Problembehandlung bei iOS/iPadOS-Geräteregistrierungsfehlern in Microsoft Intune
Dieser Artikel hilft Intune-Administratoren dabei, Probleme beim Registrieren von iOS-/iPadOS-Geräten in Intune zu verstehen und zu beheben. Weitere allgemeine Problembehandlungsszenarien finden Sie unter Problembehandlung bei der Geräteregistrierung in Microsoft Intune.
iOS/iPadOS-Registrierungsfehler
In der folgenden Tabelle sind Fehler aufgeführt, die Endbenutzer beim Registrieren von iOS-/iPadOS-Geräten in Intune möglicherweise sehen.
| Fehlermeldung | Problem | Lösung |
|---|---|---|
| NoEnrollmentPolicy | Es wurde keine Registrierungsrichtlinie gefunden. | Das Apple Push Notification Service (APNs)-Zertifikat fehlt, ist ungültig oder abgelaufen. Überprüfen Sie, ob die Registrierung ordnungsgemäß eingerichtet wurde und dass iOS/iPadOS als Plattform aktiviert ist. Anweisungen finden Sie unter Einrichten von iOS/iPadOS und Mac Geräteverwaltung, Abrufen eines Apple MDM-Pushzertifikats und Verlängern des Apple MDM-Pushzertifikats. |
| DeviceCapReached | Zu viele mobile Geräte sind bereits registriert. | Der Benutzer muss eines seiner aktuell registrierten mobilen Geräte aus dem Unternehmensportal entfernen, bevor er eine andere registriert. Detaillierte Anweisungen finden Sie hier. |
| Unternehmensportal vorübergehend nicht verfügbar | Die Unternehmensportal-App auf dem Gerät ist veraltet oder beschädigt. | Entfernen Sie die App, überprüfen Sie die Benutzeranmeldeinformationen, und installieren Sie die App dann erneut. Detaillierte Anweisungen finden Sie hier. |
| APNSCertificateNotValid | Es gibt ein Problem mit dem Zertifikat, mit dem das mobile Gerät mit dem Netzwerk Ihres Unternehmens kommunizieren kann. |
Der Apple Push Notification Service (APNs) bietet einen Kanal zum Kontaktieren registrierter iOS/iPadOS-Geräte. Die Registrierung schlägt fehl, und diese Meldung wird angezeigt, wenn:
|
| AccountNotOnboarded | Es gibt ein Problem mit dem Zertifikat, mit dem das mobile Gerät mit dem Netzwerk Ihres Unternehmens kommunizieren kann. Die Registrierung schlägt fehl, und diese Meldung wird angezeigt, wenn:
|
Der Apple Push Notification Service (APNs) bietet einen Kanal zum Kontaktieren registrierter iOS/iPadOS-Geräte. Die Registrierung schlägt fehl, und diese Meldung wird angezeigt, wenn:
|
| Erneuern Sie das APNs-Zertifikat, und registrieren Sie das Gerät erneut. Wichtig: Stellen Sie sicher, dass Sie das APNs-Zertifikat erneuern. Ersetzen Sie das APNs-Zertifikat nicht. Wenn Sie das Zertifikat ersetzen, müssen Sie alle iOS/iPadOS-Geräte in Intune erneut registrieren. Informationen zum eigenständigen Intune finden Sie unter Verlängern des Apple MDM-Pushzertifikats. Informationen zu Microsoft 365 finden Sie unter Erstellen eines APNs-Zertifikats für iOS-Geräte. |
||
| DeviceTypeNotSupported | Möglicherweise hat der Benutzer versucht, sich mit einem Nicht-iOS-Gerät zu registrieren. Der Typ des mobilen Geräts, den Sie registrieren möchten, wird nicht unterstützt. Vergewissern Sie sich, dass auf dem Gerät iOS/iPadOS, Version 8.0 oder höher, ausgeführt wird. |
Stellen Sie sicher, dass auf dem Gerät Ihres Benutzers iOS/iPadOS, Version 8.0 oder höher, ausgeführt wird. |
| UserLicenseTypeInvalid | Das Gerät kann nicht registriert werden, da das Konto des Benutzers noch kein Mitglied einer erforderlichen Benutzergruppe ist oder der Benutzer nicht über die richtige Lizenz verfügt. |
Benutzer müssen über den richtigen Lizenztyp für die Verwaltungsbehörde für mobile Geräte verfügen. Dieser Fehler wird beispielsweise angezeigt, wenn Intune als MDM-Autorität festgelegt wurde, der Benutzer jedoch über eine System Center 2012 R2 Configuration Manager-Lizenz verfügt. Lesen Sie "Einrichten von iOS/iPadOS und Mac"-Verwaltung mit Microsoft Intune und Informationen zum Einrichten von Benutzern in Sync Active Directory und Zum Hinzufügen von Benutzern zu Intune und zum Organisieren von Benutzern und Geräten. |
| MdmAuthorityNotDefined | Die Verwaltungsbehörde für mobile Geräte wurde nicht definiert. |
Die Verwaltungsbehörde für mobile Geräte wurde in Intune nicht festgelegt. Überprüfen Sie das Element Nr. 1 in Schritt 6: Registrieren mobiler Geräte und Installieren eines App-Abschnitts in "Erste Schritte mit einer 30-tägigen Testversion von Microsoft Intune". |
Synchronisierungstokenfehler zwischen Intune und ADE
Dieser Abschnitt enthält Tokensynchronisierungsfehler im Zusammenhang mit der Apple Automated Device Enrollment (ADE):
- Apple Business Manager (ABM)
- Apple School Manager (ASM)
| Fehlermeldung | Ursache | Lösung |
|---|---|---|
| Abgelaufenes oder ungültiges Token | Das Token kann abgelaufen, widerrufen oder falsch formatiert sein. | Erneuern Sie das Token. Wenn Sie Probleme beim Erneuern des Tokens haben, wenden Sie sich an das Intune-Supportteam, da Sie möglicherweise einen neuen öffentlichen Schlüssel auf dem vorhandenen MDM-Server in Apple Business Manager oder Apple School Manager verwenden müssen: Einstellungen>MDM Server Einstellungen>Öffentliche Schlüssel hochladen. |
| Zugriff verweigert | Intune kann nicht mehr mit Apple sprechen. Intune wurde beispielsweise aus der MDM-Serverliste in Apple Business Manager oder Apple School Manager entfernt. Das Token ist möglicherweise abgelaufen. | 1. Überprüfen Sie, ob Ihr Token abgelaufen ist und ob ein neues Token erstellt wurde. 2. Überprüfen Sie, ob Intune in der MDM-Serverliste enthalten ist. |
| Nicht akzeptierte Geschäftsbedingungen | Neue Geschäftsbedingungen (T&C) müssen in Apple Business Manager oder Apple School Manager akzeptiert werden. | Akzeptieren Sie den neuen T&C im Apple Business Manager- oder Apple School Manager-Portal. Hinweis: Dies muss von einem Benutzer mit der Administratorrolle in Apple Business Manager oder Apple School Manager erfolgen. |
| Interner Server-Fehler | Bedarf weiterer Untersuchungen | Wenden Sie sich an das Intune-Supportteam, da zusätzliche Protokolle erforderlich sind. |
| Ungültige Supporttelefonnummer | Die Supporttelefonnummer ist ungültig. | Bearbeiten Sie die Supporttelefonnummer für Ihre Profile. |
| Ungültiger Konfigurationsprofilname | Der Konfigurationsprofilname ist entweder ungültig, leer oder zu lang. | Bearbeiten Sie den Namen des Profils. |
| Ungültiger Cursor | Der Cursor wurde von Apple abgelehnt oder nicht gefunden. | Wenden Sie sich an das Intune-Supportteam. Sie können die Synchronisierung über den Intune-Dienst wiederholen. |
| Cursor abgelaufen | Der Cursor ist auf der Intune-Seite abgelaufen. | Wenden Sie sich an das Intune-Supportteam. Sie können die Synchronisierung über den Intune-Dienst wiederholen. |
| Erforderlicher Cursor | Der Cursor wurde während der Synchronisierung nicht von Intune festgelegt. | Wenden Sie sich an das Intune-Supportteam , um die Synchronisierung zu beheben und den Cursor zurückzugeben. |
| Apple-Profil nicht gefunden | Mehrere mögliche Ursachen | Erstellen Sie ein neues Profil, und weisen Sie das Profil Geräten zu. |
| Ungültiger Abteilungseintrag | Ungültiger Abteilungsfeldeintrag | Bearbeiten Sie das Abteilungsfeld für Ihre Profile. |
Fehler: Fehler beim Hochladen des Registrierungsprogrammtokens
Wenn der Upload des ADE-Tokens fehlschlägt, wird möglicherweise eine Fehlermeldung angezeigt, die etwa wie folgt aussieht:
Ein Fehler ist aufgetreten.
Fehler beim Hochladen des Registrierungsprogrammtokens. Anforderungs-ID: AjaxError: ajaxExtended-Aufruf fehlgeschlagen
Führen Sie in diesem Fall die folgenden Schritte aus, um ein neues Token zu erstellen:
Melden Sie sich beim Graph-Explorer als Intune-Administrator an.
Führen Sie eine
GETAnforderung aus, um die Token im Mandanten mithilfe der folgenden URL aufzählen zu können:https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettingsErteilen Sie bei Bedarf die Zustimmung, und führen Sie die Anforderung erneut aus.
Suchen Sie die GUID des Tokens, das erneuert werden muss.
Führen Sie eine
GETAnforderung aus, um den öffentlichen Verschlüsselungsschlüssel des Tokens mithilfe der folgenden URL abzurufen:https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKeyDie Antwort sieht wie im folgenden Beispiel aus:
{ "@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String", "value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----" }Kopieren Sie den Wert aus der Antwort, und erstellen Sie eine Textdatei wie folgt. Speichern Sie dann die Textdatei als PEM-Datei . Beispiel: token.pem.
Wichtig
Die Datei enthält drei Zeilen, und es gibt keine Verknüpfungsumbrüche in der base64-Zeichenfolge.
-----BEGIN CERTIFICATE----- SOMEBASE64STRING== -----END CERTIFICATE-----Melden Sie sich bei Apple Business Manager oder Apple School Manager an, und suchen Sie den Tokenserver, der aktualisiert werden muss. Wählen Sie dann "Bearbeiten" aus.
Laden Sie im Abschnitt "MDM-Servereinstellungen" die PEM-Datei hoch, und wählen Sie dann "Speichern" aus.
Notiz
Wenn Sie eine Fehlermeldung erhalten, die angibt, dass das Dateiformat falsch ist, stellen Sie sicher, dass die Datei gemäß Schritt 5 erstellt wird. Nachdem das Dateiformat behoben wurde, schließen Sie die Seite, und wählen Sie erneut "Bearbeiten" aus.
Wählen Sie "Token herunterladen" aus, um das neue Token herunterzuladen.
Melden Sie sich bei Intune an, und wählen Sie aus, um das heruntergeladene Token zu aktualisieren.
Andere Fehler und Probleme
Dieser Abschnitt enthält Schritte zur Problembehandlung für diese zusätzlichen Szenarien:
- Überprüfen, ob WS-Trust 1.3 aktiviert ist
- Fehler bei der Workplace Join
- Benutzername nicht erkannt
- XPC_TYPE_ERROR Verbindung ungültig
- Die Konfiguration konnte nicht heruntergeladen werden... Ungültiges Profil
- Die ADE-Registrierung wird nicht gestartet
- ADE-Registrierung bei der Benutzeranmeldung hängen geblieben
- Die Authentifizierung wird nicht an die Government Cloud umgeleitet.
Überprüfen, ob WS-Trust 1.3 aktiviert ist
Für die Registrierung von ADE-Geräten mit Benutzeraffinität muss WS-Trust 1.3 Benutzername/Gemischter Endpunkt aktiviert sein, um Benutzertoken anzufordern. Active Directory aktiviert diesen Endpunkt standardmäßig. Wenn WS-Trust 1.3 nicht aktiviert ist, können IOS-/iPadOS-Geräte (Automated Device Enrollment, Automatisierte Geräteregistrierung) nicht registriert werden.
Um eine Liste der aktivierten Endpunkte abzurufen, verwenden Sie das Get-AdfsEndpoint PowerShell-Cmdlet, und suchen Sie nach dem Trust/13/UsernameMixed-Endpunkt. Zum Beispiel:
Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"
Weitere Informationen finden Sie in der Get-AdfsEndpoint-Dokumentation und bewährten Methoden zum Sichern von Active Directory-Verbunddienste (AD FS). Hilfe zum Ermitteln, ob WS-Trust 1.3 Benutzername/Gemischt in Ihrem Identitätsverbundanbieter aktiviert ist, wenden Sie sich an Microsoft-Support, wenn Sie AD FS verwenden. Wenden Sie sich andernfalls an Ihren Drittanbieter.
Fehler bei der Workplace Join
Dieser Fehler gibt an, dass die Unternehmensportal-App veraltet oder beschädigt ist.
Lösung:
- Entfernen Sie die Unternehmensportal-App vom Gerät.
- Laden Sie die Microsoft Intune-Unternehmensportal-App aus dem App Store herunter, und installieren Sie sie.
- Registrieren Sie das Gerät erneut.
Benutzername nicht erkannt
Der Fehler "Benutzername nicht erkannt. Dieses Benutzerkonto ist nicht berechtigt, Microsoft Intune zu verwenden. Wenden Sie sich an Ihren Systemadministrator, wenn Sie der Meinung sind, dass diese Meldung fehlerhaft ist." gibt an, dass der Benutzer, der versucht, das Gerät zu registrieren, keine gültige Intune-Lizenz hat.
- Wechseln Sie zum Microsoft 365 Admin Center, und wählen Sie dann "Aktive Benutzer"> aus.
- Wählen Sie das betroffene Benutzerkonto und dann "Produktlizenzen>bearbeiten" aus.
- Stellen Sie sicher, dass diesem Benutzer eine gültige Intune-Lizenz zugewiesen ist.
- Registrieren Sie das Gerät erneut.
XPC_TYPE_ERROR Verbindung ungültig
Wenn Sie ein ADE-verwaltetes Gerät aktivieren, dem ein Registrierungsprofil zugewiesen ist, schlägt die Registrierung fehl, und Sie erhalten die folgende Fehlermeldung:
asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }
Ursache: Es gibt ein Verbindungsproblem zwischen dem Gerät und dem Apple ADE-Dienst.
Lösung: Beheben Sie das Verbindungsproblem, oder verwenden Sie eine andere Netzwerkverbindung, um das Gerät zu registrieren. Möglicherweise müssen Sie sich auch an Apple wenden, wenn das Problem weiterhin besteht.
Die Konfiguration für Ihr iPhone/iPad konnte nicht aus dem <Firmennamen> heruntergeladen werden: Ungültiges Profil
Ursache: Die Registrierung wird durch eine Gerätetypeinschränkung blockiert.
Lösung:
- Melden Sie sich beim Microsoft Intune Admin Center-Geräte>>an, um Geräteregistrierungseinschränkungen zu registrieren.>
- Wählen Sie unter "Gerätetypeinschränkungen" die Option "Alle Benutzereigenschaften>" aus.
- Wählen Sie "Bearbeiten" neben den Plattformeinstellungen aus.
- Wählen Sie auf der Seite "Einschränkung bearbeiten" die Option "Für iOS/iPadOS zulassen" aus, und fahren Sie mit der Seite "Überprüfen + Speichern" fort, und wählen Sie dann "Speichern" aus.
Die ADE-Registrierung wird nicht gestartet
Wenn Sie ein ADE-verwaltetes Gerät aktivieren, dem ein Registrierungsprofil zugewiesen ist, wird der Intune-Registrierungsprozess nicht initiiert.
Ursache: Das Registrierungsprofil wird erstellt, bevor das ADE-Token in Intune hochgeladen wird.
Lösung:
- Bearbeiten Sie das Registrierungsprofil. Sie können änderungen am Profil vornehmen. Der Zweck besteht darin, die Änderungszeit des Profils zu aktualisieren.
- Synchronisieren von ADE-verwalteten Geräten: Wählen Sie im Microsoft Intune Admin Center "Geräte>iOS iOS-Registrierungsregistrierungsprogrammtoken>>>" ein Token "Jetzt synchronisieren"> aus. Eine Synchronisierungsanforderung wird an Apple gesendet.
ADE-Registrierung bei der Benutzeranmeldung hängen geblieben
Wenn Sie ein ADE-verwaltetes Gerät aktivieren, dem ein Registrierungsprofil zugewiesen ist, wird die anfängliche Einrichtung nach der Eingabe der Anmeldeinformationen sticks.
Ursache: Die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) ist aktiviert. Derzeit funktioniert MFA nicht während der Registrierung auf ADE-Geräten, wenn die Authentifizierungsmethode auf den Setup-Assistenten (Legacy) festgelegt ist.
Lösung: Deaktivieren Sie MFA, und registrieren Sie das Gerät erneut. Alternativ können Sie die Authentifizierungsmethode in den Setup-Assistenten mit moderner Authentifizierung ändern.
Die Authentifizierung wird nicht an die Government Cloud umgeleitet.
Regierungsbenutzer, die sich von einem anderen Gerät anmelden, werden zur Authentifizierung und nicht zur Government-Cloud umgeleitet.
Ursache: Die Microsoft Entra-ID unterstützt die Umleitung zur Government Cloud noch nicht, wenn Sie sich von einem anderen Gerät aus anmelden.
Lösung: Verwenden Sie die iOS-Unternehmensportal Cloud-Einstellung in der Einstellungs-App, um die Authentifizierung von Behördenbenutzern in Richtung der Government-Cloud umzuleiten. Standardmäßig ist die Cloudeinstellung auf "Automatisch" festgelegt und Unternehmensportal leitet die Authentifizierung in Richtung der Cloud weiter, die automatisch vom Gerät erkannt wird (z. B. "Öffentlich" oder "Behörden"). Regierungsbenutzer, die sich von einem anderen Gerät anmelden, müssen die Government Cloud für die Authentifizierung manuell auswählen.
Öffnen Sie die Einstellungs-App, und wählen Sie Unternehmensportal aus. Wählen Sie in den Unternehmensportal-Einstellungen "Cloud" aus. Legen Sie die Cloud auf Government fest.