Jamf Pro と Microsoft Intune の統合に関するトラブルシューティング

  • [アーティクル]

この記事は、管理者Intune、Jamf Pro for macOS と Microsoft Intune の統合に関する問題を理解し、トラブルシューティングするのに役立ちます。 次の各セクションでは、一般的な問題について説明し、解決策の潜在的な原因とトラブルシューティングの手順を示します。

重要

条件付きアクセスに対する Jamf macOS デバイスのサポートは非推奨になっています

2024 年 9 月 1 日から、Jamf Pro の条件付きアクセス機能が構築されているプラットフォームはサポートされなくなりました。

macOS デバイスに Jamf Pro の条件付きアクセス統合を使用する場合は、Jamf のドキュメントに記載されているガイドラインに従って 、macOS 条件付きアクセスから macOS デバイス コンプライアンスにデバイスを移行します

質問がある場合やヘルプが必要な場合は、 Jamf カスタマー サクセスにお問い合わせください。 詳細については、「 Jamf macOS デバイスを条件付きアクセスからデバイス コンプライアンスに移行する」を参照してください。

前提条件

トラブルシューティングを開始する前に、いくつかの基本的な情報を収集して問題を明確にし、解決策を見つける時間を短縮します。 たとえば、Jamf-Intune 統合関連の問題が発生した場合は、必ず前提条件が満たされていることを確認します。 トラブルシューティングを開始する前に、次の点を考慮してください。

  • Jamf Pro と Intune の統合を構成する方法に応じて、次の記事の前提条件を確認します。
  • すべてのユーザーが P1 ライセンスをMicrosoft Intuneし、Microsoft Entra IDする必要があります
  • Jamf Pro コンソールにMicrosoft Intune統合アクセス許可を持つユーザー アカウントが必要です。
  • Azure でグローバル 管理 アクセス許可を持つユーザー アカウントが必要です。

Jamf Pro と Intune の統合を調査するときに、次の情報を収集します。

  • 正確なエラー メッセージ
  • エラー メッセージの場所
  • 問題が開始されたとき、および Jamf Pro と Intuneの統合が以前に機能したかどうか
  • 影響を受けるユーザーの数 (すべてのユーザーまたは一部のみ)
  • 影響を受けるデバイスの数 (すべてのデバイスまたは一部のみ)

Jamf Pro でデバイスが応答なしとしてマークされる

原因: Jamf Pro によってデバイスが 応答なし としてマークされる一般的な原因は次のとおりです。

  • デバイスが Jamf Pro でチェックできない。
    Jamf Pro は、デバイスが 15 分ごとにチェックすることを想定しています。 デバイスは、24 時間にわたってチェックに失敗すると、Jamf によって応答なしとしてマークされます。

  • デバイスがMicrosoft Entra IDでチェックできない。
    Microsoft Entra IDへの登録が成功すると、macOS デバイスは Azure トークンを受け取ります。

    • このトークンは 12 時間ごとに更新されます。
    • トークンの更新が 24 時間以上失敗すると、Jamf Pro によってデバイスが応答しなくなるとマークされます。
    • Azure トークンの有効期限が切れた場合、ユーザーは Azure にサインインして新しいトークンを取得するように求められます。 Azure アクセスの更新トークンは 7 日ごとに生成されます。

解決方法
デバイスが Jamf Pro によって 応答なし としてマークされた後、デバイスの登録済みユーザーはサインインして、応答しない状態を修正する必要があります。 キーチェーンでIntuneからの ID を持っている場合は、アカウントに職場に参加しているユーザーである必要があります。

Mac デバイスでは、アプリを開くときにサインインキーチェーン求めるメッセージが表示されます

Intuneと Jamf Pro の統合を構成し、条件付きアクセス ポリシーを展開すると、Jamf Pro で管理されているデバイスのユーザーは、Teams、Outlook、Microsoft Entra認証を必要とするその他のアプリなどの Microsoft 365 アプリケーションを開くときにパスワード プロンプトを受け取ります。

たとえば、Microsoft Teams を開くと、次の例のようなテキストを含むプロンプトが表示されます。

Microsoft Teams は、キーチェーンでキー "Microsoft Workplace Join Key" を使用して署名したいと考えています。
これを許可するには、"login" キーチェーン パスワードを入力します

原因: これらのプロンプトは、Microsoft Entra登録を必要とする該当するアプリごとに Jamf Pro によって生成されます。

解決方法
プロンプトで、ユーザーはデバイス パスワードを指定して、Microsoft Entra IDにサインインする必要があります。 オプションは以下のとおりです。

  • 拒否 - サインインせず、アプリを使用しないでください。
  • 許可 - 1 回限りのサインイン。 次回アプリを開くと、もう一度サインインするように求められます。
  • Always Allow - サインイン資格情報はアプリケーション用にキャッシュされます。 次回アプリを開いた場合、サインインを求めるメッセージは表示されません。

1 つのアプリに対して [常に許可する] を 選択すると、そのアプリは今後のサインインに対してのみ承認されます。 [ 常に許可] も設定されるまで、追加のアプリは認証を求めるメッセージを表示します。 あるアプリのキャッシュされた資格情報は、別のアプリでは使用できません。

デバイスがIntuneに登録できない

Mac デバイスが Jamf Pro を介してIntuneに登録できない一般的な原因がいくつかあります。

原因 1 - Jamf Pro に正しいアクセス許可がない

Azure の Jamf Pro エンタープライズ アプリケーションが間違ったアクセス許可を持っているか、複数のアクセス許可を持っています。 Azure でアプリを作成するときは、すべての既定の API アクセス許可を削除してから、update_device_attributesの 1 つのアクセス許可Intune割り当てる必要があります。

解決方法
Jamf アプリのアクセス許可を確認し、必要に応じて修正します。 Jamf Pro Cloud Connector を使用する場合は、このアプリが自動的に作成されました。 統合を手動で構成した場合は、Microsoft Entra IDでアプリを作成しました。 アプリのアクセス許可については、「Microsoft Entra IDでのアプリケーションの作成 (Jamf 用)」を参照してください。

原因 2 - 間違ったテナントまたはアカウント

Jamf Native macOS Connector アプリがMicrosoft Entra テナントに作成されなかったか、コネクタに対する同意が、グローバル管理者権限を持たないアカウントによって署名されました。

解決方法
「docs.jamf.com でのMicrosoft Intuneとの統合」の「macOS Intune統合の構成」セクションを参照してください。

原因 3 - ユーザーに有効なライセンスがない

有効なIntuneまたは Jamf ライセンスがないと、Jamf ライセンスの有効期限が切れていることを示す次のエラーが発生する可能性があります。

Microsoft Intuneに接続できません。
Microsoft Intune統合構成を確認します。

解決方法

  • Jamf ライセンス: Jamf の新しいライセンスを取得するためのサポートについては、Jamf にお問い合わせください。
  • Intune ライセンス: ユーザーに有効なライセンスを割り当てるか、現在のライセンスを取得する方法について Microsoft またはパートナーにお問い合わせください。

原因 4 - ユーザーが Jamf セルフサービスを使用しなかった

デバイスが Jamf を介してIntuneに正常に登録して登録するには、ユーザーが Jamf セルフサービスを使用してIntune ポータル サイトを開く必要があります。 ユーザーが手動でポータル サイトを開いた場合、デバイスは Jamf への接続なしで登録および登録します。

登録および登録に使用するデバイスのサービスを確認するには、デバイス上のポータル サイト アプリを調べてみます。 Jamf を使用して登録すると、Self-Service アプリを開いて変更を加える通知を受け取る必要があります。

ポータル サイト アプリでは、ユーザーに が表示Not registeredされ、次の例のようなエントリがポータル サイト ログに表示される場合があります。

行 7783: <DATE><IP ADDRESS> INFO com.microsoft.ssp.application TID=1
WelcomeViewController.swift: 253 (startLogin()) アカウントがパートナー管理下にある間に WPJ のみ arg なしでポータルを起動

解決方法

登録ソースを Intune から Jamf に変更するには:

  1. Intuneから macOS デバイスを削除します。 Intuneから完全に削除されていないデバイスの問題を回避するには、以下の原因 6 を参照してください。

  2. デバイスで Jamf Self Service を使用してポータル サイト アプリを開き、デバイスをMicrosoft Entra IDに登録します。 このタスクでは、次のタスクを既に完了している必要があります。

  3. ポータルが開くと、最初に表示される画面でサインインするように求められます。 職場または学校アカウントを使用する

  4. ポータル サイトによってアカウント情報が確認され、デバイス登録とデバイス コンプライアンスの状態が表示されます。 黄色の三角形は、学校や職場で macOS デバイスをセキュリティで保護するために必要なアクションを強調しています。 [開始] をクリックして登録を開始します。

  5. メッセージが表示されたら、コンピューターのサインイン情報を入力します。

デバイスの登録には数分かかる場合があります。 登録が完了すると、完了したことを通知するメッセージが表示されます。

原因 5 - Intune統合がオフになっている

Intune統合がオフになっている場合、ユーザーはデバイスを登録しようとすると、ポータル サイトにポップアップ ウィンドウが表示され、次のメッセージが表示されます。

無効なコマンド ライン入力登録専用コマンド ライン フラグ (-r) は、Intuneでパートナー管理が有効になっている場合にのみ使用できます。 IT 管理者にお問い合わせください。

統合がオフになると、Jamf Pro サーバーはIntune サーバーにパルスを送信し、統合が無効になっていることをIntuneに通知します。

解決方法
Jamf Pro 内Intune統合を再度有効にします。 統合の構成方法に応じて、次を参照してください。

原因 6 - デバイスが以前にIntuneに登録されていた

デバイスが Jamf から登録解除されていても、Intuneから正しく削除されていない場合 (以前に登録されていた場合)、またはユーザーが複数の登録試行を行った場合は、ポータルに同じデバイスの複数のインスタンスが表示されることがあります。 これにより、Jamf 登録が失敗します。

解決方法

  1. Mac で、ターミナルを起動 します

  2. sudo JAMF removemdmprofile を実行します。

  3. sudo JAMF removeFramework を実行します。

  4. JAMF Pro サーバーで、コンピューターのインベントリ レコードを削除します。

  5. AzureAD からデバイスを削除します。

  6. 次のファイルが存在する場合は、デバイス上のファイルを削除します。

    • /Library/Application Support/com.microsoft.CompanyPortal.usercontext.info
    • /Library/Application Support/com.microsoft.CompanyPortal
    • /Library/Application Support/com.jamfsoftware.selfservice.mac
    • /Library/Saved Application State/com.jamfsoftware.selfservice.mac.savedState
    • /Library/Saved Application State/com.microsoft.CompanyPortal.savedState
    • /Library/Preferences/com.microsoft.CompanyPortal.plist
    • /Library/Preferences/com.jamfsoftware.selfservice.mac.plist
    • /Library/Preferences/com.jamfsoftware.management.jamfAAD.plist
    • /Users/<username>/Library/Cookies/com.microsoft.CompanyPortal.binarycookies
    • /Users/<username>/Library/Cookies/com.jamf.management.jamfAAD.binarycookies
    • com.microsoft.CompanyPortal
    • com.microsoft.CompanyPortal.HockeySDK
    • enterpriseregistration.windows.net
    • https://device.login.microsoftonline.com
    • https://device.login.microsoftonline.com/
    • Microsoft セッション トランスポート キー (公開キーと秘密キー)
    • Microsoft Workplace Join Key (公開キーと秘密キー)

  7. Microsoft、Intune、またはポータル サイトを参照するデバイス上のキーチェーンから、DeviceLogin.microsoft.com 証明書を含む何かを削除します。 JAMF 公開キーと秘密キーを除く JAMF 参照を削除します。

    重要

    公開キーと秘密キーを削除すると、デバイスの登録が中断されます。

  8. 次のいずれかのエントリを削除します。

    • 種類: アプリケーション パスワード。アカウント: com.microsoft.workplacejoin.thumbprint
    • 種類: アプリケーション パスワード。アカウント: com.microsoft.workplacejoin.registeredUserPrincipalName
    • 種類: 証明書。発行元: MS-Organization-Access
    • 種類: ID の基本設定。名前 (存在する場合は ADFS STS URL): https://<DNS NAME>.com/adfs/ls
    • 種類: ID の基本設定。名前: https://enterpriseregistration.windows.net
    • 種類: ID の基本設定。名前: https://enterpriseregistration.windows.net/

  9. Mac デバイスを再起動します。

  10. デバイスからポータル サイトをアンインストールします。

  11. portal.manage.microsoft.com に移動し、Mac デバイスのすべてのインスタンスを削除します。 次の手順に進む前に、少なくとも 30 分待ちます。

  12. デバイスを JAMF Pro に再登録します。

  13. セルフサービスを再度開き、登録ポリシーを開始します。

原因 7 - ユーザーがキーへの JamfAAD アクセスを提供しなかった

JamfAAD は、ユーザーのキーチェーンから "Microsoft Workplace Join Key" へのアクセスを要求します。 登録中に、macOS デバイスのユーザーは、キーチェーンからキーへの JamfAAD アクセスを許可するように求める次のプロンプトを受け取ります。

JamfAAD は、キーチェーンのキー "Microsoft Workplace Join Key" にアクセスしたいと考えています。 これを許可するには、"login" キーチェーン パスワードを入力します

解決方法
デバイスをMicrosoft Entra IDに正常に登録するには、Jamf はユーザーに自分のアカウント パスワードを指定して、[許可] を選択する必要があります。

この要求は、アプリを開くときにサインインキーチェーン求める Mac デバイスの要求に似ています。

Mac デバイスは、Intuneでは準拠していますが、Azure では準拠していません

原因: 次の条件により、デバイスはIntuneで準拠として表示されますが、Azure では準拠していない状態として表示される可能性があります。

  • デバイスが正しく登録されていません。
  • デバイスは、必要なクリーンアップなしで複数回登録されました。

解決方法
この問題を解決するには、「 原因 6」の手順に従います。

Jamf を使用して登録された Mac デバイスのIntune コンソールに重複するエントリが表示される

原因: デバイスはIntuneに複数回登録され、通常はIntuneから削除された後に再登録されます。

デバイスがIntuneと Jamf Pro の統合から削除されると、一部のデータが残され、後続の登録によって重複するエントリが作成される可能性があります。

解決方法
この問題を解決するには、「 原因 6」の手順に従います。

コンプライアンス ポリシーがデバイスの評価に失敗する

原因: Jamf とIntuneの統合では、デバイス グループを対象とするコンプライアンス ポリシーはサポートされていません。

解決方法
macOS デバイスのコンプライアンス ポリシーを変更して、ユーザー グループに割り当てます。

Microsoft Graph APIのアクセス トークンを取得できませんでした

次のエラーが表示されます。

Could not retrieve the access token for Microsoft Graph API. Check the configuration for Microsoft Intune Integration.

このエラーの原因は、次のいずれかの原因になります。

原因 1

Azure の Jamf Pro アプリケーションにアクセス許可の問題があります。 Jamf Pro アプリを Azure に登録するときに、次のいずれかの条件が発生しました。

  • アプリが複数のアクセス許可を受け取った。
  • [会社>の管理者の同意を付与する<] オプションが選択されていません。

解決方法
この記事の「デバイスの原因 1 が 登録に失敗する」の解決策を参照してください。

原因 2

Jamf-Intune 統合に必要なライセンスの有効期限が切れています。

ソリューション 「デバイスの原因 3 が 登録に失敗する」の解決策を参照してください。

原因 3

必要なポートがネットワーク上で開いていません。

ソリューションJamf Pro とIntuneを統合するための前提条件に関するページのネットワーク ポートの情報を確認します。