針對 Jamf Pro 與 Microsoft Intune 整合進行疑難解答

本文可協助 Intune 系統管理員瞭解 Jamf Pro for macOS 與 Microsoft Intune 整合時的問題進行疑難解答。 下列各節都說明常見的問題，並提供解決方法的潛在原因和疑難解答步驟。

重要事項

Jamf macOS 裝置對條件式存取的支援即將淘汰。

從 2024 年 9 月 1 日開始，將不再支援 Jamf Pro 的條件式存取功能所建置的平臺。

如果您針對macOS裝置使用 Jamf Pro 的條件式存取整合，請遵循 Jamf 記載的指導方針， 將裝置從macOS條件式存取移轉至macOS裝置合規性。

如果您有任何問題或需要協助，請連絡 Jamf Customer Success。 如需詳細資訊，請參閱 將 Jamf macOS 裝置從條件式存取轉換為裝置合規性。

必要條件

開始進行疑難解答之前，請先收集一些基本資訊來釐清問題，並縮短尋找解決方案的時間。 例如，當您遇到 Jamf-Intune 整合相關問題時，請一律確認已符合必要條件。 開始進行疑難解答之前，請先考慮下列事項：

• 請檢閱下列文章中的必要條件，視您設定 Jamf Pro 與 Intune 整合的方式而定：
  • 使用 Jamf Cloud Connector 整合 Jamf Pro 與 Intune
  • 整合 Jamf Pro 與 Intune
• 所有用戶都必須擁有 Microsoft Intune和 Microsoft Entra ID P1 授權
• 您必須擁有在 Jamf Pro 控制台中具有 Microsoft Intune 整合許可權的用戶帳戶。
• 您必須擁有在 Azure 中具有全域 管理員 許可權的用戶帳戶。

調查 Jamf Pro 與 Intune 整合時，請收集下列資訊：

• () 的確切錯誤訊息
• 錯誤訊息 () 的位置
• 當問題開始時，以及您的 Jamf Pro 與 Intune 整合先前是否正常運作
• (所有使用者或只有一些使用者受到影響)
• 所有裝置 (受影響的裝置數目，或只是某些)

在 Jamf Pro 中，裝置會標示為沒有回應

原因：以下是 Jamf Pro 將裝置標示為 沒有回應 的常見原因：

• 裝置無法使用 Jamf Pro 存回。
  Jamf Pro 預期裝置會每隔 15 分鐘簽入一次。 當裝置在 24 小時內無法簽入時，Jamf 會將其標示為沒有回應。

• 裝置無法存回 Microsoft Entra ID。
  成功註冊 Microsoft Entra ID 之後，macOS 裝置會收到 Azure 令牌：

  • 此令牌會每隔 12 小時重新整理一次。
  • 當令牌重新整理失敗 24 小時以上時，Jamf Pro 會將裝置標示為沒有回應。
  • 如果 Azure 令牌過期，系統會提示使用者登入 Azure 以取得新的令牌。 Azure 存取的重新整理令牌會每七天產生一次。

解決方案
在 Jamf Pro 將裝置標示為 沒有回應 之後，裝置的已註冊用戶必須登入才能更正未回應的狀態。 必須是已加入工作場所帳戶的用戶，因為他們的密鑰鏈中有來自 Intune 的身分識別。

當您開啟應用程式時，Mac 裝置會提示您進行金鑰鏈登入

設定 Intune 與 Jamf Pro 整合並部署條件式存取原則之後，使用 Jamf Pro 管理的裝置使用者會在開啟 Microsoft 365 應用程式時收到密碼提示，例如 Teams、Outlook 和其他需要 Microsoft Entra 驗證的應用程式。

例如，開啟 Microsoft Teams 時，會出現文字類似下列範例的提示：

Microsoft Teams 想要在您的金鑰鏈中使用金鑰「Microsoft Workplace Join 金鑰」進行簽署。
若要允許此設定，請輸入「登入」金鑰鏈密碼

原因：Jamf Pro 會針對每個需要註冊的適用應用程式產生這些提示 Microsoft Entra。

解決方案
在出現提示時，用戶必須提供其裝置密碼才能登入 Microsoft Entra ID。 選項包括：

• 拒絕 - 不要登入，也不要使用應用程式。
• 允許 - 一次登入。 下次應用程式開啟時，會提示您再次登入。
• 一律允許 - 系統會快取應用程式的登入認證。 下次應用程式開啟時，不會提示您登入。

選取 [永遠允許 ] 僅針對一個應用程式核准該應用程式以供日後登入。 其他應用程式會提示您進行驗證，直到它們也設定為 [一律允許] 為止。 另一個應用程式無法使用某個應用程式的快取認證。

裝置無法向 Intune 註冊

Mac 裝置無法透過 Jamf Pro 向 Intune 註冊有幾個常見原因。

原因 1 - Jamf Pro 沒有正確的許可權

Azure 中的 Jamf Pro 企業應用程式具有錯誤的許可權，或具有多個許可權。 當您在 Azure 中建立應用程式時，必須移除所有預設 API 許可權，然後指派 Intune update_device_attributes的單一許可權。

解決方案
檢視需要更正 Jamf 應用程式的許可權。 如果您使用 Jamf Pro Cloud Connector，則會為您建立此應用程式。 如果您手動設定整合，您會在 Microsoft Entra ID 中建立應用程式。 如需應用程式許可權，請參閱在 Microsoft Entra ID 中建立 Jamf) 的應用程式 (。

原因 2 - 租使用者或帳戶錯誤

Jamf Native macOS 連接器應用程式不是建立在您的 Microsoft Entra 租使用者中，或是連接器的同意是由沒有全域系統管理員許可權的帳戶所簽署。

解決方案
請參閱與 docs.jamf.com 上的 Microsoft Intune 整合中的設定 macOSIntune 整合一節。

原因 3 - 用戶沒有有效的授權 ()

缺少有效的 Intune 或 Jamf 授權可能會導致下列錯誤，這表示 Jamf 授權已過期：

無法連線到 Microsoft Intune。
檢查您的 Microsoft Intune 整合設定。

解決方案

• Jamf 授權：請連絡 Jamf 以取得 Jamf 的新授權。
• Intune 授權：為使用者指派有效的授權，或連絡 Microsoft 或您的合作夥伴，以取得如何取得目前授權的相關信息。

原因 4 - 使用者未使用 Jamf 自助服務

若要讓裝置成功透過 Jamf 向 Intune 註冊，用戶必須使用 Jamf 自助服務來開啟 Intune 公司入口網站。 如果使用者手動開啟 公司入口網站，裝置會註冊並註冊，而不需連線到 Jamf。

若要判斷裝置用來註冊和註冊的服務，請查看裝置上的 公司入口網站 應用程式。 透過 Jamf 註冊時，您應該會收到通知，以開啟 Self-Service 應用程式來進行變更。

在 公司入口網站 應用程式中，使用者可能會看到 Not registered，而且類似下列範例的專案可能會出現在 公司入口網站 記錄中：

行 7783： <DATE><IP ADDRESS> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift：253 (startLogin () ) 入口網站啟動，但只有 WPJ 自變數，而帳戶處於合作夥伴管理之下

解決方案

若要將註冊來源從 Intune 變更為 Jamf：

1. 從 Intune 移除 macOS 裝置。 若要避免未從 Intune 完全移除的裝置更複雜，請參閱下方的原因 6。

2. 在裝置上，使用 Jamf 自助服務開啟 公司入口網站 應用程式，然後向 Microsoft Entra ID 註冊裝置。 此工作需要您已完成下列工作：

   • 在 Jamf Pro 中部署適用於 macOS 的 公司入口網站 應用程式
   • 在 Jamf Pro 中建立原則，讓使用者向 Microsoft Entra ID 註冊其裝置

3. 當入口網站開啟時，您看到的第一個畫面會提示您登入。 使用您的公司或學校帳戶

4. 此 公司入口網站 會確認您的帳戶資訊，並顯示您的裝置註冊和裝置合規性狀態。 黃色三角形醒目提示您需要採取的動作，以保護您的macOS裝置以供學校或公司使用。 按兩下 [開始] 以開始註冊。

5. 如果出現提示，請輸入您計算機的登入資訊。

註冊您的裝置可能需要幾分鐘的時間。 註冊完成後，您會收到一則訊息，讓您知道您已完成。

原因 5 - Intune 整合已關閉

如果 Intune 整合已關閉，當用戶嘗試註冊裝置時，會收到 公司入口網站 中的彈出視窗，並顯示下列訊息：

無效的命令列輸入僅限註冊命令行旗標 (-r) 只能在 Intune 中啟用合作夥伴管理時使用。 請連絡您的IT系統管理員。

當整合關閉時，Jamf Pro 伺服器會將脈衝傳送至 Intune 伺服器，告知 Intune 已停用整合。

解決方案
在 Jamf Pro 內重新啟用 Intune 整合。 視您設定整合的方式而定，請參閱下列內容：

• 使用 Jamf Cloud Connector 整合 Jamf Pro 與 Intune
• 在 Jamf Pro 中手動設定 Microsoft Intune 整合。

原因 6 - 裝置先前已在 Intune 中註冊

如果裝置已從 Jamf 取消註冊，但未正確地從 Intune (如果先前已註冊) ，或使用者已嘗試數次註冊，您可能會在入口網站中看到相同裝置的多個實例。 這會導致 Jamf 註冊失敗。

解決方案

1. 在 Mac 上，啟動 終端機。

2. 執行 sudo JAMF removemdmprofile。

3. 執行 sudo JAMF removeFramework。

4. 在 JAMF Pro 伺服器上，刪除電腦的清查記錄。

5. 從 AzureAD 刪除裝置。

6. 如果裝置上有下列檔案，請刪除下列檔案：

   • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
   • /Library/Application Support/com.microsoft.CompanyPortal
   • /Library/Application Support/com.jamfsoftware.selfservice.mac
   • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
   • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
   • /Library/Preferences/com.microsoft.CompanyPortal.plist
   • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
   • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
   • /Users/<username>/Library/Cookies/com.microsoft.CompanyPortal.binarycookies
   • /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
   • com.microsoft.CompanyPortal
   • com.microsoft.CompanyPortal.HockeySDK
   • enterpriseregistration.windows.net
   • https://device.login.microsoftonline.com
   • https://device.login.microsoftonline.com/
   • 公開和私鑰 (Microsoft 會話傳輸金鑰)
   • Microsoft Workplace Join 金鑰 (公開和私鑰)

7. 從裝置上參考 Microsoft、Intune 或 公司入口網站 的密鑰鏈移除任何專案，包括 DeviceLogin.microsoft.com 憑證。 拿掉 JAMF 公開和私鑰以外的 JAMF 參考。

   重要事項

   拿掉公鑰和私鑰將會中斷裝置註冊。

8. 刪除您找到的下列任何專案：

   • 種類：應用程式密碼 ;帳戶：com.microsoft.workplacejoin.thumbprint
   • 種類：應用程式密碼 ;帳戶：com.microsoft.workplacejoin.registeredUserPrincipalName
   • 種類：憑證 ;發行者：MS-Organization-Access
   • 種類：身分識別喜好設定 ;如果) ，請 (ADFS STS URL 命名： https://<DNS NAME>.com/adfs/ls
   • 種類：身分識別喜好設定 ;名稱： https://enterpriseregistration.windows.net
   • 種類：身分識別喜好設定 ;名稱： https://enterpriseregistration.windows.net/

9. 重新啟動 Mac 裝置。

10. 從裝置卸載 公司入口網站。

11. 移至 portal.manage.microsoft.com 並刪除 Mac 裝置的所有實例。 請等候至少 30 分鐘，再移至下一個步驟。

12. 在 JAMF Pro 中重新註冊裝置。

13. 重新開啟自助服務並啟動註冊原則。

原因 7 - 使用者未提供其密鑰的 JamfAAD 存取權

JamfAAD 會要求從使用者的密鑰鏈存取「Microsoft Workplace Join 金鑰」。 註冊期間，macOS 裝置的使用者會收到下列提示，允許 JamfAAD 從其金鑰鏈存取金鑰：

JamfAAD 想要存取密鑰鏈中的「Microsoft Workplace Join 金鑰」。 若要允許此設定，請輸入「登入」金鑰鏈密碼

解決方案
若要向 Microsoft Entra ID 成功註冊裝置，Jamf 會要求使用者提供其帳戶密碼，然後選取 [允許]。

此要求類似於當 您開啟應用程式時，Mac 裝置提示金鑰鏈登入的要求。

Mac 裝置在 Intune 中顯示符合規範，但在 Azure 中卻不符合規範

原因：下列情況可能會導致裝置在 Intune 中顯示為符合規範，但在 Azure 中則不符合規範：

• 裝置未正確註冊。
• 裝置已註冊多次，但未進行必要的清除。

解決方案
若要解決此問題，請遵循 原因 6 中的步驟。

重複的專案會出現在使用 Jamf 註冊的 Mac 裝置 Intune 控制台中

原因：裝置已向 Intune 註冊多次，通常會在從 Intune 移除之後重新註冊。

從 Intune和 Jamf Pro 整合中移除裝置時，可能會留下某些數據，這可能會導致後續註冊建立重複的專案。

解決方案
若要解決此問題，請遵循 原因 6 中的步驟。

合規性政策無法評估裝置

原因：Jamf 與 Intune 整合不支援以裝置群組為目標的合規性政策。

解決方案
修改要指派給使用者群組之 macOS 裝置的合規性原則。

無法擷取 Microsoft 圖形 API 的存取令牌

您收到下列錯誤:

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

此錯誤來源可能是下列其中一個原因：

原因 1

Azure 中的 Jamf Pro 應用程式有許可權問題。 在 Azure 中註冊 Jamf Pro 應用程式時，發生下列其中一個情況：

• 應用程式已收到多個許可權。
• 未選取 [為<您的公司>授與系統管理員同意] 選項。

解決方案
請參閱本文稍早的裝置原因 1 無法註冊的解決方案。

原因 2

Jamf-Intune 整合所需的授權已過期。

解決方案 請參閱裝置 無法註冊的原因 3 解決方案。

原因 3

所需的埠不會在您的網路上開啟。

解決方案在整合 Jamf Pro 與 Intune 的必要條件中，檢閱網路埠的資訊。