Udostępnij za pośrednictwem

Rozwiązywanie problemów z integracją narzędzia Jamf Pro z usługą Microsoft Intune

  • Artykuł

Ten artykuł ułatwia administratorom usługi Intune zrozumienie i rozwiązywanie problemów z integracją narzędzia Jamf Pro dla systemu macOS z usługą Microsoft Intune. W każdej z poniższych sekcji opisano typowy problem i przedstawiono potencjalną przyczynę i kroki rozwiązywania problemów w celu rozwiązania problemu.

Ważne

Obsługa urządzeń z systemem macOS narzędzia Jamf dla dostępu warunkowego jest przestarzała.

Od 1 września 2024 r. platforma, na której jest oparta funkcja dostępu warunkowego narzędzia Jamf Pro, nie będzie już obsługiwana.

Jeśli używasz integracji dostępu warunkowego narzędzia Jamf Pro dla urządzeń z systemem macOS, postępuj zgodnie z udokumentowanymi wytycznymi narzędzia Jamf, aby przeprowadzić migrację urządzeń z systemu macOS z dostępu warunkowego do zgodności urządzeń z systemem macOS.

Jeśli masz pytania lub potrzebujesz pomocy, skontaktuj się z klientem Jamf Customer Success. Aby uzyskać więcej informacji, zobacz Transitioning Jamf macOS devices from Conditional Access to Device Compliance (Przechodzenie urządzeń jamf macOS z dostępu warunkowego do zgodności urządzeń).

Wymagania wstępne

Przed rozpoczęciem rozwiązywania problemów zbierz podstawowe informacje, aby wyjaśnić problem i skrócić czas znajdowania rozwiązania. Jeśli na przykład wystąpi problem związany z integracją narzędzia Jamf-Intune, zawsze sprawdź, czy zostały spełnione wymagania wstępne. Przed rozpoczęciem rozwiązywania problemów należy wziąć pod uwagę następujące kwestie:

Zbierz następujące informacje podczas badania integracji narzędzia Jamf Pro z usługą Intune:

  • Dokładne komunikaty o błędach
  • Lokalizacja komunikatów o błędach
  • Po rozpoczęciu problemu i tym, czy integracja narzędzia Jamf Pro z usługą Intune działała wcześniej
  • Liczba użytkowników, których dotyczy problem (wszyscy użytkownicy lub tylko niektórzy)
  • Liczba urządzeń, których dotyczy problem (wszystkie urządzenia lub tylko niektóre)

Urządzenia są oznaczone jako nieodpowiadające w narzędziu Jamf Pro

Przyczyna: Poniżej przedstawiono typowe przyczyny oznaczania urządzeń jako nieodpowiadające przez narzędzie Jamf Pro:

  • Nie można zaewidencjonować urządzenia za pomocą narzędzia Jamf Pro.
    Narzędzie Jamf Pro oczekuje, że urządzenia będą ewidencjonować co 15 minut. Urządzenia są oznaczone jako nieodpowiadujące przez narzędzie Jamf, gdy nie będą zaewidencjonowane w ciągu 24-godzinnego okresu.

  • Nie można zaewidencjonować urządzenia przy użyciu identyfikatora Entra firmy Microsoft.
    Po pomyślnej rejestracji w usłudze Microsoft Entra ID urządzenia z systemem macOS otrzymują token platformy Azure:

    • Ten token jest odświeżany co 12 godzin.
    • Gdy odświeżanie tokenu nie powiedzie się przez 24 godziny lub więcej, narzędzie Jamf Pro oznacza urządzenie jako nieodpowiadające.
    • Jeśli token platformy Azure wygaśnie, użytkownicy otrzymają monit o zalogowanie się do platformy Azure w celu uzyskania nowego tokenu. Token odświeżania dostępu do platformy Azure jest generowany co siedem dni.

Rozwiązanie
Gdy urządzenie zostanie oznaczone jako Nieodpowiadające przez narzędzie Jamf Pro, zarejestrowany użytkownik urządzenia musi zalogować się, aby poprawić stan braku odpowiedzi. Musi to być użytkownik, który dołączył do konta w miejscu pracy, ponieważ ma tożsamość z usługi Intune w pęku kluczy.

Podczas otwierania aplikacji na urządzeniach Mac jest wyświetlany monit o logowanie łańcucha kluczy

Po skonfigurowaniu integracji usługi Intune i narzędzia Jamf Pro i wdrożeniu zasad dostępu warunkowego użytkownicy urządzeń zarządzanych za pomocą narzędzia Jamf Pro otrzymują monity o hasło podczas otwierania aplikacji platformy Microsoft 365, takich jak Teams, Outlook i inne aplikacje, które wymagają uwierzytelniania firmy Microsoft Entra.

Na przykład podczas otwierania usługi Microsoft Teams zostanie wyświetlony monit z tekstem podobnym do poniższego przykładu:

Usługa Microsoft Teams chce podpisać klucz "Microsoft Workplace Join Key" w pęku kluczy.
Aby zezwolić na to, wprowadź hasło łańcucha kluczy "login"

Przyczyna: Te monity są generowane przez narzędzie Jamf Pro dla każdej odpowiedniej aplikacji, która wymaga rejestracji w usłudze Microsoft Entra.

Rozwiązanie
Po wyświetleniu monitu użytkownik musi podać swoje hasło urządzenia, aby zalogować się do identyfikatora Entra firmy Microsoft. Dostępne opcje:

  • Odmów — nie loguj się i nie używaj aplikacji.
  • Zezwalaj — logowanie jednokrotne. Przy następnym uruchomieniu aplikacji zostanie wyświetlony monit o ponowne zalogowanie.
  • Zawsze zezwalaj — poświadczenia logowania są buforowane dla aplikacji. Następnym razem, gdy aplikacja zostanie otwarta, nie wyświetli monitu o zalogowanie.

Wybranie opcji Zawsze zezwalaj na jedną aplikację zatwierdza tylko tę aplikację na potrzeby przyszłego logowania. Dodatkowe aplikacje monitują o uwierzytelnienie, dopóki nie zostaną również ustawione jako Zawsze zezwalaj. Poświadczenia buforowane dla jednej aplikacji nie mogą być używane przez inną aplikację.

Nie można zarejestrować urządzeń w usłudze Intune

Istnieje kilka typowych przyczyn niepowodzenia rejestrowania urządzeń Mac w usłudze Intune za pośrednictwem narzędzia Jamf Pro.

Przyczyna 1 — narzędzie Jamf Pro nie ma poprawnych uprawnień

Aplikacja jamf Pro dla przedsiębiorstw na platformie Azure ma nieprawidłowe uprawnienie lub ma więcej niż jedno uprawnienie. Podczas tworzenia aplikacji na platformie Azure należy usunąć wszystkie domyślne uprawnienia interfejsu API, a następnie przypisać usłudze Intune pojedyncze uprawnienie update_device_attributes.

Rozwiązanie
Przejrzyj i w razie potrzeby popraw uprawnienia aplikacji Jamf. Jeśli używasz łącznika jamf Pro Cloud Connector, ta aplikacja została utworzona dla Ciebie. Jeśli integracja została ręcznie skonfigurowana, aplikacja została utworzona w identyfikatorze Entra firmy Microsoft. Aby uzyskać uprawnienia aplikacji, zobacz Tworzenie aplikacji (dla narzędzia Jamf) w identyfikatorze Entra firmy Microsoft.

Przyczyna 2 — nieprawidłowa dzierżawa lub konto

Aplikacja Jamf Native macOS Connector nie została utworzona w dzierżawie usługi Microsoft Entra ani nie została podpisana przez konto, które nie ma uprawnień administratora globalnego.

Rozwiązanie
Zobacz sekcję Konfigurowanie integracji z systemem macOS w usłudze Intune w temacie Integrowanie z usługą Microsoft Intune w docs.jamf.com.

Przyczyna 3 — użytkownik nie ma prawidłowych licencji

Brak prawidłowej licencji usługi Intune lub narzędzia Jamf może spowodować następujący błąd, co oznacza, że licencja narzędzia Jamf wygasła:

Nie można nawiązać połączenia z usługą Microsoft Intune.
Sprawdź konfigurację integracji usługi Microsoft Intune.

Rozwiązanie

  • Licencja narzędzia Jamf: Skontaktuj się z narzędziem Jamf, aby uzyskać nową licencję na oprogramowanie Jamf.
  • Licencja usługi Intune: przypisz użytkownikowi ważną licencję lub skontaktuj się z firmą Microsoft lub partnerem, aby uzyskać informacje na temat uzyskiwania bieżącej licencji.

Przyczyna 4 — użytkownik nie używał samoobsługi narzędzia Jamf

Aby urządzenie mogło pomyślnie zarejestrować się i zarejestrować w usłudze Intune za pomocą narzędzia Jamf, użytkownik musi użyć samoobsługi narzędzia Jamf, aby otworzyć Intune — Portal firmy. Jeśli użytkownik otworzy Portal firmy ręcznie, urządzenie zarejestruje się i zarejestruje bez połączenia z narzędziem Jamf.

Aby określić usługę używaną do rejestrowania i rejestrowania urządzenia, wyszukaj aplikację Portal firmy na urządzeniu. Po zarejestrowaniu za pomocą narzędzia Jamf powinno zostać wyświetlone powiadomienie o otwarciu aplikacji samoobsługowej w celu wprowadzenia zmian.

W aplikacji Portal firmy użytkownik może zobaczyć Not registeredwpis podobny do poniższego przykładu w dziennikach Portal firmy:

Wiersz 7783: <DATE><IP ADDRESS> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift: 253 (startLogin()) Portal został uruchomiony bez narzędzia WPJ tylko arg, gdy konto jest objęte zarządzaniem partnerem

Rozwiązanie

Aby zmienić źródło rejestracji z usługi Intune na narzędzie Jamf:

  1. Usuń urządzenie z systemem macOS z usługi Intune. Aby uniknąć dalszych komplikacji dotyczących urządzeń, które nie zostały w pełni usunięte z usługi Intune, zobacz przyczynę 6 poniżej.

  2. Na urządzeniu użyj samoobsługi narzędzia Jamf, aby otworzyć aplikację Portal firmy, a następnie zarejestrować urządzenie w usłudze Microsoft Entra ID. To zadanie wymaga, aby wykonano już następujące zadania:

  3. Po otwarciu portalu zostanie wyświetlony pierwszy ekran z monitem o zalogowanie. Użyj swojego konta służbowego

  4. Portal firmy potwierdza informacje o twoim koncie i pokazuje stan rejestracji urządzeń i zgodności urządzeń. Żółte trójkąty podkreślają akcje, które należy wykonać, aby zabezpieczyć urządzenie z systemem macOS dla szkoły lub pracy. Kliknij przycisk Rozpocznij, aby rozpocząć rejestrację.

  5. Jeśli zostanie wyświetlony monit, wpisz informacje logowania komputera.

Zarejestrowanie urządzenia może potrwać kilka minut. Po zakończeniu rejestracji otrzymasz komunikat informujący o zakończeniu rejestracji.

Przyczyna 5 — integracja z usługą Intune jest wyłączona

Jeśli integracja z usługą Intune jest wyłączona, użytkownicy otrzymają okno podręczne w Portal firmy z następującym komunikatem podczas próby zarejestrowania urządzenia:

Nieprawidłowa flaga wiersza polecenia tylko do rejestracji (-r) może być używana tylko wtedy, gdy zarządzanie partnerami jest włączone w usłudze Intune. Skontaktuj się z administratorem IT.

Serwer Jamf Pro wysyła impuls do serwerów usługi Intune, gdy integracja jest wyłączona, co informuje usługę Intune, że integracja jest wyłączona.

Rozwiązanie
Ponownie włącz integrację usługi Intune w narzędziu Jamf Pro. Zobacz następujące informacje w zależności od sposobu konfigurowania integracji:

Przyczyna 6 — urządzenie zostało wcześniej zarejestrowane w usłudze Intune

Jeśli urządzenie zostało wyrejestrowane z narzędzia Jamf, ale nie zostało poprawnie usunięte z usługi Intune (jeśli zostało zarejestrowane wcześniej) lub jeśli użytkownik podjął kilka prób rejestracji, może zostać wyświetlonych wiele wystąpień tego samego urządzenia w portalu. Powoduje to niepowodzenie rejestracji narzędzia Jamf.

Rozwiązanie

  1. Na komputerze Mac uruchom terminal.

  2. Uruchom polecenie sudo JAMF removemdmprofile.

  3. Uruchom polecenie sudo JAMF removeFramework.

  4. Na serwerze JAMF Pro usuń rekord spisu komputera.

  5. Usuń urządzenie z usługi AzureAD.

  6. Usuń następujące pliki na urządzeniu, jeśli istnieją:

    • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
    • /Library/Application Support/com.microsoft.CompanyPortal
    • /Library/Application Support/com.jamfsoftware.selfservice.mac
    • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
    • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
    • /Library/Preferences/com.microsoft.CompanyPortal.plist
    • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
    • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
    • /Users/username>/<Library/Cookies/com.microsoft.CompanyPortal.binarycookies
    • /Users/username>/<Library/Cookies/com.jamf.management.jamfAAD.binarycookies
    • com.microsoft.CompanyPortal
    • com.microsoft.CompanyPortal.HockeySDK
    • enterpriseregistration.windows.net
    • https://device.login.microsoftonline.com
    • https://device.login.microsoftonline.com/
    • Klucz transportu sesji firmy Microsoft (klucze publiczne I prywatne)
    • Klucz dołączania w miejscu pracy firmy Microsoft (klucze publiczne I prywatne)

  7. Usuń wszystkie elementy z pęku kluczy na urządzeniu, które odwołuje się do firmy Microsoft, usługi Intune lub Portal firmy, w tym certyfikatów DeviceLogin.microsoft.com. Usuń odwołania JAMF z wyjątkiem klucza publicznego i prywatnego narzędzia JAMF .

    Ważne

    Usunięcie klucza publicznego i prywatnego spowoduje przerwanie rejestracji urządzeń.

  8. Usuń dowolne z następujących wpisów, które znajdziesz:

    • Rodzaj: hasło aplikacji ; Konto: com.microsoft.workplacejoin.thumbprint
    • Rodzaj: hasło aplikacji ; Konto: com.microsoft.workplacejoin.registeredUserPrincipalName
    • Rodzaj: Certyfikat ; Wystawione przez: MS-Organization-Access
    • Rodzaj: Preferencja tożsamości ; Nazwa (adres URL usługi ADFS STS, jeśli istnieje): https://<DNS NAME>.com/adfs/ls
    • Rodzaj: Preferencja tożsamości ; Nazwa: https://enterpriseregistration.windows.net
    • Rodzaj: Preferencja tożsamości ; Nazwa: https://enterpriseregistration.windows.net/

  9. Uruchom ponownie urządzenie Mac.

  10. Odinstaluj Portal firmy z urządzenia.

  11. Przejdź do portal.manage.microsoft.com i usuń wszystkie wystąpienia urządzenia Mac. Poczekaj co najmniej 30 minut, zanim przejdziesz do następnego kroku.

  12. Zarejestruj ponownie urządzenie w narzędziu JAMF Pro.

  13. Otwórz ponownie samoobsługę i uruchom zasady rejestracji.

Przyczyna 7 — użytkownik nie dostarczył dostępu narzędzia JamfAAD do klucza

Narzędzie JamfAAD żąda dostępu do klucza "Microsoft Workplace Join Key" z pęku kluczy użytkowników. Podczas rejestracji użytkownik urządzenia z systemem macOS otrzymuje następujący monit o zezwolenie na dostęp narzędzia JamfAAD do klucza z łańcucha kluczy:

Narzędzie JamfAAD chce uzyskać dostęp do klucza "Microsoft Workplace Join Key" w pęku kluczy. Aby zezwolić na to, wprowadź hasło łańcucha kluczy "login"

Rozwiązanie
Aby pomyślnie zarejestrować urządzenie przy użyciu identyfikatora Microsoft Entra ID, narzędzie Jamf wymaga od użytkownika podania hasła konta i wybrania pozycji Zezwalaj.

To żądanie jest podobne do żądania dla urządzeń Mac monitu o zalogowanie łańcucha kluczy podczas otwierania aplikacji.

Urządzenie Mac pokazuje zgodność w usłudze Intune, ale niezgodne na platformie Azure

Przyczyna: Następujące warunki mogą spowodować, że urządzenie będzie wyświetlane jako zgodne w usłudze Intune, ale nie jest zgodne na platformie Azure:

  • Urządzenie nie jest poprawnie zarejestrowane.
  • Urządzenie zostało zarejestrowane wiele razy bez niezbędnego czyszczenia.

Rozwiązanie
Aby rozwiązać ten problem, wykonaj kroki opisane w temacie Przyczyna 6.

Zduplikowane wpisy są wyświetlane w konsoli usługi Intune dla urządzeń Mac zarejestrowanych przy użyciu narzędzia Jamf

Przyczyna: Urządzenie jest rejestrowane w usłudze Intune wiele razy, zazwyczaj jest ponownie zarejestrowane po usunięciu z usługi Intune.

Po usunięciu urządzenia z usługi Intune i integracji narzędzia Jamf Pro niektóre dane mogą być pozostawione w tyle, co może spowodować utworzenie zduplikowanych wpisów kolejnych rejestracji.

Rozwiązanie
Aby rozwiązać ten problem, wykonaj kroki opisane w temacie Przyczyna 6.

Nie można ocenić urządzenia w zasadach zgodności

Przyczyna: integracja narzędzia Jamf z usługą Intune nie obsługuje zasad zgodności przeznaczonych dla grup urządzeń.

Rozwiązanie
Zmodyfikuj zasady zgodności dla urządzeń z systemem macOS, które mają być przypisane do grup użytkowników.

Nie można pobrać tokenu dostępu dla interfejsu API programu Microsoft Graph

Zostanie wyświetlony następujący błąd:

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

Źródłem tego błędu może być jedna z następujących przyczyn:

Przyczyna 1

Wystąpił problem z uprawnieniami aplikacji Jamf Pro na platformie Azure. Podczas rejestrowania aplikacji Jamf Pro na platformie Azure wystąpił jeden z następujących warunków:

  • Aplikacja otrzymała więcej niż jedno uprawnienie.
  • Opcja Udziel zgody administratora dla< Twojej firmy> nie została wybrana.

Rozwiązanie
Zobacz rozwiązanie problemu Przyczyna 1, aby nie można było zarejestrować urządzeń we wcześniejszej sekcji tego artykułu.

Przyczyna 2

Wygasła licencja wymagana do integracji narzędzia Jamf-Intune.

Rozwiązanie Zobacz rozwiązanie przyczyny 3, dla których nie można zarejestrować urządzeń.

Przyczyna 3

Wymagane porty nie są otwarte w sieci.

Rozwiązanie Przejrzyj informacje dotyczące portów sieciowych w temacie Wymagania wstępne dotyczące integracji narzędzia Jamf Pro z usługą Intune.