering är inaktiverad

Om Intune integrering är inaktiverad får användarna ett popup-fönster i Företagsportal med följande meddelande när de försöker registrera en enhet:

Ogiltig kommandoradsinmatning Kommandoradsflagga för endast registrering (-r) kan endast användas när partnerhantering är aktiverat i Intune. Kontakta IT-administratören.

Jamf Pro-servern skickar en puls till Intune-servrarna när integreringen är avstängd som talar om för Intune att integreringen är inaktiverad.

Lösning
Återaktivera Intune integrering i Jamf Pro. Se följande beroende på hur du konfigurerar integrering:

Orsak 6 – Enheten har tidigare registrerats i Intune

Om en enhet avregistreras från Jamf men inte tas bort korrekt från Intune (om den hade registrerats tidigare), eller om användaren har gjort flera registreringsförsök, kan du se flera instanser av samma enhet i portalen. Detta gör att Jamf-registreringen misslyckas.

Lösning

  1. Starta terminalen på Mac.

  2. Kör sudo JAMF removemdmprofile.

  3. Kör sudo JAMF removeFramework.

  4. Ta bort datorns inventeringspost på JAMF Pro-servern.

  5. Ta bort enheten från AzureAD.

  6. Ta bort följande filer på enheten om de finns:

    • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
    • /Library/Application Support/com.microsoft.CompanyPortal
    • /Library/Application Support/com.jamfsoftware.selfservice.mac
    • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
    • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
    • /Library/Preferences/com.microsoft.CompanyPortal.plist
    • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
    • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
    • /Users/<username>/Library/Cookies/com.microsoft.CompanyPortal.binarycookies
    • /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
    • com.microsoft.CompanyPortal
    • com.microsoft.CompanyPortal.HockeySDK
    • enterpriseregistration.windows.net
    • https://device.login.microsoftonline.com
    • https://device.login.microsoftonline.com/
    • Transportnyckel för Microsoft-session (offentliga och privata nycklar)
    • Microsoft Workplace Join Key (offentliga OCH privata nycklar)
  7. Ta bort allt från nyckelringen på enheten som refererar till Microsoft, Intune eller Företagsportal, inklusive DeviceLogin.microsoft.com certifikat. Ta bort JAMF-referenser förutom offentlig och privat JAMF-nyckel.

    Viktigt

    Om du tar bort den offentliga och privata nyckeln avbryts enhetsregistreringen.

  8. Ta bort någon av följande poster som du hittar:

    • Typ: Programlösenord; Konto: com.microsoft.workplacejoin.thumbprint
    • Typ: Programlösenord; Konto: com.microsoft.workplacejoin.registeredUserPrincipalName
    • Typ: Certifikat ; Utfärdat av: MS-Organization-Access
    • Typ: Identitetsinställning ; Namn (ADFS STS-URL om det finns): https://<DNS NAME>.com/adfs/ls
    • Typ: Identitetsinställning ; Namn: https://enterpriseregistration.windows.net
    • Typ: Identitetsinställning ; Namn: https://enterpriseregistration.windows.net/
  9. Starta om Mac-enheten.

  10. Avinstallera Företagsportal från enheten.

  11. Gå till portal.manage.microsoft.com och ta bort alla instanser av Mac-enheten. Vänta minst 30 minuter innan du går till nästa steg.

  12. Registrera enheten igen i JAMF Pro.

  13. Öppna självbetjäning igen och starta registreringsprincipen.

Orsak 7 – Användaren gav inte JamfAAD åtkomst till sin nyckel

JamfAAD begär åtkomst till en "Microsoft Workplace Join Key" från användarnas nyckelring. Under registreringen får användaren av en macOS-enhet följande uppmaning om att ge JamfAAD åtkomst till en nyckel från nyckelringen:

JamfAAD vill komma åt nyckeln "Microsoft Workplace Join Key" i din nyckelring. Om du vill tillåta detta anger du nyckelringslösenordet "login"

Lösning
För att registrera enheten med Microsoft Entra ID kräver Jamf att användaren anger sitt kontolösenord och väljer Tillåt.

Den här begäran liknar begäran om inloggning med Mac-enheter när du öppnar en app.

Mac-enheten visar kompatibel i Intune men inkompatibel i Azure

Orsak: Följande villkor kan göra att en enhet visas som kompatibel i Intune men inte lika kompatibel i Azure:

  • Enheten är inte korrekt registrerad.
  • Enheten registrerades flera gånger utan nödvändig rensning.

Lösning
Lös problemet genom att följa stegen i Orsak 6.

Dubblettposter visas i Intune-konsolen för Mac-enheter som registrerats med jamf

Orsak: En enhet registreras med Intune flera gånger, vanligtvis omregistreras efter att ha tagits bort från Intune.

När en enhet tas bort från Intune och Jamf Pro-integrering kan vissa data lämnas kvar, vilket kan leda till att efterföljande registreringar skapar dubblettposter.

Lösning
Lös problemet genom att följa stegen i Orsak 6.

Efterlevnadsprincipen kan inte utvärdera enheten

Orsak: Jamf-integrering med Intune stöder inte efterlevnadsprinciper som riktar sig till enhetsgrupper.

Lösning
Ändra efterlevnadsprincipen för macOS-enheter som ska tilldelas till användargrupper.

Det gick inte att hämta åtkomsttoken för Microsoft Graph API

Du får följande fel:

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

Orsaken till det här felet kan vara någon av följande orsaker:

Orsak 1

Det finns ett behörighetsproblem med Jamf Pro-programmet i Azure. När Jamf Pro-appen registrerades i Azure inträffade något av följande villkor:

  • Appen fick mer än en behörighet.
  • Alternativet Bevilja administratörsmedgivande för <ditt företag> har inte valts.

Lösning
Se lösningen för orsak 1 för enheter som inte kan registreras tidigare i den här artikeln.

Orsak 2

En licens som krävs för Jamf-Intune integrering har upphört att gälla.

Lösning Se lösningen för orsak 3 för enheter som inte kan registreras.

Orsak 3

De portar som krävs är inte öppna i nätverket.

Lösning Granska informationen för nätverksportar i Krav för att integrera Jamf Pro med Intune.