Risoluzione dei problemi di integrazione di Jamf Pro con Microsoft Intune

Questo articolo aiuta Intune amministratori a comprendere e risolvere i problemi relativi all'integrazione di Jamf Pro per macOS con Microsoft Intune. Ognuna delle sezioni seguenti descrive un problema comune e offre una potenziale causa e la procedura di risoluzione dei problemi per una risoluzione.

Importante

Il supporto dei dispositivi MacOS jamf per l'accesso condizionale è deprecato.

A partire dal 1° settembre 2024, la piattaforma su cui è basata la funzionalità di accesso condizionale di Jamf Pro non sarà più supportata.

Se si usa l'integrazione dell'accesso condizionale di Jamf Pro per i dispositivi macOS, seguire le linee guida documentate di Jamf per eseguire la migrazione dei dispositivi dall'accesso condizionale macOS alla conformità dei dispositivi macOS.

Se hai domande o hai bisogno di assistenza, contatta Jamf Customer Success. Per altre informazioni, vedere Transizione di dispositivi macOS Jamf dall'accesso condizionale alla conformità del dispositivo.

Prerequisiti

Prima di iniziare la risoluzione dei problemi, raccogliere alcune informazioni di base per chiarire il problema e ridurre il tempo necessario per trovare una risoluzione. Ad esempio, quando si verifica un problema relativo all'integrazione Jamf-Intune, verificare sempre che i prerequisiti siano stati soddisfatti. Prima di iniziare la risoluzione dei problemi, considerare quanto segue:

• Esaminare i prerequisiti degli articoli seguenti, a seconda di come si configura l'integrazione di Jamf Pro con Intune:
  • Usare Jamf Cloud Connector per integrare Jamf Pro con Intune
  • Integrare Jamf Pro con Intune
• Tutti gli utenti devono avere licenze P1 Microsoft Intune e Microsoft Entra ID
• È necessario disporre di un account utente con autorizzazioni di integrazione Microsoft Intune nella console di Jamf Pro.
• È necessario disporre di un account utente con autorizzazioni di Amministrazione globali in Azure.

Raccogliere le informazioni seguenti durante l'analisi dell'integrazione di Jamf Pro con Intune:

• Messaggi di errore esatti
• Percorso dei messaggi di errore
• Quando il problema è iniziato e se l'integrazione di Jamf Pro con Intune ha funzionato in precedenza
• Quanti utenti sono interessati (tutti gli utenti o solo alcuni)
• Quanti dispositivi sono interessati (tutti i dispositivi o solo alcuni)

I dispositivi sono contrassegnati come non rispondenti in Jamf Pro

Causa: le cause comuni dei dispositivi contrassegnati come non rispondenti da Jamf Pro sono le seguenti:

• Il dispositivo non riesce a eseguire il check-in con Jamf Pro.
  Jamf Pro prevede il check-in dei dispositivi ogni 15 minuti. I dispositivi vengono contrassegnati come non rispondenti da Jamf quando non riescono a effettuare il check-in in un periodo di 24 ore.

• Il dispositivo non riesce a archiviare con Microsoft Entra ID.
  Con la registrazione riuscita a Microsoft Entra ID, i dispositivi macOS ricevono un token di Azure:

  • Questo token viene aggiornato ogni 12 ore.
  • Quando l'aggiornamento del token non riesce per 24 ore o più, Jamf Pro contrassegna il dispositivo come non rispondente.
  • Se il token di Azure scade, agli utenti viene richiesto di accedere ad Azure per ottenere un nuovo token. Un token di aggiornamento per l'accesso ad Azure viene generato ogni sette giorni.

Soluzione
Dopo che un dispositivo è contrassegnato come Non risponde da Jamf Pro, l'utente registrato del dispositivo deve accedere per correggere lo stato non reattivo. Deve essere l'utente che ha aggiunto l'account all'area di lavoro perché ha l'identità di Intune nel keychain.

I dispositivi Mac richiedono l'accesso al keychain quando si apre un'app

Dopo aver configurato l'integrazione di Intune e Jamf Pro e aver distribuito i criteri di accesso condizionale, gli utenti dei dispositivi gestiti con Jamf Pro ricevono richieste di password all'apertura di applicazioni Microsoft 365, ad esempio Teams, Outlook e altre app che richiedono l'autenticazione Microsoft Entra.

Ad esempio, quando si apre Microsoft Teams viene visualizzata una richiesta con testo simile all'esempio seguente:

Microsoft Teams vuole firmare usando la chiave "Microsoft Workplace Join Key" nel keychain.
Per consentire questa operazione, immettere la password del keychain "login"

Causa: questi prompt vengono generati da Jamf Pro per ogni app applicabile che richiede Microsoft Entra registrazione.

Soluzione
Al prompt, l'utente deve fornire la password del dispositivo per accedere a Microsoft Entra ID. Le opzioni disponibili sono:

• Nega : non eseguire l'accesso e non usare l'app.
• Consenti : accesso una sola volta. Alla successiva apertura dell'app viene richiesto di nuovo l'accesso.
• Always Allow : le credenziali di accesso vengono memorizzate nella cache per l'applicazione. La successiva apertura dell'app non richiede l'accesso.

Se si seleziona Consenti sempre per un'app, l'app viene approvata solo per l'accesso futuro. Altre app richiedono l'autenticazione fino a quando non vengono impostate anche come Always Allow. Le credenziali memorizzate nella cache per un'app non possono essere usate da un'altra app.

I dispositivi non riescono a eseguire la registrazione con Intune

Esistono diverse cause comuni per i dispositivi Mac che non riescono a registrarsi con Intune tramite Jamf Pro.

Causa 1 : Jamf Pro non dispone delle autorizzazioni corrette

L'applicazione Jamf Pro enterprise in Azure ha l'autorizzazione errata o dispone di più autorizzazioni. Quando si crea l'app in Azure, è necessario rimuovere tutte le autorizzazioni API predefinite e quindi assegnare Intune una singola autorizzazione di update_device_attributes.

Soluzione
Esaminare e, se necessario, correggere le autorizzazioni per l'app Jamf. Se si usa Jamf Pro Cloud Connector, questa app è stata creata automaticamente. Se l'integrazione è stata configurata manualmente, l'app è stata creata in Microsoft Entra ID. Per le autorizzazioni dell'app, vedere Creare un'applicazione (per Jamf) in Microsoft Entra ID.

Causa 2 - Tenant o account errato

L'app Jamf Native macOS Connector non è stata creata nel tenant Microsoft Entra o il consenso per il connettore è stato firmato da un account che non dispone di diritti di amministratore globale.

Soluzione
Vedere la sezione Configurazione di macOS Intune Integration in Integrazione con Microsoft Intune in docs.jamf.com.

Causa 3: l'utente non dispone di licenze valide

La mancanza di una licenza valida Intune o Jamf può causare l'errore seguente, che indica che la licenza jamf è scaduta:

Impossibile connettersi a Microsoft Intune.
Controllare la configurazione di integrazione Microsoft Intune.

Soluzione

• Licenza Jamf: contattare Jamf per assistenza per ottenere una nuova licenza per Jamf.
• Intune licenza: assegnare all'utente una licenza valida o contattare Microsoft o il partner per informazioni su come ottenere una licenza corrente.

Causa 4 : l'utente non ha usato Jamf Self Service

Affinché un dispositivo si registri e si registri correttamente con Intune tramite Jamf, l'utente deve usare Jamf Self Service per aprire il Portale aziendale Intune. Se l'utente apre manualmente il Portale aziendale, il dispositivo viene registrato e registrato senza la connessione a Jamf.

Per determinare il servizio usato per registrare e registrare il dispositivo, esaminare l'app Portale aziendale nel dispositivo. Quando sei registrato tramite Jamf, dovresti ricevere una notifica per aprire l'app Self-Service per apportare modifiche.

Nell'app Portale aziendale, l'utente potrebbe visualizzare Not registerede una voce simile all'esempio seguente potrebbe essere visualizzata nei log di Portale aziendale:

Riga 7783: <DATE><IP ADDRESS> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift: 253 (startLogin()) Portale avviato senza WPJ solo arg mentre l'account è sotto la gestione dei partner

Soluzione

Per modificare l'origine della registrazione da Intune a Jamf:

1. Rimuovere il dispositivo macOS da Intune. Per evitare ulteriori complicazioni per i dispositivi non completamente rimossi da Intune, vedere Causa 6 di seguito.

2. Nel dispositivo usare Jamf Self Service per aprire l'app Portale aziendale e quindi registrare il dispositivo con Microsoft Entra ID. Questa attività richiede che siano già state completate le attività seguenti:

   • Distribuire l'app Portale aziendale per macOS in Jamf Pro
   • Creare un criterio in Jamf Pro per fare in modo che gli utenti registrino i propri dispositivi con Microsoft Entra ID

3. Quando si apre il portale, la prima schermata visualizzata richiede l'accesso. Usare l'account aziendale o dell'istituto di istruzione

4. Il Portale aziendale conferma le informazioni sull'account e mostra gli stati di registrazione del dispositivo e conformità del dispositivo. I triangoli gialli evidenziano le azioni che è necessario eseguire per proteggere il dispositivo macOS per l'istituto di istruzione o il lavoro. Fare clic su Inizia per avviare la registrazione.

5. Se richiesto, digitare le informazioni di accesso del computer.

La registrazione del dispositivo potrebbe richiedere alcuni minuti. Si riceverà un messaggio al termine della registrazione per segnalare che l'operazione è stata completata.

Causa 5: l'integrazione Intune è disattivata

Se Intune'integrazione è disattivata, gli utenti ricevono una finestra popup nel Portale aziendale con il messaggio seguente quando provano a registrare un dispositivo:

Il flag della riga di comando (-r) di input della riga di comando non valido può essere usato solo quando la gestione dei partner è abilitata in Intune. Contattare l'amministratore IT.

Il server Jamf Pro invia un impulso ai server Intune quando l'integrazione è disattivata che indica Intune che l'integrazione è disabilitata.

Soluzione
Riabilitare l'integrazione Intune all'interno di Jamf Pro. Vedere quanto segue a seconda di come si configura l'integrazione:

• Usare Jamf Cloud Connector per integrare Jamf Pro con Intune
• Configurare manualmente Microsoft Intune Integration in Jamf Pro.

Causa 6: il dispositivo è stato registrato in precedenza in Intune

Se un dispositivo viene annullato da Jamf ma non viene rimosso correttamente da Intune (se è stato registrato in precedenza) o se l'utente ha effettuato diversi tentativi di registrazione, è possibile che nel portale vengano visualizzate più istanze dello stesso dispositivo. Ciò causa l'esito negativo della registrazione di Jamf.

Soluzione

1. Nel Mac avviare Terminale.

2. Eseguire sudo JAMF removemdmprofile.

3. Eseguire sudo JAMF removeFramework.

4. Nel server JAMF Pro eliminare il record di inventario del computer.

5. Eliminare il dispositivo da AzureAD.

6. Eliminare i file seguenti nel dispositivo, se presenti:

   • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
   • /Library/Application Support/com.microsoft.CompanyPortal
   • /Library/Application Support/com.jamfsoftware.selfservice.mac
   • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
   • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
   • /Library/Preferences/com.microsoft.CompanyPortal.plist
   • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
   • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
   • /Users/<username>/Library/Cookies/com.microsoft.CompanyPortal.binarycookies
   • /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
   • com.microsoft.CompanyPortal
   • com.microsoft.CompanyPortal.HockeySDK
   • enterpriseregistration.windows.net
   • https://device.login.microsoftonline.com
   • https://device.login.microsoftonline.com/
   • Chiave di trasporto della sessione Microsoft (chiavi private e pubbliche)
   • Chiave di aggiunta a Microsoft Workplace (chiavi pubbliche e private)

7. Rimuovere qualsiasi elemento dal keychain nel dispositivo che fa riferimento a Microsoft, Intune o Portale aziendale, inclusi i certificati DeviceLogin.microsoft.com. Rimuovere i riferimenti JAMF ad eccezione della chiave pubblica e privata JAMF.

   Importante

   La rimozione della chiave pubblica e privata interromperà la registrazione del dispositivo.

8. Eliminare una delle voci seguenti trovate:

   • Tipo: password dell'applicazione; Account: com.microsoft.workplacejoin.thumbprint
   • Tipo: password dell'applicazione; Account: com.microsoft.workplacejoin.registeredUserPrincipalName
   • Tipo: Certificato; Rilasciato da: MS-Organization-Access
   • Tipo: preferenza di identità; Name (ADFS STS URL if present): https://<DNS NAME>.com/adfs/ls
   • Tipo: preferenza di identità; Nome: https://enterpriseregistration.windows.net
   • Tipo: preferenza di identità; Nome: https://enterpriseregistration.windows.net/

9. Riavviare il dispositivo Mac.

10. Disinstallare Portale aziendale dal dispositivo.

11. Passare a portal.manage.microsoft.com ed eliminare tutte le istanze del dispositivo Mac. Attendere almeno 30 minuti prima di passare al passaggio successivo.

12. Registrare nuovamente il dispositivo in JAMF Pro.

13. Riaprire il servizio self-service e avviare i criteri di registrazione.

Causa 7: l'utente non ha fornito l'accesso JamfAAD alla chiave

JamfAAD richiede l'accesso a una "Chiave di aggiunta a Microsoft Workplace" dal keychain degli utenti. Durante la registrazione, l'utente di un dispositivo macOS riceve la richiesta seguente per consentire a JamfAAD l'accesso a una chiave dal keychain:

JamfAAD vuole accedere alla chiave "Microsoft Workplace Join Key" nel keychain. Per consentire questa operazione, immettere la password del keychain "login"

Soluzione
Per registrare correttamente il dispositivo con Microsoft Entra ID, Jamf richiede all'utente di specificare la password dell'account e selezionare Consenti.

Questa richiesta è simile alla richiesta per i dispositivi Mac che richiede l'accesso al portachiavi quando si apre un'app.

Il dispositivo Mac mostra la conformità in Intune ma non conforme in Azure

Causa: le condizioni seguenti possono causare la visualizzazione di un dispositivo come conforme in Intune ma non come conforme in Azure:

• Il dispositivo non è registrato correttamente.
• Il dispositivo è stato registrato più volte senza la pulizia necessaria.

Soluzione
Per risolvere questo problema, seguire la procedura descritta in Causa 6.

Le voci duplicate vengono visualizzate nella console Intune per i dispositivi Mac registrati tramite Jamf

Causa: un dispositivo viene registrato con Intune più volte, in genere viene registrato di nuovo dopo essere stato rimosso dal Intune.

Quando un dispositivo viene rimosso dall'integrazione di Intune e Jamf Pro, alcuni dati possono essere lasciati indietro, il che può causare registrazioni successive per creare voci duplicate.

Soluzione
Per risolvere questo problema, seguire la procedura descritta in Causa 6.

I criteri di conformità non riescono a valutare il dispositivo

Causa: l'integrazione di Jamf con Intune non supporta i criteri di conformità per i gruppi di dispositivi.

Soluzione
Modificare i criteri di conformità per i dispositivi macOS da assegnare ai gruppi di utenti.

Impossibile recuperare il token di accesso per Microsoft API Graph

Viene visualizzato il seguente errore:

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

L'origine di questo errore può essere una delle cause seguenti:

Causa 1

Si è verificato un problema di autorizzazione con l'applicazione Jamf Pro in Azure. Durante la registrazione dell'app Jamf Pro in Azure, si è verificata una delle condizioni seguenti:

• L'app ha ricevuto più di un'autorizzazione.
• L'opzione Concedi consenso amministratore per <l'azienda> non è stata selezionata.

Soluzione
Vedere la risoluzione per Causa 1 per i dispositivi che non riesce a registrarsi, più indietro in questo articolo.

Causa 2

Una licenza necessaria per l'integrazione Jamf-Intune è scaduta.

Soluzione Vedere la risoluzione per Causa 3 per i dispositivi che non riescono a registrarsi.

Causa 3

Le porte necessarie non sono aperte nella rete.

Soluzione Esaminare le informazioni per le porte di rete in Prerequisiti per l'integrazione di Jamf Pro con Intune.