Устранение неполадок интеграции Jamf Pro с Microsoft Intune

В этой статье администраторы Intune понимают и устраняют проблемы с интеграцией Jamf Pro для macOS с Microsoft Intune. Каждый из следующих разделов описывает общую проблему и предлагает возможные причины и действия по устранению неполадок.

Внимание

Поддержка устройств Jamf macOS для условного доступа не рекомендуется.

Начиная с 1 сентября 2024 г. платформа, на которую основана функция условного доступа Jamf Pro, больше не будет поддерживаться.

Если вы используете интеграцию условного доступа Jamf Pro для устройств macOS, следуйте приведенным инструкциям Jamf по переносу устройств с macOS условного доступа к требованиям устройств macOS.

Если у вас есть вопросы или нужна помощь, обратитесь в Jamf Customer Success. Дополнительные сведения см. в разделе "Переход устройств Jamf macOS с условного доступа к соответствию устройств".

Предварительные требования

Прежде чем приступить к устранению неполадок, соберите некоторые основные сведения, чтобы уточнить проблему и сократить время, чтобы найти решение. Например, при возникновении проблемы, связанной с интеграцией Jamf-Intune, всегда убедитесь, что выполнены предварительные требования. Прежде чем приступить к устранению неполадок, рассмотрите следующее:

• Просмотрите предварительные требования из следующих статей в зависимости от настройки интеграции Jamf Pro с Intune:
  • Интеграция Jamf Cloud Connector с Intune
  • Интеграция Jamf Pro с Intune
• Все пользователи должны иметь лицензии Microsoft Intune и Microsoft Entra ID P1
• У вас должна быть учетная запись пользователя с разрешениями на интеграцию Microsoft Intune в консоли Jamf Pro.
• У вас должна быть учетная запись пользователя с разрешениями глобального администратора в Azure.

Соберите следующие сведения при изучении интеграции Jamf Pro с Intune:

• Точные сообщения об ошибке
• Расположение сообщений об ошибке
• Когда проблема запущена, а также работает ли интеграция Jamf Pro с Intune ранее
• Сколько пользователей затронуто (все пользователи или только некоторые)
• Сколько устройств затронуты (все устройства или только некоторые)

Устройства помечены как неответственные в Jamf Pro

Причина. Ниже приведены распространенные причины того, что устройства помечены как неответственные Jamf Pro:

• Устройство не удается войти в Jamf Pro.
  Jamf Pro ожидает, что устройства будут проверяться каждые 15 минут. Устройства помечаются как неответственные Jamf, если они не выполняют проверку в течение 24-часового периода.

• Не удается войти с помощью идентификатора Microsoft Entra.
  При успешной регистрации в Идентификаторе Microsoft Entra устройства macOS получают маркер Azure:

  • Этот маркер обновляется каждые 12 часов.
  • Если обновление маркера завершается сбоем в течение 24 часов или более, Jamf Pro помечает устройство как неответственное.
  • Если срок действия маркера Azure истекает, пользователям предлагается войти в Azure, чтобы получить новый маркер. Маркер обновления для доступа Azure создается каждые семь дней.

Решение
После того как устройство помечается как неответствующее от Jamf Pro, зарегистрированный пользователь устройства должен войти в систему, чтобы исправить неответствующее состояние. Это должен быть пользователь, который присоединился к учетной записи, так как у него есть удостоверение из Intune в цепочке ключей.

Устройства Mac запрашивают вход в цепочку ключей при открытии приложения

После настройки интеграции Intune и Jamf Pro и развертывания политик условного доступа пользователи устройств, управляемых с помощью Jamf Pro, получают запросы паролей при открытии приложений Microsoft 365, таких как Teams, Outlook и другие приложения, требующие проверки подлинности Microsoft Entra.

Например, при открытии Microsoft Teams появится запрос с текстом, похожим на следующий пример:

Microsoft Teams хочет подписаться с помощью ключа Microsoft Workplace Join Key в цепочке ключей.
Чтобы разрешить это, введите пароль цепочки ключей для входа

Причина. Эти запросы создаются Jamf Pro для каждого применимого приложения, требующего регистрации Microsoft Entra.

Решение
В запросе пользователь должен указать пароль устройства для входа в идентификатор Microsoft Entra. Возможные варианты:

• Запрет . Не войдите и не используйте приложение.
• Разрешить — однократный вход. При следующем открытии приложения запрос на вход снова появится.
• Всегда разрешать . Учетные данные входа кэшируются для приложения. При следующем открытии приложения он не запрашивает вход.

При выборе always Allow для одного приложения утверждается только это приложение для будущего входа. Дополнительные приложения запрашивают проверку подлинности, пока они также не будут заданы как Always Allow. Кэшированные учетные данные для одного приложения нельзя использовать другим приложением.

Устройства не регистрируются в Intune

Существует несколько распространенных причин для устройств Mac, которые не регистрируются в Intune через Jamf Pro.

Причина 1. Jamf Pro не имеет правильных разрешений

Корпоративное приложение Jamf Pro в Azure имеет неправильное разрешение или имеет несколько разрешений. При создании приложения в Azure необходимо удалить все разрешения API по умолчанию, а затем назначить Intune одно разрешение update_device_attributes.

Решение
Проверьте и при необходимости исправьте разрешения для приложения Jamf. Если вы используете Jamf Pro Cloud Connector, это приложение было создано для вас. Если вы вручную настроили интеграцию, вы создали приложение в идентификаторе Microsoft Entra. Сведения о разрешениях приложения см. в разделе "Создание приложения " (для Jamf) в идентификаторе Microsoft Entra.

Причина 2. Неправильный клиент или учетная запись

Приложение Jamf Native macOS Connector не было создано в клиенте Microsoft Entra или согласие на соединитель был подписан учетной записью, которая не имеет прав глобального администратора.

Решение
См. раздел "Настройка интеграции с MacOS Intune" в разделе "Интеграция с Microsoft Intune" на docs.jamf.com.

Причина 3. У пользователя нет допустимых лицензий

Отсутствие допустимой лицензии Intune или Jamf может привести к следующей ошибке, которая указывает на истечение срока действия лицензии Jamf:

Не удается подключиться к Microsoft Intune.
Проверьте конфигурацию интеграции Microsoft Intune.

Решение

• Лицензия Jamf: обратитесь к Jamf за помощью, чтобы получить новую лицензию для Jamf.
• Лицензия Intune: назначьте пользователю действительную лицензию или обратитесь к корпорации Майкрософт или партнеру, чтобы узнать, как получить текущую лицензию.

Причина 4. Пользователь не использовал самообслуживание Jamf

Для успешной регистрации и регистрации устройства в Intune через Jamf пользователь должен использовать самообслуживание Jamf, чтобы открыть Корпоративный портал Intune. Если пользователь открывает Корпоративный портал вручную, устройство регистрируется и регистрируется без подключения к Jamf.

Чтобы определить, какая служба используется для регистрации и регистрации, просмотрите приложение Корпоративный портал на устройстве. При регистрации через Jamf необходимо получить уведомление, чтобы открыть приложение самообслуживания, чтобы внести изменения.

В приложении Корпоративный портал может появиться Not registeredзапись, аналогичная следующему примеру, в журналах Корпоративный портал может появиться запись:

Строка 7783: <DATE><IP-АДРЕС> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift: портал 253 (startLogin()) запущен без WPJ только arg, а учетная запись находится под управлением партнеров

Решение

Чтобы изменить источник регистрации из Intune в Jamf:

1. Удалите устройство macOS из Intune. Чтобы избежать дальнейших осложнений для устройств, которые не полностью удалены из Intune, см . статью "Причина 6 ниже".

2. На устройстве используйте самообслуживание Jamf, чтобы открыть приложение Корпоративный портал, а затем зарегистрировать устройство с помощью идентификатора Microsoft Entra. Эта задача требует, чтобы вы уже выполнили следующие задачи:

   • Развертывание приложения Корпоративный портал для macOS в Jamf Pro
   • Создание политики в Jamf Pro для регистрации устройств с помощью идентификатора Microsoft Entra

3. Когда откроется портал, на первом экране появится запрос на вход. Использовать рабочую или учебную учетную запись

4. Корпоративный портал подтверждает сведения о вашей учетной записи и отображает состояния регистрации устройств и соответствия устройств. Желтые треугольники выделяют действия, которые необходимо предпринять для защиты устройства macOS для учебного заведения или работы. Нажмите кнопку "Начать регистрацию".

5. При появлении запроса введите сведения о входе компьютера.

Для регистрации устройства может потребоваться несколько минут. Вы получите сообщение после завершения регистрации, чтобы сообщить вам, что вы сделали.

Причина 5. Интеграция Intune отключена

Если интеграция Intune отключена, пользователи получают всплывающее окно в Корпоративный портал со следующим сообщением при попытке зарегистрировать устройство:

Недопустимый флаг командной строки только для входа в командную строку (-r) можно использовать только при включении управления партнерами в Intune. Обратитесь к ИТ-администратору.

Сервер Jamf Pro отправляет импульс на серверы Intune при отключении интеграции, которая сообщает Intune, что интеграция отключена.

Решение
Повторно включите интеграцию Intune в Jamf Pro. См. следующее в зависимости от способа настройки интеграции:

• Интеграция Jamf Cloud Connector с Intune
• Вручную настройте интеграцию Microsoft Intune в Jamf Pro.

Причина 6. Устройство ранее зарегистрировано в Intune

Если устройство не зарегистрировано из Jamf, но не правильно удалено из Intune (если оно было зарегистрировано ранее), или если пользователь сделал несколько попыток регистрации, на портале может появиться несколько экземпляров одного устройства. Это приводит к сбою регистрации Jamf.

Решение

1. На компьютере Mac запустите терминал.

2. Запустите sudo JAMF removemdmprofile.

3. Запустите sudo JAMF removeFramework.

4. На сервере JAMF Pro удалите запись инвентаризации компьютера.

5. Удалите устройство из AzureAD.

6. Удалите следующие файлы на устройстве, если они существуют:

   • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
   • /Library/Application Support/com.microsoft.CompanyPortal
   • /Library/Application Support/com.jamfsoftware.selfservice.mac
   • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
   • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
   • /Library/Preferences/com.microsoft.CompanyPortal.plist
   • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
   • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
   • /Users/username>/<Library/Cookies/com.microsoft.CompanyPortal.binarycookies
   • /Users/username>/<Library/Cookies/com.jamf.management.jamfAAD.binarycookies
   • com.microsoft.CompanyPortal
   • com.microsoft.CompanyPortal.HockeySDK
   • enterpriseregistration.windows.net
   • https://device.login.microsoftonline.com
   • https://device.login.microsoftonline.com/
   • Ключ транспорта сеанса Майкрософт (открытые и закрытые ключи)
   • Ключ присоединения к рабочему месту (открытые и закрытые ключи)

7. Удалите все данные из цепочки ключей на устройстве, ссылающемся на Microsoft, Intune или Корпоративный портал, включая сертификаты DeviceLogin.microsoft.com. Удаление ссылок JAMF за исключением открытого и закрытого ключа JAMF .

   Внимание

   Удаление открытого и закрытого ключа приведет к прерыванию регистрации устройств.

8. Удалите любые из указанных ниже записей:

   • Тип: пароль приложения; Учетная запись: com.microsoft.workplacejoin.thumbprint
   • Тип: пароль приложения; Учетная запись: com.microsoft.workplacejoin.registeredUserPrincipalName
   • Тип: Сертификат; Выдано: MS-Organization-Access
   • Тип: предпочтения удостоверений; Имя (URL-адрес SS ADFS при наличии): https://<DNS NAME>.com/adfs/ls
   • Тип: предпочтения удостоверений; Имя: https://enterpriseregistration.windows.net
   • Тип: предпочтения удостоверений; Имя: https://enterpriseregistration.windows.net/

9. Перезапустите устройство Mac.

10. Удалите Корпоративный портал с устройства.

11. Перейдите к portal.manage.microsoft.com и удалите все экземпляры устройства Mac. Подождите по крайней мере 30 минут, прежде чем перейти к следующему шагу.

12. Повторно зарегистрируйте устройство в JAMF Pro.

13. Откройте самостоятельную службу и запустите политику регистрации.

Причина 7. Пользователь не предоставил доступ JamfAAD к ключу

JamfAAD запрашивает доступ к ключу "Microsoft Workplace Join Key" из цепочки ключей пользователей. Во время регистрации пользователь устройства macOS получает следующий запрос, чтобы разрешить JamfAAD доступ к ключу из цепочки ключей:

JamfAAD хочет получить доступ к ключу Microsoft Workplace Join Key в цепочке ключей. Чтобы разрешить это, введите пароль цепочки ключей для входа

Решение
Чтобы успешно зарегистрировать устройство с помощью идентификатора Microsoft Entra, Jamf требует, чтобы пользователь предоставил пароль учетной записи и нажмите кнопку "Разрешить".

Этот запрос аналогичен запросу на устройства Mac при входе в цепочку ключей при открытии приложения.

Устройство Mac отображает соответствие в Intune, но несоответствующее в Azure

Причина. Следующие условия могут привести к тому, что устройство будет отображаться как соответствующее в Intune, но не соответствует требованиям в Azure:

• Устройство не зарегистрировано правильно.
• Устройство было зарегистрировано несколько раз без необходимой очистки.

Решение
Чтобы устранить эту проблему, выполните действия, описанные в разделе "Причина 6".

Повторяющиеся записи отображаются в консоли Intune для устройств Mac, зарегистрированных с помощью Jamf

Причина. Устройство регистрируется в Intune несколько раз, как правило, повторно регистрируется после удаления из Intune.

При удалении устройства из интеграции Intune и Jamf Pro некоторые данные могут быть оставлены позади, что может привести к созданию повторяющихся записей.

Решение
Чтобы устранить эту проблему, выполните действия, описанные в разделе "Причина 6".

Политика соответствия не может оценить устройство

Причина. Интеграция Jamf с Intune не поддерживает политику соответствия, предназначенную для групп устройств.

Решение
Измените политику соответствия для устройств macOS, которые будут назначены группам пользователей.

Не удалось получить маркер доступа для API Microsoft Graph

Вы получаете следующую ошибку:

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

Источник этой ошибки может быть одной из следующих причин:

Причина 1

В Azure возникла проблема с разрешением приложения Jamf Pro. При регистрации приложения Jamf Pro в Azure произошло одно из следующих условий:

• Приложение получило несколько разрешений.
• Не выбран параметр "Предоставить согласие администратора" для <вашей компании> .

Решение
См. разрешение для причины 1 для устройств, не зарегистрированных ранее в этой статье.

Причина 2

Истек срок действия лицензии, необходимой для интеграции Jamf-Intune.

Решение см. в разрешении причины 3 для устройств, которые не регистрируются.

Причина 3

Необходимые порты не открыты в сети.

Ознакомьтесь с информацией о сетевых портах в предварительных требованиях для интеграции Jamf Pro с Intune.