Solución de problemas de integración de Jamf Pro con Microsoft Intune

Este artículo ayuda a los administradores de Intune a comprender y solucionar problemas con la integración de Jamf Pro para macOS con Microsoft Intune. Cada una de las secciones siguientes describe un problema común y ofrece una posible causa y pasos de solución de problemas para una resolución.

Importante

La compatibilidad con dispositivos macOS de Jamf para el acceso condicional está en desuso.

A partir del 1 de septiembre de 2024, la plataforma en la que se basa la característica de acceso condicional de Jamf Pro ya no se admitirá.

Si usa la integración de acceso condicional de Jamf Pro para dispositivos macOS, siga las instrucciones documentadas de Jamf para migrar los dispositivos desde el acceso condicional de macOS al cumplimiento de dispositivos macOS.

Si tiene alguna pregunta o necesita ayuda, póngase en contacto con el éxito del cliente de Jamf. Para obtener más información, consulte Transición de dispositivos macOS de Jamf desde el acceso condicional al cumplimiento de dispositivos.

Requisitos previos

Antes de empezar a solucionar problemas, recopile información básica para aclarar el problema y reducir el tiempo para encontrar una resolución. Por ejemplo, cuando se produce un problema relacionado con la integración de Jamf-Intune, compruebe siempre que se cumplen los requisitos previos. Tenga en cuenta lo siguiente antes de empezar a solucionar problemas:

• Revise los requisitos previos de los siguientes artículos, en función de cómo configure la integración de Jamf Pro con Intune:
  • Uso de Jamf Cloud Connector para integrar Jamf Pro con Intune
  • Integración de Jamf Pro con Intune
• Todos los usuarios deben tener licencias de Microsoft Intune y Microsoft Entra ID P1
• Debe tener una cuenta de usuario que tenga permisos de integración de Microsoft Intune en la consola de Jamf Pro.
• Debe tener una cuenta de usuario que tenga permisos de administrador global en Azure.

Recopile la siguiente información al investigar la integración de Jamf Pro con Intune:

• Mensajes de error exactos
• Ubicación de los mensajes de error
• Cuando se inició el problema y si la integración de Jamf Pro con Intune funcionó anteriormente
• Cuántos usuarios se ven afectados (todos los usuarios o solo algunos)
• Cuántos dispositivos se ven afectados (todos los dispositivos o solo algunos)

Los dispositivos se marcan como no responde en Jamf Pro

Causa: Las siguientes son causas comunes de que jamf Pro marque los dispositivos como no responde :

• El dispositivo no se puede proteger con Jamf Pro.
  Jamf Pro espera que los dispositivos se comprueben cada 15 minutos. Jamf marca los dispositivos como no responde cuando no se pueden proteger durante un período de 24 horas.

• El dispositivo no se puede proteger con el identificador de Entra de Microsoft.
  Con el registro correcto en el identificador de Microsoft Entra, los dispositivos macOS reciben un token de Azure:

  • Este token se actualiza cada 12 horas.
  • Cuando se produce un error en la actualización del token durante 24 horas o más, Jamf Pro marca el dispositivo como no responde.
  • Si expira el token de Azure, se pide a los usuarios que inicien sesión en Azure para obtener un nuevo token. Se genera un token de actualización para el acceso a Azure cada siete días.

Solución
Una vez que Jamf Pro marca un dispositivo como No responde , el usuario inscrito del dispositivo debe iniciar sesión para corregir el estado no responde. Debe ser el usuario que tenga la cuenta unida al área de trabajo, ya que tiene la identidad de Intune en su cadena de claves.

Los dispositivos Mac solicitan el inicio de sesión de la cadena de claves al abrir una aplicación

Después de configurar la integración de Intune y Jamf Pro e implementar directivas de acceso condicional, los usuarios de dispositivos administrados con Jamf Pro reciben solicitudes de contraseña al abrir aplicaciones de Microsoft 365, como Teams, Outlook y otras aplicaciones que requieren autenticación de Microsoft Entra.

Por ejemplo, aparece un mensaje con texto similar al ejemplo siguiente al abrir Microsoft Teams:

Microsoft Teams quiere iniciar sesión con la clave "Clave de unión a Microsoft Workplace" en la cadena de claves.
Para permitir esto, escriba la contraseña de cadena de claves "login"

Causa: Jamf Pro genera estas solicitudes para cada aplicación aplicable que requiera el registro de Microsoft Entra.

Solución
En el símbolo del sistema, el usuario debe proporcionar su contraseña de dispositivo para iniciar sesión en microsoft Entra ID. Entre las opciones se incluyen:

• Denegar : no inicie sesión y no use la aplicación.
• Permitir : inicio de sesión único. La próxima vez que se abra la aplicación, se le pedirá que vuelva a iniciar sesión.
• Permitir siempre: las credenciales de inicio de sesión se almacenan en caché para la aplicación. La próxima vez que se abra la aplicación, no solicita el inicio de sesión.

Al seleccionar Permitir siempre para una aplicación solo se aprueba esa aplicación para el inicio de sesión futuro. Las aplicaciones adicionales solicitan autenticación hasta que también se establecen como Permitir siempre. Otra aplicación no puede usar las credenciales almacenadas en caché para una aplicación.

Los dispositivos no se pueden registrar con Intune

Hay varias causas comunes para los dispositivos Mac que no se pueden registrar con Intune a través de Jamf Pro.

Causa 1: Jamf Pro no tiene permisos correctos

La aplicación empresarial Jamf Pro en Azure tiene el permiso incorrecto o tiene más de un permiso. Al crear la aplicación en Azure, debe quitar todos los permisos de API predeterminados y, a continuación, asignar a Intune un único permiso de update_device_attributes.

Solución
Revise y, si es necesario, corrija los permisos de la aplicación Jamf. Si usa Jamf Pro Cloud Connector, esta aplicación se creó automáticamente. Si configuró manualmente la integración, creó la aplicación en el identificador de Entra de Microsoft. Para obtener los permisos de la aplicación, consulte Crear una aplicación (para Jamf) en microsoft Entra ID.

Causa 2: inquilino o cuenta incorrectos

La aplicación Jamf Native macOS Connector no se creó en el inquilino de Microsoft Entra o un consentimiento para el conector lo firmó una cuenta que no tiene derechos de administrador global.

Solución
Consulte la sección Configuración de la integración de Intune de macOS en Integración con Microsoft Intune en docs.jamf.com.

Causa 3: el usuario no tiene licencias válidas

La falta de una licencia válida de Intune o Jamf puede producir el siguiente error, lo que indica que la licencia de Jamf ha expirado:

No se puede conectar a Microsoft Intune.
Compruebe la configuración de integración de Microsoft Intune.

Solución

• Licencia de Jamf: póngase en contacto con Jamf para obtener ayuda para obtener una nueva licencia para Jamf.
• Licencia de Intune: asigne al usuario una licencia válida o póngase en contacto con Microsoft o su partner para obtener información sobre cómo obtener una licencia actual.

Causa 4: el usuario no usó Jamf Self Service

Para que un dispositivo se inscriba correctamente y regístrese con Intune a través de Jamf, el usuario debe usar El autoservicio de Jamf para abrir el Portal de empresa de Intune. Si el usuario abre el Portal de empresa manualmente, el dispositivo se inscribe y se registra sin su conexión a Jamf.

Para determinar qué servicio usó el dispositivo para inscribir y registrar, busque en la aplicación Portal de empresa en el dispositivo. Cuando se registra a través de Jamf, debe recibir una notificación para abrir la aplicación de autoservicio para realizar cambios.

En la aplicación Portal de empresa, el usuario podría ver Not registeredy una entrada similar al ejemplo siguiente podría aparecer en los registros de Portal de empresa:

Línea 7783: <DATE><IP ADDRESS> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift: 253 (startLogin()) Portal iniciado sin wpJ solo arg mientras la cuenta está bajo administración de partners

Solución

Para cambiar el origen de registro de Intune a Jamf:

1. Quite el dispositivo macOS de Intune. Para evitar más complicaciones para los dispositivos que no se han quitado completamente de Intune, consulte la causa 6 a continuación.

2. En el dispositivo, use Jamf Self Service para abrir la aplicación Portal de empresa y, a continuación, registre el dispositivo con el identificador de Microsoft Entra. Esta tarea requiere que ya haya completado las siguientes tareas:

   • Implementación de la aplicación Portal de empresa para macOS en Jamf Pro
   • Crear una directiva en Jamf Pro para que los usuarios registren sus dispositivos con el identificador de Microsoft Entra

3. Cuando se abra el portal, la primera pantalla que verá le pedirá que inicie sesión. Usar su cuenta profesional o educativa

4. El Portal de empresa confirma la información de la cuenta y muestra los estados de inscripción de dispositivos y cumplimiento de dispositivos. Los triángulos amarillos resaltan las acciones que debe realizar para proteger el dispositivo macOS para la escuela o el trabajo. Haga clic en Comenzar para iniciar la inscripción.

5. Si se le solicita, escriba la información de inicio de sesión del equipo.

Es posible que tarde unos minutos en registrar el dispositivo. Recibirá un mensaje una vez completado el registro para informarle de que ha terminado.

Causa 5: la integración de Intune está desactivada

Si la integración de Intune está desactivada, los usuarios reciben una ventana emergente en el Portal de empresa con el siguiente mensaje cuando intentan registrar un dispositivo:

Solo se puede usar la marca de línea de comandos (-r) de entrada de la línea de comandos no válida cuando la administración de partners está habilitada en Intune. Póngase en contacto con el administrador de TI.

El servidor Jamf Pro envía un pulso a los servidores de Intune cuando la integración está desactivada que indica a Intune que la integración está deshabilitada.

Solución
Vuelva a habilitar la integración de Intune en Jamf Pro. Consulte lo siguiente en función de cómo configure la integración:

• Uso de Jamf Cloud Connector para integrar Jamf Pro con Intune
• Configure manualmente la integración de Microsoft Intune en Jamf Pro.

Causa 6: el dispositivo se inscribió anteriormente en Intune

Si un dispositivo no está inscrito en Jamf pero no se ha quitado correctamente de Intune (si se ha inscrito anteriormente), o si el usuario ha realizado varios intentos de registro, es posible que vea varias instancias del mismo dispositivo en el portal. Esto hace que se produzca un error en la inscripción de Jamf.

Solución

1. En el Equipo Mac, inicie Terminal.

2. Ejecute sudo JAMF removemdmprofile.

3. Ejecute sudo JAMF removeFramework.

4. En el servidor JAMF Pro, elimine el registro de inventario del equipo.

5. Elimine el dispositivo de AzureAD.

6. Elimine los siguientes archivos en el dispositivo si existen:

   • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
   • /Library/Application Support/com.microsoft.CompanyPortal
   • /Library/Application Support/com.jamfsoftware.selfservice.mac
   • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
   • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
   • /Library/Preferences/com.microsoft.CompanyPortal.plist
   • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
   • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
   • /Users/<username>/Library/Cookies/com.microsoft.CompanyPortal.binarycookies
   • /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
   • com.microsoft.CompanyPortal
   • com.microsoft.CompanyPortal.HockeySDK
   • enterpriseregistration.windows.net
   • https://device.login.microsoftonline.com
   • https://device.login.microsoftonline.com/
   • Clave de transporte de sesión de Microsoft (claves públicas y privadas)
   • Clave de unión al área de trabajo de Microsoft (claves públicas y privadas)

7. Quite cualquier elemento de la cadena de claves en el dispositivo que haga referencia a Microsoft, Intune o Portal de empresa, incluidos los certificados de DeviceLogin.microsoft.com. Quite las referencias de JAMF excepto la clave pública y privada de JAMF.

   Importante

   Al quitar la clave pública y privada, se interrumpirá la inscripción de dispositivos.

8. Elimine cualquiera de las siguientes entradas que encuentre:

   • Tipo: Contraseña de aplicación ; Cuenta: com.microsoft.workplacejoin.thumbprint
   • Tipo: Contraseña de aplicación ; Cuenta: com.microsoft.workplacejoin.registeredUserPrincipalName
   • Tipo: Certificado ; Emitido por: MS-Organization-Access
   • Tipo: Preferencia de identidad ; Nombre (dirección URL de STS de ADFS si está presente): https://<DNS NAME>.com/adfs/ls
   • Tipo: Preferencia de identidad ; Nombre: https://enterpriseregistration.windows.net
   • Tipo: Preferencia de identidad ; Nombre: https://enterpriseregistration.windows.net/

9. Reinicie el dispositivo Mac.

10. Desinstale Portal de empresa del dispositivo.

11. Vaya a portal.manage.microsoft.com y elimine todas las instancias del dispositivo Mac. Espere al menos 30 minutos antes de ir al paso siguiente.

12. Vuelva a inscribir el dispositivo en JAMF Pro.

13. Vuelva a abrir autoservicio e inicie la directiva de registro.

Causa 7: el usuario no proporcionó acceso a JamfAAD a su clave

JamfAAD solicita acceso a una "clave de unión a Microsoft Workplace" desde la cadena de claves de los usuarios. Durante el registro, el usuario de un dispositivo macOS recibe el siguiente mensaje para permitir que JamfAAD acceda a una clave desde su cadena de claves:

JamfAAD quiere acceder a la clave "Microsoft Workplace Join Key" en la cadena de claves. Para permitir esto, escriba la contraseña de cadena de claves "login"

Solución
Para registrar correctamente el dispositivo con microsoft Entra ID, Jamf requiere que el usuario proporcione su contraseña de cuenta y seleccione Permitir.

Esta solicitud es similar a la solicitud de dispositivos Mac para solicitar el inicio de sesión de cadena de claves al abrir una aplicación.

El dispositivo Mac muestra compatibilidad en Intune pero no conforme en Azure

Causa: las siguientes condiciones pueden hacer que un dispositivo se muestre como compatible en Intune, pero no como compatible en Azure:

• El dispositivo no está registrado correctamente.
• El dispositivo se registró varias veces sin la limpieza necesaria.

Solución
Para resolver este problema, siga los pasos descritos en Causa 6.

Las entradas duplicadas aparecen en la consola de Intune para dispositivos Mac inscritos mediante Jamf

Causa: un dispositivo se registra con Intune varias veces, normalmente se vuelve a registrar después de quitarse de Intune.

Cuando se quita un dispositivo de la integración de Intune y Jamf Pro, algunos datos se pueden dejar atrás, lo que puede hacer que los registros sucesivos creen entradas duplicadas.

Solución
Para resolver este problema, siga los pasos descritos en Causa 6.

La directiva de cumplimiento no puede evaluar el dispositivo

Causa: la integración de Jamf con Intune no admite la directiva de cumplimiento que tiene como destino los grupos de dispositivos.

Solución
Modifique la directiva de cumplimiento para los dispositivos macOS que se asignarán a grupos de usuarios.

No se pudo recuperar el token de acceso para Microsoft Graph API

Recibe el siguiente error:

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

El origen de este error puede ser una de las siguientes causas:

Causa 1

Hay un problema de permiso con la aplicación Jamf Pro en Azure. Al registrar la aplicación Jamf Pro en Azure, se produjo una de las siguientes condiciones:

• La aplicación recibió más de un permiso.
• No se seleccionó la opción Conceder consentimiento del administrador para< la empresa>.

Solución
Consulte la resolución de la causa 1 para que los dispositivos no se registren, anteriormente en este artículo.

Causa 2

Ha expirado una licencia necesaria para la integración de Jamf-Intune.

Solución Consulte la resolución de la causa 3 para que los dispositivos no se registren.

Causa 3

Los puertos necesarios no están abiertos en la red.

Solución Revise la información de los puertos de red en Requisitos previos para integrar Jamf Pro con Intune.