Jamf Pro と Microsoft Intune の統合のトラブルシューティング

この記事は、Intune 管理者が Jamf Pro for macOS と Microsoft Intune の統合に関する問題を理解し、トラブルシューティングするのに役立ちます。 以下の各セクションでは、一般的な問題について説明し、解決策の考えられる原因とトラブルシューティングの手順を示します。

重要

条件付きアクセスに対する Jamf macOS デバイスのサポートは非推奨になっています。

2024 年 9 月 1 日から、Jamf Pro の条件付きアクセス機能が構築されているプラットフォームはサポートされなくなります。

macOS デバイスに Jamf Pro の条件付きアクセス統合を使用する場合は、Jamf のドキュメントに記載されているガイドラインに従って、macOS の条件付きアクセスから macOS デバイス コンプライアンスにデバイスを します。

質問がある場合やヘルプが必要な場合は、 Jamf Customer Success にお問い合わせください。 詳細については、「 条件付きアクセスからデバイス コンプライアンスへの Jamf macOS デバイスの転送を参照してください。

前提条件

トラブルシューティングを開始する前に、いくつかの基本情報を収集して問題を明確にし、解決策を見つける時間を短縮します。 たとえば、Jamf-Intune 統合関連の問題が発生した場合は、必ず前提条件が満たされていることを確認します。 トラブルシューティングを開始する前に、次のことを検討してください。

• Jamf Pro と Intune の統合を構成する方法に応じて、次の記事の前提条件を確認します。
  • Jamf Cloud Connector を使用して Jamf Pro と Intune を統合する
  • Jamf Pro と Intune の統合
• すべてのユーザーは、Microsoft Intune と Microsoft Entra ID P1 ライセンスを持っている必要があります
• Jamf Pro コンソールで Microsoft Intune 統合アクセス許可を持つユーザー アカウントが必要です。
• Azure でグローバル管理者アクセス許可を持つユーザー アカウントが必要です。

Jamf Pro と Intune の統合を調査するときに、次の情報を収集します。

• 正確なエラー メッセージ
• エラー メッセージの場所
• 問題が発生したとき、および Jamf Pro と Intune の統合が以前に機能したかどうか
• 影響を受けるユーザーの数 (すべてのユーザーまたは一部のみ)
• 影響を受けるデバイスの数 (すべてのデバイスまたは一部のみ)

Jamf Pro でデバイスが応答なしとしてマークされる

原因: Jamf Pro によってデバイスが Unresponsive としてマークされている一般的な原因は次のとおりです。

• デバイスが Jamf Pro でチェックインできない。
  Jamf Pro は、デバイスが 15 分ごとにチェックインすることを想定しています。 デバイスは、24 時間のチェックインに失敗すると、Jamf によって応答なしとしてマークされます。

• デバイスが Microsoft Entra ID でチェックインできない。
  Microsoft Entra ID への登録が成功すると、macOS デバイスは Azure トークンを受け取ります。

  • このトークンは 12 時間ごとに更新されます。
  • トークンの更新が 24 時間以上失敗した場合、Jamf Pro はデバイスを無応答としてマークします。
  • Azure トークンの有効期限が切れると、ユーザーは Azure にサインインして新しいトークンを取得するように求められます。 Azure アクセスの更新トークンは 7 日ごとに生成されます。

ソリューション
Jamf Pro によってデバイスが Unresponsive としてマークされた後、デバイスの登録済みユーザーがサインインして応答しない状態を修正する必要があります。 キーチェーンに Intune の ID があるため、職場に参加しているユーザーである必要があります。

アプリを開くと、Mac デバイスでキーチェーン サインインを求めるメッセージが表示される

Intune と Jamf Pro の統合を構成し、条件付きアクセス ポリシーを展開すると、Jamf Pro で管理されているデバイスのユーザーは、Teams、Outlook、Microsoft Entra 認証を必要とするその他のアプリなど、Microsoft 365 アプリケーションを開くときにパスワード プロンプトを受け取ります。

たとえば、次の例のようなテキストを含むプロンプトは、Microsoft Teamsを開くときに表示されます。

Microsoft Teamsキーチェーンでキー "Microsoft Workplace Join Key" を使用して署名したいと考えています。
これを許可するには、"login" キーチェーン パスワードを入力します

原因: これらのプロンプトは、Microsoft Entra の登録を必要とする該当するアプリごとに Jamf Pro によって生成されます。

ソリューション
プロンプトで、ユーザーはデバイスパスワードを入力して Microsoft Entra ID にサインインする必要があります。 次のオプションがあります。

• 拒否 - サインインせず、アプリを使用しないでください。
• 許可 - 1 回限りサインインします。 次にアプリを開くと、もう一度サインインするように求められます。
• 常に許可 - サインイン資格情報はアプリケーション用にキャッシュされます。 次回アプリが開いた場合、サインインを求めるメッセージは表示されません。

1 つのアプリに対して Always Allow を選択すると、そのアプリが今後のサインインに対してのみ承認されます。 追加のアプリは、 Always Allow として設定されるまで認証を求められます。 あるアプリのキャッシュされた資格情報は、別のアプリでは使用できません。

デバイスを Intune に登録できない

Mac デバイスで Jamf Pro 経由で Intune に登録できない一般的な原因はいくつかあります。

原因 1 - Jamf Pro に正しいアクセス許可がない

Azure の Jamf Pro エンタープライズ アプリケーションが間違ったアクセス許可を持っているか、複数のアクセス許可を持っています。 Azure でアプリを作成するときは、すべての既定の API アクセス許可を削除し、Intune に update_device_attributes の単一のアクセス許可を割り当てる必要があります。

ソリューション
Jamf アプリのアクセス許可を確認し、必要に応じて修正します。 Jamf Pro Cloud Connector を使用する場合は、このアプリが自動的に作成されました。 統合を手動で構成した場合は、Microsoft Entra ID でアプリを作成しました。 アプリのアクセス許可については、「 Microsoft Entra ID でアプリケーションを作成する (Jamf 用)を参照してください。

原因 2 - 間違ったテナントまたはアカウント

Jamf Native macOS Connector アプリが Microsoft Entra テナントに作成されなかったか、コネクタの同意が、グローバル管理者権限を持たないアカウントによって署名されました。

ソリューション
docs.jamf.com の「Integrating with Microsoft Intune 」の「 macOS Intune 統合の構成」セクションを参照してください。

原因 3 - ユーザーに有効なライセンスがない

有効な Intune または Jamf ライセンスがないと、Jamf ライセンスの有効期限が切れたことを示す次のエラーが発生する可能性があります。

Microsoft Intune に接続できません。
Microsoft Intune 統合の構成を確認します。

ソリューション

• Jamf ライセンス: Jamf の新しいライセンスを取得するためのサポートについては、Jamf にお問い合わせください。
• Intune ライセンス: 現在のライセンスを取得する方法については、ユーザーに有効なライセンスを割り当てるか、Microsoft またはパートナーにお問い合わせください。

原因 4 - ユーザーが Jamf セルフサービスを使用していない

デバイスが Jamf 経由で Intune に正常に登録および登録するには、ユーザーが Jamf セルフサービスを使用してIntune ポータル サイトを開く必要があります。 ユーザーがポータル サイトを手動で開いた場合、デバイスは Jamf に接続せずに登録および登録します。

デバイスが登録および登録に使用したサービスを確認するには、デバイス上のポータル サイト アプリを調べてみます。 Jamf 経由で登録すると、セルフサービス アプリを開いて変更を行う通知を受け取る必要があります。

ポータル サイト アプリでは、ユーザーにNot registeredが表示され、次の例のようなエントリがポータル サイト ログに表示されることがあります。

行 7783: <DATE><IP ADDRESS> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift: 253 (startLogin()) アカウントがパートナー管理下にある間、WPJ のみ引数なしでポータルが起動されました

ソリューション

登録ソースを Intune から Jamf に変更するには:

1. Intune から macOS デバイスを削除。 Intune から完全に削除されていないデバイスの複雑さを回避するには、以下の「 6 を参照してください。

2. デバイスで Jamf Self Service を使用してポータル サイト アプリを開き、Microsoft Entra ID でデバイスを登録します。 このタスクでは、次のタスクを既に完了している必要があります。

   • Jamf Pro で macOS 用のポータル サイト アプリをデプロイする
   • Jamf Pro でポリシーを作成して、ユーザーに Microsoft Entra ID を使用してデバイスを登録させる

3. ポータルが開くと、最初に表示される画面でサインインするように求められます。 職場や学校用のアカウントを使用する

4. ポータル サイトによってアカウント情報が確認され、デバイス登録とデバイス コンプライアンスの状態が表示されます。 黄色の三角形は、学校や職場で macOS デバイスをセキュリティで保護するために必要なアクションを強調表示します。 [開始] をクリックして登録を開始します。

5. メッセージが表示されたら、コンピューターのサインイン情報を入力します。

デバイスの登録には数分かかる場合があります。 登録が完了すると、完了したことを通知するメッセージが表示されます。

原因 5 - Intune 統合が無効になっている

Intune 統合が無効になっている場合、ユーザーはデバイスを登録しようとしたときに、ポータル サイトに次のメッセージが表示されたポップアップ ウィンドウを受け取ります。

無効なコマンド ライン入力登録専用コマンド ライン フラグ (-r) は、Intune でパートナー管理が有効になっている場合にのみ使用できます。 IT 管理者にお問い合わせください。

統合がオフになると、Jamf Pro サーバーは Intune サーバーにパルスを送信し、統合が無効になっていることを Intune に通知します。

ソリューション
Jamf Pro 内で Intune 統合を再度有効にします。 統合の構成方法に応じて、以下を参照してください。

• Jamf Cloud Connector を使用して Jamf Pro と Intune を統合する
• Jamf Pro で Microsoft Intune 統合を手動で構成。

原因 6 - デバイスが Intune に以前に登録されていた

デバイスが Jamf から登録解除されていても、Intune から正しく削除されていない場合 (以前に登録されていた場合)、またはユーザーが複数の登録を試みた場合は、ポータルに同じデバイスの複数のインスタンスが表示されることがあります。 これにより、Jamf の登録が失敗します。

ソリューション

1. Mac で、 Terminal を起動します。

2. sudo JAMF removemdmprofileを実行します。

3. sudo JAMF removeFramework を実行します。

4. JAMF Pro サーバーで、コンピューターのインベントリ レコードを削除します。

5. AzureAD からデバイスを削除します。

6. 次のファイルが存在する場合は、デバイス上のファイルを削除します。

   • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
   • /Library/Application Support/com.microsoft.CompanyPortal
   • /Library/Application Support/com.jamfsoftware.selfservice.mac
   • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
   • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
   • /Library/Preferences/com.microsoft.CompanyPortal.plist
   • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
   • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
   • /Users/<username>/Library/Cookies/com.microsoft.CompanyPortal.binarycookies
   • /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
   • com.microsoft.CompanyPortal
   • com.microsoft.CompanyPortal.HockeySDK
   • enterpriseregistration.windows.net
   • https://device.login.microsoftonline.com
   • https://device.login.microsoftonline.com/
   • Microsoft セッション トランスポート キー (公開キーと秘密キー)
   • Microsoft Workplace Join Key (公開キーと秘密キー)

7. デバイス上のキーチェーンから、Microsoft、Intune、またはポータル サイトを参照するもの (証明書 DeviceLogin.microsoft.com 含む) を削除します。 JAMF 公開キーと秘密キー 除き JAMF 参照を削除します。

   重要

   公開キーと秘密キーを削除すると、デバイスの登録が中断されます。

8. 次のいずれかのエントリを削除します。

   • 種類: アプリケーションパスワード;アカウント: com.microsoft.workplacejoin.thumbprint
   • 種類: アプリケーションパスワード;アカウント: com.microsoft.workplacejoin.registeredUserPrincipalName
   • 種類: 証明書;発行者: MS-Organization-Access
   • 種類: ID 設定 ;名前 (存在する場合は ADFS STS URL): https://<DNS NAME>.com/adfs/ls
   • 種類: ID 設定 ;名前： https://enterpriseregistration.windows.net
   • 種類: ID 設定 ;名前： https://enterpriseregistration.windows.net/

9. Mac デバイスを再起動します。

10. デバイスからポータル サイトをアンインストールします。

11. portal.manage.microsoft.com に移動し、Mac デバイスのすべてのインスタンスを削除します。 次の手順に進む前に、少なくとも 30 分待ちます。

12. JAMF Pro にデバイスを再登録します。

13. セルフサービスを再度開き、登録ポリシーを開始します。

原因 7 - ユーザーがキーへの JamfAAD アクセスを提供しなかった

JamfAAD は、ユーザーのキーチェーンから "Microsoft Workplace Join Key" へのアクセスを要求します。 登録時に、macOS デバイスのユーザーは、キーチェーンからキーへの JamfAAD アクセスを許可する次のプロンプトを受け取ります。

JamfAAD は、キーチェーン内のキー "Microsoft Workplace Join Key" にアクセスしたいと考えています。 これを許可するには、"login" キーチェーン パスワードを入力します

ソリューション
デバイスを Microsoft Entra ID に正常に登録するには、Jamf はユーザーに自分のアカウント パスワードを入力し、 Allow を選択する必要があります。

この要求は、アプリを開くときにキーチェーン サインインを求める Mac デバイスの要求に似ています。

Mac デバイスは Intune では準拠しているが、Azure では非準拠と表示される

原因: 次の条件により、デバイスが Intune では準拠として表示されますが、Azure では準拠していないと表示される可能性があります。

• デバイスが正しく登録されていません。
• デバイスは、必要なクリーンアップなしで複数回登録されました。

ソリューション
この問題を解決するには、 Cause 6の手順に従います。

Jamf を使用して登録された Mac デバイスの Intune コンソールに重複するエントリが表示される

原因: デバイスは Intune に複数回登録され、通常は Intune から削除された後に再登録されます。

Intune と Jamf Pro の統合からデバイスが削除されると、一部のデータが残され、連続した登録によって重複するエントリが作成される可能性があります。

ソリューション
この問題を解決するには、 Cause 6の手順に従います。

コンプライアンス ポリシーがデバイスの評価に失敗する

原因: Jamf と Intune の統合では、デバイス グループを対象とするコンプライアンス ポリシーはサポートされていません。

ソリューション
ユーザー グループに割り当てる macOS デバイスのコンプライアンス ポリシーを変更します。

Microsoft Graph API のアクセス トークンを取得できませんでした

次のエラーが表示されます。

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

このエラーの原因は、次のいずれかの原因になります。

原因 1

Azure の Jamf Pro アプリケーションにアクセス許可の問題があります。 Jamf Pro アプリを Azure に登録するときに、次のいずれかの条件が発生しました。

• アプリは複数のアクセス許可を受け取りました。
• 会社>オプション<管理者の同意が選択されていません。

ソリューション
この記事で前述した、 Devices の登録に失敗した場合の原因 1 の解決方法を参照してください。

原因 2

Jamf-Intune 統合に必要なライセンスの有効期限が切れています。

解決策 Devices の登録に失敗した場合の原因 3 の解決策を参照してください。

原因 3

必要なポートがネットワーク上で開いていません。

解決策 Jamf Pro と Intune を統合するための Prerequisites のネットワーク ポートの情報を確認します。