針對 Jamf Pro 與 Microsoft Intune 整合進行疑難解答

本文可協助 Intune 系統管理員瞭解並針對 macOS 與 Microsoft Intune 整合 Jamf Pro 的問題進行疑難解答。 下列各節說明常見問題，並提供解決的潛在原因和疑難解答步驟。

重要

條件式存取的 Jamf macOS 裝置支援即將淘汰。

從 2024 年 9 月 1 日起，將不再支援 Jamf Pro 的條件式存取功能建置平臺。

如果您使用適用於 macOS 裝置的 Jamf Pro 條件式存取整合，請遵循 Jamf 記載的指導方針， 將裝置從 macOS 條件式存取移轉至 macOS 裝置合規性。

如果您有問題或需要協助，請連絡 Jamf Customer Success。 如需詳細資訊，請參閱 將 Jamf macOS 裝置從條件式存取轉換為裝置合規性。

必要條件

開始進行疑難解答之前，請先收集一些基本資訊來釐清問題，並縮短尋找解決方案的時間。 例如，當您遇到 Jamf-Intune 整合相關問題時，請一律確認已符合必要條件。 開始進行疑難解答之前，請考慮下列事項：

• 根據您如何設定 Jamf Pro 與 Intune 整合，檢閱下列文章的必要條件：
  • 使用 Jamf Cloud Connector 整合 Jamf Pro 與 Intune
  • 整合 Jamf Pro 與 Intune
• 所有用戶都必須有 Microsoft Intune 和 Microsoft Entra ID P1 授權
• 您必須擁有在 Jamf Pro 控制台中具有 Microsoft Intune 整合許可權的用戶帳戶。
• 您必須擁有在 Azure 中具有全域管理員許可權的用戶帳戶。

調查 Jamf Pro 與 Intune 整合時收集下列資訊：

• 確切的錯誤訊息（s）
• 錯誤訊息的位置
• 問題開始時，以及您與 Intune 的 Jamf Pro 整合是否先前已運作
• 有多少使用者受到影響（所有使用者或只有部分使用者）
• 有多少裝置受到影響（所有裝置或只有部分裝置）

Jamf Pro 中的裝置標示為沒有回應

原因：以下是 Jamf Pro 標示為 沒有回應 之裝置的常見原因：

• 裝置無法使用 Jamf Pro 簽入。
  Jamf Pro 預期裝置每隔 15 分鐘簽入一次。 當 Jamf 在 24 小時內無法簽入時，裝置會標示為沒有回應。

• 裝置無法使用 Microsoft Entra 識別碼簽入。
  成功註冊至 Microsoft Entra ID 之後，macOS 裝置會收到 Azure 令牌：

  • 此令牌會每隔 12 小時重新整理一次。
  • 當令牌重新整理失敗 24 小時以上時，Jamf Pro 會將裝置標示為沒有回應。
  • 如果 Azure 令牌過期，系統會提示使用者登入 Azure 以取得新的令牌。 Azure 存取的重新整理令牌會每隔七天產生一次。

方案
在 Jamf Pro 標示為 「沒有 回應」的裝置之後，裝置的已註冊用戶必須登入，才能更正未回應的狀態。 必須是已加入工作場所帳戶的用戶，因為他們在密鑰鏈中有 Intune 的身分識別。

當您開啟應用程式時，Mac 裝置會提示金鑰鏈登入

設定 Intune 和 Jamf Pro 整合並部署條件式存取原則之後，使用 Jamf Pro 管理的裝置使用者會在開啟 Microsoft 365 應用程式時收到密碼提示，例如 Teams、Outlook 和其他需要Microsoft Entra 驗證的應用程式。

例如，開啟 Microsoft Teams 時，會出現類似下列範例的文字提示：

Microsoft Teams 想要在金鑰鏈中使用金鑰 “Microsoft Workplace Join Key” 進行簽署。
若要允許此專案，請輸入「登入」金鑰鏈密碼

原因：Jamf Pro 會針對需要Microsoft Entra 註冊的每個適用應用程式產生這些提示。

方案
在提示字元中，用戶必須提供其裝置密碼，才能登入Microsoft Entra ID。 這些選項包括：

• 拒絕 - 不要登入，也不會使用應用程式。
• 允許 - 一次登入。 下次應用程式開啟時，會再次提示登入。
• 一律允許 - 系統會快取應用程式的登入認證。 下次應用程式開啟時，不會提示登入。

針對一個應用程式選取 [永遠允許 ] 只會核准該應用程式以供日後登入。 其他應用程式會提示進行驗證，直到它們也設定為 Always Allow為止。 另一個應用程式無法使用某個應用程式的快取認證。

裝置無法向 Intune 註冊

Mac 裝置無法透過 Jamf Pro 向 Intune 註冊有幾個常見原因。

原因 1 - Jamf Pro 沒有正確的許可權

Azure 中的 Jamf Pro 企業應用程式具有錯誤的許可權或擁有多個許可權。 當您在 Azure 中建立應用程式時，必須移除所有預設 API 許可權，然後指派 Intune 單一許可權 update_device_attributes。

方案
檢視需要更正 Jamf 應用程式的許可權。 如果您使用 Jamf Pro Cloud Connector，則此應用程式已為您建立。 如果您手動設定整合，則會在 entra ID Microsoft中建立應用程式。 如需應用程式許可權，請參閱 在 Microsoft Entra ID 中建立應用程式 （for Jamf）。

原因 2 - 租使用者或帳戶錯誤

Jamf Native macOS 連接器應用程式未在Microsoft Entra 租使用者中建立，或已由沒有全域系統管理員許可權的帳戶簽署連接器同意。

方案
請參閱在 docs.jamf.com 上與 Microsoft Intune 整合中的設定 macOS Intune 整合一節。

原因 3 - 使用者沒有有效的授權（s）

缺少有效的 Intune 或 Jamf 授權可能會導致下列錯誤，這表示 Jamf 授權已過期：

無法連線到 Microsoft Intune。
檢查您的Microsoft Intune 整合設定。

方案

• Jamf 授權：請連絡 Jamf 以取得 Jamf 的新授權。
• Intune 授權：將有效的授權指派給使用者，或連絡Microsoft或您的合作夥伴以取得目前授權的相關信息。

原因 4 - 使用者未使用 Jamf 自助

若要讓裝置透過 Jamf 成功向 Intune 註冊並註冊，用戶必須使用 Jamf 自助來開啟 Intune 公司入口網站。 如果使用者手動開啟 公司入口網站，裝置會註冊並註冊，而不會連線到 Jamf。

若要判斷裝置用來註冊和註冊的服務，請查看裝置上的 公司入口網站 應用程式。 透過 Jamf 註冊時，您應該會收到通知，以開啟自助式應用程式來進行變更。

在 公司入口網站 應用程式中，使用者可能會看到 Not registered，而且類似下列範例的專案可能會出現在 公司入口網站 記錄中：

行 7783： <DATE><IP ADDRESS> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift：253 （startLogin（）） 入口網站在沒有 WPJ 的情況下啟動，而帳戶在合作夥伴管理下

方案

若要將註冊來源從 Intune 變更為 Jamf：

1. 從 Intune 移除 macOS 裝置。 若要避免未從 Intune 完全移除的裝置進一步複雜，請參閱 下面的原因 6 。

2. 在裝置上，使用 Jamf 自助開啟 公司入口網站 應用程式，然後使用 Microsoft Entra 識別符註冊裝置。 此工作會要求您已完成下列工作：

   • 在 Jamf Pro 中部署 macOS 公司入口網站 應用程式
   • 在 Jamf Pro 中建立原則，讓使用者使用 Microsoft Entra 識別元註冊其裝置

3. 當入口網站開啟時，您會看到第一個畫面提示您登入。 使用您的公司或學校帳戶

4. 公司入口網站 會確認您的帳戶資訊，並顯示您的裝置註冊和裝置合規性狀態。 黃色三角形會反白顯示您需要採取的動作，以保護學校或工作的macOS裝置。 按兩下 [開始] 開始註冊。

5. 如果出現提示，請輸入計算機的登入資訊。

可能需要幾分鐘的時間才能註冊您的裝置。 註冊完成後，您會收到訊息，讓您知道您已完成。

原因 5 - 已關閉 Intune 整合

如果已關閉 Intune 整合，用戶在嘗試註冊裝置時，會在 公司入口網站 收到彈出視窗，並顯示下列訊息：

無效的命令行輸入僅限註冊命令行旗標 （-r） 只能在 Intune 中啟用合作夥伴管理時使用。 請連絡IT系統管理員。

Jamf Pro 伺服器會在整合關閉時傳送脈衝至 Intune 伺服器，告知 Intune 整合已停用。

方案
在 Jamf Pro 中重新啟用 Intune 整合。 視您設定整合的方式而定，請參閱下列各項：

• 使用 Jamf Cloud Connector 整合 Jamf Pro 與 Intune
• 在 Jamf Pro 中手動設定Microsoft Intune 整合。

原因 6 - 裝置先前已在 Intune 中註冊

如果裝置未從 Jamf 取消註冊，但未從 Intune 正確移除（如果先前已註冊），或使用者已嘗試進行數次註冊，您可能會在入口網站中看到相同裝置的多個實例。 這會導致 Jamf 註冊失敗。

方案

1. 在 Mac 上，啟動 終端機。

2. 執行 sudo JAMF removemdmprofile。

3. 執行 sudo JAMF removeFramework。

4. 在 JAMF Pro 伺服器上，刪除電腦的清查記錄。

5. 從 AzureAD 刪除裝置。

6. 如果有下列檔案存在，請刪除裝置上的下列檔案：

   • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
   • /Library/Application Support/com.microsoft.CompanyPortal
   • /Library/Application Support/com.jamfsoftware.selfservice.mac
   • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
   • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
   • /Library/Preferences/com.microsoft.CompanyPortal.plist
   • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
   • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
   • /Users/<username>/Library/Cookies/com.microsoft.CompanyPortal.binarycookies
   • /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
   • com.microsoft.CompanyPortal
   • com.microsoft.CompanyPortal.HockeySDK
   • enterpriseregistration.windows.net
   • https://device.login.microsoftonline.com
   • https://device.login.microsoftonline.com/
   • Microsoft會話傳輸金鑰 （公開和私鑰）
   • Microsoft工作場所加入金鑰 （公開和私鑰）

7. 從參考 Microsoft、Intune 或 公司入口網站 的裝置密鑰鏈中移除任何專案，包括 DeviceLogin.microsoft.com 憑證。 拿掉 JAMF 參考，但 JAMF 公開和私鑰除外。

   重要

   拿掉公用和私鑰將會中斷裝置註冊。

8. 刪除您找到的任何下列專案：

   • 種類：應用程式密碼 ;帳戶：com.microsoft.workplacejoin.thumbprint
   • 種類：應用程式密碼 ;帳戶：com.microsoft.workplacejoin.registeredUserPrincipalName
   • 種類：憑證;發行者：MS-Organization-Access
   • 種類：身分識別喜好設定;名稱（如果有的話，則為ADFS STSURL）： https://<DNS NAME>.com/adfs/ls
   • 種類：身分識別喜好設定;名稱： https://enterpriseregistration.windows.net
   • 種類：身分識別喜好設定;名稱： https://enterpriseregistration.windows.net/

9. 重新啟動 Mac 裝置。

10. 從裝置卸載 公司入口網站。

11. 移至 portal.manage.microsoft.com 並刪除 Mac 裝置的所有實例。 請等候至少 30 分鐘，再繼續進行下一個步驟。

12. 在 JAMF Pro 中重新註冊裝置。

13. 重新開啟自助式並啟動註冊原則。

原因 7 - 使用者未提供 JamfAAD 金鑰的存取權

JamfAAD 會要求從使用者的金鑰鏈存取「Microsoft工作場所加入密鑰」。 註冊期間，macOS 裝置的使用者會收到下列提示，以允許 JamfAAD 從其金鑰鏈存取金鑰：

JamfAAD 想要存取密鑰鏈中的「Microsoft工作場所聯結密鑰」。 若要允許此專案，請輸入「登入」金鑰鏈密碼

方案
若要使用 Microsoft Entra ID 成功註冊裝置，Jamf 會要求使用者提供其帳戶密碼，然後選取 [ 允許]。

此要求類似於當您開啟應用程式時，Mac 裝置要求金鑰鏈登入的提示。

Mac 裝置在 Intune 中顯示符合規範，但在 Azure 中不符合規範

原因：下列條件可能會導致裝置在 Intune 中顯示為符合規範，但在 Azure 中不符合規範：

• 裝置未正確註冊。
• 裝置已註冊多次，而不需要進行必要的清除。

方案
若要解決此問題，請遵循原因 6 中的步驟。

重複的專案會出現在 Intune 控制台中，適用於使用 Jamf 註冊的 Mac 裝置

原因：裝置已向 Intune 註冊多次，通常會在從 Intune 移除之後重新註冊。

從 Intune 和 Jamf Pro 整合中移除裝置時，可能會留下一些數據，這可能會導致後續註冊建立重複的專案。

方案
若要解決此問題，請遵循原因 6 中的步驟。

合規性政策無法評估裝置

原因：Jamf 與 Intune 整合不支援以裝置群組為目標的合規性政策。

方案
修改要指派給使用者群組之 macOS 裝置的合規性政策。

無法擷取 Microsoft Graph API 的存取令牌

您收到下列錯誤:

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

此錯誤來源可能是下列其中一個原因：

原因 1

Azure 中的 Jamf Pro 應用程式有許可權問題。 在 Azure 中註冊 Jamf Pro 應用程式時，發生下列其中一個情況：

• 應用程式收到一個以上的許可權。
• 未選取 [授與公司>管理員同意<] 選項。

方案
請參閱本文稍早的<裝置原因 1 無法註冊>的解決方法。

原因 2

Jamf-Intune 整合所需的授權已過期。

解決方案 請參閱裝置原因 3 無法註冊的解決方案。

原因 3

您的網路上未開啟必要的埠。

解決方案 檢閱將 Jamf Pro 與 Intune 整合的必要條件中網路埠的資訊。