Solução de problemas de integração do Jamf Pro com Microsoft Intune

Este artigo ajuda os Intune a entender e solucionar problemas com a integração do Jamf Pro para macOS com Microsoft Intune. Cada uma das seções a seguir descreve um problema comum e oferece uma possível causa e etapas de solução de problemas para uma resolução.

Pré-requisitos

Antes de começar a solucionar problemas, colete algumas informações básicas para esclarecer o problema e reduzir o tempo para encontrar uma resolução. Por exemplo, quando você encontrar um Jamf-Intune relacionado à integração, sempre verifique se os pré-requisitos foram atendidos. Considere o seguinte antes de começar a solucionar problemas:

• Examine os pré-requisitos dos seguintes artigos, dependendo de como você configura a integração do Jamf Pro com o Intune:
  • Usar o Conector de Nuvem do Jamf para integrar o Jamf Pro ao Intune
  • Integrar o Jamf Pro ao Intune
• Todos os usuários devem ter Microsoft Intune e Microsoft Azure Active Directory (Azure AD) Premium P1
• Você deve ter uma conta de usuário que tenha Microsoft Intune de integração no console do Jamf Pro.
• Você deve ter uma conta de usuário que tenha permissões Administração global no Azure.

Colete as seguintes informações ao investigar a integração do Jamf Pro ao Intune:

• Mensagens de erro exatas
• Local das mensagens de erro
• Quando o problema começou e se a integração do Jamf Pro com o Intune funcionou anteriormente
• Quantos usuários são afetados (todos os usuários ou apenas alguns)
• Quantos dispositivos são afetados (todos os dispositivos ou apenas alguns)

Os dispositivos são marcados como sem resposta no Jamf Pro

Causa: as seguintes causas comuns de dispositivos serem marcados como sem resposta pelo Jamf Pro:

• O dispositivo não consegue fazer check-in com o Jamf Pro.
  O Jamf Pro espera que os dispositivos verifiquem a cada 15 minutos. Os dispositivos são marcados como sem resposta pelo Jamf quando não fazem check-in por um período de 24 horas.

• O dispositivo não consegue fazer check-in com Azure AD.
  Com o registro bem-Azure AD, os dispositivos macOS recebem um token do Azure:

  • Esse token é atualizado a cada 12 horas.
  • Quando a atualização do token falha por 24 horas ou mais, o Jamf Pro marca o dispositivo como sem resposta.
  • Se o token do Azure expirar, os usuários serão solicitados a entrar no Azure para obter um novo token. Um token de atualização para acesso ao Azure é gerado a cada sete dias.

Solução
Depois que um dispositivo é marcado como Sem resposta pelo Jamf Pro, o usuário registrado do dispositivo deve entrar para corrigir o estado sem resposta. Ele deve ser o usuário que ingressou na conta no local de trabalho, pois ele tem a identidade de Intune em seu conjunto de chaves.

Os dispositivos Mac solicitam a entrada do conjunto de chaves quando você abre um aplicativo

Depois de configurar a integração do Intune e do Jamf Pro e implantar políticas de acesso condicional, os usuários de dispositivos gerenciados com o Jamf Pro receberão prompts de senha ao abrir aplicativos do Microsoft 365, como Teams, Outlook e outros aplicativos que exigem Azure AD autenticação.

Por exemplo, um prompt com texto semelhante ao exemplo a seguir aparece ao abrir o Microsoft Teams:

O Microsoft Teams deseja assinar usando a chave "Chave de Ingresso no Microsoft Workplace" em seu conjunto de chaves.
Para permitir isso, insira a senha do conjunto de chaves "logon"

Causa: esses prompts são gerados pelo Jamf Pro para cada aplicativo aplicável que requer Azure AD registro.

Solução
No prompt, o usuário deve fornecer a senha do dispositivo para entrar no Azure AD. As opções são:

• Negar – Não entre e não use o aplicativo.
• Permitir – Uma entrada única. Na próxima vez que o aplicativo for aberto, ele solicitará a entrada novamente.
• Sempre Permitir – As credenciais de entrada são armazenadas em cache para o aplicativo. Na próxima vez que o aplicativo for aberto, ele não solicitará a entrada.

Selecionar Sempre Permitir para um aplicativo só aprova esse aplicativo para entrada futura. Aplicativos adicionais solicitam autenticação até que também sejam definidos como Sempre Permitir. As credenciais armazenadas em cache para um aplicativo não podem ser usadas por outro aplicativo.

Os dispositivos não se registram com Intune

Há várias causas comuns para dispositivos Mac que não se registram com o Intune por meio do Jamf Pro.

Causa 1 – o Jamf Pro não tem permissões corretas

O aplicativo empresarial Jamf Pro no Azure tem a permissão errada ou tem mais de uma permissão. Ao criar o aplicativo no Azure, você deve remover todas as permissões de API padrão e atribuir Intune uma única permissão de update_device_attributes.

Solução
Examine e, se necessário, corrija as permissões para o aplicativo Jamf. Se você usar o Jamf Pro Cloud Connector, este aplicativo foi criado para você. Se você configurou manualmente a integração, criou o aplicativo no Azure AD. Para obter as permissões do aplicativo, consulte Criar um aplicativo (para Jamf) Azure AD.

Causa 2 – Locatário ou conta incorreta

O aplicativo conector do Jamf Native macOS não foi criado em seu locatário do Azure AD ou o consentimento para o conector foi assinado por uma conta que não tem direitos de administrador global.

Solução
Consulte a seção Configurando o macOS Intune Integration na integração com Microsoft Intune no docs.jamf.com.

Causa 3 - O usuário não tem licenças válidas

A falta de uma licença Intune ou Jamf válida pode resultar no seguinte erro, que indica que a licença do Jamf expirou:

Não é possível se conectar ao Microsoft Intune.
Verifique sua configuração Microsoft Intune Integração.

Solução

• Licença do Jamf: contate o Jamf para obter uma nova licença do Jamf.
• Intune licença: atribua ao usuário uma licença válida ou entre em contato com a Microsoft ou seu Parceiro para obter informações sobre como obter uma licença atual.

Causa 4 – O usuário não usa o Autoatendimento do Jamf

Para que um dispositivo registre e registre-se com êxito no Intune por meio do Jamf, o usuário deve usar o Autoatendimento do Jamf para abrir o Portal da Empresa do Intune. Se o usuário abrir o Portal da Empresa manualmente, o dispositivo registrará e registrará sem sua conexão com o Jamf.

Para determinar qual serviço o dispositivo usou para registrar e registrar, procure Portal da Empresa aplicativo no dispositivo. Quando registrado por meio do Jamf, você deve receber uma notificação para abrir o Self-Service aplicativo para fazer alterações.

No aplicativo Portal da Empresa, Not registered o usuário pode ver e uma entrada semelhante ao exemplo a seguir pode aparecer nos Portal da Empresa logs:

Linha 7783: <DATE> <IP ADDRESS> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift: 253 (startLogin()) Portal iniciado sem WPJ apenas arg enquanto a conta está sob gerenciamento de parceiros

Solução

Para alterar a fonte de registro de Intune para Jamf:

1. Remova o dispositivo macOS do Intune. Para evitar complicações adicionais para dispositivos que não foram totalmente removidos Intune, consulte a Causa 6 abaixo.

2. No dispositivo, use o Autoatendimento do Jamf para abrir o aplicativo Portal da Empresa e, em seguida, registre o dispositivo com Azure AD. Essa tarefa exige que você já tenha concluído as seguintes tarefas:

   • Implantar o aplicativo do Portal da Empresa para macOS no Jamf Pro
   • Criar uma política no Jamf Pro para que os usuários registrem seus dispositivos com Azure AD

3. Quando o portal é aberto, a primeira tela que você vê solicita que você entre. Usar sua conta corporativa ou de estudante

4. O Portal da Empresa confirma as informações da sua conta e mostra os status de Registro do Dispositivo e Conformidade do Dispositivo. Triângulos amarelos realçam as ações que você precisa executar para proteger seu dispositivo macOS para escola ou trabalho. Clique em Iniciar para iniciar o registro.

5. Se solicitado, digite as informações de entrada do computador.

Pode levar alguns minutos para registrar seu dispositivo. Você receberá uma mensagem depois que o registro for concluído para informar que você terminou.

Causa 5 – Intune integração está desativada

Se Intune integração estiver desativada, os usuários receberão uma janela pop-up no Portal da Empresa com a seguinte mensagem quando tentarem registrar um dispositivo:

O sinalizador de linha de comando somente de registro (-r) de entrada de linha de comando inválido só pode ser usado quando o gerenciamento de parceiros está habilitado no Intune. Entre em contato com o administrador de TI.

O servidor Jamf Pro envia um pulso para os servidores Intune quando a integração é desativada que informa Intune que a integração está desabilitada.

Solução
Reabilitar Intune integração com o Jamf Pro. Veja o seguinte dependendo de como você configura a integração:

• Usar o Conector de Nuvem do Jamf para integrar o Jamf Pro ao Intune
• Configure manualmente Microsoft Intune Integração no Jamf Pro.

Causa 6 - O dispositivo foi registrado anteriormente no Intune

Se um dispositivo for cancelado do Jamf, mas não tiver sido removido corretamente do Intune (se ele tiver sido registrado anteriormente) ou se o usuário tiver feito várias tentativas de registro, você poderá ver várias instâncias do mesmo dispositivo no portal. Isso faz com que o registro do Jamf falhe.

Solução

1. No Mac, inicie o Terminal.

2. Execute sudo JAMF removemdmprofile.

3. Execute sudo JAMF removeFramework.

4. No servidor JAMF Pro, exclua o registro de inventário do computador.

5. Exclua o dispositivo do AzureAD.

6. Exclua os seguintes arquivos no dispositivo se eles existirem:

   • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
   • /Library/Application Support/com.microsoft.CompanyPortal
   • /Library/Application Support/com.jamfsoftware.selfservice.mac
   • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
   • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
   • /Library/Preferences/com.microsoft.CompanyPortal.plist
   • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
   • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
   • /Users/<username>/Library/Cookies/com.microsoft.CompanyPortal.binarycookies
   • /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
   • com.microsoft.CompanyPortal
   • com.microsoft.CompanyPortal.HockeySDK
   • enterpriseregistration.windows.net
   • https://device.login.microsoftonline.com
   • https://device.login.microsoftonline.com/
   • Chave de Transporte de Sessão da Microsoft (chaves públicas E privadas)
   • Chave de Ingresso no Microsoft Workplace (chaves públicas E privadas)

7. Remova qualquer coisa do conjunto de chaves no dispositivo que faz referência à Microsoft, Intune ou Portal da Empresa, incluindo DeviceLogin.microsoft.com certificados. Remova as referências do JAMF , exceto as chaves pública e privada do JAMF.

   Importante

   Remover a chave pública e privada interromperá o registro do dispositivo.

8. Exclua qualquer uma das seguintes entradas que você encontrar:

   • Tipo: senha do aplicativo; Conta: com.microsoft.workplacejoin.thumbprint
   • Tipo: senha do aplicativo; Conta: com.microsoft.workplacejoin.registeredUserPrincipalName
   • Tipo: Certificado; Emitido por: MS-Organization-Access
   • Tipo: preferência de identidade; Nome (URL do STS do ADFS, se presente): https://<DNS NAME>.com/adfs/ls
   • Tipo: preferência de identidade; Nome: https://enterpriseregistration.windows.net
   • Tipo: preferência de identidade; Nome: https://enterpriseregistration.windows.net/

9. Reinicie o dispositivo Mac.

10. Desinstale Portal da Empresa do dispositivo.

11. Vá para portal.manage.microsoft.com e exclua todas as instâncias do dispositivo Mac. Aguarde pelo menos 30 minutos antes de ir para a próxima etapa.

12. Registre novamente o dispositivo no JAMF Pro.

13. Reabra o Autoatendimento e inicie a política de registro.

Causa 7 - O usuário não forneceu acesso do JamfAAD à chave

O JamfAAD solicita acesso a uma "Chave de Ingresso no Microsoft Workplace" do conjunto de chaves dos usuários. Durante o registro, o usuário de um dispositivo macOS recebe o seguinte prompt para permitir que o JamfAAD acesse uma chave de seu conjunto de chaves:

O JamfAAD deseja acessar a chave "Chave de Ingresso no Microsoft Workplace" em seu conjunto de chaves. Para permitir isso, insira a senha do conjunto de chaves "logon"

Solução
Para registrar o dispositivo com êxito no Azure AD, o Jamf exige que o usuário forneça a senha da conta e selecione Permitir.

Essa solicitação é semelhante à solicitação de entrada do conjunto de chaves para dispositivos Mac quando você abre um aplicativo.

O dispositivo Mac mostra a conformidade em Intune, mas não compatível no Azure

Causa: as seguintes condições podem fazer com que um dispositivo seja mostrado como compatível no Intune, mas não como compatível no Azure:

• O dispositivo não está registrado corretamente.
• O dispositivo foi registrado várias vezes sem a limpeza necessária.

Solução
Para resolver esse problema, siga as etapas na Causa 6.

Entradas duplicadas aparecem no console Intune para dispositivos Mac registrados usando o Jamf

Causa: um dispositivo é registrado com Intune várias vezes, normalmente sendo registrado novamente depois de ser removido do Intune.

Quando um dispositivo é removido da integração do Intune e do Jamf Pro, alguns dados podem ser deixados para trás, o que pode fazer com que registros sucessivos criem entradas duplicadas.

Solução
Para resolver esse problema, siga as etapas na Causa 6.

A política de conformidade falha ao avaliar o dispositivo

Causa: a integração do Jamf Intune não dá suporte à política de conformidade direcionada a grupos de dispositivos.

Solução
Modifique a política de conformidade para dispositivos macOS a serem atribuídos a grupos de usuários.

Não foi possível recuperar o token de acesso para o Microsoft API do Graph

Você recebe o seguinte erro:

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

A origem desse erro pode ser uma das seguintes causas:

Causa 1

Há um problema de permissão com o aplicativo Jamf Pro no Azure. Ao registrar o aplicativo Jamf Pro no Azure, ocorreu uma das seguintes condições:

• O aplicativo recebeu mais de uma permissão.
• A opção Conceder consentimento do administrador <your company> não foi selecionada.

Solução
Consulte a resolução da Causa 1 para que os dispositivos não se registrem, anteriormente neste artigo.

Causa 2

Uma licença necessária para Jamf-Intune integração expirou.

Solução Consulte a resolução da Causa 3 para que os dispositivos não se registrem.

Causa 3

As portas necessárias não estão abertas em sua rede.

Solução Examine as informações das portas de rede em Pré-requisitos para integrar o Jamf Pro ao Intune.