Jamf Pro 与 Microsoft Intune 集成疑难解答

本文可帮助管理员Intune了解 Jamf Pro for macOS 与 Microsoft Intune 集成时遇到的问题并对其进行故障排除。 以下每个部分都介绍了一个常见问题，并提供了解决的潜在原因和故障排除步骤。

重要

已弃用对条件访问的 Jamf macOS 设备支持。

从 2024 年 9 月 1 日起，将不再支持 Jamf Pro 的条件访问功能所基于的平台。

如果使用适用于 macOS 设备的 Jamf Pro 条件访问集成，请按照 Jamf 记录的指南将 设备从 macOS 条件访问迁移到 macOS 设备符合性。

如有疑问或需要帮助，请联系 Jamf Customer Success。 有关详细信息，请参阅 将 Jamf macOS 设备从条件访问转换为设备符合性。

先决条件

在开始故障排除之前，请收集一些基本信息来阐明问题并减少查找解决方案的时间。 例如，遇到 Jamf-Intune 集成相关问题时，请始终验证是否满足先决条件。 在开始故障排除之前，请考虑以下事项：

• 根据配置 Jamf Pro 与 Intune 集成的方式，查看以下文章中的先决条件：
  • 使用 Jamf 云连接器将 Jamf Pro 与 Intune 集成
  • 将 Jamf Pro 与 Intune 集成
• 所有用户都必须具有Microsoft Intune和Microsoft Entra ID P1 许可证
• 你必须在 Jamf Pro 控制台中具有Microsoft Intune集成权限的用户帐户。
• 必须具有在 Azure 中具有全局管理员权限的用户帐户。

调查 Jamf Pro 与 Intune 的集成时，请收集以下信息：

• () 的确切错误消息
• 错误消息 () 的位置
• 问题何时开始，以及你的 Jamf Pro 与 Intune 集成之前是否正常工作
• (所有用户或仅影响某些) 的用户数
• (所有设备或仅部分) 影响多少台设备

设备在 Jamf Pro 中标记为无响应

原因：以下是 Jamf Pro 将设备标记为 无响应 的常见原因：

• 设备无法使用 Jamf Pro 检查。
  Jamf Pro 预计设备每 15 分钟检查一次。 如果设备在 24 小时内无法检查，则 Jamf 将其标记为无响应。

• 设备无法检查Microsoft Entra ID。
  成功注册到Microsoft Entra ID后，macOS 设备会收到 Azure 令牌：

  • 此令牌每 12 小时刷新一次。
  • 当令牌刷新失败 24 小时或更长时间时，Jamf Pro 会将设备标记为无响应。
  • 如果 Azure 令牌过期，系统会提示用户登录到 Azure 以获取新令牌。 每七天生成一个用于 Azure 访问的刷新令牌。

解决方案
在 Jamf Pro 将设备标记为 “无响应 ”后，设备的注册用户必须登录才能更正无响应状态。 必须是已加入工作区帐户的用户，因为他们在密钥链中具有来自Intune的标识。

打开应用时 Mac 设备提示密钥链登录

配置Intune和 Jamf Pro 集成并部署条件访问策略后，使用 Jamf Pro 管理的设备的用户在打开 Microsoft 365 应用程序（例如 Teams、Outlook 和其他需要Microsoft Entra身份验证的应用）时会收到密码提示。

例如，打开 Microsoft Teams 时，将显示一个提示，其中包含类似于以下示例的文本：

Microsoft Teams 希望在密钥链中使用密钥“Microsoft Workplace 加入密钥”进行签名。
若要允许此操作，请输入“登录”密钥链密码

原因：这些提示由 Jamf Pro 针对需要Microsoft Entra注册的每个适用应用生成。

解决方案
在提示符下，用户必须提供其设备密码才能登录到Microsoft Entra ID。 选项包括：

• 拒绝 - 不登录，也不要使用应用。
• 允许 - 一次性登录。 应用下次打开时，会再次提示登录。
• 始终允许 - 为应用程序缓存登录凭据。 下次打开应用时，它不会提示登录。

为一个应用选择 “始终允许 ”仅批准该应用以供将来登录。 其他应用会提示进行身份验证，直到它们也设置为 “始终允许”。 一个应用的缓存凭据不能由另一个应用使用。

设备无法注册到 Intune

Mac 设备无法通过 Jamf Pro 注册到 Intune 有几个常见原因。

原因 1 - Jamf Pro 没有正确的权限

Azure 中的 Jamf Pro 企业应用程序具有错误的权限或具有多个权限。 在 Azure 中创建应用时，必须删除所有默认 API 权限，然后Intune分配update_device_attributes的单个权限。

解决方案
查看并在必要时更正 Jamf 应用的权限。 如果使用 Jamf Pro 云连接器，则已为你创建了此应用。 如果手动配置集成，则会在 Microsoft Entra ID 中创建应用。 有关应用权限，请参阅在 Microsoft Entra ID 中创建适用于 Jamf) 的应用程序 (。

原因 2 - 租户或帐户错误

Jamf Native macOS 连接器应用不是在Microsoft Entra租户中创建的，或者连接器的同意是由没有全局管理员权限的帐户签名的。

解决方案
请参阅在 docs.jamf.com 上与 Microsoft Intune 集成中的配置 macOS Intune 集成部分。

原因 3 - 用户没有有效的许可证 ()

缺少有效的Intune或 Jamf 许可证可能会导致以下错误，指示 Jamf 许可证已过期：

无法连接到Microsoft Intune。
检查Microsoft Intune集成配置。

解决方案

• Jamf 许可证：请联系 Jamf 以获取有关获取 Jamf 新许可证的帮助。
• Intune许可证：向用户分配有效的许可证，或联系 Microsoft 或合作伙伴以获取有关如何获取当前许可证的信息。

原因 4 - 用户未使用 Jamf 自助服务

若要通过 Jamf 向 Intune成功注册和注册设备，用户必须使用 Jamf 自助服务打开Intune 公司门户。 如果用户手动打开公司门户，则设备会在未连接到 Jamf 的情况下注册和注册。

若要确定设备用于注册和注册的服务，请查看设备上的公司门户应用。 通过 Jamf 注册时，应会收到一条通知，用于打开 Self-Service 应用进行更改。

在 公司门户 应用中，用户可能会看到 Not registered，并且类似于以下示例的条目可能会出现在公司门户日志中：

第 7783 行： <日期><IP 地址> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift：253 (startLogin () ) 门户在帐户处于合作伙伴管理之下时，仅启动 WPJ arg

解决方案

若要将注册源从 Intune 更改为 Jamf，请执行以下操作：

1. 从Intune中删除 macOS 设备。 若要避免未从Intune中完全删除的设备出现进一步的复杂情况，请参阅下面的原因 6。

2. 在设备上，使用 Jamf 自助服务打开 公司门户 应用，然后将设备注册到 Microsoft Entra ID。 此任务要求你已完成以下任务：

   • 在 Jamf Pro 中部署适用于 macOS 的公司门户应用
   • 在 Jamf Pro 中创建策略，让用户向 Microsoft Entra ID 注册其设备

3. 门户打开时，你看到的第一个屏幕会提示你登录。 使用工作或学校帐户

4. 公司门户确认帐户信息，并显示设备注册和设备符合性状态。 黄色三角形突出显示了保护学校或工作的 macOS 设备所需的操作。 单击“开始”开始注册。

5. 如果出现提示，请键入计算机的登录信息。

注册设备可能需要几分钟时间。 注册完成后，你将收到一条消息，告知你已完成。

原因 5 - Intune集成已关闭

如果Intune集成处于关闭状态，用户在尝试注册设备时，会在公司门户中收到一个弹出窗口，其中包含以下消息：

无效的命令行输入 仅注册命令行标志 (-r) 只能在 Intune 中启用合作伙伴管理时使用。 请联系 IT 管理员。

当集成处于关闭状态时，Jamf Pro 服务器会向Intune服务器发送一个脉冲，告知Intune集成已禁用。

解决方案
在 Jamf Pro 中重新启用Intune集成。 根据配置集成的方式，请参阅以下内容：

• 使用 Jamf 云连接器将 Jamf Pro 与 Intune 集成
• 在 Jamf Pro 中手动配置Microsoft Intune集成。

原因 6 - 设备以前已在 Intune 中注册

如果设备已从 Jamf 取消注册，但未正确从 Intune (中删除（如果设备以前已注册) ，或者用户已多次尝试注册），则可能会在门户中看到同一设备的多个实例。 这会导致 Jamf 注册失败。

解决方案

1. 在 Mac 上，启动 “终端”。

2. 运行 sudo JAMF removemdmprofile。

3. 运行 sudo JAMF removeFramework。

4. 在 JAMF Pro 服务器上，删除计算机的清单记录。

5. 从 AzureAD 中删除设备。

6. 删除设备上的以下文件（如果存在）：

   • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
   • /Library/Application Support/com.microsoft.CompanyPortal
   • /Library/Application Support/com.jamfsoftware.selfservice.mac
   • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
   • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
   • /Library/Preferences/com.microsoft.CompanyPortal.plist
   • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
   • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
   • /Users/<username>/Library/Cookies/com.microsoft.CompanyPortal.binarycookies
   • /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
   • com.microsoft.CompanyPortal
   • com.microsoft.CompanyPortal.HockeySDK
   • enterpriseregistration.windows.net
   • https://device.login.microsoftonline.com
   • https://device.login.microsoftonline.com/
   • Microsoft 会话传输密钥 (公钥和私钥)
   • Microsoft Workplace 加入密钥 (公钥和私钥)

7. 从设备上引用 Microsoft、Intune 或公司门户的密钥链中删除任何内容，包括 DeviceLogin.microsoft.com 证书。 删除 JAMF 引用，但 JAMF 公钥和私钥除外。

   重要

   删除公钥和私钥会中断设备注册。

8. 删除找到的以下任何条目：

   • 类型：应用程序密码;帐户：com.microsoft.workplacejoin.thumbprint
   • 类型：应用程序密码;帐户：com.microsoft.workplacejoin.registeredUserPrincipalName
   • 类型：证书;颁发者：MS-Organization-Access
   • 类型：标识首选项;如果存在) ，则 (ADFS STS URL 的名称： https://<DNS NAME>.com/adfs/ls
   • 类型：标识首选项;名字： https://enterpriseregistration.windows.net
   • 类型：标识首选项;名字： https://enterpriseregistration.windows.net/

9. 重启 Mac 设备。

10. 从设备卸载公司门户。

11. 转到 portal.manage.microsoft.com 并删除 Mac 设备的所有实例。 请至少等待 30 分钟，然后转到下一步。

12. 在 JAMF Pro 中重新注册设备。

13. 重新打开自助服务并启动注册策略。

原因 7 - 用户未提供对其密钥的 JamfAAD 访问权限

JamfAAD 请求从用户的密钥链访问“Microsoft Workplace 加入密钥”。 在注册期间，macOS 设备的用户会收到以下提示，以允许 JamfAAD 从其密钥链访问密钥：

JamfAAD 想要访问密钥链中的密钥“Microsoft Workplace 加入密钥”。 若要允许此操作，请输入“登录”密钥链密码

解决方案
若要向 Microsoft Entra ID 成功注册设备，Jamf 要求用户提供其帐户密码，然后选择“允许”。

此请求类似于打开应用时 Mac 设备请求密钥链登录提示。

Mac 设备在 Intune 中显示合规，但在 Azure 中不符合

原因：以下条件可能导致设备在 Intune 显示为合规，但在 Azure 中显示为合规：

• 设备未正确注册。
• 设备多次注册，但未进行必要的清理。

解决方案
若要解决此问题，请按照 原因 6 中的步骤操作。

使用 Jamf 注册的 Mac 设备的 Intune 控制台中显示重复条目

原因：设备多次注册到 Intune，通常在从Intune中删除后重新注册。

从 Intune 和 Jamf Pro 集成中删除设备时，可能会留下一些数据，这可能会导致连续注册创建重复条目。

解决方案
若要解决此问题，请按照 原因 6 中的步骤操作。

合规性策略无法评估设备

原因：Jamf 与 Intune 集成不支持面向设备组的符合性策略。

解决方案
修改要分配给用户组的 macOS 设备的符合性策略。

无法检索 Microsoft 图形 API的访问令牌

你收到以下错误：

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

此错误的来源可能是以下原因之一：

原因 1

Azure 中的 Jamf Pro 应用程序存在权限问题。 在 Azure 中注册 Jamf Pro 应用时，出现了以下情况之一：

• 应用收到了多个权限。
• 未选择“为<公司>授予管理员同意”选项。

解决方案
请参阅本文前面的设备 注册原因 1 的解决方法。

原因 2

Jamf-Intune 集成所需的许可证已过期。

解决 方案 请参阅 设备注册失败的原因 3 的解决方法。

原因 3

所需的端口未在网络上打开。

解决 方案查看将 Jamf Pro 与 Intune 集成的先决条件中的网络端口信息。