Fehlerbehebung bei Problemen mit der Registrierung von iOS/iPadOS-Geräten in Intune

  • Artikel

Dieser Artikel hilft Intune-Administratoren, Fehlermeldungen bei der Registrierung von iOS/iPadOS-Geräten in Microsoft Intune zu verstehen und zu behandeln. Weitere allgemeine Problembehandlungsszenarien finden Sie unter Problembehandlung bei der Geräteregistrierung in Microsoft Intune.

iOS/iPadOS-Registrierungsfehler

In der folgenden Tabelle sind Fehler aufgeführt, die Endbenutzern möglicherweise bei der Registrierung von iOS-/iPadOS-Geräten in Intune angezeigt werden.

Fehlermeldung Problem Lösung
NoEnrollmentPolicy Es wurde keine Registrierungsrichtlinie gefunden. Das Zertifikat des Apple Push Notification Service (APNs) fehlt, ist ungültig oder abgelaufen. Überprüfen Sie, ob die Registrierung ordnungsgemäß eingerichtet wurde und ob iOS/iPadOS als Plattform aktiviert ist. Anweisungen hierzu finden Sie unter Einrichten der Geräteverwaltung für iOS/iPadOS und Mac, Abrufen eines Apple MDM-Pushzertifikats und Verlängern des Apple MDM-Pushzertifikats.
DeviceCapReached Zu viele mobile Geräte sind bereits registriert. Der Benutzer muss eines seiner aktuell registrierten mobilen Geräte aus dem Unternehmensportal entfernen, bevor er ein anderes registriert. Ausführliche Anweisungen finden Sie hier.
Unternehmensportal vorübergehend nicht verfügbar Die Unternehmensportal-App auf dem Gerät ist veraltet oder beschädigt. Entfernen Sie die App, überprüfen Sie die Benutzeranmeldeinformationen, und installieren Sie die App dann neu. Ausführliche Anweisungen finden Sie hier.
APNSCertificateNotValid Es gibt ein Problem mit dem Zertifikat, durch das das mobile Gerät mit dem Netzwerk Ihres Unternehmens kommunizieren kann.

 Der Apple-Pushbenachrichtigungsdienst (Apple Push Notification Service, APNs) stellt einen Kanal bereit, um registrierte iOS/iPadOS-Geräte zu kontaktieren. Die Registrierung schlägt fehl, und diese Meldung wird angezeigt, wenn:
  • Die Schritte zum Abrufen eines APNs-Zertifikats wurden nicht abgeschlossen, oder
  • Das APNs-Zertifikat ist abgelaufen.
Überprüfen Sie die Informationen zum Einrichten von Benutzern in Synchronisieren von Active Directory und Hinzufügen von Benutzern zu Intune und Organisieren von Benutzern und Geräten.
AccountNotOnboarded Es gibt ein Problem mit dem Zertifikat, durch das das mobile Gerät mit dem Netzwerk Ihres Unternehmens kommunizieren kann. Die Registrierung schlägt fehl, und diese Meldung wird angezeigt, wenn:
  • Die Schritte zum Abrufen eines APNs-Zertifikats wurden nicht abgeschlossen, oder
  • Das APNs-Zertifikat ist abgelaufen.
Erneuern Sie das APNs-Zertifikat, und registrieren Sie dann das Gerät erneut.
Wichtig: Stellen Sie sicher, dass Sie das APNs-Zertifikat verlängern. Ersetzen Sie nicht das APNs-Zertifikat. Wenn Sie das Zertifikat ersetzen, müssen Sie alle iOS/iPadOS-Geräte in Intune erneut registrieren. Informationen zum Intune-eigenständigen Zertifikat finden Sie unter Erneuern des Apple MDM-Pushzertifikats. Informationen zu Microsoft 365 finden Sie unter Erstellen eines APNs-Zertifikats für iOS-Geräte.
DeviceTypeNotSupported Der Benutzer hat möglicherweise versucht, sich mit einem Nicht-iOS-Gerät zu registrieren. Der Typ des mobilen Geräts, das Sie registrieren möchten, wird nicht unterstützt.

Vergewissern Sie sich, dass auf dem Gerät iOS/iPadOS, Version 8.0 oder höher, ausgeführt wird.

 Stellen Sie sicher, dass auf dem Gerät Ihres Benutzers iOS/iPadOS, Version 8.0 oder höher, ausgeführt wird.
UserLicenseTypeInvalid Das Gerät kann nicht registriert werden, da das Konto des Benutzers noch kein Mitglied einer erforderlichen Benutzergruppe ist oder der Benutzer nicht über die richtige Lizenz verfügt.

 Benutzer müssen über den richtigen Lizenztyp für die Verwaltungsbehörde für mobile Geräte verfügen. Dieser Fehler wird beispielsweise angezeigt, wenn Intune als MDM-Autorität festgelegt wurde, der Benutzer jedoch über eine Lizenz als Configuration Manager für System Center 2012 R2 verfügt.
Lesen Sie Einrichten der iOS/iPadOS- und Mac-Verwaltung mit Microsoft Intune. Informationen zum Einrichten von Benutzern finden Sie unter Synchronisieren von Active Directory und Hinzufügen von Benutzern zu Intune und Organisieren von Benutzern und Geräten.
MdmAuthorityNotDefined Die Verwaltungsautorität für mobile Geräte wurde nicht definiert.

 Die Verwaltungsautorität für mobile Geräte wurde in Intune nicht definiert.

Überprüfen Sie Punkt 1 im Abschnitt Schritt 6: Registrieren mobiler Geräte und Installieren einer App in Erste Schritte mit einer 30-tägigen Testversion von Microsoft Intune.

Synchronisierungstokenfehler zwischen Intune und ADE

Dieser Abschnitt enthält Tokensynchronisierungsfehler im Zusammenhang mit der automatischen Apple-Geräteregistrierung (ADE):

  • Apple Business Manager (ABM)
  • Apple School Manager (ASM)
Fehlermeldung Ursache Lösung
Abgelaufenes oder ungültiges Token Das Token kann abgelaufen, widerrufen oder falsch formatiert sein. Abgelaufene Token können verlängert werden. Bei einem ungültigen Token muss ein neues Token in Intune erstellt werden.
Das neue Token kann auf einem vorhandenen MDM-Server in Apple Business Manager oder Apple School Manager verwendet werden: Option Bearbeiten Option > MDM Server-Einstellungen > Öffentlichen Schlüssel hochladen
Zugriff verweigert Intune kann nicht mehr mit Apple sprechen. Beispielsweise wurde Intune aus der MDM-Serverliste in Apple Business Manager oder Apple School Manager entfernt. Das Token ist möglicherweise abgelaufen. 1. Überprüfen Sie, ob Ihr Token abgelaufen ist und ob ein neues Token erstellt wurde.
2. Überprüfen Sie, ob Intune in der MDM-Serverliste enthalten ist.
Allgemeine Geschäftsbedingungen nicht akzeptiert Neue Geschäftsbedingungen (T&C) müssen in Apple Business Manager oder Apple School Manager akzeptiert werden. Akzeptieren Sie das neue T&C im Apple Business Manager- oder Apple School Manager-Portal.
Hinweis: Dies muss von einem Benutzer mit der Administratorrolle in Apple Business Manager oder Apple School Manager erfolgen.
Interner Serverfehler Weitere Untersuchung erforderlich Wenden Sie sich an das Intune-Supportteam, da weitere Protokolle erforderlich sind.
Ungültige Supporttelefonnummer Die Supporttelefonnummer ist ungültig. Bearbeiten Sie die Supporttelefonnummer für Ihre Profile.
Ungültiger Konfigurationsprofilname Der Konfigurationsprofilname ist entweder ungültig, leer oder zu lang. Bearbeiten Sie den Namen des Profils.
Ungültiger Cursor Der Cursor wurde von Apple abgelehnt oder nicht gefunden. Wenden Sie sich an das Intune-Supportteam. Sie können die Synchronisierung mit dem Intune-Dienst erneut versuchen.
Cursor abgelaufen Der Cursor ist auf Seiten von Intune abgelaufen. Wenden Sie sich an das Intune-Supportteam. Sie können die Synchronisierung mit dem Intune-Dienst erneut versuchen.
Erforderlicher Cursor Der Cursor wurde während der Synchronisierung anfangs nicht von Intune festgelegt. Wenden Sie sich an das Intune-Supportteam, um die Synchronisierung zu korrigieren und den Cursor zurückzusetzen.
Apple-Profil nicht gefunden Mehrere mögliche Ursachen Erstellen Sie ein neues Profil, und weisen Sie das Profil Geräten zu.
Ungültiger Abteilungseintrag Der Abteilungsfeldeintrag ist ungültig. Bearbeiten Sie das Abteilungsfeld für Ihre Profile.

Fehler: Fehler beim Hochladen des Registrierungsprogrammtokens

Wenn beim Hochladen des ADE-Tokens ein Fehler auftritt, wird möglicherweise eine Fehlermeldung angezeigt, die der folgenden ähnelt:

Ein Fehler aufgetreten.
Fehler beim Hochladen des Registrierungsprogrammtokens. Anforderungs-ID: AjaxError: ajaxExtended-Aufruf fehlgeschlagen

Führen Sie in diesem Fall die folgenden Schritte aus, um ein neues Token zu erstellen:

  1. Melden Sie sich bei Graph Explorer als Intune-Administrator an.

  2. Führen Sie eine GET Anforderung aus, um die Token im Mandanten aufzulisten, indem Sie die folgende URL verwenden:

    https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings

    Erteilen Sie bei Bedarf die Zustimmung, und führen Sie die Anforderung erneut aus.

  3. Suchen Sie die GUID des Tokens, das erneuert werden muss.

  4. Führen Sie eine GET Anforderung aus, um den öffentlichen Verschlüsselungsschlüssel des Tokens mithilfe der folgenden URL abzurufen:

    https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKey

    Die Antwort sieht wie im folgenden Beispiel aus:

    {
"@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String",
"value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----"
}

  5. Kopieren Sie den Wert aus der Antwort, und erstellen Sie wie folgt eine Textdatei. Speichern Sie dann die Textdatei als PEM-Datei . Beispiel: token.pem.

    Wichtig

    Die Datei enthält drei Zeilen, und die base64-Zeichenfolge enthält keine Linkumbrüche.

    -----BEGIN CERTIFICATE-----
SOMEBASE64STRING==
-----END CERTIFICATE-----

  6. Melden Sie sich bei Apple Business Manager oder Apple School Manager an, und suchen Sie den Tokenserver, der aktualisiert werden muss. Wählen Sie dann Bearbeiten aus.

  7. Laden Sie im Abschnitt MDM-Servereinstellungen die PEM-Datei hoch, und wählen Sie dann Speichern aus.

    Hinweis

    Wenn Sie eine Fehlermeldung erhalten, die angibt, dass das Dateiformat falsch ist, stellen Sie sicher, dass die Datei gemäß Schritt 5 erstellt wurde. Nachdem das Dateiformat festgelegt wurde, schließen Sie die Seite, und wählen Sie erneut Bearbeiten aus.

  8. Wählen Sie Token herunterladen aus, um das neue Token herunterzuladen.

  9. Melden Sie sich bei Intune an, und wählen Sie aus, um das heruntergeladene Token zu aktualisieren.

Andere Fehler und Probleme

Dieser Abschnitt enthält Schritte zur Problembehandlung für diese zusätzlichen Szenarien:

Überprüfen, ob WS-Trust 1.3 aktiviert ist

Für die Registrierung von ADE-Geräten mit Benutzeraffinität muss der WS-Trust 1.3-Endpunkt „Benutzername/Gemischt“ aktiviert sein, um Benutzertoken anfordern zu können. Active Directory aktiviert diesen Endpunkt standardmäßig. Wenn WS-Trust 1.3 nicht aktiviert ist, können iOS/iPadOS-Geräte mit automatischer Geräteregistrierung (Automated Device Enrollment, ADE) nicht registriert werden.

Um eine Liste der aktivierten Endpunkte abzurufen, verwenden Sie das Get-AdfsEndpoint PowerShell-Cmdlet, und suchen Sie nach dem Endpunkt trust/13/UsernameMixed. Beispiel:

Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"

Weitere Informationen finden Sie in der Get-AdfsEndpoint-Dokumentation und unter Bewährte Methoden zum Sichern der Active Directory-Verbunddienste (AD FS). Wenn Sie Hilfe bei der Ermittlung benötigen, ob WS-Trust 1.3 Benutzername/Gemischt in Ihrem Identitätsverbundanbieter aktiviert ist, wenden Sie sich an den Microsoft-Support, falls Sie AD FS verwenden. Wenden Sie sich andernfalls an Ihren Identitätsanbieter.

Workplace Join fehlgeschlagen

Diese Fehlermeldung gibt an, dass die Unternehmensportal-App veraltet oder beschädigt ist.

Lösung:

  1. Entfernen Sie die Unternehmensportal-App vom Gerät.
  2. Laden Sie die Microsoft Intune Unternehmensportal-App vom App Store herunter, und installieren Sie sie.
  3. Registrieren Sie das Gerät erneut.

Benutzername nicht erkannt

Der Fehler „Benutzername nicht erkannt. Dieses Benutzerkonto ist nicht berechtigt, Microsoft Intune zu verwenden. Wenden Sie sich an Ihren Systemadministrator, wenn Sie glauben, dass Sie diese Meldung irrtümlich erhalten haben.“ zeigt an, dass der Benutzer, der versucht, das Gerät zu registrieren, keine gültige Intune-Lizenz hat.

  1. Wechseln Sie zum Microsoft 365 Admin Center, und wählen Sie dann Benutzer>Aktive Benutzer.
  2. Wählen Sie das betroffene Benutzerkonto aus, und klicken Sie auf Produktlizenzen>Bearbeiten.
  3. Stellen Sie sicher, dass diesem Benutzer eine gültige Intune-Lizenz zugewiesen ist.
  4. Registrieren Sie das Gerät erneut.

XPC_TYPE_ERROR Verbindung ungültig

Wenn Sie ein ADE-verwaltetes Gerät einschalten, dem ein Registrierungsprofil zugewiesen ist, schlägt die Registrierung fehl, und Sie erhalten die folgende Fehlermeldung:

asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }

Ursache: Es gibt ein Verbindungsproblem zwischen dem Gerät und dem Apple ADE-Dienst.

Lösung: Beheben Sie das Verbindungsproblem, oder verwenden Sie eine andere Netzwerkverbindung, um das Gerät zu registrieren. Möglicherweise müssen Sie sich auch an Apple wenden, wenn das Problem weiterhin besteht.

Die Konfiguration für Ihr iPhone/iPad konnte nicht von <Firmenname> heruntergeladen werden: Ungültiges Profil

Ursache: Die Registrierung wird durch eine Gerätetypeinschränkung blockiert.

Lösung:

  1. Melden Sie sich beim Microsoft Intune Admin Center>Geräte>Registrieren von Geräten>Registrierungseinschränkungen an.
  2. Wählen Sie unter Gerätetypeinschränkungen die Option Alle Benutzer>Eigenschaften aus.
  3. Wählen Sie Bearbeiten neben den Plattformeinstellungen aus.
  4. Wählen Sie auf der Seite Einschränkung bearbeiten die Option Zulassen für iOS/iPadOS, gehen Sie auf die Seite Überprüfen + Speichern, und wählen Sie dann Speichern.

Die ADE-Registrierung lässt sich nicht starten

Wenn Sie ein ADE-verwaltetes Gerät einschalten, dem ein Registrierungsprofil zugewiesen ist, wird der Intune-Registrierungsprozess nicht initiiert.

Ursache: Das Registrierungsprofil wird erstellt, bevor das ADE-Token in Intune hochgeladen wird.

Lösung:

  1. Bearbeiten Sie das Registrierungsprofil. Sie können beliebige Änderungen am Profil vornehmen. Der Zweck besteht darin, die Änderungszeit des Profils zu aktualisieren.
  2. Von ADE verwaltete Geräte synchronisieren: Wählen Sie im Microsoft Intune Admin CenterGeräte> iOS-RegistrierungSprogrammtoken >füriOS-Registrierung>> Token auswählen Token> jetzt synchronisieren aus. Eine Synchronisierungsanforderung wird an Apple gesendet.

ADE-Registrierung bleibt bei Benutzeranmeldung hängen

Wenn Sie ein ADE-verwaltetes Gerät aktivieren, dem ein Registrierungsprofil zugewiesen ist, bleibt die anfängliche Einrichtung nach der Eingabe der Anmeldeinformationen hängen.

Ursache: Die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) ist aktiviert. Derzeit funktioniert MFA während der Registrierung auf ADE-Geräten nicht.

Lösung: Deaktivieren Sie MFA, und registrieren Sie das Gerät erneut.

Die Authentifizierung wird nicht an die Government-Cloud umgeleitet.

Regierungsbenutzer, die sich von einem anderen Gerät aus anmelden, werden zur Authentifizierung an die öffentliche Cloud und nicht an die Cloud der Regierung umgeleitet.

Ursache: Microsoft Entra ID unterstützt die Umleitung zur Government-Cloud noch nicht, wenn sie sich von einem anderen Gerät aus anmeldet.

Lösung: Verwenden Sie die Einstellung iOS Unternehmensportal Cloud in der App "Einstellungen", um die Authentifizierung von Behördenbenutzern in die Government-Cloud umzuleiten. Standardmäßig ist die Cloud-Einstellung auf Automatisch festgelegt, und das Unternehmensportal leitet die Authentifizierung an die Cloud weiter, die vom Gerät automatisch erkannt wird (z. B. Öffentlich oder Regierung). Regierungsbenutzer, die sich von einem anderen Gerät aus anmelden, müssen manuell die Cloud der Regierung für die Authentifizierung auswählen.

Öffnen Sie die Einstellungs-App, und wählen Sie „Unternehmensportal“ aus. Wählen Sie in den Unternehmensportal Einstellungen Cloud aus. Legen Sie die Cloud auf „Regierung“ fest.