針對 Microsoft Intune 中的 iOS/iPadOS 裝置註冊錯誤進行疑難解答
本文可協助 Intune 系統管理員瞭解並在 Intune 中註冊 iOS/iPadOS 裝置時的問題並進行疑難解答。 如需其他一般疑難排解案例,請參閱針對 Microsoft Intune 中的裝置註冊進行疑難排解。
iOS/iPadOS 註冊錯誤
下表列出使用者在 Intune 中註冊 iOS/iPadOS 裝置時可能會看到的錯誤。
錯誤訊息 | 問題 | 解決方案 |
---|---|---|
NoEnrollmentPolicy | 找不到註冊原則 | Apple 推播通知服務 (APNs) 憑證遺失、無效或已過期。 檢查是否已正確設定註冊, 且已啟用 iOS/iPadOS 作為平臺 。 如需指示,請參閱 設定 iOS/iPadOS 和 Mac 裝置管理、取得 Apple MDM 推播憑證和 更新 Apple MDM 推播憑證。 |
DeviceCapReached | 已註冊太多行動裝置。 | 用戶必須先從 公司入口網站 移除其中一個目前註冊的行動裝置,才能註冊另一個裝置。 請參閱這裡的詳細指示。 |
公司入口網站暫時無法使用 | 裝置上的 公司入口網站 應用程式已過期或損毀。 | 拿掉應用程式、驗證使用者認證,然後安裝應用程式。 請參閱這裡的詳細指示。 |
APNSCertificateNotValid | 憑證有問題,可讓行動裝置與貴公司的網路通訊。 |
Apple 推播通知服務 (APNs) 提供通道來連絡已註冊的 iOS/iPadOS 裝置。 註冊將會失敗,如果出現下列狀況,則會出現此訊息:
|
AccountNotOnboarded | 憑證有問題,可讓行動裝置與貴公司的網路通訊。 註冊將會失敗,如果出現下列狀況,則會出現此訊息:
|
Apple 推播通知服務 (APNs) 提供通道來連絡已註冊的 iOS/iPadOS 裝置。 註冊將會失敗,如果出現下列狀況,則會出現此訊息:
|
更新APNs憑證,然後重新註冊裝置。 重要: 請確定您更新APNs 憑證。 請勿 取代 APNs憑證。 如果您取代憑證,則必須在 Intune 中重新註冊所有 iOS/iPadOS 裝置。 如需 Intune 獨立版,請參閱 更新 Apple MDM 推播憑證。 如需Microsoft 365,請參閱 建立適用於iOS裝置的APNs憑證。 |
||
DeviceTypeNotSupported | 使用者可能已嘗試使用非 iOS 裝置進行註冊。 不支援您嘗試註冊的行動裝置類型。 確認裝置正在執行 iOS/iPadOS 8.0 版或更新版本。 |
請確定使用者的裝置正在執行 iOS/iPadOS 8.0 版或更新版本。 |
UserLicenseTypeInvalid | 裝置無法註冊,因為用戶帳戶還不是必要使用者群組的成員,或使用者沒有正確的授權。 |
用戶必須具有行動裝置管理授權單位的正確授權類型。 例如,如果 Intune 已設定為 MDM 授權單位,但使用者具有 System Center 2012 R2 Configuration Manager 授權,他們就會看到此錯誤。 檢閱 使用 Microsoft Intune 設定 iOS/iPadOS 和 Mac 管理,以及如何在同步 Active Directory 中 設定使用者,並將使用者新增至 Intune 並 組織使用者和裝置的相關信息。 |
MdmAuthorityNotDefined | 尚未定義行動裝置管理授權單位。 |
尚未在 Intune 中設定行動裝置管理授權單位。 檢閱步驟 6:註冊行動裝置並安裝應用程式一節中的專案 #1,請參閱開始使用 Microsoft Intune 的 30 天試用版。 |
Intune 與 ADE 之間的同步令牌錯誤
本節包含與 Apple 自動化裝置註冊相關的令牌同步錯誤(ADE):
- Apple Business Manager (ABM)
- Apple School Manager (ASM)
錯誤訊息 | 原因 | 解決方法 |
---|---|---|
過期或無效的令牌 | 令牌可能會過期、撤銷或格式不正確。 | 更新令牌。 如果您在更新令牌時發生任何問題,請連絡 Intune 支援小組,因為您可能需要在 Apple Business Manager 或 Apple School Manager 的現有 MDM 伺服器上使用新的公鑰:喜好>設定 MDM 伺服器設定>上傳公鑰。 |
拒絕存取 | Intune 無法再與 Apple 交談。 例如,Intune 已從 Apple Business Manager 或 Apple School Manager 中的 MDM 伺服器清單中移除。 令牌可能已過期。 | 1.確認您的令牌是否已過期,以及是否已建立新的令牌。 2.檢查 Intune 是否位於 MDM 伺服器清單中 |
不接受條款及條件 | Apple Business Manager 或 Apple School Manager 必須接受新的條款和條件(T&C)。 | 接受 Apple Apple Business Manager 或 Apple School Manager 入口網站中的新 T&C。 注意: 這必須由在Apple Business Manager 或 Apple School Manager 中具有系統管理員角色的使用者完成。 |
內部伺服器錯誤 | 需要進一步調查 | 請連絡 Intune 支援小組,因為需要額外的記錄 |
無效的支援電話號碼 | 支持電話號碼無效。 | 編輯配置檔的支持電話號碼。 |
組態配置檔名稱無效 | 組態配置檔名稱無效、空白或太長。 | 編輯配置檔的名稱。 |
無效的數據指標 | Apple 拒絕數據指標或找不到數據指標。 | 請連 絡 Intune 支援小組。 他們可以從 Intune 服務重試同步處理。 |
數據指標已過期 | 數據指標在 Intune 端已過期。 | 請連 絡 Intune 支援小組。 他們可以從 Intune 服務重試同步處理。 |
必要數據指標 | 同步處理期間,Intune 最初未設定數據指標。 | 請連絡 Intune 支援小組 以修正同步處理並傳回數據指標。 |
找不到 Apple 設定檔 | 多個可能的原因 | 建立新的配置檔,並將配置檔指派給裝置。 |
無效的部門專案 | 部門欄位項目無效 | 編輯配置檔的部門欄位。 |
錯誤:上傳註冊計劃令牌時發生錯誤
如果 ADE 令牌上傳失敗,您可能會看到類似下列的錯誤訊息:
發生錯誤。
上傳註冊計劃令牌時發生錯誤。 要求標識碼:AjaxError:ajaxExtended 呼叫失敗
在此情況下,請嘗試下列步驟來建立新的令牌:
以 Intune 系統管理員身分登入 Graph 總 管。
GET
執行要求,以使用下列 URL 列舉租使用者中的令牌:https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings
如有必要,請授與同意並重新執行要求。
尋找需要更新之令牌的 GUID。
GET
使用下列網址執行要求以取得權杖的公鑰:https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKey
回應看起來像下列範例:
{ "@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String", "value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----" }
從響應複製值,並建立文本檔,如下所示。 然後,將文本文件儲存為 .pem 檔案。 例如 token.pem。
重要
檔案包含三行,且base64字串中沒有連結中斷。
-----BEGIN CERTIFICATE----- SOMEBASE64STRING== -----END CERTIFICATE-----
登入 Apple Business Manager 或 Apple School Manager,並尋找需要更新的令牌伺服器。 然後,選取 [ 編輯]。
在 [ MDM 伺服器設定] 區段中,上傳 .pem 檔案,然後選取 [ 儲存]。
注意
如果您收到錯誤訊息,指出檔格式不正確,請確定已根據步驟 5 建立檔案。 修正檔案格式之後,請關閉頁面,然後再次選取 [ 編輯 ]。
選取 [下載令牌 ] 以下載新的令牌。
登入 Intune,然後選取以重新整理下載的令牌。
其他錯誤和問題
本節提供下列其他案例的疑難解答步驟:
- 確認已啟用 WS-Trust 1.3
- Workplace Join 失敗
- 無法辨識用戶名稱
- XPC_TYPE_ERROR連線無效
- 無法下載設定...無效的配置檔
- ADE 註冊未啟動
- ADE 註冊停滯於使用者登入
- 驗證不會重新導向至政府雲端
確認已啟用 WS-Trust 1.3
向用戶親和性註冊 ADE 裝置需要啟用 WS-Trust 1.3 用戶名稱/混合端點才能要求使用者令牌。 Active Directory 預設會啟用此端點。 如果未啟用 WS-Trust 1.3,就無法註冊自動裝置註冊 (ADE) iOS/iPadOS 裝置。
若要取得已啟用端點的清單,請使用 Get-AdfsEndpoint
PowerShell Cmdlet並尋找 trust/13/UsernameMixed 端點。 例如:
Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"
如需詳細資訊,請參閱 Get-AdfsEndpoint 文件和保護 Active Directory 同盟服務 的最佳做法。 如需在身分識別同盟提供者中啟用 WS-Trust 1.3 用戶名稱/混合的說明,請使用 AD FS 連絡 Microsoft 支援服務。 否則,請連絡您的第三方身分識別廠商。
Workplace Join 失敗
此錯誤表示 公司入口網站 應用程式已過期或損毀。
解決方案:
- 從裝置移除 公司入口網站 應用程式。
- 從 App Store 下載並安裝 Microsoft Intune 公司入口網站 應用程式。
- 重新註冊裝置。
無法辨識用戶名稱
錯誤「無法辨識用戶名稱」。 此用戶帳戶未獲授權使用 Microsoft Intune。 如果您認為您收到此錯誤訊息,請連絡系統管理員。」表示嘗試註冊裝置的用戶沒有有效的 Intune 授權。
- 移至 Microsoft 365 系統管理中心,然後選擇 [使用者作用中使用者>]。
- 選取受影響的用戶帳戶,然後選擇 [產品授權編輯>]。
- 確認已將有效的 Intune 授權指派給此使用者。
- 重新註冊裝置。
XPC_TYPE_ERROR連線無效
當您開啟指派註冊配置檔的 ADE 受控裝置時,註冊會失敗,而且您會收到下列錯誤訊息:
asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }
原因: 裝置與Apple ADE服務之間發生連線問題。
解決方案: 修正連線問題,或使用不同的網路連線來註冊裝置。 如果問題持續發生,您可能也必須連絡 Apple。
無法從 <公司名稱>下載 iPhone/iPad 的設定:無效的配置檔
原因: 裝置類型限制會封鎖註冊。
解決方案:
- 登入 Microsoft Intune 系統管理中心>裝置>註冊裝置>註冊限制。
- 在 [裝置類型限制] 底下,選取 [所有使用者>屬性]。
- 選取 [平台設定] 旁的 [編輯]。
- 在 [ 編輯限制 ] 頁面上,選取 [ 允許 iOS /iPadOS ],然後繼續進行 [ 檢閱 + 儲存 ] 頁面,然後選取 [ 儲存]。
ADE 註冊未啟動
當您開啟已指派註冊配置檔的 ADE 受控裝置時,不會起始 Intune 註冊程式。
原因: 註冊配置檔會在 ADE 令牌上傳至 Intune 之前建立。
解決方案:
- 編輯註冊配置檔。 您可以對設定檔進行任何變更。 目的是要更新配置檔的修改時間。
- 同步處理 ADE 管理的裝置:在 Microsoft Intune 系統管理中心,選擇 [裝置>iOS iOS>註冊>計劃令牌>],選擇 [立即同步] 令牌。> 同步處理要求會傳送至 Apple。
ADE 註冊停滯於使用者登入
當您開啟已指派註冊配置檔的 ADE 受控裝置時,初始設定會在您輸入認證之後堅持。
原因: 已啟用 Multi-Factor Authentication (MFA)。 目前,如果驗證方法設定為 設定助理(舊版),則 MFA 無法在 ADE 裝置註冊期間運作。
解決方案: 停用 MFA,然後重新註冊裝置。 或者,將驗證方法變更為 使用新式驗證的設定小幫手。
驗證不會重新導向至政府雲端
從另一部裝置登入的政府用戶會重新導向至公用雲端進行驗證,而不是政府雲端。
原因: Microsoft Entra ID 尚不支援從另一部裝置登入時重新導向至政府雲端。
解決方案:在 [設定] 應用程式中使用 iOS 公司入口網站 雲端設定,將政府使用者的驗證重新導向至政府雲端。 根據預設,[雲端] 設定會設定為 [自動],公司入口網站 會將驗證導向裝置自動偵測到的雲端(例如公用或政府)。 從另一部裝置登入的政府用戶必須手動選取政府雲端進行驗證。
開啟 [設定] 應用程式,然後選取 [公司入口網站]。 在 公司入口網站 設定中,選取 [雲端]。 將雲端設定為 Government。