Risoluzione dei problemi di integrazione di Jamf Pro con Microsoft Intune

Questo articolo aiuta gli amministratori di Intune a comprendere e risolvere i problemi relativi all'integrazione di Jamf Pro per macOS con Microsoft Intune. Ognuna delle sezioni seguenti descrive un problema comune e offre una potenziale causa e passaggi per la risoluzione dei problemi.

Importante

Il supporto dei dispositivi MacOS Jamf per l'accesso condizionale è deprecato.

A partire dal 1° settembre 2024, la piattaforma su cui è basata la funzionalità di accesso condizionale di Jamf Pro non sarà più supportata.

Se si usa l'integrazione dell'accesso condizionale di Jamf Pro per i dispositivi macOS, seguire le linee guida documentate di Jamf per eseguire la migrazione dei dispositivi dall'accesso condizionale macOS alla conformità dei dispositivi macOS.

Se hai domande o hai bisogno di assistenza, contatta Jamf Customer Success. Per altre informazioni, vedere Transizione dei dispositivi macOS Jamf dall'accesso condizionale alla conformità dei dispositivi.

Prerequisiti

Prima di iniziare la risoluzione dei problemi, raccogliere alcune informazioni di base per chiarire il problema e ridurre il tempo necessario per trovare una risoluzione. Ad esempio, quando si verifica un problema correlato all'integrazione di Jamf-Intune, verificare sempre che i prerequisiti siano stati soddisfatti. Prima di iniziare la risoluzione dei problemi, considerare quanto segue:

• Esaminare i prerequisiti degli articoli seguenti, a seconda di come si configura l'integrazione di Jamf Pro con Intune:
  • Usare Jamf Cloud Connector per integrare Jamf Pro con Intune
  • Integrare Jamf Pro con Intune
• Tutti gli utenti devono avere licenze di Microsoft Intune e Microsoft Entra ID P1
• È necessario disporre di un account utente con autorizzazioni di integrazione di Microsoft Intune nella console jamf Pro.
• È necessario disporre di un account utente con autorizzazioni di amministratore globale in Azure.

Raccogliere le informazioni seguenti durante l'analisi dell'integrazione di Jamf Pro con Intune:

• Messaggi di errore esatti
• Posizione dei messaggi di errore
• All'avvio del problema e se l'integrazione di Jamf Pro con Intune funzionava in precedenza
• Quanti utenti sono interessati (tutti gli utenti o solo alcuni)
• Quanti dispositivi sono interessati (tutti i dispositivi o solo alcuni)

I dispositivi vengono contrassegnati come non rispondenti in Jamf Pro

Causa: di seguito sono riportate le cause comuni dei dispositivi contrassegnati come Non rispondere da Jamf Pro:

• Il dispositivo non riesce a eseguire l'archiviazione con Jamf Pro.
  Jamf Pro prevede che i dispositivi vengano controllati ogni 15 minuti. I dispositivi vengono contrassegnati come non rispondono da Jamf quando non riescono a eseguire l'archiviazione in un periodo di 24 ore.

• Il dispositivo non riesce a eseguire l'archiviazione con Microsoft Entra ID.
  Con la corretta registrazione a Microsoft Entra ID, i dispositivi macOS ricevono un token di Azure:

  • Questo token viene aggiornato ogni 12 ore.
  • Quando l'aggiornamento del token non riesce per 24 ore o più, Jamf Pro contrassegna il dispositivo come non risponde.
  • Se il token di Azure scade, agli utenti viene richiesto di accedere ad Azure per ottenere un nuovo token. Un token di aggiornamento per l'accesso ad Azure viene generato ogni sette giorni.

Soluzione
Dopo che un dispositivo è contrassegnato come Unresponsive by Jamf Pro, l'utente registrato del dispositivo deve accedere per correggere lo stato non reattivo. Deve essere l'utente che ha aggiunto l'account all'area di lavoro perché ha l'identità di Intune nel keychain.

I dispositivi Mac richiedono l'accesso keychain quando si apre un'app

Dopo aver configurato l'integrazione di Intune e Jamf Pro e aver distribuito i criteri di accesso condizionale, gli utenti dei dispositivi gestiti con Jamf Pro ricevono richieste di password quando si aprono applicazioni di Microsoft 365, ad esempio Teams, Outlook e altre app che richiedono l'autenticazione di Microsoft Entra.

Ad esempio, quando si apre Microsoft Teams viene visualizzato un prompt con testo simile all'esempio seguente:

Microsoft Teams vuole firmare usando la chiave "Microsoft Workplace Join Key" nel keychain.
Per consentire questa operazione, immettere la password keychain "login"

Causa: queste richieste vengono generate da Jamf Pro per ogni app applicabile che richiede la registrazione di Microsoft Entra.

Soluzione
Al prompt, l'utente deve fornire la password del dispositivo per accedere all'ID Microsoft Entra. Le opzioni includono:

• Nega : non accedere e non usare l'app.
• Consenti : una sola volta l'accesso. Alla successiva apertura dell'app, viene richiesto di eseguire di nuovo l'accesso.
• Consenti sempre: le credenziali di accesso vengono memorizzate nella cache per l'applicazione. Alla successiva apertura dell'app, non viene richiesto l'accesso.

Se si seleziona Consenti sempre per un'app, l'app viene approvata solo per l'accesso futuro. Le app aggiuntive richiedono l'autenticazione fino a quando non vengono impostate anche come Consenti sempre. Le credenziali memorizzate nella cache per un'app non possono essere usate da un'altra app.

I dispositivi non riescono a registrarsi con Intune

Esistono diverse cause comuni per i dispositivi Mac che non riescono a eseguire la registrazione con Intune tramite Jamf Pro.

Causa 1- Jamf Pro non dispone delle autorizzazioni corrette

L'applicazione Aziendale Jamf Pro in Azure ha l'autorizzazione errata o dispone di più autorizzazioni. Quando si crea l'app in Azure, è necessario rimuovere tutte le autorizzazioni API predefinite e quindi assegnare a Intune una singola autorizzazione di update_device_attributes.

Soluzione
Esaminare e, se necessario, correggere le autorizzazioni per l'app Jamf. Se si usa Jamf Pro Cloud Connector, questa app è stata creata automaticamente. Se l'integrazione è stata configurata manualmente, è stata creata l'app in Microsoft Entra ID. Per le autorizzazioni dell'app, vedere Creare un'applicazione (per Jamf) in Microsoft Entra ID.

Causa 2 - Tenant o account errato

L'app Jamf Native macOS Connector non è stata creata nel tenant di Microsoft Entra o il consenso per il connettore è stato firmato da un account che non dispone dei diritti di amministratore globale.

Soluzione
Vedere la sezione Configurazione dell'integrazione di macOS Intune in Integrazione con Microsoft Intune in docs.jamf.com.

Causa 3: l'utente non ha licenze valide

La mancanza di una licenza valida di Intune o Jamf può comportare l'errore seguente, che indica che la licenza Jamf è scaduta:

Impossibile connettersi a Microsoft Intune.
Controllare la configurazione dell'integrazione di Microsoft Intune.

Soluzione

• Licenza jamf: contattare Jamf per assistenza per ottenere una nuova licenza per Jamf.
• Licenza di Intune: assegnare all'utente una licenza valida o contattare Microsoft o il partner per informazioni su come ottenere una licenza corrente.

Causa 4 - L'utente non ha usato Jamf Self Service

Per registrare e registrare correttamente un dispositivo con Intune tramite Jamf, l'utente deve usare Jamf Self Service per aprire il Portale aziendale Intune. Se l'utente apre manualmente il Portale aziendale, il dispositivo viene registrato e registrato senza la connessione a Jamf.

Per determinare il servizio usato per registrare e registrare il dispositivo, esaminare l'app Portale aziendale nel dispositivo. Quando è stato registrato tramite Jamf, si dovrebbe ricevere una notifica per aprire l'app self-service per apportare modifiche.

Nell'app Portale aziendale, l'utente potrebbe visualizzare Not registerede una voce simile all'esempio seguente potrebbe apparire nei log di Portale aziendale:

Riga 7783: <DATE><IP ADDRESS> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift: 253 (startLogin()) Portal avviato senza WPJ solo arg mentre l'account è in gestione dei partner

Soluzione

Per modificare l'origine di registrazione da Intune a Jamf:

1. Rimuovere il dispositivo macOS da Intune. Per evitare ulteriori complicazioni per i dispositivi non completamente rimossi da Intune, vedere Causa 6 di seguito.

2. Nel dispositivo usare Jamf Self Service per aprire l'app Portale aziendale e quindi registrare il dispositivo con l'ID Microsoft Entra. Questa attività richiede che siano già state completate le attività seguenti:

   • Distribuire l'app Portale aziendale per macOS in Jamf Pro
   • Creare un criterio in Jamf Pro per fare in modo che gli utenti registrino i propri dispositivi con Microsoft Entra ID

3. Quando si apre il portale, viene visualizzata la prima schermata in cui viene richiesto di accedere. Usa il tuo account aziendale o dell'istituto di istruzione

4. Il Portale aziendale conferma le informazioni sull'account e mostra gli stati di registrazione del dispositivo e conformità del dispositivo. I triangoli gialli evidenziano le azioni da eseguire per proteggere il dispositivo macOS per l'istituto di istruzione o il lavoro. Fare clic su Inizia per avviare la registrazione.

5. Se richiesto, digitare le informazioni di accesso del computer.

La registrazione del dispositivo potrebbe richiedere alcuni minuti. Si riceverà un messaggio dopo il completamento della registrazione per informare che l'operazione è stata completata.

Causa 5: l'integrazione di Intune è disattivata

Se l'integrazione di Intune è disattivata, gli utenti ricevono una finestra popup nella Portale aziendale con il messaggio seguente quando provano a registrare un dispositivo:

L'input della riga di comando non valido flag della riga di comando di sola registrazione (-r) può essere usato solo quando la gestione dei partner è abilitata in Intune. Contattare l'amministratore IT.

Il server Jamf Pro invia un impulso ai server di Intune quando l'integrazione è disattivata che indica a Intune che l'integrazione è disabilitata.

Soluzione
Riabilitare l'integrazione di Intune all'interno di Jamf Pro. Vedere quanto segue a seconda di come si configura l'integrazione:

• Usare Jamf Cloud Connector per integrare Jamf Pro con Intune
• Configurare manualmente l'integrazione di Microsoft Intune in Jamf Pro.

Causa 6: il dispositivo è stato registrato in precedenza in Intune

Se un dispositivo non è registrato da Jamf ma non è stato rimosso correttamente da Intune (se è stato registrato in precedenza) o se l'utente ha effettuato diversi tentativi di registrazione, potrebbero essere visualizzate più istanze dello stesso dispositivo nel portale. Ciò causa l'esito negativo della registrazione di Jamf.

Soluzione

1. Sul Mac avviare Terminale.

2. Eseguire sudo JAMF removemdmprofile.

3. Eseguire sudo JAMF removeFramework.

4. Nel server JAMF Pro eliminare il record di inventario del computer.

5. Eliminare il dispositivo da AzureAD.

6. Eliminare i file seguenti nel dispositivo, se presenti:

   • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
   • /Library/Application Support/com.microsoft.CompanyPortal
   • /Library/Application Support/com.jamfsoftware.selfservice.mac
   • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
   • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
   • /Library/Preferences/com.microsoft.CompanyPortal.plist
   • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
   • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
   • /Users/username>/<Library/Cookies/com.microsoft.CompanyPortal.binarycookies
   • /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
   • com.microsoft.CompanyPortal
   • com.microsoft.CompanyPortal.HockeySDK
   • enterpriseregistration.windows.net
   • https://device.login.microsoftonline.com
   • https://device.login.microsoftonline.com/
   • Chiave trasporto sessione Microsoft (chiavi pubbliche AND private)
   • Chiave di aggiunta all'area di lavoro Microsoft (chiavi private AND pubbliche)

7. Rimuovere qualsiasi elemento dal keychain nel dispositivo che fa riferimento a Microsoft, Intune o Portale aziendale, inclusi i certificati DeviceLogin.microsoft.com. Rimuovere i riferimenti JAMF , ad eccezione della chiave pubblica e privata JAMF.

   Importante

   La rimozione della chiave pubblica e privata interromperà la registrazione del dispositivo.

8. Eliminare una delle voci seguenti trovate:

   • Tipo: password dell'applicazione ; Account: com.microsoft.workplacejoin.thumbprint
   • Tipo: password dell'applicazione ; Account: com.microsoft.workplacejoin.registeredUserPrincipalName
   • Tipo: Certificato ; Rilasciato da: MS-Organization-Access
   • Tipo: Preferenza di identità ; Nome (URL servizio token di sicurezza ADFS, se presente): https://<DNS NAME>.com/adfs/ls
   • Tipo: Preferenza di identità ; Nome: https://enterpriseregistration.windows.net
   • Tipo: Preferenza di identità ; Nome: https://enterpriseregistration.windows.net/

9. Riavviare il dispositivo Mac.

10. Disinstallare Portale aziendale dal dispositivo.

11. Passare a portal.manage.microsoft.com ed eliminare tutte le istanze del dispositivo Mac. Attendere almeno 30 minuti prima di andare al passaggio successivo.

12. Registrare nuovamente il dispositivo in JAMF Pro.

13. Riaprire self-service e avviare i criteri di registrazione.

Causa 7: l'utente non ha fornito l'accesso a JamfAAD alla chiave

JamfAAD richiede l'accesso a una "chiave di aggiunta all'area di lavoro Microsoft" dal keychain degli utenti. Durante la registrazione, l'utente di un dispositivo macOS riceve il prompt seguente per consentire a JamfAAD l'accesso a una chiave dal keychain:

JamfAAD vuole accedere alla chiave "Microsoft Workplace Join Key" nel keychain. Per consentire questa operazione, immettere la password keychain "login"

Soluzione
Per registrare correttamente il dispositivo con Microsoft Entra ID, Jamf richiede all'utente di specificare la password dell'account e selezionare Consenti.

Questa richiesta è simile alla richiesta di accesso dei dispositivi Mac quando si apre un'app.

Il dispositivo Mac mostra la conformità in Intune ma non conforme in Azure

Causa: le condizioni seguenti possono causare la visualizzazione di un dispositivo come conforme in Intune ma non come conforme in Azure:

• Il dispositivo non è registrato correttamente.
• Il dispositivo è stato registrato più volte senza la pulizia necessaria.

Soluzione
Per risolvere questo problema, seguire la procedura descritta in Causa 6.

Le voci duplicate vengono visualizzate nella console di Intune per i dispositivi Mac registrati tramite Jamf

Causa: un dispositivo viene registrato più volte con Intune, in genere registrato nuovamente dopo essere stato rimosso da Intune.

Quando un dispositivo viene rimosso dall'integrazione di Intune e Jamf Pro, alcuni dati possono essere lasciati indietro, che possono causare registrazioni successive per creare voci duplicate.

Soluzione
Per risolvere questo problema, seguire la procedura descritta in Causa 6.

I criteri di conformità non riescono a valutare il dispositivo

Causa: l'integrazione di Jamf con Intune non supporta i criteri di conformità per i gruppi di dispositivi.

Soluzione
Modificare i criteri di conformità per i dispositivi macOS da assegnare ai gruppi di utenti.

Impossibile recuperare il token di accesso per l'API Microsoft Graph

Viene visualizzato il seguente errore:

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

L'origine di questo errore può essere una delle cause seguenti:

Causa 1

Si è verificato un problema di autorizzazione con l'applicazione Jamf Pro in Azure. Durante la registrazione dell'app Jamf Pro in Azure, si è verificata una delle condizioni seguenti:

• L'app ha ricevuto più di un'autorizzazione.
• L'opzione Concedi consenso amministratore per <l'azienda> non è stata selezionata.

Soluzione
Vedere la risoluzione relativa alla causa 1 per i dispositivi che non riescono a eseguire la registrazione, più indietro in questo articolo.

Causa 2

Una licenza necessaria per l'integrazione di Jamf-Intune è scaduta.

Soluzione Vedere la risoluzione relativa alla causa 3 per i dispositivi che non riescono a eseguire la registrazione.

Causa 3

Le porte necessarie non sono aperte nella rete.

Soluzione Esaminare le informazioni relative alle porte di rete in Prerequisiti per l'integrazione di Jamf Pro con Intune.