Solución de problemas de errores de inscripción de dispositivos iOS/iPadOS en Microsoft Intune

  • Artículo

Este artículo ayuda a los administradores de Intune a comprender y solucionar problemas de mensajes de error al inscribir dispositivos iOS/iPadOS en Intune. Consulte Solucionar problemas de inscripción de dispositivos en Microsoft Intune para ver escenarios de solución de problemas generales adicionales.

Errores de inscripción de iOS/iPadOS

En la tabla siguiente se enumeran los errores que pueden ver los usuarios finales al inscribir dispositivos iOS/iPadOS en Intune.

Mensaje de error Problema Solución
NoEnrollmentPolicy No se encontró ninguna directiva de inscripción Falta el certificado del Servicio de notificaciones push (APN) de Apple, no es válido o ha expirado. Compruebe que la inscripción se ha configurado correctamente y que iOS/iPadOS como plataforma está habilitado. Para obtener instrucciones, consulte Inscripción de dispositivos iOS/iPadOS en Intune, Obtener certificado push MDM de Apple y Renovar un certificado push MDM de Apple.
DeviceCapReached Ya hay demasiados dispositivos móviles inscritos. El usuario debe quitar uno de sus dispositivos móviles inscritos actualmente de el portal de empresa antes de inscribir otro. Consulte las instrucciones detalladas aquí.
Portal de empresa no disponible temporalmente La aplicación Portal de empresa del dispositivo está obsoleta o dañada. Quite la aplicación, valide las credenciales de usuario y vuelva a instalarla. Consulte las instrucciones detalladas aquí.
APNSCertificateNotValid Hay un problema con el certificado que permite que el dispositivo móvil se comunique con la red de su empresa.

 El Servicio de notificaciones push de Apple (APN) proporciona un canal para ponerse en contacto con los dispositivos iOS/iPadOS inscritos. Se producirá un error en la inscripción y este mensaje aparecerá en los siguientes casos:
  • No se completaron los pasos para obtener un certificado APNs.
  • El certificado digital ha expirado.
Consulte la información sobre cómo configurar usuarios en Sincronizar Active Directory y agregar usuarios a Intune y Agregar grupos para organizar usuarios y dispositivos.
AccountNotOnboarded Hay un problema con el certificado que permite que el dispositivo móvil se comunique con la red de su empresa. Se producirá un error en la inscripción y este mensaje aparecerá en los siguientes casos:
  • No se completaron los pasos para obtener un certificado APNs.
  • El certificado digital ha expirado.
Renueve el certificado de APNs y vuelva a inscribir el dispositivo.
Importante: Asegúrese de renovar el certificado de APNs. No reemplace el certificado de APNs. Si reemplaza el certificado, tendrá que volver a inscribir todos los dispositivos iOS/iPadOS en Intune. Para obtener Intune independiente, consulte Renovar un certificado push MDM de Apple. Para Microsoft 365, consulte Crear certificados de APN para dispositivos iOS.
DeviceTypeNotSupported Es posible que el usuario haya intentado inscribirse con un dispositivo que no sea iOS. No se admite el tipo de dispositivo móvil que intenta inscribir.

Confirme que el dispositivo ejecuta iOS/iPadOS versión 8.0 o posterior.

 Asegúrese de que el dispositivo del usuario ejecuta iOS/iPadOS versión 8.0 o posterior.
UserLicenseTypeInvalid El dispositivo no se puede inscribir porque la cuenta del usuario aún no es miembro de un grupo de usuarios necesario o el usuario no tiene la licencia correcta.

 Los usuarios deben tener el tipo de licencia correcto para la autoridad de administración de dispositivos móviles. Por ejemplo, verá este error si Intune se ha establecido como entidad de MDM, pero el usuario tiene una licencia de System Center 2012 R2 Configuration Manager.
Consulte Inscripción de dispositivos iOS/iPadOS en Intune y la información sobre cómo configurar usuarios en Sincronizar Active Directory y agregar usuarios a Intune y Agregar grupos para organizar usuarios y dispositivos.
MdmAuthorityNotDefined La autoridad de administración de dispositivos móviles no se ha definido en Intune.

 La autoridad de administración de dispositivos móviles no se ha definido en Intune.

Revise el elemento 1 en la sección Paso 6: Inscribir dispositivos móviles e instalar una aplicación en Inicio rápido: Prueba gratuita de Microsoft Intune.

Errores de token de sincronización entre Intune y ADE

Esta sección incluye errores de sincronización de tokens relacionados con la inscripción automatizada de dispositivos (ADE) de Apple:

  • Apple Business Manager (ABM)
  • Apple School Manager (ASM)
Mensaje de error Causa Solución
Errores de token expirado o no válido El token puede haber expirado, haberse revocado o tener un formato incorrecto. Los tokens expirados se pueden renovar. Para los tokens no válidos, se debe volver a crear un token en Intune.
El nuevo token se puede usar en un servidor MDM existente en Apple Business Manager o Apple School Manager: editar la opción > Configuración del > servidor MDM Cargar clave pública
Acceso denegado Intune ya no puede comunicarse con Apple. Por ejemplo, Intune se ha quitado de la lista de servidores MDM de Apple Business Manager o Apple School Manager. Es posible que el token haya expirado. 1. Compruebe si el token ha expirado y si se ha creado un nuevo token.
2. Compruebe si Intune está en la lista de servidores MDM.
Términos y condiciones no aceptados Los nuevos términos y condiciones (T&C) deben aceptarse en Apple Business Manager o Apple School Manager. Acepte el nuevo T&C en Apple Business Manager o en el Portal de Apple School Manager.
Nota: Esto lo debe hacer un usuario con el rol Administrador en Apple Business Manager o Apple School Manager.
Error interno del servidor. Necesita más investigación Póngase en contacto con el equipo de soporte técnico de Intune, ya que se necesitan registros adicionales.
Número de teléfono de soporte técnico no válido El número de teléfono de soporte técnico no es válido. Edite el número de teléfono de soporte técnico para los perfiles.
Nombre del perfil de configuración no válido El nombre del perfil de configuración no es válido, está vacío o es demasiado largo. Edite el nombre del perfil.
Cursor no válido Apple rechazó el cursor o no lo encontró. Póngase en contacto con el equipo de soporte técnico de Intune. Pueden volver a intentar la sincronización desde el servicio Intune.
Cursor expirado El cursor ha expirado en el lado de Intune. Póngase en contacto con el equipo de soporte técnico de Intune. Pueden volver a intentar la sincronización desde el servicio Intune.
Cursor necesario El cursor no se estableció inicialmente por Intune durante la sincronización. Póngase en contacto con el equipo de soporte técnico de Intune para corregir la sincronización y devolver el cursor.
No se encontró el perfil de Apple Varias causas posibles Cree un nuevo perfil y asígnelo a los dispositivos.
Entrada de departamento no válida La entrada de campo de departamento no es válida Edite el campo de departamento de los perfiles.

Error: Error al cargar el token del programa de inscripción

Si se produce un error en la carga del token de ADE, es posible que vea un mensaje de error similar al siguiente:

Se produjo un error.
Error al cargar el token del programa de inscripción. Identificador de solicitud: AjaxError: error en la llamada a ajaxExtended

En este caso, pruebe los pasos siguientes para crear un nuevo token:

  1. Inicie sesión en el Explorador de Graph como administrador de Intune.

  2. Ejecute una GET solicitud para enumerar los tokens en el inquilino mediante la siguiente dirección URL:

    https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings

    Si es necesario, conceda el consentimiento y vuelva a ejecutar la solicitud.

  3. Busque el GUID del token que debe renovarse.

  4. Ejecute una GET solicitud para obtener la clave de cifrado pública del token mediante la siguiente dirección URL:

    https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKey

    La respuesta es similar al ejemplo siguiente:

    {
"@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String",
"value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----"
}

  5. Copie el valor de la respuesta y cree un archivo de texto como se indica a continuación. A continuación, guarde el archivo de texto como un archivo .pem . Por ejemplo, token.pem.

    Importante

    El archivo contiene tres líneas y no hay saltos de vínculo en la cadena base64.

    -----BEGIN CERTIFICATE-----
SOMEBASE64STRING==
-----END CERTIFICATE-----

  6. Inicie sesión en Apple Business Manager o Apple School Manager y busque el servidor de tokens que debe actualizarse. A continuación, seleccione Editar.

  7. En la sección Configuración del servidor MDM , cargue el archivo .pem y, a continuación, seleccione Guardar.

    Nota:

    Si recibe un mensaje de error que indica que el formato de archivo es incorrecto, asegúrese de que el archivo se crea según el paso 5. Una vez corregido el formato de archivo, cierre la página y seleccione Editar de nuevo.

  8. Seleccione Descargar token para descargar el nuevo token.

  9. Inicie sesión en Intune y seleccione actualizar el token descargado.

Otros errores y problemas

En esta sección se proporcionan pasos de solución de problemas para estos escenarios adicionales:

Comprobar que WS-Trust 1.3 está habilitado

La inscripción de dispositivos ADE con afinidad de usuario requiere que el punto de conexión Username/Mixed WS-Trust 1.3 esté habilitado para solicitar tokens de usuario. Active Directory habilita este punto de conexión de forma predeterminada. Si WS-Trust 1.3 no está habilitado, no se pueden inscribir dispositivos iOS/iPadOS de inscripción automatizada de dispositivos (ADE).

Para obtener una lista de puntos de conexión habilitados, use el Get-AdfsEndpoint cmdlet de PowerShell y busque el punto de conexión trust/13/UsernameMixed. Por ejemplo:

Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"

Para obtener más información, consulte la documentación de Get-AdfsEndpoint y Procedimientos recomendados para proteger los Servicios de federación de Active Directory. Si desea obtener ayuda para determinar si WS-Trust 1.3 Username/Mixed está habilitado en el proveedor de federación de identidades, póngase en contacto con el Soporte técnico de Microsoft si usa AD FS. De lo contrario, póngase en contacto con el proveedor de identidades externo.

Error al unirse al área de trabajo

Este error indica que la aplicación Portal de empresa está obsoleta o dañada.

Solución:

  1. Quite la aplicación Portal de empresa del dispositivo.
  2. Descargue e instale la aplicación Portal de empresa de Microsoft Intune desde App Store.
  3. Vuelva a inscribir el dispositivo.

Nombre de usuario no reconocido

Error "Nombre de usuario no reconocido. Esta cuenta de usuario no está autorizada para usar Microsoft Intune. Póngase en contacto con el administrador del sistema si cree que ha recibido este mensaje por error" indica que el usuario que está intentando inscribir el dispositivo no dispone de una licencia de Intune válida.

  1. Vaya al Centro de administración de Microsoft 365 y elija Usuarios>Usuarios activos.
  2. Seleccione la cuenta de usuario afectada y elija Licencias de producto>Editar.
  3. Compruebe que se ha asignado una licencia de Intune válida a este usuario.
  4. Vuelva a inscribir el dispositivo.

XPC_TYPE_ERROR Conexión no válida

Al activar un dispositivo administrado por ADE al que se le asigna un perfil de inscripción, se produce un error en la inscripción y se recibe el siguiente mensaje de error:

asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }

Causa: Hay un problema de conexión entre el dispositivo y el servicio Apple ADE.

Solución: Corrija el problema de conexión o use una conexión de red diferente para inscribir el dispositivo. Si el problema persiste, es recomendable reiniciar el controlador de dominio.

No se ha podido descargar la configuración para su iPhone/iPad de <Nombre de la empresa>: Perfil no válido.

Causa: La inscripción está bloqueada por una restricción de tipo de dispositivo.

Solución:

  1. Inicie sesión en el centro > de administración de Microsoft IntuneDispositivos>de inscripción de dispositivos>Restricciones de inscripción.
  2. En Restricciones de tipo de dispositivo, seleccione Todos los usuarios>Propiedades.
  3. Seleccione Editar junto a Configuración de la plataforma.
  4. En la página Editar restricción, seleccione Permitir para iOS/iPadOS, continúe con la página Revisar y guardar y luego seleccione Guardar.

La inscripción de ADE no se inicia

Cuando se activa un dispositivo administrado por ADE al que se asigna un perfil de inscripción, no se inicia el proceso de inscripción de Intune.

Causa: El perfil de inscripción se crea antes de cargar el token de ADE en Intune.

Solución:

  1. Edite el perfil de inscripción. Puede realizar cualquier cambio en el perfil. El propósito es actualizar la hora de modificación del perfil.
  2. Sincronizar dispositivos administrados por ADE: en el centro de administración de Microsoft Intune, elija Dispositivos> los tokens > delprograma de inscripción> deiOS>iOSelija un token >Sincronizar ahora. Se envía una solicitud de sincronización a Apple.

Inscripción de ADE bloqueada en el inicio de sesión del usuario

Cuando se activa un dispositivo administrado por ADE al que se asigna un perfil de inscripción, la configuración inicial se bloquea después de escribir las credenciales.

Causa: La autenticación multifactor (MFA) está habilitada. Actualmente MFA no funciona durante la inscripción en dispositivos ADE.

Solución: Deshabilite MFA y vuelva a inscribir el dispositivo.

La autenticación no redirige a la nube gubernamental

Los usuarios de administración pública que inician sesión desde otro dispositivo se redirigen a la nube pública para la autenticación en lugar de a la nube de administración pública.

Causa: Microsoft Entra ID aún no admite la redirección a la nube gubernamental al iniciar sesión desde otro dispositivo.

Solución: Use la configuración de iOS Portal de empresa Cloud en la aplicación Configuración para redirigir la autenticación de los usuarios gubernamentales hacia la nube gubernamental. De forma predeterminada, la configuración Nube se establece en Automático y Portal de empresa dirige la autenticación hacia la nube que detecta automáticamente el dispositivo (como Pública o Administración pública). Los usuarios de administración pública que inicien sesión desde otro dispositivo deberán seleccionar manualmente la nube de administración pública para la autenticación.

Abra la aplicación Configuración y seleccione Portal de empresa. En la configuración de Portal de empresa, seleccione Nube. Establezca la opción Nube en Administración pública.