Solución de problemas de inscripción de dispositivos iOS/iPadOS en Microsoft Intune
Este artículo ayuda a los administradores de Intune a comprender y solucionar problemas al inscribir dispositivos iOS/iPadOS en Intune. Consulte Solucionar problemas de inscripción de dispositivos en Microsoft Intune para ver escenarios de solución de problemas generales adicionales.
Errores de inscripción de iOS/iPadOS
En la tabla siguiente se enumeran los errores que pueden ver los usuarios finales al inscribir dispositivos iOS/iPadOS en Intune.
| Mensaje de error | Problema | Resolución |
|---|---|---|
| NoEnrollmentPolicy | No se encontró ninguna directiva de inscripción | Falta el certificado de Apple Push Notification Service (APNs), no válido o expirado. Compruebe que la inscripción se ha configurado correctamente y que iOS/iPadOS como plataforma está habilitada. Para obtener instrucciones, consulte Configurar la administración de dispositivos iOS/iPadOS y Mac, Obtener un certificado push MDM de Apple y Renovar el certificado push MDM de Apple. |
| DeviceCapReached | Ya hay demasiados dispositivos móviles inscritos. | El usuario debe quitar uno de sus dispositivos móviles inscritos actualmente del Portal de empresa antes de inscribir otro. Consulte las instrucciones detalladas aquí. |
| Portal de empresa no disponible temporalmente | La aplicación Portal de empresa en el dispositivo está obsoleta o dañada. | Quite la aplicación, valide las credenciales de usuario y vuelva a instalar la aplicación. Consulte las instrucciones detalladas aquí. |
| APNSCertificateNotValid | Hay un problema con el certificado que permite que el dispositivo móvil se comunique con la red de su empresa. |
El Servicio de notificaciones push de Apple (APN) proporciona un canal para ponerse en contacto con dispositivos iOS/iPadOS inscritos. Se producirá un error en la inscripción y aparecerá este mensaje si:
|
| AccountNotOnboarded | Hay un problema con el certificado que permite que el dispositivo móvil se comunique con la red de su empresa. Se producirá un error en la inscripción y aparecerá este mensaje si:
|
El Servicio de notificaciones push de Apple (APN) proporciona un canal para ponerse en contacto con dispositivos iOS/iPadOS inscritos. Se producirá un error en la inscripción y aparecerá este mensaje si:
|
| Renueve el certificado de APNs y vuelva a inscribir el dispositivo. Importante: Asegúrese de renovar el certificado de APNs. No reemplace el certificado de APNs. Si reemplaza el certificado, debe volver a inscribir todos los dispositivos iOS/iPadOS en Intune. Para Intune independiente, consulte Renovación del certificado push MDM de Apple. Para Microsoft 365, consulte Creación de un certificado de APNs para dispositivos iOS. |
||
| DeviceTypeNotSupported | Es posible que el usuario haya intentado inscribirse mediante un dispositivo que no sea iOS. No se admite el tipo de dispositivo móvil que intenta inscribir. Confirme que el dispositivo ejecuta iOS/iPadOS versión 8.0 o posterior. |
Asegúrese de que el dispositivo del usuario ejecuta iOS/iPadOS versión 8.0 o posterior. |
| UserLicenseTypeInvalid | El dispositivo no se puede inscribir porque la cuenta del usuario aún no es miembro de un grupo de usuarios necesario o el usuario no tiene la licencia correcta. |
Los usuarios deben tener el tipo de licencia correcto para la entidad de administración de dispositivos móviles. Por ejemplo, verán este error si Intune se ha establecido como entidad de MDM, pero el usuario tiene una licencia de System Center 2012 R2 Configuration Manager. Revise Configurar la administración de iOS/iPadOS y Mac con Microsoft Intune e información sobre cómo configurar usuarios en Sincronización de Active Directory y agregar usuarios a Intune y organizar usuarios y dispositivos. |
| MdmAuthorityNotDefined | No se ha definido la entidad de administración de dispositivos móviles. |
La entidad de administración de dispositivos móviles no se ha establecido en Intune. Revise el elemento 1 del paso 6: Inscribir dispositivos móviles e instalar una aplicación en Introducción a una prueba de 30 días de Microsoft Intune. |
Errores de token de sincronización entre Intune y ADE
En esta sección se incluyen errores de sincronización de tokens relacionados con la inscripción automatizada de dispositivos (ADE) de Apple:
- Apple Business Manager (ABM)
- Apple School Manager (ASM)
| Mensaje de error | Causa | Solución |
|---|---|---|
| Token expirado o no válido | El token puede expirar, revocarse o tener un formato incorrecto. | Renueve el token. Si tiene algún problema al renovar el token, póngase en contacto con el equipo de soporte técnico de Intune, ya que es posible que tenga que usar una nueva clave pública en el servidor MDM existente en Apple Business Manager o Apple School Manager: Preferencias>Configuración>del servidor MDM Cargar clave pública. |
| Acceso denegado | Intune ya no puede hablar con Apple. Por ejemplo, Intune se ha quitado de la lista de servidores MDM en Apple Business Manager o Apple School Manager. Es posible que el token haya expirado. | 1. Compruebe si el token ha expirado y si se creó un nuevo token. 2. Compruebe si Intune está en la lista de servidores MDM. |
| Términos y condiciones no aceptados | Los nuevos términos y condiciones (T&C) deben aceptarse en Apple Business Manager o Apple School Manager. | Acepte el nuevo T&C en Apple Apple Business Manager o el Portal de Apple School Manager. Nota: Un usuario debe hacerlo con el rol Administrador en Apple Business Manager o Apple School Manager. |
| Error interno del servidor | Necesita una investigación más detallada | Póngase en contacto con el equipo de soporte técnico de Intune, ya que se necesitan registros adicionales. |
| Número de teléfono de soporte técnico no válido | El número de teléfono de soporte técnico no es válido. | Edite el número de teléfono de soporte técnico de los perfiles. |
| Nombre de perfil de configuración no válido | El nombre del perfil de configuración no es válido, vacío o demasiado largo. | Edite el nombre del perfil. |
| Cursor no válido | Apple rechazó el cursor o no se encontró. | Póngase en contacto con el equipo de soporte técnico de Intune. Pueden reintentar la sincronización desde el servicio intune. |
| Cursor expirado | El cursor ha expirado en el lado de Intune. | Póngase en contacto con el equipo de soporte técnico de Intune. Pueden reintentar la sincronización desde el servicio intune. |
| Cursor requerido | Intune no estableció inicialmente el cursor durante la sincronización. | Póngase en contacto con el equipo de soporte técnico de Intune para corregir la sincronización y devolver el cursor. |
| No se encontró el perfil de Apple | Varias causas posibles | Cree un nuevo perfil y asigne el perfil a los dispositivos. |
| Entrada de departamento no válida | La entrada de campo del departamento no es válida | Edite el campo departamento de los perfiles. |
Error: error al cargar el token del Programa de inscripción
Si se produce un error en la carga del token de ADE, es posible que vea un mensaje de error similar al siguiente:
Se produjo un error.
Error al cargar el token del programa de inscripción. Identificador de solicitud: AjaxError: error en la llamada ajaxExtended
En este caso, pruebe los pasos siguientes para crear un nuevo token:
Inicie sesión en el Explorador de Graph como administrador de Intune.
Ejecute una
GETsolicitud para enumerar los tokens del inquilino mediante la siguiente dirección URL:https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettingsSi es necesario, conceda consentimiento y vuelva a ejecutar la solicitud.
Busque el GUID del token que debe renovarse.
Ejecute una
GETsolicitud para obtener la clave de cifrado pública del token mediante la siguiente dirección URL:https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKeyLa respuesta es similar al ejemplo siguiente:
{ "@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String", "value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----" }Copie el valor de la respuesta y cree un archivo de texto como se indica a continuación. A continuación, guarde el archivo de texto como un archivo .pem . Por ejemplo, token.pem.
Importante
El archivo contiene tres líneas y no hay saltos de vínculo en la cadena base64.
-----BEGIN CERTIFICATE----- SOMEBASE64STRING== -----END CERTIFICATE-----Inicie sesión en Apple Business Manager o Apple School Manager y busque el servidor de tokens que debe actualizarse. A continuación, seleccione Editar.
En la sección Configuración del servidor MDM, cargue el archivo .pem y, a continuación, seleccione Guardar.
Nota:
Si recibe un mensaje de error que indica que el formato de archivo es incorrecto, asegúrese de que el archivo se crea según el paso 5. Una vez corregido el formato de archivo, cierre la página y seleccione Editar de nuevo.
Seleccione Descargar token para descargar el nuevo token.
Inicie sesión en Intune y seleccione para actualizar el token descargado.
Otros errores y problemas
En esta sección se proporcionan pasos de solución de problemas para estos escenarios adicionales:
- Compruebe que WS-Trust 1.3 está habilitado
- Error en la unión al área de trabajo
- Nombre de usuario no reconocido
- XPC_TYPE_ERROR conexión no válida
- No se pudo descargar la configuración... Perfil no válido
- La inscripción de ADE no se inicia
- Inscripción de ADE bloqueada en el inicio de sesión de usuario
- La autenticación no redirige a la nube gubernamental
Compruebe que WS-Trust 1.3 está habilitado
La inscripción de dispositivos ADE con afinidad de usuario requiere que WS-Trust 1.3 Nombre de usuario/punto de conexión mixto esté habilitado para solicitar tokens de usuario. Active Directory habilita este punto de conexión de forma predeterminada. Si WS-Trust 1.3 no está habilitado, no se pueden inscribir dispositivos iOS/iPadOS de inscripción automatizada de dispositivos (ADE).
Para obtener una lista de puntos de conexión habilitados, use el Get-AdfsEndpoint cmdlet de PowerShell y busque el punto de conexión trust/13/UsernameMixed. Por ejemplo:
Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"
Para obtener más información, consulte la documentación de Get-AdfsEndpoint y procedimientos recomendados para proteger Servicios de federación de Active Directory (AD FS). Para obtener ayuda para determinar si WS-Trust 1.3 Username/Mixed está habilitado en el proveedor de federación de identidades, póngase en contacto con Soporte técnico de Microsoft si usa AD FS. De lo contrario, póngase en contacto con el proveedor de identidades de terceros.
Error en la unión al área de trabajo
Este error indica que la aplicación Portal de empresa está obsoleta o dañada.
Solución:
- Quite la aplicación Portal de empresa del dispositivo.
- Descargue e instale la aplicación de Microsoft Portal de empresa de Intune desde App Store.
- Vuelva a inscribir el dispositivo.
Nombre de usuario no reconocido
El error "Nombre de usuario no reconocido. Esta cuenta de usuario no está autorizada para usar Microsoft Intune. Póngase en contacto con el administrador del sistema si cree que ha recibido este mensaje de error". indica que el usuario que intenta inscribir el dispositivo no tiene una licencia válida de Intune.
- Vaya al Centro de administración de Microsoft 365 y, a continuación, elija Usuarios>activos.
- Seleccione la cuenta de usuario afectada y, a continuación, elija Licencias>de producto Editar.
- Compruebe que se asigna una licencia válida de Intune a este usuario.
- Vuelva a inscribir el dispositivo.
XPC_TYPE_ERROR conexión no válida
Al activar un dispositivo administrado por ADE asignado a un perfil de inscripción, se produce un error en la inscripción y recibe el siguiente mensaje de error:
asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }
Causa: hay un problema de conexión entre el dispositivo y el servicio ADE de Apple.
Solución: corrija el problema de conexión o use una conexión de red diferente para inscribir el dispositivo. También puede que tenga que ponerse en contacto con Apple si el problema persiste.
No se pudo descargar la configuración de su iPhone/iPad desde Nombre> de <empresa: Perfil no válido
Causa: La inscripción está bloqueada por una restricción de tipo de dispositivo.
Solución:
- Inicie sesión en el Centro>de administración de Microsoft Intune Dispositivos>Inscribir dispositivos Restricciones de inscripción de dispositivos.>
- En Restricciones de tipo de dispositivo, seleccione Todas las propiedades de los usuarios>.
- Seleccione Editar junto a la configuración de la plataforma.
- En la página Editar restricción , seleccione Permitir para iOS/iPadOS y continúe con la página Revisar y guardar y, a continuación, seleccione Guardar.
La inscripción de ADE no se inicia
Al activar un dispositivo administrado por ADE asignado a un perfil de inscripción, no se inicia el proceso de inscripción de Intune.
Causa: el perfil de inscripción se crea antes de cargar el token de ADE en Intune.
Solución:
- Edite el perfil de inscripción. Puede realizar cualquier cambio en el perfil. El propósito es actualizar el tiempo de modificación del perfil.
- Sincronizar dispositivos administrados por ADE: en el Centro de administración de Microsoft Intune, elija Dispositivos iOS Inscripción>de tokens> del programa inscripción de iOS>>elija ahora una sincronización de tokens.> Se envía una solicitud de sincronización a Apple.
Inscripción de ADE bloqueada en el inicio de sesión de usuario
Al activar un dispositivo administrado por ADE asignado a un perfil de inscripción, la configuración inicial se pega después de escribir las credenciales.
Causa: Multi-Factor Authentication (MFA) está habilitado. Actualmente, MFA no funciona durante la inscripción en dispositivos ADE si el método de autenticación está establecido en Asistente de configuración (heredado).
Solución: deshabilite MFA y vuelva a inscribir el dispositivo. Como alternativa, cambie el método de autenticación a Asistente para la instalación con autenticación moderna.
La autenticación no redirige a la nube gubernamental
Los usuarios gubernamentales que inician sesión desde otro dispositivo se redirigen a la nube pública para la autenticación en lugar de a la nube gubernamental.
Causa: Microsoft Entra ID aún no admite la redirección a la nube gubernamental al iniciar sesión desde otro dispositivo.
Solución: use la configuración de iOS Portal de empresa Cloud en la aplicación Configuración para redirigir la autenticación de los usuarios gubernamentales hacia la nube gubernamental. De forma predeterminada, la configuración de nube se establece en Automático y Portal de empresa dirige la autenticación hacia la nube que detecta automáticamente el dispositivo (como público o gubernamental). Los usuarios gubernamentales que inicien sesión desde otro dispositivo deberán seleccionar manualmente la nube de administración pública para la autenticación.
Abra la aplicación Configuración y seleccione Portal de empresa. En la configuración de Portal de empresa, seleccione Nube. Establezca la nube en Government.