在 Intune 中排除 iOS/iPadOS 设备注册错误
本文帮助 Intune 管理员理解在 Microsoft Intune 中注册 Windows 设备时出现的错误消息并进行故障排除。 有关其他常规故障排除场景,请参阅在 Microsoft Intune 中解决设备注册问题。
iOS/iPadOS 注册错误
下表列出了最终用户在 Intune 中注册 iOS/iPadOS 设备时可能看到的错误。
错误消息 | 问题 | 解决方案 |
---|---|---|
NoEnrollmentPolicy | 未找到注册策略 | Apple Push Notification Service (APN) 证书缺失、无效或过期。 检查注册是否已正确设置,以及是否已将 iOS/iPadOS 作为平台启用。 有关说明,请参阅 设置 iOS/iPadOS 和 Mac 设备管理、获取 Apple MDM 推送证书和续订 Apple MDM 推送证书。 |
DeviceCapReached | 已注册过多移动设备。 | 用户必须先从公司门户中删除当前注册的移动设备之一,然后再注册另一台设备。 请参阅此处的详细说明。 |
公司门户暂时不可用 | 设备上的“公司门户”应用已过时或损坏。 | 删除应用,验证用户凭据,然后重新安装应用。 请参阅此处的详细说明。 |
APNSCertificateNotValid | 允许移动设备与公司的网络通信的证书存在问题。 |
Apple Push Notification Service (APN) 提供联系已注册 iOS/iPadOS 设备的通道。 如果出现以下情况,注册将失败,且会显示此消息:
|
AccountNotOnboarded | 允许移动设备与公司的网络通信的证书存在问题。 如果出现以下情况,注册将失败,且会显示此消息:
|
|
续订 APN 证书,然后重新注册设备。 重要提示:请确保续订 APN 证书。 请勿替换 APN 证书。 如果替换证书,则必须在 Intune 中重新注册所有 iOS/iPadOS 设备。 仅对于 Intune,请参阅续订 Apple MDM 推送证书。 对于 Microsoft 365,请参阅 为 iOS 设备创建 APN 证书。 |
||
DeviceTypeNotSupported | 用户可能已尝试使用非 iOS 设备进行注册。 不支持你尝试注册的移动设备类型。 确认设备正在运行 iOS/iPadOS 版本 8.0 或更高版本。 |
确保用户的设备正在运行 iOS/iPadOS 版本 8.0 或更高版本。 |
UserLicenseTypeInvalid | 无法注册设备,因为用户的帐户还不是所需用户组的成员,或者用户没有正确的许可证。 |
用户必须具有移动设备管理机构颁发的正确类型的许可证。 例如,如果已将 Intune 设置为 MDM 颁发机构,但用户具有 System Center 2012 R2 Configuration Manager 许可证,他们将看到此错误。 查看使用 Microsoft Intune 设置 iOS/iPadOS 和 Mac 管理,并查看同步 Active Directory 并将用户添加到 Intune 和组织用户和设备,了解关于如何设置用户的信息。 |
MdmAuthorityNotDefined | 尚未定义移动设备管理机构。 |
尚未在 Intune 中设置移动设备管理机构。 查看步骤 6 中的第 1 项:注册移动设备并在试用 30 天 Microsoft Intune 部分中安装应用。 |
Intune 和 ADE 之间的同步令牌错误
本部分包括与 Apple 自动设备注册 (ADE) 相关的令牌同步错误:
- Apple Business Manager (ABM)
- Apple School Manager (ASM)
错误消息 | 原因 | 解决方案 |
---|---|---|
过期或无效的令牌 | 令牌可能过期、撤消或格式不正确。 | 续订令牌。 如果续订令牌时遇到问题,请联系 Intune 支持团队,因为可能需要在 Apple Business Manager 或 Apple School Manager 中的现有 MDM 服务器上使用新的公钥: 首选项>MDM 服务器设置>上传公钥。 |
Access denied | Intune 不和 Apple 通信。 例如,Intune 已从 Apple Business Manager 或 Apple School Manager 中的 MDM 服务器列表中删除。 令牌可能已过期。 | 1. 验证令牌是否已过期,以及是否已创建新令牌。 2. 检查 Intune 是否在 MDM 服务器列表中 |
不接受的条款和条件 | Apple Business Manager 或 Apple School Manager 中需要接受 T&C) (的新条款和条件。 | 在 Apple Apple Business Manager 或 Apple School Manager 门户中接受新的 T&C。 注意: 这必须由在 Apple Business Manager 或 Apple School Manager 中具有管理员角色的用户完成。 |
内部服务器错误 | 需要进一步调查 | 请联系 Intune 支持团队,因为需要其他日志 |
支持电话号码无效 | 支持电话号码无效。 | 编辑配置文件的支持电话号码。 |
配置文件名称无效 | 配置文件名称无效、为空或过长。 | 编辑配置文件名称。 |
光标无效 | 光标被 Apple 拒绝或找不到。 | 联系 Intune 支持团队。 他们可以从 Intune 服务重试同步。 |
光标已过期 | 光标在 Intune 端过期。 | 联系 Intune 支持团队。 他们可以从 Intune 服务重试同步。 |
需要光标 | 在同步期间,Intune 最初不会设置光标。 | 请联系 Intune 支持团队来修复同步并返回光标。 |
找不到 Apple 配置文件 | 多个可能的原因 | 创建新配置文件,并将配置文件分配给设备。 |
部门条目无效 | 部门字段条目无效 | 编辑配置文件的部门字段。 |
错误:上传注册计划令牌时出错
如果 ADE 令牌上传失败,可能会看到如下所示的错误消息:
发生错误。
上传注册计划令牌时出错。 请求 ID: AjaxError: ajaxExtended 调用失败
在这种情况下,请尝试以下步骤来创建新令牌:
以 Intune 管理员身份登录到 Graph 资源管理器 。
GET
使用以下 URL 运行请求以枚举租户中的令牌:https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings
如有必要,请授予同意并重新运行请求。
查找需要续订的令牌的 GUID。
GET
使用以下 URL 运行请求以获取令牌的公共加密密钥:https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKey
响应如以下示例所示:
{ "@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String", "value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----" }
复制响应中的值并创建一个文本文件,如下所示。 然后,将文本文件另存为 .pem 文件。 例如 ,token.pem。
重要
该文件包含三行,base64 字符串中没有链接中断。
-----BEGIN CERTIFICATE----- SOMEBASE64STRING== -----END CERTIFICATE-----
登录到 Apple Business Manager 或 Apple School Manager,找到需要更新的令牌服务器。 然后,选择 “编辑”。
在 “MDM 服务器设置” 部分中,上传 .pem 文件,然后选择“ 保存”。
注意
如果收到一条错误消息,指示文件格式不正确,请确保根据步骤 5 创建该文件。 固定文件格式后,关闭页面,然后再次选择 “编辑 ”。
选择“ 下载令牌 ”以下载新令牌。
登录到 Intune 并选择刷新下载的令牌。
其他错误和问题
本部分针对这些其他方案提供以下疑难解答步骤:
- 验证是否已启用 WS-Trust 1.3
- 工作区加入失败
- 用户名未识别
- XPC_TYPE_ERROR 连接无效
- 无法下载配置...配置文件无效
- ADE 注册未启动
- ADE 注册在用户登录时卡住
- 身份验证不会重定向到政府云
验证是否已启用 WS-Trust 1.3
注册具有用户关联的 ADE 设备需要启用 WS-Trust 1.3 用户名/混合终结点来请求用户令牌。 默认情况下,Active Directory 启用此终结点。 如果未启用 WS-Trust 1.3,则无法注册自动设备注册 (ADE) iOS/iPadOS 设备。
若要获取已启用的终结点的列表,请使用 Get-AdfsEndpoint
PowerShell cmdlet 并查找 trust/13/UsernameMixed 终结点。 例如:
Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"
有关详细信息,请参阅 Get-AdfsEndpoint 文档和保护 Active Directory 联合身份验证服务安全的最佳做法。 要帮助确定是否在标识联合身份验证提供程序中启用了 WS-Trust 1.3 用户名/混合,请联系 Microsoft 支持部门(如果使用 AD FS)。 否则,请联系第三方标识供应商。
工作区加入失败
此错误指示“公司门户”应用已过期或已损坏。
解决方案:
- 从设备中删除“公司门户”应用。
- 从应用商店下载并安装Microsoft Intune 公司门户应用。
- 重新注册设备。
用户名未识别
错误“用户名未识别。 此用户帐户无权使用 Microsoft Intune。 如果你认为错误地收到此消息,请与系统管理员联系。“指示尝试注册设备的用户没有有效的 Intune 许可证。
- 转到“Microsoft 365 管理中心”,然后依次选择“用户”“活动用户”>。
- 选择受影响的用户帐户,然后依次选择“产品许可证”>“编辑”。
- 验证是否为此用户分配了有效的 Intune 许可证。
- 重新注册设备。
XPC_TYPE_ERROR 连接无效
打开分配了注册配置文件的 ADE 托管设备时,注册失败,并收到以下错误消息:
asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }
原因:设备与 Apple ADE 服务之间存在连接问题。
解决方案:修复连接问题,或使用其它网络连接注册设备。 如果问题仍然存在,可能需要联系 Apple 公司。
无法从 <公司名称>下载 iPhone/iPad 的配置:配置文件无效
原因:注册被设备类型限制阻止。
解决方案:
- 登录到 Microsoft Intune 管理中心>设备>注册设备>注册限制。
- 在“设备类型限制”下,依次选择“所有用户”>“属性”。
- 选择“平台设置”旁边的“编辑”。
- 在“编辑限制”页上,选择“允许 iOS/iPadOS”,然后进入“查看 + 保存”页,然后选择“保存”。
ADE 注册未启动
打开分配了注册配置文件的 ADE 托管设备时,不会启动 Intune 注册过程。
原因:注册配置文件是在 ADE 令牌上传到 Intune 之前创建的。
解决方案:
- 编辑注册配置文件。 可以对配置文件进行任何更改。 目的是更新配置文件的修改时间。
- 同步 ADE 管理的设备:在 Microsoft Intune 管理中心,选择“设备>”“iOS>注册>”“注册计划令牌>”“立即选择令牌>同步”。 同步请求将发送到 Apple。
ADE 注册停滞在用户登录时
打开分配了注册配置文件的 ADE 托管设备时,在输入凭据后,初始设置会保留。
原因:启用了多重身份验证 (MFA)。 目前,MFA 在 ADE 设备上注册期间不能正常运行。
解决方案:禁用 MFA,然后重新注册设备。
身份验证不会重定向到政府云
从另一台设备登录的政府用户会重定向到公有云进行身份验证,而不是政府云。
原因: Microsoft Entra ID 尚不支持从其他设备登录时重定向到政府云。
溶液:使用“设置”应用中的 iOS 公司门户云设置将政府用户的身份验证重定向到政府云。 默认情况下,“云”设置设置为“自动”,公司门户将身份验证定向到设备自动检测到的云(例如公有云或政府云)。 从另一台设备登录的政府用户需要手动选择政府云进行身份验证。
打开“设置”应用,然后选择公司门户。 在公司门户设置中,选择“云”。 将“云”设置为政府。