Problembehandlung bei der Integration von Jamf Pro in Microsoft Intune

Dieser Artikel hilft Intune Administratoren, Probleme bei der Integration von Jamf Pro für macOS in Microsoft Intune zu verstehen und zu beheben. Jeder der folgenden Abschnitte beschreibt ein häufiges Problem und bietet eine mögliche Ursache und Schritte zur Problembehandlung für eine Lösung.

Wichtig

Jamf macOS-Geräteunterstützung für bedingten Zugriff ist veraltet.

Ab dem 1. September 2024 wird die Plattform, auf der das Feature für bedingten Zugriff von Jamf Pro basiert, nicht mehr unterstützt.

Wenn Sie die Integration für bedingten Zugriff von Jamf Pro für macOS-Geräte verwenden, befolgen Sie die dokumentierten Richtlinien von Jamf, um Ihre Geräte vom bedingten zugriff macOS zu macOS Device Compliance zu migrieren.

Wenn Sie Fragen haben oder Hilfe benötigen, wenden Sie sich an Jamf Customer Success. Weitere Informationen finden Sie unter Transitioning Jamf macOS devices from Conditional Access to Device Compliance .For more information, see Transitioning Jamf macOS devices from Conditional Access to Device Compliance.For more information, see Transitioning Jamf macOS devices from Conditional Access to Device Compliance.

Voraussetzungen

Bevor Sie mit der Problembehandlung beginnen, sammeln Sie einige grundlegende Informationen, um das Problem zu klären und die Zeit für die Suche nach einer Lösung zu verkürzen. Wenn beispielsweise ein Jamf-Intune Integrationsproblem auftritt, überprüfen Sie immer, ob die Voraussetzungen erfüllt sind. Beachten Sie Folgendes, bevor Sie mit der Problembehandlung beginnen:

• Lesen Sie die Voraussetzungen aus den folgenden Artikeln, je nachdem, wie Sie die Jamf Pro-Integration mit Intune konfigurieren:
  • Verwenden des Jamf Cloud-Connectors zum Integrieren von Jamf Pro in Intune
  • Integrieren von Jamf Pro in Intune
• Alle Benutzer müssen über Microsoft Intune- und Microsoft Entra ID P1-Lizenzen verfügen.
• Sie müssen über ein Benutzerkonto verfügen, das über Microsoft Intune Integrationsberechtigungen in der Jamf Pro-Konsole verfügt.
• Sie benötigen ein Benutzerkonto mit globalen Admin-Berechtigungen in Azure.

Sammeln Sie die folgenden Informationen, wenn Sie die Jamf Pro-Integration mit Intune untersuchen:

• Genaue Fehlermeldung(en)
• Speicherort der Fehlermeldung(en)
• Wann das Problem aufgetreten ist und ob Ihre Jamf Pro-Integration mit Intune zuvor funktioniert hat
• Wie viele Benutzer betroffen sind (alle Benutzer oder nur einige)
• Wie viele Geräte betroffen sind (alle Geräte oder nur einige)

Geräte sind in Jamf Pro als nicht reagierend gekennzeichnet

Ursache: Im Folgenden finden Sie häufige Ursachen dafür, dass Geräte von Jamf Pro als nicht reagieren gekennzeichnet werden:

• Das Gerät kann nicht mit Jamf Pro eingecheckt werden.
  Jamf Pro erwartet, dass Geräte alle 15 Minuten einchecken. Geräte werden von Jamf als nicht reagierend markiert, wenn sie über einen Zeitraum von 24 Stunden nicht eingecheckt werden können.

• Das Gerät kann nicht mit Microsoft Entra ID eingecheckt werden.
  Nach erfolgreicher Registrierung bei Microsoft Entra ID erhalten macOS-Geräte ein Azure-Token:

  • Dieses Token wird alle 12 Stunden aktualisiert.
  • Wenn die Tokenaktualisierung 24 Stunden oder länger fehlschlägt, markiert Jamf Pro das Gerät als nicht reagierend.
  • Wenn das Azure-Token abläuft, werden Benutzer aufgefordert, sich bei Azure anzumelden, um ein neues Token zu erhalten. Alle sieben Tage wird ein Aktualisierungstoken für den Azure-Zugriff generiert.

Lösung
Nachdem ein Gerät von Jamf Pro als nicht reagiert markiert wurde, muss sich der registrierte Benutzer des Geräts anmelden, um den nicht reaktionsfähigen Zustand zu korrigieren. Es muss sich um den Benutzer handeln, der mit dem Konto am Arbeitsplatz verbunden ist, da er die Identität von Intune in seiner Keychain hat.

Mac-Geräte werden beim Öffnen einer App zur Keychain Anmeldung aufgefordert

Nachdem Sie Intune- und Jamf Pro-Integration konfiguriert und Richtlinien für bedingten Zugriff bereitgestellt haben, erhalten Benutzer von Geräten, die mit Jamf Pro verwaltet werden, Beim Öffnen von Microsoft 365-Anwendungen wie Teams, Outlook und anderen Apps, die eine Microsoft Entra Authentifizierung erfordern, Kennwortaufforderungen.

Beispielsweise wird beim Öffnen von Microsoft Teams eine Eingabeaufforderung mit einem Text angezeigt, der dem folgenden Beispiel ähnelt:

Microsoft Teams möchte mit dem Schlüssel "Microsoft Workplace Join Key" in Ihrem Keychain signieren.
Um dies zu ermöglichen, geben Sie das Kennwort "Login" Keychain ein.

Ursache: Diese Eingabeaufforderungen werden von Jamf Pro für jede anwendbare App generiert, die Microsoft Entra Registrierung erfordert.

Lösung
Bei der Eingabeaufforderung muss der Benutzer sein Gerätekennwort angeben, um sich bei Microsoft Entra ID anzumelden. Die folgenden Optionen stehen zur Verfügung:

• Verweigern : Melden Sie sich nicht an, und verwenden Sie die App nicht.
• Zulassen : Einmalige Anmeldung. Beim nächsten Öffnen der App wird erneut zur Anmeldung aufgefordert.
• Immer zulassen : Die Anmeldeinformationen werden für die Anwendung zwischengespeichert. Beim nächsten Öffnen der App wird nicht zur Anmeldung aufgefordert.

Wenn Sie nur für eine App immer zulassen auswählen, wird diese App für die zukünftige Anmeldung genehmigt. Zusätzliche Apps fordern zur Authentifizierung auf, bis sie ebenfalls auf Always Allow (Immer zulassen) festgelegt sind. Zwischengespeicherte Anmeldeinformationen für eine App können nicht von einer anderen App verwendet werden.

Geräte können sich nicht bei Intune registrieren

Es gibt mehrere häufige Ursachen für Mac-Geräte, die sich nicht bei Intune über Jamf Pro registrieren können.

Ursache 1: Jamf Pro verfügt nicht über die richtigen Berechtigungen

Die Jamf Pro-Unternehmensanwendung in Azure verfügt über die falsche Berechtigung oder mehr als eine Berechtigung. Wenn Sie die App in Azure erstellen, müssen Sie alle STANDARD-API-Berechtigungen entfernen und dann Intune einer einzelnen Berechtigung update_device_attributes zuweisen.

Lösung
Überprüfen und korrigieren Sie ggf. die Berechtigungen für die Jamf-App. Wenn Sie den Jamf Pro Cloud Connector verwenden, wurde diese App für Sie erstellt. Wenn Sie die Integration manuell konfiguriert haben, haben Sie die App in Microsoft Entra ID erstellt. Informationen zu den App-Berechtigungen finden Sie unter Erstellen einer Anwendung (für Jamf) in Microsoft Entra ID.

Ursache 2: Falscher Mandant oder Falsches Konto

Die Jamf Native macOS Connector-App wurde nicht in Ihrem Microsoft Entra Mandanten erstellt, oder die Zustimmung für den Connector wurde von einem Konto signiert, das nicht über globale Administratorrechte verfügt.

Lösung
Weitere Informationen finden Sie im Abschnitt Konfigurieren der integration von macOS Intune unter Integrieren in Microsoft Intune auf docs.jamf.com.

Ursache 3: Der Benutzer verfügt nicht über gültige Lizenzen.

Das Fehlen einer gültigen Intune- oder Jamf-Lizenz kann zu folgendem Fehler führen, der darauf hinweist, dass die Jamf-Lizenz abgelaufen ist:

Es kann keine Verbindung mit Microsoft Intune hergestellt werden.
Überprüfen Sie ihre Microsoft Intune Integrationskonfiguration.

Lösung

• Jamf-Lizenz: Wenden Sie sich an Jamf, um Unterstützung zu erhalten, um eine neue Lizenz für Jamf zu erhalten.
• Intune Lizenz: Weisen Sie dem Benutzer eine gültige Lizenz zu, oder wenden Sie sich an Microsoft oder Ihren Partner, um Informationen zum Abrufen einer aktuellen Lizenz zu erhalten.

Ursache 4: Der Benutzer hat Jamf Self Service nicht verwendet.

Damit ein Gerät erfolgreich bei Intune über Jamf registriert und registriert werden kann, muss der Benutzer Jamf Self Service verwenden, um die Intune-Unternehmensportal zu öffnen. Wenn der Benutzer die Unternehmensportal manuell öffnet, wird das Gerät ohne Verbindung mit Jamf registriert und registriert.

Um zu bestimmen, welchen Dienst das Gerät für die Registrierung und Registrierung verwendet hat, suchen Sie in der Unternehmensportal-App auf dem Gerät. Wenn Sie über Jamf registriert sind, sollten Sie eine Benachrichtigung erhalten, um die Self-Service-App zu öffnen, um Änderungen vorzunehmen.

In der Unternehmensportal-App wird dem Benutzer möglicherweise angezeigtNot registered, und ein Eintrag ähnlich dem folgenden Beispiel kann in den Unternehmensportal Protokollen angezeigt werden:

Zeile 7783: <DATE><IP ADDRESS INFO> com.microsoft.ssp.application TID=1
WelcomeViewController.swift: 253 (startLogin()) Portal gestartet ohne WPJ nur arg, während sich das Konto unter Der Partnerverwaltung befindet

Lösung

So ändern Sie die Registrierungsquelle von Intune in Jamf:

1. Entfernen Sie das macOS-Gerät aus Intune. Um weitere Komplikationen für Geräte zu vermeiden, die nicht vollständig aus Intune entfernt wurden, finden Sie unten unter Ursache 6.

2. Verwenden Sie auf dem Gerät Jamf Self Service, um die Unternehmensportal-App zu öffnen, und registrieren Sie das Gerät dann bei Microsoft Entra ID. Für diese Aufgabe müssen Sie die folgenden Aufgaben bereits abgeschlossen haben:

   • Bereitstellen der Unternehmensportal-App für macOS in Jamf Pro
   • Erstellen Sie eine Richtlinie in Jamf Pro, damit Benutzer ihre Geräte bei Microsoft Entra ID

3. Wenn das Portal geöffnet wird, werden Sie auf dem ersten Angezeigten Bildschirm aufgefordert, sich anzumelden. Verwenden Ihres Geschäfts-, Schul- oder Unikontos

4. Die Unternehmensportal bestätigt Ihre Kontoinformationen und zeigt Den Status Ihrer Geräteregistrierung und Gerätekonformität an. Gelbe Dreiecke markieren die Aktionen, die Sie ausführen müssen, um Ihr macOS-Gerät für die Schule oder arbeit zu schützen. Klicken Sie auf Beginnen, um die Registrierung zu starten.

5. Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen Ihres Computers ein.

Die Registrierung Ihres Geräts kann einige Minuten dauern. Nach Abschluss der Registrierung erhalten Sie eine Meldung, die Sie darüber informiert, dass Sie fertig sind.

Ursache 5: Intune Integration ist deaktiviert

Wenn Intune Integration deaktiviert ist, erhalten Benutzer ein Popupfenster im Unternehmensportal mit der folgenden Meldung, wenn sie versuchen, ein Gerät zu registrieren:

Ungültige Befehlszeileneingabe Nur-Registrierungs-Befehlszeilenflag (-r) kann nur verwendet werden, wenn die Partnerverwaltung in Intune aktiviert ist. Wenden Sie sich an Ihren IT-Administrator.

Der Jamf Pro-Server sendet bei deaktivierter Integration einen Impuls an die Intune Server, der Intune informiert, dass die Integration deaktiviert ist.

Lösung
Aktivieren Sie Intune Integration in Jamf Pro erneut. Je nachdem, wie Sie die Integration konfigurieren, sehen Sie sich die folgenden Informationen an:

• Verwenden des Jamf Cloud-Connectors zum Integrieren von Jamf Pro in Intune
• Konfigurieren Sie Microsoft Intune Integration in Jamf Pro manuell.

Ursache 6: Das Gerät wurde zuvor bei Intune

Wenn die Registrierung eines Geräts bei Jamf aufgehoben, aber nicht ordnungsgemäß aus Intune entfernt wurde (wenn es zuvor registriert wurde), oder wenn der Benutzer mehrere Registrierungsversuche unternommen hat, werden im Portal möglicherweise mehrere Instanzen desselben Geräts angezeigt. Dies führt dazu, dass die Jamf-Registrierung fehlschlägt.

Lösung

1. Starten Sie auf dem Mac das Terminal.

2. Führen Sie sudo JAMF removemdmprofile aus.

3. Führen Sie sudo JAMF removeFramework aus.

4. Löschen Sie auf dem JAMF Pro-Server den Inventardatensatz des Computers.

5. Löschen Sie das Gerät aus AzureAD.

6. Löschen Sie die folgenden Dateien auf dem Gerät, sofern sie vorhanden sind:

   • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
   • /Library/Application Support/com.microsoft.CompanyPortal
   • /Library/Application Support/com.jamfsoftware.selfservice.mac
   • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
   • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
   • /Library/Preferences/com.microsoft.CompanyPortal.plist
   • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
   • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
   • /Users/<username>/Library/Cookies/com.microsoft.CompanyPortal.binarycookies
   • /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
   • com.microsoft.CompanyPortal
   • com.microsoft.CompanyPortal.HockeySDK
   • enterpriseregistration.windows.net
   • https://device.login.microsoftonline.com
   • https://device.login.microsoftonline.com/
   • Microsoft-Sitzungstransportschlüssel (öffentliche UND private Schlüssel)
   • Microsoft Workplace Join Key (öffentliche UND private Schlüssel)

7. Entfernen Sie alle Elemente aus dem Keychain auf dem Gerät, das auf Microsoft, Intune oder Unternehmensportal verweist, einschließlich DeviceLogin.microsoft.com Zertifikaten. Entfernen Sie JAMF-Verweise mit Ausnahme von öffentlichen und privaten JAMF-Schlüsseln.

   Wichtig

   Wenn Sie den öffentlichen und privaten Schlüssel entfernen, wird die Geräteregistrierung unterbrochen.

8. Löschen Sie einen der folgenden Einträge, die Sie finden:

   • Art: Anwendungskennwort ; Konto: com.microsoft.workplacejoin.thumbprint
   • Art: Anwendungskennwort ; Konto: com.microsoft.workplacejoin.registeredUserPrincipalName
   • Art: Zertifikat ; Ausgestellt von: MS-Organization-Access
   • Art: Identitätspräferenz ; Name (ADFS STS URL, falls vorhanden): https://<DNS NAME>.com/adfs/ls
   • Art: Identitätspräferenz ; Namen: https://enterpriseregistration.windows.net
   • Art: Identitätspräferenz ; Namen: https://enterpriseregistration.windows.net/

9. Starten Sie das Mac-Gerät neu.

10. Deinstallieren Sie Unternehmensportal vom Gerät.

11. Wechseln Sie zu portal.manage.microsoft.com, und löschen Sie alle Instanzen des Mac-Geräts. Warten Sie mindestens 30 Minuten, bevor Sie mit dem nächsten Schritt fortfahren.

12. Registrieren Sie das Gerät erneut bei JAMF Pro.

13. Öffnen Sie self Service erneut, und starten Sie die Registrierungsrichtlinie.

Ursache 7: Der Benutzer hat JamfAAD keinen Zugriff auf seinen Schlüssel bereitgestellt.

JamfAAD fordert Zugriff auf einen "Microsoft Workplace Join Key" von der Keychain der Benutzer an. Während der Registrierung erhält der Benutzer eines macOS-Geräts die folgende Aufforderung, JamfAAD den Zugriff auf einen Schlüssel von seiner Keychain zuzulassen:

JamfAAD möchte auf den Schlüssel "Microsoft Workplace Join Key" in Ihrem Keychain zugreifen. Um dies zu ermöglichen, geben Sie das Kennwort "Login" Keychain ein.

Lösung
Um das Gerät erfolgreich bei Microsoft Entra ID zu registrieren, fordert Jamf, dass der Benutzer sein Kontokennwort eingibt, und wählen Sie Zulassen aus.

Diese Anforderung ähnelt der Aufforderung für Mac-Geräte, Keychain Anmeldung einzugeben, wenn Sie eine App öffnen.

Mac-Gerät ist in Intune kompatibel, aber in Azure nicht konform

Ursache: Die folgenden Bedingungen können dazu führen, dass ein Gerät in Intune aber nicht als konform in Azure angezeigt wird:

• Das Gerät ist nicht ordnungsgemäß registriert.
• Das Gerät wurde mehrmals ohne die erforderliche Bereinigung registriert.

Lösung
Führen Sie die Schritte unter Ursache 6 aus, um dieses Problem zu beheben.

Doppelte Einträge werden in der Intune-Konsole für Mac-Geräte angezeigt, die mit Jamf registriert wurden

Ursache: Ein Gerät wird mehrmals bei Intune registriert und in der Regel erneut registriert, nachdem es aus Intune entfernt wurde.

Wenn ein Gerät aus Intune und Jamf Pro-Integration entfernt wird, können einige Daten zurückbleiben, was dazu führen kann, dass bei aufeinanderfolgenden Registrierungen doppelte Einträge erstellt werden.

Lösung
Führen Sie die Schritte unter Ursache 6 aus, um dieses Problem zu beheben.

Konformitätsrichtlinie kann das Gerät nicht auswerten

Ursache: Die Jamf-Integration mit Intune unterstützt keine Konformitätsrichtlinie, die auf Gerätegruppen ausgerichtet ist.

Lösung
Ändern sie die Konformitätsrichtlinie für macOS-Geräte, die Benutzergruppen zugewiesen werden sollen.

Das Zugriffstoken für Microsoft Graph-API konnte nicht abgerufen werden.

Sie erhalten den folgenden Fehler:

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

Die Ursache dieses Fehlers kann eine der folgenden Ursachen sein:

Ursache 1

Es gibt ein Berechtigungsproblem mit der Jamf Pro-Anwendung in Azure. Beim Registrieren der Jamf Pro-App in Azure ist eine der folgenden Bedingungen aufgetreten:

• Die App hat mehr als eine Berechtigung erhalten.
• Die Option Administratoreinwilligung für <Ihr Unternehmen> erteilen war nicht ausgewählt.

Lösung
Weitere Informationen finden Sie weiter oben in diesem Artikel in der Lösung für Ursache 1 für Fehler bei der Registrierung von Geräten.

Ursache 2

Eine für Jamf-Intune Integration erforderliche Lizenz ist abgelaufen.

Lösung Weitere Informationen finden Sie unter Ursache 3 für Geräte können nicht registriert werden.

Ursache 3

Die erforderlichen Ports sind in Ihrem Netzwerk nicht geöffnet.

Lösung Lesen Sie die Informationen zu Netzwerkports unter Voraussetzungen für die Integration von Jamf Pro in Intune.