Solução de problemas de erros de registro de dispositivo iOS/iPadOS no Microsoft Intune
Este artigo ajuda os administradores do Intune a entender e solucionar problemas ao registrar dispositivos iOS/iPadOS no Intune. Consulte Solucionar problemas de registro de dispositivo no Microsoft Intune para saber mais sobre cenários adicionais de solução de problemas gerais.
Erros de registro do iOS/iPadOS
A tabela a seguir lista os erros que os usuários finais podem ver ao registrar dispositivos iOS/iPadOS no Intune.
Mensagem de erro | Problema | Resolução |
---|---|---|
NoEnrollmentPolicy | Nenhuma política de inscrição encontrada | O certificado do Serviço de Notificação por Push da Apple (APNs) está ausente, é inválido ou expirou. Verifique se o registro foi configurado corretamente e se o iOS/iPadOS como plataforma está habilitado. Para obter instruções, consulte Configurar o gerenciamento de dispositivos iOS/iPadOS e Mac, Obter um certificado push do Apple MDM e Renovar certificado push do Apple MDM. |
DeviceCapReached | Muitos dispositivos móveis já estão registrados. | O usuário deve remover um de seus dispositivos móveis atualmente registrados do Portal da Empresa antes de registrar outro. Confira as instruções detalhadas aqui. |
Portal da Empresa Temporariamente Indisponível | O aplicativo Portal da Empresa no dispositivo está desatualizado ou corrompido. | Remova o aplicativo, valide as credenciais do usuário e reinstale o aplicativo. Confira as instruções detalhadas aqui. |
APNSCertificateNotValid | Há um problema com o certificado que permite que o dispositivo móvel se comunique com a rede da sua empresa. |
O Serviço de Notificação por Push da Apple (APNs) fornece um canal para entrar em contato com dispositivos iOS/iPadOS registrados. A inscrição falhará e esta mensagem será exibida se:
|
AccountNotOnboarded | Há um problema com o certificado que permite que o dispositivo móvel se comunique com a rede da sua empresa. A inscrição falhará e esta mensagem será exibida se:
|
O Serviço de Notificação por Push da Apple (APNs) fornece um canal para entrar em contato com dispositivos iOS/iPadOS registrados. A inscrição falhará e esta mensagem será exibida se:
|
Renove o certificado APNs e, em seguida, registre novamente o dispositivo. Importante: certifique-se de renovar o certificado APNs. Não substitua o certificado APNs. Se você substituir o certificado, precisará registrar novamente todos os dispositivos iOS/iPadOS no Intune. Para Intune autônomo, consulte Renovar certificado push do MDM da Apple. Para o Microsoft 365, consulte Criar um certificado APNs para dispositivos iOS. |
||
DeviceTypeNotSupported | O usuário pode ter tentado se registrar usando um dispositivo não iOS. Não há suporte para o tipo de dispositivo móvel que você está tentando registrar. Confirme se o dispositivo está executando o iOS/iPadOS versão 8.0 ou posterior. |
Verifique se o dispositivo do usuário está executando o iOS/iPadOS versão 8.0 ou posterior. |
UserLicenseTypeInvalid | O dispositivo não pode ser registrado porque a conta do usuário ainda não é membro de um grupo de usuários necessário ou o usuário não tem a licença correta. |
Os usuários devem ter o tipo de licença correto para a autoridade de gerenciamento de dispositivos móveis. Por exemplo, eles verão esse erro se o Intune tiver sido definido como a autoridade do MDM, mas o usuário tiver uma licença do System Center 2012 R2 Configuration Manager. Examine Configurar o gerenciamento de iOS/iPadOS e Mac com Microsoft Intune e informações sobre como configurar usuários no Sync Active Directory e adicionar usuários ao Intune e organizar usuários e dispositivos. |
MdmAuthorityNotDefined | A autoridade de gerenciamento de dispositivos móveis não foi definida. |
A autoridade de gerenciamento de dispositivo móvel não foi definida no Intune. Examine o item #1 na seção Etapa 6: Registrar dispositivos móveis e instalar um aplicativo em Introdução a uma avaliação de 30 dias do Microsoft Intune. |
Erros de token de sincronização entre o Intune e o ADE
Esta seção inclui erros de sincronização de token relacionados ao ADE (Registro Automatizado de Dispositivos) da Apple:
- Apple Business Manager (ABM)
- ASM (Apple School Manager)
Mensagem de erro | Causa | Solução |
---|---|---|
Token expirado ou inválido | O token pode ter expirado, revogado ou malformado. | Renove o token. Se você tiver problemas para renovar o token, entre em contato com a equipe de suporte do Intune, pois talvez seja necessário usar uma nova chave pública no servidor MDM existente no Apple Business Manager ou no Apple School Manager: Preferências>Configurações do Servidor>MDM Carregar Chave Pública. |
Acesso negado | O Intune não pode mais falar com a Apple. Por exemplo, o Intune foi removido da lista de servidores MDM no Apple Business Manager ou no Apple School Manager. O token possivelmente expirou. | 1. Verifique se o token expirou e se um novo token foi criado. 2. Verifique se o Intune está na lista de servidores MDM |
Termos e condições não aceitos | Os novos termos e condições (T&C) precisam ser aceitos no Apple Business Manager ou no Apple School Manager. | Aceite os novos T&C no Apple Apple Business Manager ou no Apple School Manager Portal. Nota: isso deve ser feito por um usuário com a função de administrador no Apple Business Manager ou no Apple School Manager. |
Erro interno do servidor | Precisa de mais investigação | Entre em contato com a equipe de suporte do Intune, pois são necessários logs adicionais |
Número de telefone de suporte inválido | O número de telefone de suporte é inválido. | Edite o número de telefone de suporte para seus perfis. |
Nome de perfil de configuração inválido | O nome do perfil de configuração é inválido, vazio ou muito longo. | Edite o nome do perfil. |
Cursor inválido | O cursor foi rejeitado pela Apple ou não encontrado. | Entre em contato com a equipe de suporte do Intune. Eles podem tentar sincronizar novamente do serviço Intune. |
Cursor expirado | O cursor expirou no lado do Intune. | Entre em contato com a equipe de suporte do Intune. Eles podem tentar sincronizar novamente do serviço Intune. |
Cursor necessário | O cursor não foi definido inicialmente pelo Intune durante a sincronização. | Entre em contato com a equipe de suporte do Intune para corrigir a sincronização e retornar o cursor. |
Perfil da Apple não encontrado | Múltiplas causas possíveis | Crie um novo perfil e atribua o perfil aos dispositivos. |
Entrada de departamento inválida | A entrada do campo de departamento é inválida | Edite o campo de departamento para seus perfis. |
Erro: Ocorreu um erro ao carregar o token do Programa de Inscrição
Se o upload do token ADE falhar, você poderá ver uma mensagem de erro semelhante à seguinte:
Ocorreu um erro.
Ocorreu um erro ao carregar o token do Programa de Inscrição. ID da solicitação: AjaxError: ajaxExtended call failed
Nesse caso, tente as seguintes etapas para criar um novo token:
Entre no Explorador do Graph como administrador do Intune.
Execute uma
GET
solicitação para enumerar os tokens no locatário usando a seguinte URL:https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings
Se necessário, conceda o consentimento e execute novamente a solicitação.
Localize o GUID do token que precisa ser renovado.
Execute uma
GET
solicitação para obter a chave de criptografia pública do token usando a seguinte URL:https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKey
A resposta é semelhante ao exemplo a seguir:
{ "@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String", "value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----" }
Copie o valor da resposta e crie um arquivo de texto da seguinte maneira. Em seguida, salve o arquivo de texto como um arquivo .pem . Por exemplo, token.pem.
Importante
O arquivo contém três linhas e não há quebras de link na string base64.
-----BEGIN CERTIFICATE----- SOMEBASE64STRING== -----END CERTIFICATE-----
Inicie sessão no Apple Business Manager ou no Apple School Manager e encontre o servidor de token que precisa ser atualizado. Em seguida, selecione Editar.
Na seção Configurações do Servidor MDM, carregue o arquivo .pem e selecione Salvar.
Observação
Se você receber uma mensagem de erro indicando que o formato do arquivo está incorreto, certifique-se de que o arquivo seja criado de acordo com a etapa 5. Depois que o formato do arquivo for corrigido, feche a página e selecione Editar novamente.
Selecione Baixar Token para baixar o novo token.
Entre no Intune e selecione para atualizar o token baixado.
Outros erros e problemas
Esta seção fornece etapas de solução de problemas para estes cenários adicionais:
- Verifique se o WS-Trust 1.3 está ativado
- Falha na entrada no local de trabalho
- Nome de usuário não reconhecido
- XPC_TYPE_ERROR Conexão inválida
- Não foi possível baixar a configuração... Perfil inválido
- A inscrição no ADE não é iniciada
- Registro do ADE travado no login do usuário
- A autenticação não redireciona para a nuvem governamental
Verifique se o WS-Trust 1.3 está ativado
O registro de dispositivos ADE com afinidade de usuário requer que o nome de usuário/ponto de extremidade misto do WS-Trust 1.3 seja ativado para solicitar tokens de usuário. O Active Directory habilita esse ponto de extremidade por padrão. Se o WS-Trust 1.3 não estiver habilitado, os dispositivos iOS/iPadOS do ADE (Registro Automatizado de Dispositivos) não poderão ser registrados.
Para obter uma lista de pontos de extremidade habilitados, use o cmdlet do Get-AdfsEndpoint
PowerShell e procure o ponto de extremidade trust/13/UsernameMixed. Por exemplo:
Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"
Para obter mais informações, consulte a documentação do Get-AdfsEndpoint e as práticas recomendadas para proteger os Serviços de Federação do Active Directory. Para obter ajuda para determinar se o WS-Trust 1.3 Nome de usuário/misto está habilitado em seu provedor de federação de identidade, entre em contato com o Suporte da Microsoft se você usar o AD FS. Caso contrário, entre em contato com seu fornecedor de identidade de terceiros.
Falha na entrada no local de trabalho
Esse erro indica que o aplicativo Portal da Empresa está desatualizado ou corrompido.
Solução:
- Remova o aplicativo Portal da Empresa do dispositivo.
- Baixe e instale o aplicativo Portal da Empresa do Microsoft Intune na App Store.
- Registre novamente o dispositivo.
Nome de usuário não reconhecido
O erro "Nome de usuário não reconhecido. Essa conta de usuário não está autorizada a usar Microsoft Intune. Entre em contato com o administrador do sistema se achar que recebeu essa mensagem por engano." indica que o usuário que está tentando registrar o dispositivo não tem uma licença válida do Intune.
- Vá para o Centro de administração do Microsoft 365 e escolha Usuários>Usuários Ativos.
- Selecione a conta de usuário afetada e, em seguida, escolha Editar licenças>de produto.
- Verifique se uma licença válida do Intune está atribuída a esse usuário.
- Registre novamente o dispositivo.
XPC_TYPE_ERROR Conexão inválida
Quando você ativa um dispositivo gerenciado pelo ADE que recebe um perfil de registro, o registro falha e você recebe a seguinte mensagem de erro:
asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }
Causa: há um problema de conexão entre o dispositivo e o serviço Apple ADE.
Solução: corrija o problema de conexão ou use uma conexão de rede diferente para registrar o dispositivo. Você também pode ter que entrar em contato com a Apple se o problema persistir.
Não foi possível baixar a configuração do seu iPhone/iPad do Nome> da <empresa: Perfil inválido
Causa: o registro está bloqueado por uma restrição de tipo de dispositivo.
Solução:
- Entre no centro>de administração Microsoft Intune Dispositivos>Registrar dispositivos>Restrições de registro.
- Em Restrições de tipo de dispositivo, selecione Propriedades de todos os usuários>.
- Selecione Editar ao lado das configurações da plataforma.
- Na página Editar restrição , selecione Permitir para iOS/iPadOS e prossiga para a página Examinar + salvar e selecione Salvar.
A inscrição no ADE não é iniciada
Quando você ativa um dispositivo gerenciado pelo ADE que recebe um perfil de registro, o processo de registro do Intune não é iniciado.
Causa: o perfil de registro é criado antes que o token do ADE seja carregado no Intune.
Solução:
- Edite o perfil de registro. Você pode fazer qualquer alteração no perfil. O objetivo é atualizar o tempo de modificação do perfil.
- Sincronizar dispositivos gerenciados pelo ADE: no centro de administração Microsoft Intune, escolha Dispositivos>iOS>iOS registro>Tokens> do programa de registro escolher um token >Sincronizar agora. Uma solicitação de sincronização é enviada à Apple.
Registro do ADE travado no login do usuário
Quando você ativa um dispositivo gerenciado pelo ADE que recebe um perfil de registro, a configuração inicial permanece depois que você insere as credenciais.
Causa: a autenticação multifator (MFA) está habilitada. Atualmente, a MFA não funcionará durante o registro em dispositivos ADE se o método de autenticação estiver definido como Assistente de Configuração (herdado).
Solução: desabilite a MFA e registre novamente o dispositivo. Como alternativa, altere o método de autenticação para Assistente de Configuração com autenticação moderna.
A autenticação não redireciona para a nuvem governamental
Os usuários governamentais que entram de outro dispositivo são redirecionados para a nuvem pública para autenticação em vez da nuvem governamental.
Causa: a ID do Microsoft Entra ainda não oferece suporte ao redirecionamento para a nuvem governamental ao entrar de outro dispositivo.
Solução: use a configuração de nuvem do Portal da Empresa do iOS no aplicativo Configurações para redirecionar a autenticação dos usuários do governo para a nuvem do governo. Por padrão, a configuração de nuvem é definida como Automática e o Portal da Empresa direciona a autenticação para a nuvem que é detectada automaticamente pelo dispositivo (como Público ou Governamental). Os usuários do governo que estão entrando de outro dispositivo precisarão selecionar manualmente a nuvem do governo para autenticação.
Abra o aplicativo Configurações e selecione Portal da Empresa. Nas configurações do Portal da Empresa, selecione Nuvem. Defina a nuvem como Governo.