Compartilhar via


Solução de problemas de erros de registro de dispositivo iOS/iPadOS no Microsoft Intune

Este artigo ajuda os administradores do Intune a entender e solucionar problemas ao registrar dispositivos iOS/iPadOS no Intune. Consulte Solucionar problemas de registro de dispositivo no Microsoft Intune para saber mais sobre cenários adicionais de solução de problemas gerais.

Erros de registro do iOS/iPadOS

A tabela a seguir lista os erros que os usuários finais podem ver ao registrar dispositivos iOS/iPadOS no Intune.

Mensagem de erro Problema Resolução
NoEnrollmentPolicy Nenhuma política de inscrição encontrada O certificado do Serviço de Notificação por Push da Apple (APNs) está ausente, é inválido ou expirou. Verifique se o registro foi configurado corretamente e se o iOS/iPadOS como plataforma está habilitado. Para obter instruções, consulte Configurar o gerenciamento de dispositivos iOS/iPadOS e Mac, Obter um certificado push do Apple MDM e Renovar certificado push do Apple MDM.
DeviceCapReached Muitos dispositivos móveis já estão registrados. O usuário deve remover um de seus dispositivos móveis atualmente registrados do Portal da Empresa antes de registrar outro. Confira as instruções detalhadas aqui.
Portal da Empresa Temporariamente Indisponível O aplicativo Portal da Empresa no dispositivo está desatualizado ou corrompido. Remova o aplicativo, valide as credenciais do usuário e reinstale o aplicativo. Confira as instruções detalhadas aqui.
APNSCertificateNotValid Há um problema com o certificado que permite que o dispositivo móvel se comunique com a rede da sua empresa.

O Serviço de Notificação por Push da Apple (APNs) fornece um canal para entrar em contato com dispositivos iOS/iPadOS registrados. A inscrição falhará e esta mensagem será exibida se:
  • As etapas para obter um certificado APNs não foram concluídas ou
  • O certificado APNs expirou.
Examine as informações sobre como configurar usuários no Sync Active Directory e adicionar usuários ao Intune e organizar usuários e dispositivos.
AccountNotOnboarded Há um problema com o certificado que permite que o dispositivo móvel se comunique com a rede da sua empresa. A inscrição falhará e esta mensagem será exibida se:
  • As etapas para obter um certificado APNs não foram concluídas ou
  • O certificado APNs expirou.
O Serviço de Notificação por Push da Apple (APNs) fornece um canal para entrar em contato com dispositivos iOS/iPadOS registrados. A inscrição falhará e esta mensagem será exibida se:
  • As etapas para obter um certificado APNs não foram concluídas ou
  • O certificado APNs expirou.
Examine Criar um certificado APNs para dispositivos iOS.
Renove o certificado APNs e, em seguida, registre novamente o dispositivo.
Importante: certifique-se de renovar o certificado APNs. Não substitua o certificado APNs. Se você substituir o certificado, precisará registrar novamente todos os dispositivos iOS/iPadOS no Intune. Para Intune autônomo, consulte Renovar certificado push do MDM da Apple. Para o Microsoft 365, consulte Criar um certificado APNs para dispositivos iOS.
DeviceTypeNotSupported O usuário pode ter tentado se registrar usando um dispositivo não iOS. Não há suporte para o tipo de dispositivo móvel que você está tentando registrar.

Confirme se o dispositivo está executando o iOS/iPadOS versão 8.0 ou posterior.

Verifique se o dispositivo do usuário está executando o iOS/iPadOS versão 8.0 ou posterior.
UserLicenseTypeInvalid O dispositivo não pode ser registrado porque a conta do usuário ainda não é membro de um grupo de usuários necessário ou o usuário não tem a licença correta.

Os usuários devem ter o tipo de licença correto para a autoridade de gerenciamento de dispositivos móveis. Por exemplo, eles verão esse erro se o Intune tiver sido definido como a autoridade do MDM, mas o usuário tiver uma licença do System Center 2012 R2 Configuration Manager.

Examine Configurar o gerenciamento de iOS/iPadOS e Mac com Microsoft Intune e informações sobre como configurar usuários no Sync Active Directory e adicionar usuários ao Intune e organizar usuários e dispositivos.
MdmAuthorityNotDefined A autoridade de gerenciamento de dispositivos móveis não foi definida.

A autoridade de gerenciamento de dispositivo móvel não foi definida no Intune.

Examine o item #1 na seção Etapa 6: Registrar dispositivos móveis e instalar um aplicativo em Introdução a uma avaliação de 30 dias do Microsoft Intune.

Erros de token de sincronização entre o Intune e o ADE

Esta seção inclui erros de sincronização de token relacionados ao ADE (Registro Automatizado de Dispositivos) da Apple:

  • Apple Business Manager (ABM)
  • ASM (Apple School Manager)
Mensagem de erro Causa Solução
Token expirado ou inválido O token pode ter expirado, revogado ou malformado. Renove o token. Se você tiver problemas para renovar o token, entre em contato com a equipe de suporte do Intune, pois talvez seja necessário usar uma nova chave pública no servidor MDM existente no Apple Business Manager ou no Apple School Manager: Preferências>Configurações do Servidor>MDM Carregar Chave Pública.
Acesso negado O Intune não pode mais falar com a Apple. Por exemplo, o Intune foi removido da lista de servidores MDM no Apple Business Manager ou no Apple School Manager. O token possivelmente expirou. 1. Verifique se o token expirou e se um novo token foi criado.
2. Verifique se o Intune está na lista de servidores MDM
Termos e condições não aceitos Os novos termos e condições (T&C) precisam ser aceitos no Apple Business Manager ou no Apple School Manager. Aceite os novos T&C no Apple Apple Business Manager ou no Apple School Manager Portal.
Nota: isso deve ser feito por um usuário com a função de administrador no Apple Business Manager ou no Apple School Manager.
Erro interno do servidor Precisa de mais investigação Entre em contato com a equipe de suporte do Intune, pois são necessários logs adicionais
Número de telefone de suporte inválido O número de telefone de suporte é inválido. Edite o número de telefone de suporte para seus perfis.
Nome de perfil de configuração inválido O nome do perfil de configuração é inválido, vazio ou muito longo. Edite o nome do perfil.
Cursor inválido O cursor foi rejeitado pela Apple ou não encontrado. Entre em contato com a equipe de suporte do Intune. Eles podem tentar sincronizar novamente do serviço Intune.
Cursor expirado O cursor expirou no lado do Intune. Entre em contato com a equipe de suporte do Intune. Eles podem tentar sincronizar novamente do serviço Intune.
Cursor necessário O cursor não foi definido inicialmente pelo Intune durante a sincronização. Entre em contato com a equipe de suporte do Intune para corrigir a sincronização e retornar o cursor.
Perfil da Apple não encontrado Múltiplas causas possíveis Crie um novo perfil e atribua o perfil aos dispositivos.
Entrada de departamento inválida A entrada do campo de departamento é inválida Edite o campo de departamento para seus perfis.

Erro: Ocorreu um erro ao carregar o token do Programa de Inscrição

Se o upload do token ADE falhar, você poderá ver uma mensagem de erro semelhante à seguinte:

Ocorreu um erro.
Ocorreu um erro ao carregar o token do Programa de Inscrição. ID da solicitação: AjaxError: ajaxExtended call failed

Nesse caso, tente as seguintes etapas para criar um novo token:

  1. Entre no Explorador do Graph como administrador do Intune.

  2. Execute uma GET solicitação para enumerar os tokens no locatário usando a seguinte URL:

    https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings

    Se necessário, conceda o consentimento e execute novamente a solicitação.

  3. Localize o GUID do token que precisa ser renovado.

  4. Execute uma GET solicitação para obter a chave de criptografia pública do token usando a seguinte URL:

    https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKey

    A resposta é semelhante ao exemplo a seguir:

    {
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String",
    "value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----"
    }
    
  5. Copie o valor da resposta e crie um arquivo de texto da seguinte maneira. Em seguida, salve o arquivo de texto como um arquivo .pem . Por exemplo, token.pem.

    Importante

    O arquivo contém três linhas e não há quebras de link na string base64.

    -----BEGIN CERTIFICATE-----
    SOMEBASE64STRING==
    -----END CERTIFICATE-----
    
  6. Inicie sessão no Apple Business Manager ou no Apple School Manager e encontre o servidor de token que precisa ser atualizado. Em seguida, selecione Editar.

  7. Na seção Configurações do Servidor MDM, carregue o arquivo .pem e selecione Salvar.

    Observação

    Se você receber uma mensagem de erro indicando que o formato do arquivo está incorreto, certifique-se de que o arquivo seja criado de acordo com a etapa 5. Depois que o formato do arquivo for corrigido, feche a página e selecione Editar novamente.

  8. Selecione Baixar Token para baixar o novo token.

  9. Entre no Intune e selecione para atualizar o token baixado.

Outros erros e problemas

Esta seção fornece etapas de solução de problemas para estes cenários adicionais:

Verifique se o WS-Trust 1.3 está ativado

O registro de dispositivos ADE com afinidade de usuário requer que o nome de usuário/ponto de extremidade misto do WS-Trust 1.3 seja ativado para solicitar tokens de usuário. O Active Directory habilita esse ponto de extremidade por padrão. Se o WS-Trust 1.3 não estiver habilitado, os dispositivos iOS/iPadOS do ADE (Registro Automatizado de Dispositivos) não poderão ser registrados.

Para obter uma lista de pontos de extremidade habilitados, use o cmdlet do Get-AdfsEndpoint PowerShell e procure o ponto de extremidade trust/13/UsernameMixed. Por exemplo:

Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"

Para obter mais informações, consulte a documentação do Get-AdfsEndpoint e as práticas recomendadas para proteger os Serviços de Federação do Active Directory. Para obter ajuda para determinar se o WS-Trust 1.3 Nome de usuário/misto está habilitado em seu provedor de federação de identidade, entre em contato com o Suporte da Microsoft se você usar o AD FS. Caso contrário, entre em contato com seu fornecedor de identidade de terceiros.

Falha na entrada no local de trabalho

Esse erro indica que o aplicativo Portal da Empresa está desatualizado ou corrompido.

Solução:

  1. Remova o aplicativo Portal da Empresa do dispositivo.
  2. Baixe e instale o aplicativo Portal da Empresa do Microsoft Intune na App Store.
  3. Registre novamente o dispositivo.

Nome de usuário não reconhecido

O erro "Nome de usuário não reconhecido. Essa conta de usuário não está autorizada a usar Microsoft Intune. Entre em contato com o administrador do sistema se achar que recebeu essa mensagem por engano." indica que o usuário que está tentando registrar o dispositivo não tem uma licença válida do Intune.

  1. Vá para o Centro de administração do Microsoft 365 e escolha Usuários>Usuários Ativos.
  2. Selecione a conta de usuário afetada e, em seguida, escolha Editar licenças>de produto.
  3. Verifique se uma licença válida do Intune está atribuída a esse usuário.
  4. Registre novamente o dispositivo.

XPC_TYPE_ERROR Conexão inválida

Quando você ativa um dispositivo gerenciado pelo ADE que recebe um perfil de registro, o registro falha e você recebe a seguinte mensagem de erro:

asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }

Causa: há um problema de conexão entre o dispositivo e o serviço Apple ADE.

Solução: corrija o problema de conexão ou use uma conexão de rede diferente para registrar o dispositivo. Você também pode ter que entrar em contato com a Apple se o problema persistir.

Não foi possível baixar a configuração do seu iPhone/iPad do Nome> da <empresa: Perfil inválido

Causa: o registro está bloqueado por uma restrição de tipo de dispositivo.

Solução:

  1. Entre no centro>de administração Microsoft Intune Dispositivos>Registrar dispositivos>Restrições de registro.
  2. Em Restrições de tipo de dispositivo, selecione Propriedades de todos os usuários>.
  3. Selecione Editar ao lado das configurações da plataforma.
  4. Na página Editar restrição , selecione Permitir para iOS/iPadOS e prossiga para a página Examinar + salvar e selecione Salvar.

A inscrição no ADE não é iniciada

Quando você ativa um dispositivo gerenciado pelo ADE que recebe um perfil de registro, o processo de registro do Intune não é iniciado.

Causa: o perfil de registro é criado antes que o token do ADE seja carregado no Intune.

Solução:

  1. Edite o perfil de registro. Você pode fazer qualquer alteração no perfil. O objetivo é atualizar o tempo de modificação do perfil.
  2. Sincronizar dispositivos gerenciados pelo ADE: no centro de administração Microsoft Intune, escolha Dispositivos>iOS>iOS registro>Tokens> do programa de registro escolher um token >Sincronizar agora. Uma solicitação de sincronização é enviada à Apple.

Registro do ADE travado no login do usuário

Quando você ativa um dispositivo gerenciado pelo ADE que recebe um perfil de registro, a configuração inicial permanece depois que você insere as credenciais.

Causa: a autenticação multifator (MFA) está habilitada. Atualmente, a MFA não funcionará durante o registro em dispositivos ADE se o método de autenticação estiver definido como Assistente de Configuração (herdado).

Solução: desabilite a MFA e registre novamente o dispositivo. Como alternativa, altere o método de autenticação para Assistente de Configuração com autenticação moderna.

A autenticação não redireciona para a nuvem governamental

Os usuários governamentais que entram de outro dispositivo são redirecionados para a nuvem pública para autenticação em vez da nuvem governamental.

Causa: a ID do Microsoft Entra ainda não oferece suporte ao redirecionamento para a nuvem governamental ao entrar de outro dispositivo.

Solução: use a configuração de nuvem do Portal da Empresa do iOS no aplicativo Configurações para redirecionar a autenticação dos usuários do governo para a nuvem do governo. Por padrão, a configuração de nuvem é definida como Automática e o Portal da Empresa direciona a autenticação para a nuvem que é detectada automaticamente pelo dispositivo (como Público ou Governamental). Os usuários do governo que estão entrando de outro dispositivo precisarão selecionar manualmente a nuvem do governo para autenticação.

Abra o aplicativo Configurações e selecione Portal da Empresa. Nas configurações do Portal da Empresa, selecione Nuvem. Defina a nuvem como Governo.