Compartilhar via

Solução de problemas de integração do Jamf Pro com o Microsoft Intune

  • Artigo

Este artigo ajuda os administradores do Intune a entender e solucionar problemas com a integração do Jamf Pro para macOS com o Microsoft Intune. Cada uma das seções a seguir descreve um problema comum e oferece uma possível causa e etapas de solução de problemas para uma resolução.

Importante

O suporte ao dispositivo Jamf macOS para Acesso Condicional está sendo preterido.

A partir de 1º de setembro de 2024, a plataforma na qual o recurso de Acesso Condicional do Jamf Pro é criado não terá mais suporte.

Se você usar a integração de acesso condicional do Jamf Pro para dispositivos macOS, siga as diretrizes documentadas do Jamf para migrar seus dispositivos do acesso condicional do macOS para a conformidade do dispositivo macOS.

Se você tiver dúvidas ou precisar de ajuda, entre em contato com o Jamf Customer Success. Para obter mais informações, consulte Transição de dispositivos Jamf macOS do Acesso Condicional para a Conformidade do Dispositivo.

Pré-requisitos

Antes de iniciar a solução de problemas, colete algumas informações básicas para esclarecer o problema e reduzir o tempo para encontrar uma solução. Por exemplo, quando você encontrar um problema relacionado à integração do Jamf-Intune, sempre verifique se os pré-requisitos foram atendidos. Considere o seguinte antes de iniciar a solução de problemas:

  • Examine os pré-requisitos dos seguintes artigos, dependendo de como você configura a integração do Jamf Pro com o Intune:
  • Todos os usuários devem ter licenças Microsoft Intune e Microsoft Entra ID P1
  • Você deve ter uma conta de usuário que tenha permissões de integração do Microsoft Intune no console do Jamf Pro.
  • Você deve ter uma conta de usuário que tenha permissões de Administrador Global no Azure.

Colete as seguintes informações ao investigar a integração do Jamf Pro com o Intune:

  • Mensagem(ns) de erro exata(s)
  • Localização da(s) mensagem(ns) de erro
  • Quando o problema começou e se a integração do Jamf Pro com o Intune funcionou anteriormente
  • Quantos usuários são afetados (todos os usuários ou apenas alguns)
  • Quantos dispositivos são afetados (todos os dispositivos ou apenas alguns)

Os dispositivos são marcados como não responsivos no Jamf Pro

Causa: a seguir estão as causas comuns de dispositivos marcados como não responsivos pelo Jamf Pro:

  • O dispositivo falha ao fazer check-in com o Jamf Pro.
    O Jamf Pro espera que os dispositivos façam check-in a cada 15 minutos. Os dispositivos são marcados como não responsivos pelo Jamf quando não conseguem fazer check-in em um período de 24 horas.

  • O dispositivo falha ao fazer check-in com a ID do Microsoft Entra.
    Com o registro bem-sucedido na ID do Microsoft Entra, os dispositivos macOS recebem um token do Azure:

    • Esse token é atualizado a cada 12 horas.
    • Quando a atualização do token falha por 24 horas ou mais, o Jamf Pro marca o dispositivo como sem resposta.
    • Se o token do Azure expirar, os usuários serão solicitados a entrar no Azure para obter um novo token. Um token de atualização para acesso ao Azure é gerado a cada sete dias.

Solução
Depois que um dispositivo é marcado como Não responsivo pelo Jamf Pro, o usuário registrado do dispositivo deve fazer login para corrigir o estado não responsivo. Deve ser o usuário que ingressou na conta no local de trabalho, pois ele tem a identidade do Intune em seu conjunto de chaves.

Os dispositivos Mac solicitam o início de sessão nas chaves quando você abre um app

Depois de configurar a integração do Intune e do Jamf Pro e implantar políticas de acesso condicional, os usuários de dispositivos gerenciados com o Jamf Pro recebem solicitações de senha ao abrir aplicativos do Microsoft 365, como Teams, Outlook e outros aplicativos que exigem autenticação do Microsoft Entra.

Por exemplo, um prompt com texto semelhante ao exemplo a seguir aparece ao abrir o Microsoft Teams:

O Microsoft Teams deseja assinar usando a chave "Chave de Ingresso no Local de Trabalho da Microsoft" em suas chaves.
Para permitir isso, digite a senha do chaveiro "login"

Causa: esses prompts são gerados pelo Jamf Pro para cada aplicativo aplicável que requer registro do Microsoft Entra.

Solução
No prompt, o usuário deve fornecer a senha do dispositivo para entrar na ID do Microsoft Entra. As opções incluem:

  • Negar - Não faça login e não use o aplicativo.
  • Permitir - Uma entrada única. Na próxima vez que o aplicativo for aberto, ele solicitará a entrada novamente.
  • Sempre permitir - As credenciais de entrada são armazenadas em cache para o aplicativo. Na próxima vez que o aplicativo for aberto, ele não solicitará a entrada.

Selecionar Sempre Permitir para um aplicativo aprova apenas esse aplicativo para entrada futura. Aplicativos adicionais solicitam autenticação até que também sejam definidos como Sempre Permitir. As credenciais armazenadas em cache para um aplicativo não podem ser usadas por outro aplicativo.

Os dispositivos não são registrados no Intune

Há várias causas comuns para dispositivos Mac que não conseguem se registrar no Intune por meio do Jamf Pro.

Causa 1 - O Jamf Pro não tem permissões corretas

O aplicativo empresarial Jamf Pro no Azure tem a permissão errada ou tem mais de uma permissão. Ao criar o aplicativo no Azure, você deve remover todas as permissões de API padrão e, em seguida, atribuir ao Intune uma única permissão de update_device_attributes.

Solução
Revise e, se necessário, corrija as permissões do aplicativo Jamf. Se você usa o Jamf Pro Cloud Connector, este aplicativo foi criado para você. Se você configurou manualmente a integração, criou o aplicativo na ID do Microsoft Entra. Para obter as permissões do aplicativo, consulte Criar um aplicativo (para Jamf) na ID do Microsoft Entra.

Causa 2 - Locatário ou conta errada

O aplicativo Jamf Native macOS Connector não foi criado em seu locatário do Microsoft Entra ou o consentimento para o conector foi assinado por uma conta que não tem direitos de administrador global.

Solução
Consulte a seção Configurando a integração do macOS Intune em Integrando com o Microsoft Intune no docs.jamf.com.

Causa 3 - O usuário não tem licenças válidas

A falta de uma licença válida do Intune ou do Jamf pode resultar no seguinte erro, que indica que a licença do Jamf expirou:

Não é possível conectar-se ao Microsoft Intune.
Verifique a configuração de integração do Microsoft Intune.

Solução

  • Licença do Jamf: entre em contato com o Jamf para obter assistência para obter uma nova licença para o Jamf.
  • Licença do Intune: atribua ao usuário uma licença válida ou entre em contato com a Microsoft ou seu parceiro para obter informações sobre como obter uma licença atual.

Causa 4 - O usuário não usou o Jamf Self Service

Para que um dispositivo se registre e se registre com êxito no Intune por meio do Jamf, o usuário deve usar o Jamf Self Service para abrir o Portal da Empresa do Intune. Se o usuário abrir o Portal da Empresa manualmente, o dispositivo será registrado e registrado sem sua conexão com o Jamf.

Para determinar qual serviço o dispositivo usou para se registrar e registrar, procure no aplicativo Portal da Empresa no dispositivo. Quando registrado por meio do Jamf, você deve receber uma notificação para abrir o aplicativo de autoatendimento para fazer alterações.

No aplicativo Portal da Empresa, o usuário pode ver Not registerede uma entrada semelhante ao exemplo a seguir pode aparecer nos logs do Portal da Empresa:

Linha 7783: <DATE><IP ADDRESS> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift: 253 (startLogin()) Portal iniciado sem WPJ apenas arg enquanto a conta está sob gerenciamento de parceiros

Solução

Para alterar a origem do registro do Intune para o Jamf:

  1. Remova o dispositivo macOS do Intune. Para evitar mais complicações para dispositivos que não são totalmente removidos do Intune, consulte a Causa 6 abaixo.

  2. No dispositivo, use o Jamf Self Service para abrir o aplicativo Portal da Empresa e registre o dispositivo com a ID do Microsoft Entra. Esta tarefa requer que você já tenha concluído as seguintes tarefas:

  3. Quando o portal é aberto, a primeira tela que você vê solicita que você entre. Usar sua conta corporativa ou de estudante

  4. O Portal da Empresa confirma as informações da sua conta e mostra os status de Registro de Dispositivo e Conformidade do Dispositivo. Os triângulos amarelos destacam as ações que você precisa realizar para proteger seu dispositivo macOS para a escola ou o trabalho. Clique em Iniciar para iniciar a inscrição.

  5. Se solicitado, digite as informações de login do seu computador.

Pode levar alguns minutos para registrar seu dispositivo. Você receberá uma mensagem após a conclusão do registro para informar que terminou.

Causa 5 – A integração do Intune está desativada

Se a integração do Intune estiver desativada, os usuários receberão uma janela pop-up no Portal da Empresa com a seguinte mensagem quando tentarem registrar um dispositivo:

Entrada de linha de comando inválida O sinalizador de linha de comando somente registro (-r) só pode ser usado quando o gerenciamento de parceiros está habilitado no Intune. Entre em contato com seu administrador de TI.

O servidor Jamf Pro envia um pulso para os servidores do Intune quando a integração é desativada, informando ao Intune que a integração está desabilitada.

Solução
Habilite novamente a integração do Intune no Jamf Pro. Veja o seguinte, dependendo de como você configura a integração:

Causa 6 – O dispositivo foi registrado anteriormente no Intune

Se um dispositivo tiver o registro cancelado do Jamf, mas não for removido corretamente do Intune (se ele tiver sido registrado anteriormente) ou se o usuário tiver feito várias tentativas de registro, você poderá ver várias instâncias do mesmo dispositivo no portal. Isso faz com que o registro do Jamf falhe.

Solução

  1. No Mac, inicie o Terminal.

  2. Execute sudo JAMF removemdmprofile.

  3. Execute sudo JAMF removeFramework.

  4. No servidor JAMF Pro, exclua o registro de inventário do computador.

  5. Exclua o dispositivo do AzureAD.

  6. Exclua os seguintes arquivos no dispositivo, se eles existirem:

    • /Biblioteca/Suporte a aplicativos/com.microsoft.CompanyPortal.usercontext.info
    • /Biblioteca/Suporte a aplicativos/com.microsoft.CompanyPortal
    • /Biblioteca/Suporte a aplicativos/com.jamfsoftware.selfservice.mac
    • /Biblioteca/Estado do aplicativo salvo/com.jamfsoftware.selfservice.mac.savedState
    • /Biblioteca/Estado do aplicativo salvo/com.microsoft.CompanyPortal.savedState
    • /Biblioteca/Preferências/com.microsoft.CompanyPortal.plist
    • /Biblioteca/Preferências/com.jamfsoftware.selfservice.mac.plist
    • /Biblioteca/Preferências/com.jamfsoftware.management.jamfAAD.plist
    • /Usuários/<nome de usuário>/Biblioteca/Cookies/com.microsoft.CompanyPortal.binarycookies
    • /Usuários/<nome de usuário>/Biblioteca/Cookies/com.jamf.management.jamfAAD.binarycookies
    • com.microsoft.CompanyPortal
    • com.microsoft.CompanyPortal.HockeySDK
    • enterpriseregistration.windows.net
    • https://device.login.microsoftonline.com
    • https://device.login.microsoftonline.com/
    • Chave de Transporte de Sessão da Microsoft (chaves públicas E privadas)
    • Chave de ingresso no local de trabalho da Microsoft (chaves públicas E privadas)

  7. Remova qualquer coisa do conjunto de chaves no dispositivo que faça referência à Microsoft, Intune ou Portal da Empresa, incluindo certificados DeviceLogin.microsoft.com. Remova as referências JAMF , exceto a chave pública e privada JAMF.

    Importante

    A remoção da chave pública e privada interromperá o registro do dispositivo.

  8. Exclua qualquer uma das seguintes entradas que encontrar:

    • Tipo: Senha do aplicativo; Conta: com.microsoft.workplacejoin.thumbprint
    • Tipo: Senha do aplicativo; Conta: com.microsoft.workplacejoin.registeredUserPrincipalName
    • Tipo: Certificado; Emitido por: MS-Organization-Access
    • Tipo: Preferência de identidade; Nome (URL ADFS STS, se presente): https://<DNS NAME>.com/adfs/ls
    • Tipo: Preferência de identidade; Nome: https://enterpriseregistration.windows.net
    • Tipo: Preferência de identidade; Nome: https://enterpriseregistration.windows.net/

  9. Reinicie o dispositivo Mac.

  10. Desinstale o Portal da Empresa do dispositivo.

  11. Vá para portal.manage.microsoft.com e exclua todas as instâncias do dispositivo Mac. Aguarde pelo menos 30 minutos antes de ir para a próxima etapa.

  12. Registre novamente o dispositivo no JAMF Pro.

  13. Reabra o Autoatendimento e inicie a política de registro.

Causa 7 - O usuário não forneceu acesso ao JamfAAD à chave

O JamfAAD solicita acesso a uma "Chave de Ingresso no Local de Trabalho da Microsoft" do conjunto de chaves dos usuários. Durante o registro, o usuário de um dispositivo macOS recebe a seguinte solicitação para permitir que o JamfAAD acesse uma chave de suas chaves:

O JamfAAD deseja acessar a chave "Chave de Ingresso no Local de Trabalho da Microsoft" em suas chaves. Para permitir isso, digite a senha do chaveiro "login"

Solução
Para registrar com êxito o dispositivo com a ID do Microsoft Entra, o Jamf exige que o usuário forneça a senha da conta e selecione Permitir.

Essa solicitação é semelhante à solicitação para dispositivos Mac que solicitam o início de sessão nas chaves quando você abre um app.

O dispositivo Mac mostra conformidade no Intune, mas não compatível no Azure

Causa: as seguintes condições podem fazer com que um dispositivo seja exibido como compatível no Intune, mas não como compatível no Azure:

  • O dispositivo não está registrado corretamente.
  • O dispositivo foi registrado várias vezes sem a limpeza necessária.

Solução
Para resolver esse problema, siga as etapas na Causa 6.

Entradas duplicadas aparecem no console do Intune para dispositivos Mac registrados usando o Jamf

Causa: um dispositivo é registrado no Intune várias vezes, normalmente sendo registrado novamente após ser removido do Intune.

Quando um dispositivo é removido da integração do Intune e do Jamf Pro, alguns dados podem ser deixados para trás, o que pode fazer com que registros sucessivos criem entradas duplicadas.

Solução
Para resolver esse problema, siga as etapas na Causa 6.

A política de conformidade falha ao avaliar o dispositivo

Causa: a integração do Jamf com o Intune não dá suporte à política de conformidade direcionada a grupos de dispositivos.

Solução
Modifique a política de conformidade para dispositivos macOS a serem atribuídos a grupos de usuários.

Não foi possível recuperar o token de acesso para a API do Microsoft Graph

Você recebe o seguinte erro:

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

A origem desse erro pode ser uma das seguintes causas:

Causa 1

Há um problema de permissão com o aplicativo Jamf Pro no Azure. Ao registrar o aplicativo Jamf Pro no Azure, ocorreu uma das seguintes condições:

  • O aplicativo recebeu mais de uma permissão.
  • A opção Conceder consentimento do administrador para <sua empresa> não foi selecionada.

Solução
Consulte a resolução da Causa 1 para falha no registro de dispositivos, anteriormente neste artigo.

Causa 2

Uma licença necessária para a integração Jamf-Intune expirou.

Solução Consulte a resolução da Causa 3 para Falha no registro de dispositivos.

Causa 3

As portas necessárias não estão abertas na rede.

Solução Examine as informações de portas de rede em Pré-requisitos para integrar o Jamf Pro ao Intune.