排查 Jamf Pro 与 Microsoft Intune 的集成问题

本文可帮助 Intune 管理员了解和排查将 Jamf Pro for macOS 与 Microsoft Intune 集成时遇到的问题。 以下每个部分介绍了一个常见问题，并提供解决的潜在原因和故障排除步骤。

重要

已弃用对条件访问的 Jamf macOS 设备支持。

从 2024 年 9 月 1 日起，将不再支持 Jamf Pro 的条件访问功能构建的平台。

如果对 macOS 设备使用 Jamf Pro 的条件访问集成，请按照 Jamf 记录的指南将 设备从 macOS 条件访问迁移到 macOS 设备符合性。

如果有疑问或需要帮助，请联系 Jamf Customer Success。 有关详细信息，请参阅 将 Jamf macOS 设备从条件访问转换到设备符合性。

先决条件

在开始进行故障排除之前，请收集一些基本信息，以阐明问题并减少查找解决方案的时间。 例如，遇到 Jamf-Intune 集成相关问题时，请始终验证是否满足先决条件。 在开始故障排除之前，请考虑以下事项：

• 根据配置 Jamf Pro 与 Intune 的集成的方式，查看以下文章中的先决条件：
  • 使用 Jamf Cloud Connector 将 Jamf Pro 与 Intune 集成
  • 将 Jamf Pro 与 Intune 集成
• 所有用户都必须具有 Microsoft Intune 和 Microsoft Entra ID P1 许可证
• 必须在 Jamf Pro 控制台中具有Microsoft Intune 集成权限的用户帐户。
• 必须在 Azure 中具有全局管理员权限的用户帐户。

调查 Jamf Pro 与 Intune 的集成时，收集以下信息：

• 确切的错误消息（s）
• 错误消息的位置
• 问题启动时，以及 Jamf Pro 与 Intune 的集成是否以前工作过
• 受影响的用户数（所有用户或只有一些用户）
• 受影响的设备数（所有设备或仅影响一些设备）

在 Jamf Pro 中，设备标记为无响应

原因：以下是被 Jamf Pro 标记为 无响应 的设备常见原因：

• 设备无法使用 Jamf Pro 签入。
  Jamf Pro 希望设备每 15 分钟签入一次。 设备在 24 小时内无法签入时被 Jamf 标记为无响应。

• 设备无法使用 Microsoft Entra ID 签入。
  成功注册到 Microsoft Entra ID 后，macOS 设备会收到 Azure 令牌：

  • 此令牌每 12 小时刷新一次。
  • 当令牌刷新失败 24 小时或更多时，Jamf Pro 会将设备标记为无响应。
  • 如果 Azure 令牌过期，系统会提示用户登录到 Azure 以获取新令牌。 Azure 访问的刷新令牌每七天生成一次。

解决方案
在 Jamf Pro 将 设备标记为“无响应 ”后，设备的注册用户必须登录才能更正非响应状态。 必须是已加入工作区帐户的用户，因为他们在密钥链中具有 Intune 的标识。

打开应用时，Mac 设备会提示输入密钥链登录

配置 Intune 和 Jamf Pro 集成并部署条件访问策略后，使用 Jamf Pro 管理的设备的用户在打开 Microsoft 365 应用程序（如 Teams、Outlook 和其他需要Microsoft Entra 身份验证的应用）时会收到密码提示。

例如，打开 Microsoft Teams 时，将显示一个文本类似于以下示例的提示：

Microsoft Teams 希望在密钥链中使用密钥“Microsoft工作区加入密钥”进行签名。
若要允许此操作，请输入“登录”密钥链密码

原因：Jamf Pro 会针对需要Microsoft Entra 注册的每个适用应用生成这些提示。

解决方案
在提示符下，用户必须提供其设备密码才能登录到 Microsoft Entra ID。 选项包括：

• 拒绝 - 请勿登录且不使用应用。
• 允许 - 一次性登录。 下次应用打开时，它会再次提示登录。
• 始终允许 - 为应用程序缓存登录凭据。 下次应用打开时，它不会提示登录。

选择 “始终允许 ”一个应用只会批准该应用以供将来登录。 其他应用会提示进行身份验证，直到它们也设置为“始终允许”。 一个应用的缓存凭据不能由另一个应用使用。

设备无法注册到 Intune

Mac 设备无法通过 Jamf Pro 注册到 Intune 的一些常见原因。

原因 1 - Jamf Pro 没有正确的权限

Azure 中的 Jamf Pro 企业应用程序具有错误的权限或具有多个权限。 在 Azure 中创建应用时，必须删除所有默认 API 权限，然后分配 Intune update_device_attributes的单个权限。

解决方案
查看并在必要时更正 Jamf 应用的权限。 如果使用 Jamf Pro 云连接器，则已为你创建此应用。 如果手动配置了集成，请在 Microsoft Entra ID 中创建应用。 有关应用权限，请参阅 Microsoft Entra ID 中创建应用程序（for Jamf）。

原因 2 - 租户或帐户错误

Jamf Native macOS 连接器应用未在 Microsoft Entra 租户中创建，或者连接器的同意是由没有全局管理员权限的帐户签名的。

解决方案
请参阅 docs.jamf.com 上的“与 Microsoft Intune 集成”中的“配置 macOS Intune 集成”部分。

原因 3 - 用户没有有效的许可证（s）

缺少有效的 Intune 或 Jamf 许可证可能会导致以下错误，这表示 Jamf 许可证已过期：

无法连接到 Microsoft Intune。
检查Microsoft Intune 集成配置。

解决方案

• Jamf 许可证：请联系 Jamf 寻求帮助以获取 Jamf 的新许可证。
• Intune 许可证：向用户分配有效的许可证或联系Microsoft或合作伙伴，获取有关如何获取当前许可证的信息。

原因 4 - 用户未使用 Jamf 自助服务

要使设备通过 Jamf 成功注册和注册 Intune，用户必须使用 Jamf 自助服务打开Intune 公司门户。 如果用户手动打开公司门户，设备将注册并注册，而无需连接到 Jamf。

若要确定设备用于注册和注册的服务，请查看设备上的公司门户应用。 通过 Jamf 注册时，应会收到一条通知，以打开自助服务应用进行更改。

在公司门户应用中，用户可能会看到Not registered，类似于以下示例的条目可能会出现在公司门户日志中：

第 7783 行： <DATE><IP ADDRESS> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift：253（startLogin（）门户仅在帐户处于合作伙伴管理之下时启动，且仅 WPJ

解决方案

将注册源从 Intune 更改为 Jamf：

1. 从 Intune 中删除 macOS 设备。 若要避免从 Intune 中完全删除的设备出现进一步的复杂性，请参阅 下面的原因 6 。

2. 在设备上，使用 Jamf 自助服务打开公司门户应用，然后将设备注册到 Microsoft Entra ID。 此任务要求你已完成以下任务：

   • 在 Jamf Pro 中部署适用于 macOS 的 公司门户 应用
   • 在 Jamf Pro 中创建策略，让用户使用 Microsoft Entra ID 注册其设备

3. 当门户打开时，你看到的第一个屏幕会提示你登录。 使用工作帐户或学校帐户

4. 公司门户确认帐户信息，并显示设备注册和设备符合性状态。 黄色三角形突出显示了保护 macOS 设备进行学校或工作所需的操作。 单击“开始”开始注册。

5. 如果系统提示，请键入计算机的登录信息。

注册设备可能需要几分钟时间。 注册完成后将收到一条消息，告知你已完成。

原因 5 - Intune 集成已关闭

如果关闭 Intune 集成，用户在尝试注册设备时，会在公司门户收到一个弹出窗口，并显示以下消息：

只能在 Intune 中启用合作伙伴管理时使用无效的命令行输入仅注册命令行标志（-r）。 请联系 IT 管理员。

Jamf Pro 服务器在关闭集成时向 Intune 服务器发送脉冲，告知 Intune 集成已禁用。

解决方案
在 Jamf Pro 中重新启用 Intune 集成。 请参阅以下内容，具体取决于配置集成的方式：

• 使用 Jamf Cloud Connector 将 Jamf Pro 与 Intune 集成
• 在 Jamf Pro 中手动配置 Microsoft Intune 集成。

原因 6 - 设备以前已在 Intune 中注册

如果设备已从 Jamf 取消注册，但未正确从 Intune 中删除（如果以前注册了设备），或者如果用户进行了多次注册尝试，则可能在门户中看到同一设备的多个实例。 这会导致 Jamf 注册失败。

解决方案

1. 在 Mac 上，启动 终端。

2. 运行 sudo JAMF removemdmprofile。

3. 运行 sudo JAMF removeFramework。

4. 在 JAMF Pro 服务器上，删除计算机的清单记录。

5. 从 AzureAD 中删除设备。

6. 删除设备上的以下文件（如果存在）：

   • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
   • /Library/Application Support/com.microsoft.CompanyPortal
   • /Library/Application Support/com.jamfsoftware.selfservice.mac
   • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
   • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
   • /Library/Preferences/com.microsoft.CompanyPortal.plist
   • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
   • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
   • /Users/<username>/Library/Cookies/com.microsoft.CompanyPortal.binarycookies
   • /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
   • com.microsoft.CompanyPortal
   • com.microsoft.CompanyPortal.HockeySDK
   • enterpriseregistration.windows.net
   • https://device.login.microsoftonline.com
   • https://device.login.microsoftonline.com/
   • Microsoft会话传输密钥（公钥和私钥）
   • Microsoft工作区加入密钥（公钥和私钥）

7. 从引用Microsoft、Intune 或公司门户的设备上的密钥链中删除任何内容，包括 DeviceLogin.microsoft.com 证书。 删除 JAMF 引用（JAMF 公钥和私钥除外）。

   重要

   删除公钥和私钥将中断设备注册。

8. 删除找到的任何以下条目：

   • 类型：应用程序密码;帐户：com.microsoft.workplacejoin.thumbprint
   • 类型：应用程序密码;帐户：com.microsoft.workplacejoin.registeredUserPrincipalName
   • 类型：证书;颁发者：MS-Organization-Access
   • 类型：标识首选项;名称（如果存在，则为 ADFS STS URL）： https://<DNS NAME>.com/adfs/ls
   • 类型：标识首选项;名字： https://enterpriseregistration.windows.net
   • 类型：标识首选项;名字： https://enterpriseregistration.windows.net/

9. 重启 Mac 设备。

10. 从设备卸载公司门户。

11. 转到 portal.manage.microsoft.com 并删除 Mac 设备的所有实例。 等待至少 30 分钟，然后才能转到下一步。

12. 在 JAMF Pro 中重新注册设备。

13. 重新打开自助服务并启动注册策略。

原因 7 - 用户未提供对密钥的 JamfAAD 访问权限

JamfAAD 从用户的密钥链请求访问“Microsoft工作区加入密钥”。 在注册期间，macOS 设备的用户会收到以下提示，以允许 JamfAAD 从其密钥链访问密钥：

JamfAAD 想要访问密钥链中的密钥“Microsoft工作区加入密钥”。 若要允许此操作，请输入“登录”密钥链密码

解决方案
若要向 Microsoft Entra ID 成功注册设备，Jamf 要求用户提供其帐户密码，然后选择“ 允许”。

此请求类似于打开应用时 Mac 设备请求提示密钥链登录。

Mac 设备在 Intune 中显示符合，但在 Azure 中不合规

原因：以下条件可能导致设备在 Intune 中显示为合规，但在 Azure 中不合规：

• 设备未正确注册。
• 设备注册多次，无需进行必要的清理。

解决方案
若要解决此问题，请按照原因 6 中的步骤操作。

重复条目显示在使用 Jamf 注册的 Mac 设备的 Intune 控制台中

原因：设备多次向 Intune 注册，通常在从 Intune 中删除后重新注册。

从 Intune 和 Jamf Pro 集成中删除设备时，可能会留下一些数据，这可能会导致连续注册创建重复条目。

解决方案
若要解决此问题，请按照原因 6 中的步骤操作。

合规性策略无法评估设备

原因：Jamf 与 Intune 的集成不支持面向设备组的符合性策略。

解决方案
修改要分配给用户组的 macOS 设备的符合性策略。

无法检索 Microsoft 图形 API 的访问令牌

收到以下错误：

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

此错误的来源可能是以下原因之一：

原因 1

Azure 中的 Jamf Pro 应用程序存在权限问题。 在 Azure 中注册 Jamf Pro 应用时，发生了以下情况之一：

• 应用收到了多个权限。
• 未选择公司>选项的<“授予管理员许可”。

解决方案
请参阅本文前面部分的“设备 原因 1”无法注册的解决方法。

原因 2

Jamf-Intune 集成所需的许可证已过期。

解决方案 请参阅“设备原因 3 ”无法注册的解决方案。

原因 3

网络上未打开所需的端口。

解决方案查看先决条件中用于将 Jamf Pro 与 Intune 集成的信息。