Jamf Pro 与 Microsoft Intune 集成疑难解答
本文可帮助管理员Intune了解 Jamf Pro for macOS 与 Microsoft Intune 集成时遇到的问题并对其进行故障排除。 以下每个部分都介绍了一个常见问题,并提供了解决的潜在原因和故障排除步骤。
重要
已弃用对条件访问的 Jamf macOS 设备支持。
从 2024 年 9 月 1 日起,将不再支持 Jamf Pro 的条件访问功能所基于的平台。
如果使用适用于 macOS 设备的 Jamf Pro 条件访问集成,请按照 Jamf 记录的指南将 设备从 macOS 条件访问迁移到 macOS 设备符合性。
如有疑问或需要帮助,请联系 Jamf Customer Success。 有关详细信息,请参阅 将 Jamf macOS 设备从条件访问转换为设备符合性。
先决条件
在开始故障排除之前,请收集一些基本信息来阐明问题并减少查找解决方案的时间。 例如,遇到 Jamf-Intune 集成相关问题时,请始终验证是否满足先决条件。 在开始故障排除之前,请考虑以下事项:
- 根据配置 Jamf Pro 与 Intune 集成的方式,查看以下文章中的先决条件:
- 所有用户都必须具有Microsoft Intune和Microsoft Entra ID P1 许可证
- 你必须在 Jamf Pro 控制台中具有Microsoft Intune集成权限的用户帐户。
- 必须具有在 Azure 中具有全局管理员权限的用户帐户。
调查 Jamf Pro 与 Intune 的集成时,请收集以下信息:
- () 的确切错误消息
- 错误消息 () 的位置
- 问题何时开始,以及你的 Jamf Pro 与 Intune 集成之前是否正常工作
- (所有用户或仅影响某些) 的用户数
- (所有设备或仅部分) 影响多少台设备
设备在 Jamf Pro 中标记为无响应
原因:以下是 Jamf Pro 将设备标记为 无响应 的常见原因:
设备无法使用 Jamf Pro 检查。
Jamf Pro 预计设备每 15 分钟检查一次。 如果设备在 24 小时内无法检查,则 Jamf 将其标记为无响应。设备无法检查Microsoft Entra ID。
成功注册到Microsoft Entra ID后,macOS 设备会收到 Azure 令牌:- 此令牌每 12 小时刷新一次。
- 当令牌刷新失败 24 小时或更长时间时,Jamf Pro 会将设备标记为无响应。
- 如果 Azure 令牌过期,系统会提示用户登录到 Azure 以获取新令牌。 每七天生成一个用于 Azure 访问的刷新令牌。
解决方案
在 Jamf Pro 将设备标记为 “无响应 ”后,设备的注册用户必须登录才能更正无响应状态。 必须是已加入工作区帐户的用户,因为他们在密钥链中具有来自Intune的标识。
打开应用时 Mac 设备提示密钥链登录
配置Intune和 Jamf Pro 集成并部署条件访问策略后,使用 Jamf Pro 管理的设备的用户在打开 Microsoft 365 应用程序(例如 Teams、Outlook 和其他需要Microsoft Entra身份验证的应用)时会收到密码提示。
例如,打开 Microsoft Teams 时,将显示一个提示,其中包含类似于以下示例的文本:
Microsoft Teams 希望在密钥链中使用密钥“Microsoft Workplace 加入密钥”进行签名。
若要允许此操作,请输入“登录”密钥链密码
原因:这些提示由 Jamf Pro 针对需要Microsoft Entra注册的每个适用应用生成。
解决方案
在提示符下,用户必须提供其设备密码才能登录到Microsoft Entra ID。 选项包括:
- 拒绝 - 不登录,也不要使用应用。
- 允许 - 一次性登录。 应用下次打开时,会再次提示登录。
- 始终允许 - 为应用程序缓存登录凭据。 下次打开应用时,它不会提示登录。
为一个应用选择 “始终允许 ”仅批准该应用以供将来登录。 其他应用会提示进行身份验证,直到它们也设置为 “始终允许”。 一个应用的缓存凭据不能由另一个应用使用。
设备无法注册到 Intune
Mac 设备无法通过 Jamf Pro 注册到 Intune 有几个常见原因。
原因 1 - Jamf Pro 没有正确的权限
Azure 中的 Jamf Pro 企业应用程序具有错误的权限或具有多个权限。 在 Azure 中创建应用时,必须删除所有默认 API 权限,然后Intune分配update_device_attributes的单个权限。
解决方案
查看并在必要时更正 Jamf 应用的权限。 如果使用 Jamf Pro 云连接器,则已为你创建了此应用。 如果手动配置集成,则会在 Microsoft Entra ID 中创建应用。 有关应用权限,请参阅在 Microsoft Entra ID 中创建适用于 Jamf) 的应用程序 (。
原因 2 - 租户或帐户错误
Jamf Native macOS 连接器应用不是在Microsoft Entra租户中创建的,或者连接器的同意是由没有全局管理员权限的帐户签名的。
解决方案
请参阅在 docs.jamf.com 上与 Microsoft Intune 集成中的配置 macOS Intune 集成部分。
原因 3 - 用户没有有效的许可证 ()
缺少有效的Intune或 Jamf 许可证可能会导致以下错误,指示 Jamf 许可证已过期:
无法连接到Microsoft Intune。
检查Microsoft Intune集成配置。
解决方案
- Jamf 许可证:请联系 Jamf 以获取有关获取 Jamf 新许可证的帮助。
- Intune许可证:向用户分配有效的许可证,或联系 Microsoft 或合作伙伴以获取有关如何获取当前许可证的信息。
原因 4 - 用户未使用 Jamf 自助服务
若要通过 Jamf 向 Intune成功注册和注册设备,用户必须使用 Jamf 自助服务打开Intune 公司门户。 如果用户手动打开公司门户,则设备会在未连接到 Jamf 的情况下注册和注册。
若要确定设备用于注册和注册的服务,请查看设备上的公司门户应用。 通过 Jamf 注册时,应会收到一条通知,用于打开 Self-Service 应用进行更改。
在 公司门户 应用中,用户可能会看到 Not registered
,并且类似于以下示例的条目可能会出现在公司门户日志中:
第 7783 行: <日期><IP 地址> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift:253 (startLogin () ) 门户在帐户处于合作伙伴管理之下时,仅启动 WPJ arg
解决方案
若要将注册源从 Intune 更改为 Jamf,请执行以下操作:
从Intune中删除 macOS 设备。 若要避免未从Intune中完全删除的设备出现进一步的复杂情况,请参阅下面的原因 6。
在设备上,使用 Jamf 自助服务打开 公司门户 应用,然后将设备注册到 Microsoft Entra ID。 此任务要求你已完成以下任务:
门户打开时,你看到的第一个屏幕会提示你登录。 使用工作或学校帐户
公司门户确认帐户信息,并显示设备注册和设备符合性状态。 黄色三角形突出显示了保护学校或工作的 macOS 设备所需的操作。 单击“开始”开始注册。
如果出现提示,请键入计算机的登录信息。
注册设备可能需要几分钟时间。 注册完成后,你将收到一条消息,告知你已完成。
原因 5 - Intune集成已关闭
如果Intune集成处于关闭状态,用户在尝试注册设备时,会在公司门户中收到一个弹出窗口,其中包含以下消息:
无效的命令行输入 仅注册命令行标志 (-r) 只能在 Intune 中启用合作伙伴管理时使用。 请联系 IT 管理员。
当集成处于关闭状态时,Jamf Pro 服务器会向Intune服务器发送一个脉冲,告知Intune集成已禁用。
解决方案
在 Jamf Pro 中重新启用Intune集成。 根据配置集成的方式,请参阅以下内容:
原因 6 - 设备以前已在 Intune 中注册
如果设备已从 Jamf 取消注册,但未正确从 Intune (中删除(如果设备以前已注册) ,或者用户已多次尝试注册),则可能会在门户中看到同一设备的多个实例。 这会导致 Jamf 注册失败。
解决方案
在 Mac 上,启动 “终端”。
运行 sudo JAMF removemdmprofile。
运行 sudo JAMF removeFramework。
在 JAMF Pro 服务器上,删除计算机的清单记录。
从 AzureAD 中删除设备。
删除设备上的以下文件(如果存在):
- /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
- /Library/Application Support/com.microsoft.CompanyPortal
- /Library/Application Support/com.jamfsoftware.selfservice.mac
- /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
- /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
- /Library/Preferences/com.microsoft.CompanyPortal.plist
- /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
- /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
- /Users/<username>/Library/Cookies/com.microsoft.CompanyPortal.binarycookies
- /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
- com.microsoft.CompanyPortal
- com.microsoft.CompanyPortal.HockeySDK
- enterpriseregistration.windows.net
https://device.login.microsoftonline.com
https://device.login.microsoftonline.com/
- Microsoft 会话传输密钥 (公钥和私钥)
- Microsoft Workplace 加入密钥 (公钥和私钥)
从设备上引用 Microsoft、Intune 或公司门户的密钥链中删除任何内容,包括 DeviceLogin.microsoft.com 证书。 删除 JAMF 引用,但 JAMF 公钥和私钥除外。
重要
删除公钥和私钥会中断设备注册。
删除找到的以下任何条目:
- 类型:应用程序密码;帐户:com.microsoft.workplacejoin.thumbprint
- 类型:应用程序密码;帐户:com.microsoft.workplacejoin.registeredUserPrincipalName
- 类型:证书;颁发者:MS-Organization-Access
- 类型:标识首选项;如果存在) ,则 (ADFS STS URL 的名称:
https://<DNS NAME>.com/adfs/ls
- 类型:标识首选项;名字:
https://enterpriseregistration.windows.net
- 类型:标识首选项;名字:
https://enterpriseregistration.windows.net/
重启 Mac 设备。
从设备卸载公司门户。
转到 portal.manage.microsoft.com 并删除 Mac 设备的所有实例。 请至少等待 30 分钟,然后转到下一步。
在 JAMF Pro 中重新注册设备。
重新打开自助服务并启动注册策略。
原因 7 - 用户未提供对其密钥的 JamfAAD 访问权限
JamfAAD 请求从用户的密钥链访问“Microsoft Workplace 加入密钥”。 在注册期间,macOS 设备的用户会收到以下提示,以允许 JamfAAD 从其密钥链访问密钥:
JamfAAD 想要访问密钥链中的密钥“Microsoft Workplace 加入密钥”。 若要允许此操作,请输入“登录”密钥链密码
解决方案
若要向 Microsoft Entra ID 成功注册设备,Jamf 要求用户提供其帐户密码,然后选择“允许”。
此请求类似于打开应用时 Mac 设备请求密钥链登录提示。
Mac 设备在 Intune 中显示合规,但在 Azure 中不符合
原因:以下条件可能导致设备在 Intune 显示为合规,但在 Azure 中显示为合规:
- 设备未正确注册。
- 设备多次注册,但未进行必要的清理。
解决方案
若要解决此问题,请按照 原因 6 中的步骤操作。
使用 Jamf 注册的 Mac 设备的 Intune 控制台中显示重复条目
原因:设备多次注册到 Intune,通常在从Intune中删除后重新注册。
从 Intune 和 Jamf Pro 集成中删除设备时,可能会留下一些数据,这可能会导致连续注册创建重复条目。
解决方案
若要解决此问题,请按照 原因 6 中的步骤操作。
合规性策略无法评估设备
原因:Jamf 与 Intune 集成不支持面向设备组的符合性策略。
解决方案
修改要分配给用户组的 macOS 设备的符合性策略。
无法检索 Microsoft 图形 API的访问令牌
你收到以下错误:
Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.
此错误的来源可能是以下原因之一:
原因 1
Azure 中的 Jamf Pro 应用程序存在权限问题。 在 Azure 中注册 Jamf Pro 应用时,出现了以下情况之一:
- 应用收到了多个权限。
- 未选择“为<公司>授予管理员同意”选项。
解决方案
请参阅本文前面的设备 注册原因 1 的解决方法。
原因 2
Jamf-Intune 集成所需的许可证已过期。
解决 方案 请参阅 设备注册失败的原因 3 的解决方法。
原因 3
所需的端口未在网络上打开。
解决 方案查看将 Jamf Pro 与 Intune 集成的先决条件中的网络端口信息。