Problemen met de integratie van Jamf Pro met Microsoft Intune oplossen

Dit artikel helpt Intune-beheerders bij het begrijpen en oplossen van problemen met de integratie van Jamf Pro voor macOS met Microsoft Intune. Elk van de volgende secties beschrijft een veelvoorkomend probleem en biedt een mogelijke oorzaak en probleemoplossingsstappen voor een oplossing.

Belangrijk

Jamf macOS-apparaatondersteuning voor voorwaardelijke toegang wordt afgeschaft.

Vanaf 1 september 2024 wordt het platform waarop de functie voor voorwaardelijke toegang van Jamf Pro is gebouwd, niet meer ondersteund.

Als u de integratie van voorwaardelijke toegang van Jamf Pro voor macOS-apparaten gebruikt, volgt u de gedocumenteerde richtlijnen van Jamf om uw apparaten te migreren van voorwaardelijke toegang tot macOS-apparaatcompatibiliteit.

Als u vragen hebt of hulp nodig hebt, neemt u contact op met Jamf Customer Success. Zie Overgang van Jamf macOS-apparaten van voorwaardelijke toegang tot apparaatnaleving voor meer informatie.

Voorwaarden

Voordat u begint met het oplossen van problemen, verzamelt u enkele basisinformatie om het probleem te verduidelijken en de tijd te verkorten om een oplossing te vinden. Wanneer u bijvoorbeeld een probleem ondervindt met betrekking tot Jamf-Intune-integratie, controleert u altijd of aan de vereisten is voldaan. Houd rekening met het volgende voordat u begint met het oplossen van problemen:

• Bekijk de vereisten uit de volgende artikelen, afhankelijk van hoe u Jamf Pro-integratie met Intune configureert:
  • De Jamf Cloud Connector gebruiken om Jamf Pro te integreren met Intune
  • Jamf Pro integreren met Intune
• Alle gebruikers moeten microsoft Intune- en Microsoft Entra ID P1-licenties hebben
• U moet een gebruikersaccount hebben met Microsoft Intune-integratiemachtigingen in de Jamf Pro-console.
• U moet een gebruikersaccount hebben met globale beheerdersmachtigingen in Azure.

Verzamel de volgende informatie bij het onderzoeken van Jamf Pro-integratie met Intune:

• Exacte foutberichten
• Locatie van de foutberichten
• Wanneer het probleem is gestart en of uw Jamf Pro-integratie met Intune eerder heeft gewerkt
• Hoeveel gebruikers worden beïnvloed (alle gebruikers of slechts enkele)
• Hoeveel apparaten worden beïnvloed (alle apparaten of slechts enkele)

Apparaten worden gemarkeerd als niet-reagerend in Jamf Pro

Oorzaak: De volgende oorzaken zijn veelvoorkomende oorzaken van apparaten die worden gemarkeerd als Niet reagerend door Jamf Pro:

• Het apparaat kan niet worden ingecheckt bij Jamf Pro.
  Jamf Pro verwacht dat apparaten elke 15 minuten inchecken. Apparaten worden gemarkeerd als niet-reagerend door Jamf wanneer ze niet kunnen inchecken gedurende een periode van 24 uur.

• Het apparaat kan niet worden ingecheckt met Microsoft Entra-id.
  Met een geslaagde registratie bij Microsoft Entra ID ontvangen macOS-apparaten een Azure-token:

  • Dit token wordt elke 12 uur vernieuwd.
  • Wanneer het vernieuwen van het token 24 uur of langer mislukt, markeert Jamf Pro het apparaat als niet-reagerend.
  • Als het Azure-token verloopt, wordt gebruikers gevraagd zich aan te melden bij Azure om een nieuw token te verkrijgen. Er wordt elke zeven dagen een vernieuwingstoken voor Azure-toegang gegenereerd.

Oplossing
Nadat een apparaat is gemarkeerd als Niet-reagerend door Jamf Pro, moet de ingeschreven gebruiker van het apparaat zich aanmelden om de niet-responsieve status te corrigeren. Dit moet de gebruiker zijn die aan de werkplek is toegevoegd aan het account, omdat deze de identiteit van Intune in de sleutelhanger heeft.

Mac-apparaten vragen om aanmelding bij sleutelhanger wanneer u een app opent

Nadat u Intune- en Jamf Pro-integratie hebt geconfigureerd en beleid voor voorwaardelijke toegang hebt geïmplementeerd, ontvangen gebruikers van apparaten die worden beheerd met Jamf Pro wachtwoordprompts bij het openen van Microsoft 365-toepassingen, zoals Teams, Outlook en andere apps waarvoor Microsoft Entra-verificatie is vereist.

Er wordt bijvoorbeeld een prompt met tekst weergegeven die lijkt op het volgende voorbeeld bij het openen van Microsoft Teams:

Microsoft Teams wil zich aanmelden met de sleutel 'Microsoft Workplace Join Key' in uw sleutelhanger.
Als u dit wilt toestaan, voert u het wachtwoord voor de sleutelhanger 'aanmelden' in

Oorzaak: Deze prompts worden gegenereerd door Jamf Pro voor elke toepasselijke app waarvoor Microsoft Entra-registratie is vereist.

Oplossing
Bij de prompt moet de gebruiker het wachtwoord van het apparaat opgeven om zich aan te melden bij Microsoft Entra ID. De volgende opties zijn beschikbaar:

• Weigeren : meld u niet aan en gebruik de app niet.
• Toestaan : eenmalige aanmelding. De volgende keer dat de app wordt geopend, wordt u opnieuw gevraagd om u aan te melden.
• Altijd toestaan : de aanmeldingsreferenties worden in de cache opgeslagen voor de toepassing. De volgende keer dat de app wordt geopend, wordt er niet om aanmelding gevraagd.

Als u Altijd toestaan selecteert voor één app, wordt die app alleen goedgekeurd voor toekomstige aanmelding. Aanvullende apps vragen om verificatie totdat ze ook zijn ingesteld als Altijd toestaan. Referenties in de cache voor de ene app kunnen niet worden gebruikt door een andere app.

Apparaten kunnen niet worden geregistreerd bij Intune

Er zijn verschillende veelvoorkomende oorzaken voor Mac-apparaten die niet bij Intune kunnen worden geregistreerd via Jamf Pro.

Oorzaak 1: Jamf Pro beschikt niet over de juiste machtigingen

De Jamf Pro-bedrijfstoepassing in Azure heeft de verkeerde machtiging of heeft meer dan één machtiging. Wanneer u de app in Azure maakt, moet u alle standaard-API-machtigingen verwijderen en vervolgens Één machtiging voor update_device_attributes toewijzen aan Intune.

Oplossing
Controleer en corrigeer zo nodig de machtigingen voor de Jamf-app. Als u de Jamf Pro Cloud Connector gebruikt, is deze app voor u gemaakt. Als u de integratie handmatig hebt geconfigureerd, hebt u de app gemaakt in Microsoft Entra-id. Zie Een toepassing maken (voor Jamf) in Microsoft Entra-id voor de app-machtigingen.

Oorzaak 2: verkeerde tenant of account

De Jamf Native macOS Connector-app is niet gemaakt in uw Microsoft Entra-tenant of toestemming voor de connector is ondertekend door een account dat geen globale beheerdersrechten heeft.

Oplossing
Zie de sectie MacOS Intune-integratie configureren in Integratie met Microsoft Intune op docs.jamf.com.

Oorzaak 3: de gebruiker heeft geen geldige licentie(s)

Het ontbreken van een geldige Intune- of Jamf-licentie kan leiden tot de volgende fout, wat aangeeft dat de Jamf-licentie is verlopen:

Kan geen verbinding maken met Microsoft Intune.
Controleer de microsoft Intune-integratieconfiguratie.

Oplossing

• Jamf-licentie: Neem contact op met Jamf voor hulp bij het verkrijgen van een nieuwe licentie voor Jamf.
• Intune-licentie: Wijs de gebruiker een geldige licentie toe of neem contact op met Microsoft of uw partner voor informatie over het verkrijgen van een huidige licentie.

Oorzaak 4: gebruiker heeft jamf selfservice niet gebruikt

Als een apparaat zich via Jamf bij Intune kan registreren en registreren, moet de gebruiker De selfservice van Jamf gebruiken om de Intune-bedrijfsportal te openen. Als de gebruiker de Bedrijfsportal handmatig opent, wordt het apparaat ingeschreven en geregistreerd zonder verbinding met Jamf.

Als u wilt bepalen welke service het apparaat heeft gebruikt om het apparaat in te schrijven en te registreren, kijkt u in de Bedrijfsportal-app op het apparaat. Wanneer u bent geregistreerd via Jamf, ontvangt u een melding om de selfservice-app te openen om wijzigingen aan te brengen.

In de Bedrijfsportal-app kan de gebruiker zien Not registereden kan een vermelding die vergelijkbaar is met het volgende voorbeeld worden weergegeven in de Bedrijfsportal logboeken:

Regel 7783: <DATUM><IP-ADRES> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift: 253 (startLogin()) Portal gestart zonder WPJ alleen arg terwijl het account onder partnerbeheer valt

Oplossing

De registratiebron wijzigen van Intune in Jamf:

1. Verwijder het macOS-apparaat uit Intune. Zie Oorzaak 6 hieronder om verdere complicaties te voorkomen voor apparaten die niet volledig zijn verwijderd uit Intune.

2. Gebruik Jamf Self Service op het apparaat om de Bedrijfsportal-app te openen en registreer het apparaat vervolgens bij Microsoft Entra ID. Voor deze taak moet u de volgende taken al hebben voltooid:

   • De Bedrijfsportal-app voor macOS implementeren in Jamf Pro
   • Een beleid maken in Jamf Pro om gebruikers hun apparaten te laten registreren bij Microsoft Entra ID

3. Wanneer de portal wordt geopend, wordt u in het eerste scherm gevraagd u aan te melden. Uw werk- of schoolaccount gebruiken

4. De Bedrijfsportal bevestigt uw accountgegevens en toont de statussen Apparaatinschrijving en Apparaatnaleving. Gele driehoeken markeren de acties die u moet uitvoeren om uw macOS-apparaat voor school of werk te beveiligen. Klik op Begin om de inschrijving te starten.

5. Als u hierom wordt gevraagd, typt u de aanmeldingsgegevens van uw computer.

Het kan enkele minuten duren voordat uw apparaat is geregistreerd. U ontvangt een bericht nadat de registratie is voltooid om u te laten weten dat u klaar bent.

Oorzaak 5: Intune-integratie is uitgeschakeld

Als Intune-integratie is uitgeschakeld, ontvangen gebruikers een pop-upvenster in de Bedrijfsportal met het volgende bericht wanneer ze een apparaat proberen te registreren:

Ongeldige opdrachtregelinvoer alleen opdrachtregelvlag (-r) kan alleen worden gebruikt wanneer partnerbeheer is ingeschakeld in Intune. Neem contact op met uw IT-beheerder.

De Jamf Pro-server verzendt een pulse naar de Intune-servers wanneer de integratie is uitgeschakeld, zodat Intune weet dat de integratie is uitgeschakeld.

Oplossing
Intune-integratie in Jamf Pro opnieuw inschakelen. Zie het volgende, afhankelijk van hoe u integratie configureert:

• De Jamf Cloud Connector gebruiken om Jamf Pro te integreren met Intune
• Microsoft Intune-integratie handmatig configureren in Jamf Pro.

Oorzaak 6: het apparaat is eerder ingeschreven bij Intune

Als een apparaat wordt uitgeschreven bij Jamf, maar niet correct is verwijderd uit Intune (als het eerder is geregistreerd), of als de gebruiker meerdere registratiepogingen heeft gedaan, ziet u mogelijk meerdere exemplaren van hetzelfde apparaat in de portal. Dit zorgt ervoor dat jamf-inschrijving mislukt.

Oplossing

1. Start Terminal op de Mac.

2. Voer sudo JAMF removemdmprofile uit.

3. Voer sudo JAMF removeFramework uit.

4. Verwijder de inventarisrecord van de computer op de JAMF Pro-server.

5. Verwijder het apparaat uit AzureAD.

6. Verwijder de volgende bestanden op het apparaat als deze bestaan:

   • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
   • /Library/Application Support/com.microsoft.CompanyPortal
   • /Library/Application Support/com.jamfsoftware.selfservice.mac
   • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
   • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
   • /Library/Preferences/com.microsoft.CompanyPortal.plist
   • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
   • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
   • /Users/<username>/Library/Cookies/com.microsoft.CompanyPortal.binarycookies
   • /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
   • com.microsoft.CompanyPortal
   • com.microsoft.CompanyPortal.HockeySDK
   • enterpriseregistration.windows.net
   • https://device.login.microsoftonline.com
   • https://device.login.microsoftonline.com/
   • Microsoft Session Transport Key (openbare EN persoonlijke sleutels)
   • Microsoft Workplace Join Key (openbare EN persoonlijke sleutels)

7. Verwijder iets uit de sleutelhanger op het apparaat dat verwijst naar Microsoft, Intune of Bedrijfsportal, inclusief DeviceLogin.microsoft.com certificaten. Verwijder JAMF-verwijzingen , met uitzondering van openbare en persoonlijke JAMF-sleutel.

   Belangrijk

   Als u de openbare en persoonlijke sleutel verwijdert, wordt de apparaatinschrijving verbroken.

8. Verwijder een van de volgende vermeldingen die u vindt:

   • Soort: Toepassingswachtwoord; Account: com.microsoft.workplacejoin.thumbprint
   • Soort: Toepassingswachtwoord; Account: com.microsoft.workplacejoin.registeredUserPrincipalName
   • Soort: Certificaat; Uitgegeven door: MS-Organization-Access
   • Soort: Identiteitsvoorkeur ; Naam (ADFS STS-URL indien aanwezig): https://<DNS NAME>.com/adfs/ls
   • Soort: Identiteitsvoorkeur ; Naam: https://enterpriseregistration.windows.net
   • Soort: Identiteitsvoorkeur ; Naam: https://enterpriseregistration.windows.net/

9. Start het Mac-apparaat opnieuw op.

10. Verwijder Bedrijfsportal van het apparaat.

11. Ga naar portal.manage.microsoft.com en verwijder alle exemplaren van het Mac-apparaat. Wacht minstens 30 minuten voordat u naar de volgende stap gaat.

12. Schrijf het apparaat opnieuw in bij JAMF Pro.

13. Open selfservice opnieuw en start registratiebeleid.

Oorzaak 7: gebruiker heeft jamfAAD-toegang tot de sleutel niet verstrekt

JamfAAD vraagt toegang tot een 'Microsoft Workplace Join Key' aan vanuit de sleutelhanger van de gebruikers. Tijdens de registratie ontvangt de gebruiker van een macOS-apparaat de volgende prompt om JamfAAD toegang tot een sleutel toe te staan vanuit de sleutelhanger:

JamfAAD wil toegang krijgen tot de sleutel 'Microsoft Workplace Join Key' in uw sleutelhanger. Als u dit wilt toestaan, voert u het wachtwoord voor de sleutelhanger 'aanmelden' in

Oplossing
Als u het apparaat wilt registreren bij Microsoft Entra-id, moet de gebruiker het accountwachtwoord opgeven en Toestaan selecteren.

Deze aanvraag is vergelijkbaar met de aanvraag voor Mac-apparaten die vragen om aanmelding van de sleutelhanger wanneer u een app opent.

Mac-apparaat toont compatibel in Intune, maar niet-compatibel in Azure

Oorzaak: De volgende voorwaarden kunnen ertoe leiden dat een apparaat wordt weergegeven als compatibel in Intune, maar niet als compatibel in Azure:

• Het apparaat is niet correct geregistreerd.
• Het apparaat is meerdere keren geregistreerd zonder de benodigde opschoonactie.

Oplossing
Volg de stappen in Oorzaak 6 om dit probleem op te lossen.

Dubbele vermeldingen worden weergegeven in de Intune-console voor Mac-apparaten die zijn ingeschreven met jamf

Oorzaak: Een apparaat wordt meerdere keren geregistreerd bij Intune, meestal opnieuw geregistreerd nadat het uit Intune is verwijderd.

Wanneer een apparaat wordt verwijderd uit De integratie van Intune en Jamf Pro, kunnen sommige gegevens achterblijven, waardoor opeenvolgende registraties dubbele vermeldingen kunnen maken.

Oplossing
Volg de stappen in Oorzaak 6 om dit probleem op te lossen.

Nalevingsbeleid kan het apparaat niet evalueren

Oorzaak: Jamf-integratie met Intune biedt geen ondersteuning voor nalevingsbeleid dat is gericht op apparaatgroepen.

Oplossing
Wijzig het nalevingsbeleid voor macOS-apparaten die moeten worden toegewezen aan gebruikersgroepen.

Kan het toegangstoken voor Microsoft Graph API niet ophalen

U ontvangt de volgende fout:

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

De bron van deze fout kan een van de volgende oorzaken zijn:

Oorzaak 1

Er is een machtigingsprobleem met de Jamf Pro-toepassing in Azure. Tijdens het registreren van de Jamf Pro-app in Azure is een van de volgende voorwaarden opgetreden:

• De app heeft meer dan één machtiging ontvangen.
• De optie Beheerderstoestemming verlenen voor <uw bedrijf> is niet geselecteerd.

Oplossing
Zie de oplossing voor oorzaak 1 voor apparaten niet registreren, eerder in dit artikel.

Oorzaak 2

Een licentie die is vereist voor Jamf-Intune-integratie is verlopen.

Oplossing Zie de oplossing voor oorzaak 3 voor apparaten kan niet worden geregistreerd.

Oorzaak 3

De vereiste poorten zijn niet geopend in uw netwerk.

Oplossing Bekijk de informatie over netwerkpoorten in vereisten voor de integratie van Jamf Pro met Intune.