Résolution des problèmes d’intégration de Jamf Pro à Microsoft Intune

Cet article aide les administrateurs Intune à comprendre et à résoudre les problèmes liés à l’intégration de Jamf Pro pour macOS à Microsoft Intune. Chacune des sections suivantes décrit un problème courant et offre une cause potentielle et des étapes de dépannage pour une résolution.

Important

La prise en charge des appareils MacOS Jamf pour l’accès conditionnel est déconseillée.

À compter du 1er septembre 2024, la plateforme sur laquelle la fonctionnalité d’accès conditionnel de Jamf Pro n’est plus prise en charge.

Si vous utilisez l’intégration de l’accès conditionnel de Jamf Pro pour les appareils macOS, suivez les instructions documentées de Jamf pour migrer vos appareils de l’accès conditionnel macOS vers la conformité des appareils macOS.

Si vous avez des questions ou avez besoin d’aide, contactez Jamf Customer Success. Pour plus d’informations, consultez Transitioning Jamf macOS devices from Conditional Access to Device Compliance.

Prerequisites

Avant de commencer la résolution des problèmes, collectez des informations de base pour clarifier le problème et réduire le temps de trouver une résolution. Par exemple, lorsque vous rencontrez un problème lié à l’intégration Jamf-Intune, vérifiez toujours que les conditions préalables ont été remplies. Tenez compte des éléments suivants avant de commencer à résoudre les problèmes :

• Passez en revue les conditions préalables des articles suivants, en fonction de la façon dont vous configurez l’intégration de Jamf Pro à Intune :
  • Utiliser Jamf Cloud Connector pour intégrer Jamf Pro à Intune
  • Intégrer Jamf Pro à Intune
• Tous les utilisateurs doivent disposer de licences Microsoft Intune et Microsoft Entra ID P1
• Vous devez disposer d’un compte d’utilisateur disposant d’autorisations d’intégration Microsoft Intune dans la console Jamf Pro.
• Vous devez disposer d’un compte d’utilisateur disposant d’autorisations d’administrateur général dans Azure.

Collectez les informations suivantes lors de l’examen de l’intégration de Jamf Pro à Intune :

• Message(s) d’erreur exact(s)
• Emplacement du ou des messages d’erreur
• Quand le problème a commencé et si votre intégration jamf Pro à Intune a déjà fonctionné
• Nombre d’utilisateurs affectés (tous les utilisateurs ou seulement certains)
• Nombre d’appareils affectés (tous les appareils ou seulement certains)

Les appareils sont marqués comme non répondants dans Jamf Pro

Cause : Les causes suivantes sont les causes courantes des appareils marqués comme non satisfaits par Jamf Pro :

• L’appareil ne parvient pas à s’enregistrer avec Jamf Pro.
  Jamf Pro s’attend à ce que les appareils s’enregistrent toutes les 15 minutes. Les appareils sont marqués comme non répondants par Jamf lorsqu’ils ne parviennent pas à s’enregistrer pendant une période de 24 heures.

• L’appareil ne parvient pas à s’enregistrer avec l’ID Microsoft Entra.
  Une fois l’inscription réussie à l’ID Microsoft Entra, les appareils macOS reçoivent un jeton Azure :

  • Ce jeton est actualisé toutes les 12 heures.
  • Lorsque l’actualisation du jeton échoue pendant 24 heures ou plus, Jamf Pro marque l’appareil comme non répond.
  • Si le jeton Azure expire, les utilisateurs sont invités à se connecter à Azure pour obtenir un nouveau jeton. Un jeton d’actualisation pour l’accès Azure est généré tous les sept jours.

Solution
Une fois qu’un appareil est marqué comme non réactif par Jamf Pro, l’utilisateur inscrit de l’appareil doit se connecter pour corriger l’état non réactif. Il doit s’agir de l’utilisateur qui a joint le compte au lieu de travail, car il a l’identité d’Intune dans son trousseau.

Les appareils Mac invitent à se connecter au trousseau lorsque vous ouvrez une application

Après avoir configuré l’intégration d’Intune et Jamf Pro et déployé des stratégies d’accès conditionnel, les utilisateurs d’appareils gérés avec Jamf Pro reçoivent des invites de mot de passe lors de l’ouverture d’applications Microsoft 365, telles que Teams, Outlook et d’autres applications qui nécessitent l’authentification Microsoft Entra.

Par exemple, une invite avec du texte similaire à l’exemple suivant s’affiche lors de l’ouverture de Microsoft Teams :

Microsoft Teams souhaite se connecter à l’aide de la clé « Clé de jointure de l’espace de travail Microsoft » dans votre trousseau.
Pour autoriser cela, entrez le mot de passe du trousseau « connexion »

Cause : ces invites sont générées par Jamf Pro pour chaque application applicable qui nécessite l’inscription de Microsoft Entra.

Solution
À l’invite, l’utilisateur doit fournir son mot de passe d’appareil pour se connecter à Microsoft Entra ID. Options disponibles :

• Refuser : ne vous connectez pas et n’utilisez pas l’application.
• Autoriser : connexion unique. La prochaine fois que l’application s’ouvre, elle demande une nouvelle connexion.
• Toujours autoriser : les informations d’identification de connexion sont mises en cache pour l’application. La prochaine fois que l’application s’ouvre, elle n’invite pas à se connecter.

La sélection d’Always Allow pour une application approuve uniquement cette application pour la connexion ultérieure. Des applications supplémentaires demandent l’authentification jusqu’à ce qu’elles soient également définies comme Always Allow. Les informations d’identification mises en cache d’une application ne peuvent pas être utilisées par une autre application.

Les appareils ne parviennent pas à s’inscrire auprès d’Intune

Il existe plusieurs causes courantes pour les appareils Mac qui ne parviennent pas à s’inscrire auprès d’Intune via Jamf Pro.

Cause 1 - Jamf Pro ne dispose pas des autorisations correctes

L’application d’entreprise Jamf Pro dans Azure a une autorisation incorrecte ou plusieurs autorisations. Lorsque vous créez l’application dans Azure, vous devez supprimer toutes les autorisations d’API par défaut, puis attribuer à Intune une autorisation unique de update_device_attributes.

Solution
Vérifiez et, si nécessaire, corrigez les autorisations pour l’application Jamf. Si vous utilisez Jamf Pro Cloud Connector, cette application a été créée pour vous. Si vous avez configuré manuellement l’intégration, vous avez créé l’application dans l’ID Microsoft Entra. Pour obtenir les autorisations d’application, consultez Créer une application (pour Jamf) dans l’ID Microsoft Entra.

Cause 2 - Locataire ou compte incorrect

L’application Jamf Native macOS Connector n’a pas été créée dans votre locataire Microsoft Entra ou le consentement du connecteur a été signé par un compte qui n’a pas de droits d’administrateur général.

Solution
Consultez la section Configuration de l’intégration macOS Intune dans l’intégration à Microsoft Intune sur docs.jamf.com.

Cause 3 - L’utilisateur n’a pas de licences valides

L’absence d’une licence Intune ou Jamf valide peut entraîner l’erreur suivante, ce qui indique que la licence Jamf a expiré :

Impossible de se connecter à Microsoft Intune.
Vérifiez votre configuration d’intégration Microsoft Intune.

Solution

• Licence Jamf : Contactez Jamf pour obtenir une nouvelle licence pour Jamf.
• Licence Intune : affectez à l’utilisateur une licence valide ou contactez Microsoft ou votre partenaire pour plus d’informations sur la façon d’obtenir une licence actuelle.

Cause 4 - L’utilisateur n’a pas utilisé Jamf Self Service

Pour qu’un appareil s’inscrive et s’inscrive auprès d’Intune via Jamf, l’utilisateur doit utiliser Jamf Self Service pour ouvrir le portail d’entreprise Intune. Si l’utilisateur ouvre manuellement le portail d’entreprise, l’appareil s’inscrit et s’inscrit sans sa connexion à Jamf.

Pour déterminer le service utilisé pour inscrire et inscrire l’appareil, recherchez dans l’application Portail d’entreprise sur l’appareil. Quand vous êtes inscrit via Jamf, vous devez recevoir une notification pour ouvrir l’application libre-service pour apporter des modifications.

Dans l’application Portail d’entreprise, l’utilisateur peut voir Not registeredet une entrée similaire à l’exemple suivant peut apparaître dans les journaux portail d’entreprise :

Ligne 7783 : <DATE><IP ADDRESS> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift : 253 (startLogin()) Portail lancé sans WPJ uniquement arg alors que le compte est sous gestion des partenaires

Solution

Pour modifier la source d’inscription d’Intune vers Jamf :

1. Supprimez l’appareil macOS d’Intune. Pour éviter d’autres complications pour les appareils qui ne sont pas entièrement supprimés d’Intune, consultez La cause 6 ci-dessous.

2. Sur l’appareil, utilisez Jamf Self Service pour ouvrir l’application Portail d’entreprise, puis inscrivez l’appareil avec l’ID Microsoft Entra. Cette tâche nécessite que vous ayez déjà effectué les tâches suivantes :

   • Déployer l’application Portail d’entreprise pour macOS dans Jamf Pro
   • Créer une stratégie dans Jamf Pro pour que les utilisateurs inscrivent leurs appareils auprès de Microsoft Entra ID

3. Lorsque le portail s’ouvre, le premier écran que vous voyez vous invite à vous connecter. Utiliser votre compte professionnel ou scolaire

4. Le portail d’entreprise confirme les informations de votre compte et affiche les états d’inscription des appareils et de conformité des appareils. Les triangles jaunes mettent en évidence les actions que vous devez effectuer pour sécuriser votre appareil macOS pour l’école ou le travail. Cliquez sur Commencer pour démarrer l’inscription.

5. Si vous y êtes invité, tapez les informations de connexion de votre ordinateur.

L’inscription de votre appareil peut prendre quelques minutes. Vous recevrez un message une fois l’inscription terminée pour vous informer que vous avez terminé.

Cause 5 - L’intégration d’Intune est désactivée

Si l’intégration d’Intune est désactivée, les utilisateurs reçoivent une fenêtre contextuelle dans le portail d’entreprise avec le message suivant lorsqu’ils essaient d’inscrire un appareil :

Un indicateur de ligne de commande d’entrée de ligne de commande non valide (-r) ne peut être utilisé que lorsque la gestion des partenaires est activée dans Intune. Contactez votre administrateur informatique.

Le serveur Jamf Pro envoie une impulsion aux serveurs Intune lorsque l’intégration est désactivée, ce qui indique à Intune que l’intégration est désactivée.

Solution
Réactivez l’intégration d’Intune dans Jamf Pro. Consultez les rubriques suivantes en fonction de la façon dont vous configurez l’intégration :

• Utiliser Jamf Cloud Connector pour intégrer Jamf Pro à Intune
• Configurez manuellement l’intégration de Microsoft Intune dans Jamf Pro.

Cause 6 - L’appareil a été précédemment inscrit dans Intune

Si un appareil n’est pas inscrit à partir de Jamf, mais qu’il n’a pas été correctement supprimé d’Intune (s’il avait été inscrit précédemment) ou si l’utilisateur a effectué plusieurs tentatives d’inscription, vous pouvez voir plusieurs instances du même appareil dans le portail. Cela entraîne l’échec de l’inscription jamf.

Solution

1. Sur le Mac, démarrez Terminal.

2. Exécutez sudo JAMF removemdmprofile.

3. Exécutez sudo JAMF removeFramework.

4. Sur le serveur JAMF Pro, supprimez l’enregistrement d’inventaire de l’ordinateur.

5. Supprimez l’appareil d’AzureAD.

6. Supprimez les fichiers suivants sur l’appareil s’ils existent :

   • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
   • /Library/Application Support/com.microsoft.CompanyPortal
   • /Library/Application Support/com.jamfsoftware.selfservice.mac
   • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
   • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
   • /Library/Preferences/com.microsoft.CompanyPortal.plist
   • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
   • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
   • /Users/<username>/Library/Cookies/com.microsoft.CompanyPortal.binarycookies
   • /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
   • com.microsoft.CompanyPortal
   • com.microsoft.CompanyPortal.HockeySDK
   • enterpriseregistration.windows.net
   • https://device.login.microsoftonline.com
   • https://device.login.microsoftonline.com/
   • Clé de transport de session Microsoft (clés publiques ET privées)
   • Microsoft Workplace Join Key (clés publiques ET privées)

7. Supprimez tout élément du trousseau sur l’appareil qui fait référence à Microsoft, Intune ou Portail d’entreprise, y compris les certificats DeviceLogin.microsoft.com. Supprimez les références JAMF à l’exception de la clé publique et privée JAMF.

   Important

   La suppression de la clé publique et privée interrompt l’inscription de l’appareil.

8. Supprimez l’une des entrées suivantes que vous trouvez :

   • Type : Mot de passe de l’application ; Compte : com.microsoft.workplacejoin.thumbprint
   • Type : Mot de passe de l’application ; Compte : com.microsoft.workplacejoin.registeredUserPrincipalName
   • Type : Certificat ; Émis par : MS-Organization-Access
   • Type : Préférence d’identité ; Nom (URL STS ADFS s’il est présent) : https://<DNS NAME>.com/adfs/ls
   • Type : Préférence d’identité ; Nom: https://enterpriseregistration.windows.net
   • Type : Préférence d’identité ; Nom: https://enterpriseregistration.windows.net/

9. Redémarrez l’appareil Mac.

10. Désinstallez le portail d’entreprise à partir de l’appareil.

11. Accédez à portal.manage.microsoft.com et supprimez toutes les instances de l’appareil Mac. Attendez au moins 30 minutes avant d’aller à l’étape suivante.

12. Réinscrivez l’appareil dans JAMF Pro.

13. Rouvrez libre-service et démarrez la stratégie d’inscription.

Cause 7 - L’utilisateur n’a pas fourni l’accès JamfAAD à sa clé

JamfAAD demande l’accès à une clé « Microsoft Workplace Join Key » à partir du trousseau des utilisateurs. Lors de l’inscription, l’utilisateur d’un appareil macOS reçoit l’invite suivante pour autoriser JamfAAD à accéder à une clé à partir de son trousseau :

JamfAAD souhaite accéder à la clé « Microsoft Workplace Join Key » dans votre trousseau. Pour autoriser cela, entrez le mot de passe du trousseau « connexion »

Solution
Pour inscrire l’appareil auprès de l’ID Microsoft Entra, Jamf exige que l’utilisateur fournisse son mot de passe de compte, puis sélectionnez Autoriser.

Cette demande est similaire à la demande pour les appareils Mac qui demandent la connexion au trousseau lorsque vous ouvrez une application.

L’appareil Mac affiche la conformité dans Intune mais non conforme dans Azure

Cause : Les conditions suivantes peuvent entraîner l’affichage d’un appareil comme conforme dans Intune, mais pas comme conforme dans Azure :

• L’appareil n’est pas inscrit correctement.
• L’appareil a été inscrit plusieurs fois sans le nettoyage nécessaire.

Solution
Pour résoudre ce problème, suivez les étapes décrites dans Cause 6.

Les entrées en double apparaissent dans la console Intune pour les appareils Mac inscrits à l’aide de Jamf

Cause : un appareil est inscrit auprès d’Intune plusieurs fois, généralement réinscrit après avoir été supprimé d’Intune.

Lorsqu’un appareil est supprimé de l’intégration d’Intune et Jamf Pro, certaines données peuvent être laissées derrière elles, ce qui peut entraîner la création d’inscriptions successives pour créer des entrées en double.

Solution
Pour résoudre ce problème, suivez les étapes décrites dans Cause 6.

La stratégie de conformité ne parvient pas à évaluer l’appareil

Cause : l’intégration de Jamf à Intune ne prend pas en charge la stratégie de conformité qui cible les groupes d’appareils.

Solution
Modifiez la stratégie de conformité pour les appareils macOS à affecter aux groupes d’utilisateurs.

Impossible de récupérer le jeton d’accès pour l’API Microsoft Graph

Vous recevez l’erreur suivante :

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

La source de cette erreur peut être l’une des causes suivantes :

Cause 1

Il existe un problème d’autorisation avec l’application Jamf Pro dans Azure. Lors de l’inscription de l’application Jamf Pro dans Azure, l’une des conditions suivantes s’est produite :

• L’application a reçu plusieurs autorisations.
• L’option Accorder le consentement de l’administrateur pour< votre entreprise> n’a pas été sélectionnée.

Solution
Consultez la résolution de cause 1 pour les appareils qui ne parviennent pas à s’inscrire, plus haut dans cet article.

Cause 2

Une licence requise pour l’intégration jamf-Intune a expiré.

Solution Consultez la résolution de cause 3 pour les appareils qui ne parviennent pas à s’inscrire.

Cause 3

Les ports requis ne sont pas ouverts sur votre réseau.

La solution passe en revue les informations relatives aux ports réseau requis pour l’intégration de Jamf Pro à Intune.