Problembehandlung bei der Integration von Jamf Pro mit Microsoft Intune

Dieser Artikel hilft Intune-Administratoren dabei, Probleme mit der Integration von Jamf Pro für macOS in Microsoft Intune zu verstehen und zu beheben. Jeder der folgenden Abschnitte beschreibt ein häufiges Problem und bietet eine mögliche Ursache und Problembehandlungsschritte für eine Lösung.

Wichtig

Jamf macOS-Geräteunterstützung für bedingten Zugriff ist veraltet.

Ab dem 1. September 2024 wird die Plattform, auf der das Feature für bedingten Zugriff von Jamf Pro basiert, nicht mehr unterstützt.

Wenn Sie die Integration des bedingten Zugriffs von Jamf Pro für macOS-Geräte verwenden, befolgen Sie die dokumentierten Richtlinien von Jamf, um Ihre Geräte von macOS Conditional Access zu macOS Device Compliance zu migrieren.

Wenn Sie Fragen haben oder Hilfe benötigen, wenden Sie sich an Jamf Customer Success. Weitere Informationen finden Sie unter Transitioning Jamf macOS devices from Conditional Access to Device Compliance.

Voraussetzungen

Bevor Sie mit der Problembehandlung beginnen, sammeln Sie einige grundlegende Informationen, um das Problem zu klären, und reduzieren Sie die Zeit, um eine Lösung zu finden. Wenn beispielsweise ein Jamf-Intune-Integrationsproblem auftritt, überprüfen Sie immer, ob die Voraussetzungen erfüllt wurden. Beachten Sie Folgendes, bevor Sie mit der Problembehandlung beginnen:

• Lesen Sie die Voraussetzungen aus den folgenden Artikeln, je nachdem, wie Sie die Jamf Pro-Integration in Intune konfigurieren:
  • Verwenden des Jamf Cloud Connector zum Integrieren von Jamf Pro in Intune
  • Integrieren von Jamf Pro in Intune
• Alle Benutzer müssen über Microsoft Intune- und Microsoft Entra ID P1-Lizenzen verfügen.
• Sie müssen über ein Benutzerkonto verfügen, das über Microsoft Intune-Integrationsberechtigungen in der Jamf Pro-Konsole verfügt.
• Sie müssen über ein Benutzerkonto verfügen, das über globale Administratorberechtigungen in Azure verfügt.

Sammeln Sie die folgenden Informationen bei der Untersuchung der Jamf Pro-Integration in Intune:

• Genaue Fehlermeldung(en)
• Speicherort der Fehlermeldung(en)
• Wenn das Problem gestartet wurde und ob Ihre Jamf Pro-Integration mit Intune zuvor funktioniert hat
• Wie viele Benutzer betroffen sind (alle Benutzer oder nur einige)
• Wie viele Geräte betroffen sind (alle Geräte oder nur einige)

Geräte werden in Jamf Pro als "nicht reagierend" gekennzeichnet.

Ursache: Nachfolgend finden Sie häufige Ursachen für Geräte, die von Jamf Pro als "Nicht reagieren" gekennzeichnet werden:

• Das Gerät kann nicht mit Jamf Pro eingecheckt werden.
  Jamf Pro erwartet, dass Geräte alle 15 Minuten einchecken. Geräte werden von Jamf als nicht reagiert, wenn sie nicht über einen Zeitraum von 24 Stunden eingecheckt werden.

• Das Gerät kann nicht mit der Microsoft Entra-ID einchecken.
  Bei erfolgreicher Registrierung bei Microsoft Entra-ID erhalten macOS-Geräte ein Azure-Token:

  • Dieses Token wird alle 12 Stunden aktualisiert.
  • Wenn die Tokenaktualisierung 24 Stunden oder mehr fehlschlägt, kennzeichnet Jamf Pro das Gerät als nicht reagierend.
  • Wenn das Azure-Token abläuft, werden Benutzer aufgefordert, sich bei Azure anzumelden, um ein neues Token zu erhalten. Ein Aktualisierungstoken für den Azure-Zugriff wird alle sieben Tage generiert.

Lösung
Nachdem ein Gerät von Jamf Pro als "Nicht reagieren" gekennzeichnet wurde, muss sich der registrierte Benutzer des Geräts anmelden, um den nicht reaktionsfähigen Zustand zu korrigieren. Dabei muss es sich um den Benutzer handeln, der am Arbeitsplatz mit dem Konto verbunden ist, da er die Identität von Intune in seiner Schlüsselkette hat.

Mac-Geräte werden beim Öffnen einer App zur Eingabe der Schlüsselbundanmeldung aufgefordert.

Nachdem Sie die Intune- und Jamf Pro-Integration konfiguriert und Richtlinien für bedingten Zugriff bereitgestellt haben, erhalten Benutzer von Geräten, die mit Jamf Pro verwaltet werden, Kennwortaufforderungen beim Öffnen von Microsoft 365-Anwendungen, z. B. Teams, Outlook und anderen Apps, die die Microsoft Entra-Authentifizierung erfordern.

Beispielsweise wird beim Öffnen von Microsoft Teams eine Eingabeaufforderung mit Text angezeigt, der dem folgenden Beispiel ähnelt:

Microsoft Teams möchte sich mit dem Schlüssel "Microsoft Workplace Join Key" in Ihrem Schlüsselbund signieren.
Um dies zuzulassen, geben Sie das Schlüsselbundkennwort "login" ein.

Ursache: Diese Eingabeaufforderungen werden von Jamf Pro für jede anwendbare App generiert, die microsoft Entra-Registrierung erfordert.

Lösung
An der Eingabeaufforderung muss der Benutzer sein Gerätekennwort angeben, um sich bei der Microsoft Entra-ID anzumelden. Beispiele für Optionen:

• Verweigern – Melden Sie sich nicht an, und verwenden Sie die App nicht.
• Zulassen – einmalige Anmeldung. Wenn die App das nächste Mal geöffnet wird, wird erneut zur Anmeldung aufgefordert.
• Always Allow – Die Anmeldeinformationen werden für die Anwendung zwischengespeichert. Wenn die App das nächste Mal geöffnet wird, wird sie nicht zur Anmeldung aufgefordert.

Wenn Sie "Immer zulassen " für eine App auswählen, wird diese App nur für die zukünftige Anmeldung genehmigt. Zusätzliche Apps werden zur Authentifizierung aufgefordert, bis sie auch als "Immer zulassen" festgelegt sind. Zwischengespeicherte Anmeldeinformationen für eine App können nicht von einer anderen App verwendet werden.

Geräte können bei Intune nicht registriert werden

Es gibt mehrere häufige Ursachen für Mac-Geräte, die sich nicht bei Intune über Jamf Pro registrieren.

Ursache 1 : Jamf Pro verfügt nicht über die richtigen Berechtigungen

Die Jamf Pro-Unternehmensanwendung in Azure verfügt über die falsche Berechtigung oder über mehrere Berechtigungen. Wenn Sie die App in Azure erstellen, müssen Sie alle Standard-API-Berechtigungen entfernen und Dann Intune eine einzelne Berechtigung für update_device_attributes zuweisen.

Lösung
Überprüfen und ggf. korrigieren Sie die Berechtigungen für die Jamf-App. Wenn Sie jamf Pro Cloud Connector verwenden, wurde diese App für Sie erstellt. Wenn Sie die Integration manuell konfiguriert haben, haben Sie die App in microsoft Entra ID erstellt. Informationen zu den App-Berechtigungen finden Sie unter Erstellen einer Anwendung (für Jamf) in Microsoft Entra ID.

Ursache 2 – Falscher Mandant oder Konto

Die Jamf Native macOS Connector-App wurde nicht in Ihrem Microsoft Entra-Mandanten erstellt oder die Zustimmung für den Connector wurde von einem Konto signiert, das nicht über globale Administratorrechte verfügt.

Lösung
Weitere Informationen finden Sie im Abschnitt "Konfigurieren von macOS Intune-Integration " in der Integration mit Microsoft Intune auf docs.jamf.com.

Ursache 3 : Der Benutzer hat keine gültigen Lizenzen.

Fehlende gültige Intune- oder Jamf-Lizenz kann zu folgendem Fehler führen, was darauf hinweist, dass die Jamf-Lizenz abgelaufen ist:

Es kann keine Verbindung mit Microsoft Intune hergestellt werden.
Überprüfen Sie Ihre Microsoft Intune-Integrationskonfiguration.

Lösung

• Jamf-Lizenz: Wenden Sie sich an Jamf, um Hilfe zu erhalten, um eine neue Lizenz für Jamf zu erhalten.
• Intune-Lizenz: Weisen Sie dem Benutzer eine gültige Lizenz zu, oder wenden Sie sich an Microsoft oder Ihren Partner, um Informationen zum Abrufen einer aktuellen Lizenz zu erhalten.

Ursache 4 – Der Benutzer hat Jamf Self Service nicht verwendet

Damit ein Gerät erfolgreich über Jamf bei Intune registriert und registriert werden kann, muss der Benutzer Jamf Self Service verwenden, um die Intune-Unternehmensportal zu öffnen. Wenn der Benutzer die Unternehmensportal manuell öffnet, registriert und registriert das Gerät ohne verbindung mit Jamf.

Um zu ermitteln, welchen Dienst das Gerät zum Registrieren und Registrieren verwendet hat, suchen Sie in der Unternehmensportal-App auf dem Gerät. Wenn Sie über Jamf registriert sind, sollten Sie eine Benachrichtigung erhalten, um die Self-Service-App zu öffnen, um Änderungen vorzunehmen.

In der Unternehmensportal-App wird der Benutzer möglicherweise angezeigtNot registered, und ein Eintrag ähnlich dem folgenden Beispiel wird in den Unternehmensportal Protokollen angezeigt:

Zeile 7783: <DATUM><IP-ADRESSE> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift: 253 (startLogin()) Portal ohne WPJ nur arg gestartet, während das Konto unter Partnerverwaltung steht

Lösung

So ändern Sie die Registrierungsquelle von Intune in Jamf:

1. Entfernen Sie das macOS-Gerät aus Intune. Weitere Komplikationen für Geräte, die nicht vollständig aus Intune entfernt werden, finden Sie unter Ursache 6 weiter unten.

2. Verwenden Sie auf dem Gerät Jamf Self Service, um die Unternehmensportal-App zu öffnen, und registrieren Sie das Gerät dann mit der Microsoft Entra-ID. Für diesen Vorgang müssen Sie die folgenden Aufgaben bereits abgeschlossen haben:

   • Bereitstellen der Unternehmensportal-App für macOS in Jamf Pro
   • Erstellen einer Richtlinie in Jamf Pro, damit Benutzer ihre Geräte mit der Microsoft Entra-ID registrieren können

3. Wenn das Portal geöffnet wird, wird der erste Bildschirm angezeigt, auf dem Sie aufgefordert werden, sich anzumelden. Ihr Geschäfts-, Schul- oder Unikonto verwenden

4. Die Unternehmensportal bestätigt Ihre Kontoinformationen und zeigt die Status der Geräteregistrierung und Gerätekompatibilität an. Gelbe Dreiecke markieren die Aktionen, die Sie ausführen müssen, um Ihr macOS-Gerät für Die Schule oder Arbeit zu sichern. Klicken Sie auf "Beginnen", um die Registrierung zu starten.

5. Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen Ihres Computers ein.

Es kann einige Minuten dauern, bis Sie Ihr Gerät registrieren. Sie erhalten eine Nachricht, nachdem die Registrierung abgeschlossen wurde, um Ihnen mitzuteilen, dass Sie fertig sind.

Ursache 5 : Intune-Integration ist deaktiviert

Wenn die Intune-Integration deaktiviert ist, erhalten Benutzer in der Unternehmensportal ein Popupfenster mit der folgenden Meldung, wenn sie versuchen, ein Gerät zu registrieren:

Ungültiges Befehlszeilen-Eingabe-Nur-Befehlszeilen-Flag (-r) für die Befehlszeileneingabe kann nur verwendet werden, wenn die Partnerverwaltung in Intune aktiviert ist. Wenden Sie sich an Ihren IT-Administrator.

Der Jamf Pro-Server sendet einen Impuls an die Intune-Server, wenn die Integration deaktiviert ist, die Intune angibt, dass die Integration deaktiviert ist.

Lösung
Aktivieren Sie die Intune-Integration in Jamf Pro erneut. Sehen Sie sich je nach Konfiguration der Integration Folgendes an:

• Verwenden des Jamf Cloud Connector zum Integrieren von Jamf Pro in Intune
• Manuelles Konfigurieren der Microsoft Intune-Integration in Jamf Pro.

Ursache 6 : Das Gerät wurde zuvor in Intune registriert.

Wenn die Registrierung eines Geräts von Jamf aufgehoben, aber nicht ordnungsgemäß aus Intune entfernt wurde (sofern es zuvor registriert wurde), oder wenn der Benutzer mehrere Registrierungsversuche unternommen hat, werden möglicherweise mehrere Instanzen desselben Geräts im Portal angezeigt. Dies führt dazu, dass die Jamf-Registrierung fehlschlägt.

Lösung

1. Starten Sie auf dem Mac Terminal.

2. Führen Sie sudo JAMF removemdmprofile aus.

3. Führen Sie sudo JAMF removeFramework aus.

4. Löschen Sie auf dem JAMF Pro-Server den Bestandsdatensatz des Computers.

5. Löschen Sie das Gerät aus AzureAD.

6. Löschen Sie die folgenden Dateien auf dem Gerät, falls vorhanden:

   • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
   • /Library/Application Support/com.microsoft.CompanyPortal
   • /Library/Application Support/com.jamfsoftware.selfservice.mac
   • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
   • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
   • /Library/Preferences/com.microsoft.CompanyPortal.plist
   • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
   • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
   • /Users/<username>/Library/Cookies/com.microsoft.CompanyPortal.binarycookies
   • /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
   • com.microsoft.CompanyPortal
   • com.microsoft.CompanyPortal.HockeySDK
   • enterpriseregistration.windows.net
   • https://device.login.microsoftonline.com
   • https://device.login.microsoftonline.com/
   • Microsoft Session Transport Key (öffentliche UND private Schlüssel)
   • Microsoft Workplace Join Key (öffentliche UND private Schlüssel)

7. Entfernen Sie alle Elemente aus dem Schlüsselbund auf dem Gerät, das auf Microsoft, Intune oder Unternehmensportal verweist, einschließlich DeviceLogin.microsoft.com Zertifikaten. Entfernen Sie JAMF-Verweise mit Ausnahme von JAMF öffentlichem und privatem Schlüssel.

   Wichtig

   Durch das Entfernen des öffentlichen und privaten Schlüssels wird die Geräteregistrierung abgebrochen.

8. Löschen Sie einen der folgenden Einträge, die Sie finden:

   • Art: Anwendungskennwort ; Konto: com.microsoft.workplacejoin.thumbprint
   • Art: Anwendungskennwort ; Konto: com.microsoft.workplacejoin.registeredUserPrincipalName
   • Art: Zertifikat ; Ausgestellt von: MS-Organization-Access
   • Art: Identitätspräferenz ; Name (ADFS STS-URL, falls vorhanden): https://<DNS NAME>.com/adfs/ls
   • Art: Identitätspräferenz ; Name: https://enterpriseregistration.windows.net
   • Art: Identitätspräferenz ; Name: https://enterpriseregistration.windows.net/

9. Starten Sie das Mac-Gerät neu.

10. Deinstallieren Sie Unternehmensportal vom Gerät.

11. Wechseln Sie zu portal.manage.microsoft.com, und löschen Sie alle Instanzen des Mac-Geräts. Warten Sie mindestens 30 Minuten, bevor Sie zum nächsten Schritt wechseln.

12. Registrieren Sie das Gerät erneut in JAMF Pro.

13. Öffnen Sie Self Service erneut, und starten Sie die Registrierungsrichtlinie.

Ursache 7 : Der Benutzer hat JamfAAD-Zugriff auf seinen Schlüssel nicht bereitgestellt.

JamfAAD fordert den Zugriff auf einen "Microsoft Workplace Join Key" aus der Schlüsselkette der Benutzer an. Während der Registrierung erhält der Benutzer eines macOS-Geräts die folgende Aufforderung, jamfAAD-Zugriff auf einen Schlüssel aus dem Schlüsselbund zuzulassen:

JamfAAD möchte in Ihrem Schlüsselbund auf den Schlüssel "Microsoft Workplace Join Key" zugreifen. Um dies zuzulassen, geben Sie das Schlüsselbundkennwort "login" ein.

Lösung
Um das Gerät erfolgreich mit der Microsoft Entra-ID zu registrieren, erfordert Jamf, dass der Benutzer sein Kontokennwort angeben und "Zulassen" auswählt.

Diese Anforderung ähnelt der Anforderung für Mac-Geräte, die beim Öffnen einer App zur Eingabe der Schlüsselbundanmeldung aufgefordert werden.

Mac-Gerät zeigt in Intune kompatibel, aber nicht konform in Azure

Ursache: Die folgenden Bedingungen können dazu führen, dass ein Gerät in Intune, aber nicht als konform in Azure angezeigt wird:

• Das Gerät ist nicht ordnungsgemäß registriert.
• Das Gerät wurde mehrmals ohne die erforderliche Bereinigung registriert.

Lösung
Führen Sie die Schritte in Ursache 6 aus, um dieses Problem zu beheben.

Doppelte Einträge werden in der Intune-Konsole für Mac-Geräte angezeigt, die mit Jamf registriert sind

Ursache: Ein Gerät wird mehrmals bei Intune registriert und wird in der Regel erneut registriert, nachdem es aus Intune entfernt wurde.

Wenn ein Gerät aus der Intune- und Jamf Pro-Integration entfernt wird, können einige Daten zurückgelassen werden, die dazu führen können, dass nachfolgende Registrierungen doppelte Einträge erstellen.

Lösung
Führen Sie die Schritte in Ursache 6 aus, um dieses Problem zu beheben.

Die Compliancerichtlinie kann das Gerät nicht auswerten.

Ursache: Die Jamf-Integration in Intune unterstützt keine Compliancerichtlinien, die auf Gerätegruppen ausgerichtet sind.

Lösung
Ändern Sie die Compliancerichtlinie für macOS-Geräte, die Benutzergruppen zugewiesen werden sollen.

Das Zugriffstoken für die Microsoft Graph-API konnte nicht abgerufen werden.

Sie erhalten die folgende Fehlermeldung:

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

Die Quelle dieses Fehlers kann eine der folgenden Ursachen sein:

Ursache 1

Es gibt ein Berechtigungsproblem mit der Jamf Pro-Anwendung in Azure. Beim Registrieren der Jamf Pro-App in Azure ist eine der folgenden Bedingungen aufgetreten:

• Die App hat mehr als eine Berechtigung erhalten.
• Die Zustimmung des Administrators für <Ihr Unternehmen> wurde nicht ausgewählt.

Lösung
Weitere Informationen finden Sie in der Lösung für Ursache 1 für Geräte, die weiter oben in diesem Artikel nicht registriert werden können.

Ursache 2

Eine für die Jamf-Intune-Integration erforderliche Lizenz ist abgelaufen.

Lösung finden Sie in der Auflösung für Ursache 3 für Geräte, die nicht registriert werden können.

Ursache 3

Die erforderlichen Ports sind nicht in Ihrem Netzwerk geöffnet.

Die Lösung überprüft die Informationen für Netzwerkports in voraussetzungen für die Integration von Jamf Pro in Intune.