Résolution des erreurs d’inscription d’appareils iOS/iPadOS dans Microsoft Intune

Cet article aide les administrateurs Intune à comprendre et à résoudre les problèmes lors de l’inscription d’appareils iOS/iPadOS dans Intune. Pour obtenir des scénarios de dépannage généraux et supplémentaires, consultez l’article Résolution des problèmes d’inscription des appareils dans Intune.

Erreurs d’inscription iOS/iPadOS

Le tableau suivant répertorie les erreurs que les utilisateurs finaux peuvent voir lors de l’inscription d’appareils iOS/iPadOS dans Intune.

Message d’erreur	Problème	Résolution
NoEnrollmentPolicy	Aucune stratégie d’inscription trouvée	Le certificat APPLE Push Notification Service (APN) est manquant, non valide ou expiré. Vérifiez que l’inscription a été configurée correctement et que iOS/iPadOS en tant que plateforme est activée. Pour obtenir des instructions, consultez Configurer la gestion des appareils iOS/iPadOS et Mac, obtenir un certificat Push MDM Apple et renouveler un certificat Push MDM Apple.
DeviceCapReached	Un trop grand nombre d’appareils mobiles sont déjà inscrits.	L’utilisateur doit supprimer l’un de ses appareils mobiles actuellement inscrits à partir du portail d’entreprise avant d’inscrire un autre appareil. Pour obtenir des instructions détaillées, consultez cet article.
Le portail d’entreprise est temporairement indisponible	L’application Portail d’entreprise sur l’appareil est obsolète ou endommagée.	Supprimez l’application, validez les informations d’identification de l’utilisateur, puis réinstallez l’application. Pour obtenir des instructions détaillées, consultez cet article.
APNSCertificateNotValid	Il existe un problème avec le certificat qui permet à l’appareil mobile de communiquer avec le réseau de votre entreprise.	Le service de notification Push Apple (APN) fournit un canal pour contacter les appareils iOS/iPadOS inscrits. L’inscription échoue et ce message s’affiche si : Les étapes d’obtention d’un certificat APN n’ont pas été effectuées, ou Le certificat APNs a expiré. Passez en revue les informations sur la configuration des utilisateurs dans Sync Active Directory et ajoutez des utilisateurs à Intune et organisez des utilisateurs et des appareils.
AccountNotOnboarded	Il existe un problème avec le certificat qui permet à l’appareil mobile de communiquer avec le réseau de votre entreprise. L’inscription échoue et ce message s’affiche si : Les étapes d’obtention d’un certificat APN n’ont pas été effectuées, ou Le certificat APNs a expiré.
Renouvelez le certificat APNs, puis réinscrivez l’appareil. Important : assurez-vous de renouveler le certificat APN. Ne remplacez pas le certificat APNs. Si vous remplacez le certificat, vous devez réinscrire tous les appareils iOS/iPadOS dans Intune. Pour Intune autonome, consultez Renouveler un certificat Push MDM Apple. Pour Microsoft 365, consultez Créer un certificat APNs pour les appareils iOS.
DeviceTypeNotSupported	L’utilisateur a peut-être essayé d’inscrire à l’aide d’un appareil non iOS. Le type d’appareil mobile que vous essayez d’inscrire n’est pas pris en charge. Vérifiez que l’appareil exécute iOS/iPadOS version 8.0 ou ultérieure.	Vérifiez que l’appareil de votre utilisateur exécute iOS/iPadOS version 8.0 ou ultérieure.
UserLicenseTypeInvalid	L’appareil ne peut pas être inscrit, car le compte de l’utilisateur n’est pas encore membre d’un groupe d’utilisateurs requis ou que l’utilisateur n’a pas la licence appropriée.	Les utilisateurs doivent avoir le type de licence approprié pour l’autorité de gestion des appareils mobiles. Par exemple, ils verront cette erreur si Intune a été défini comme autorité MDM, mais que l’utilisateur dispose d’une licence System Center 2012 R2 Configuration Manager. Passez en revue La configuration de la gestion iOS/iPadOS et Mac avec Microsoft Intune et des informations sur la configuration des utilisateurs dans Sync Active Directory et l’ajout d’utilisateurs à Intune et l’organisation d’utilisateurs et d’appareils.
MdmAuthorityNotDefined	L’autorité de gestion des appareils mobiles n’a pas été définie.	L’autorité de gestion des appareils mobiles n’a pas été définie dans Intune. Passez en revue l’élément 1 à l’étape 6 : Inscrire des appareils mobiles et installer une section d’application dans Prise en main d’une version d’évaluation de 30 jours de Microsoft Intune.

Erreurs de jeton de synchronisation entre Intune et ADE

Cette section inclut les erreurs de synchronisation de jetons liées à l’inscription automatisée des appareils Apple (ADE) :

• Apple Business Manager (ABM)
• Apple School Manager (ASM)

Message d’erreur	Cause	Solution
Jeton expiré ou non valide	Le jeton peut être expiré, révoqué ou mal formé.	Renouvelez le jeton. Si vous rencontrez des problèmes lors du renouvellement du jeton, contactez l’équipe du support technique Intune, car vous devrez peut-être utiliser une nouvelle clé publique sur le serveur MDM existant dans Apple Business Manager ou Apple School Manager : Préférences>les paramètres>du serveur MDM chargent la clé publique.
Accès refusé	Intune ne peut plus parler à Apple. Par exemple, Intune a été supprimé de la liste des serveurs MDM dans Apple Business Manager ou Apple School Manager. Le jeton a peut-être expiré.	1. Vérifiez si votre jeton a expiré et si un nouveau jeton a été créé. 2. Vérifiez si Intune se trouve dans la liste des serveurs MDM
Conditions générales non acceptées	Les nouvelles conditions générales (T&C) doivent être acceptées dans Apple Business Manager ou Apple School Manager.	Acceptez le nouveau T&C dans Apple Apple Business Manager ou Apple School Manager Portal. Remarque : Cela doit être effectué par un utilisateur disposant du rôle Administrateur dans Apple Business Manager ou Apple School Manager.
Erreur interne du serveur	Besoin d’un examen approfondi	Contactez l’équipe de support Intune, car des journaux supplémentaires sont nécessaires
Numéro de téléphone de support non valide	Le numéro de téléphone du support n’est pas valide.	Modifiez le numéro de téléphone de support pour vos profils.
Nom du profil de configuration non valide	Le nom du profil de configuration n’est pas valide, vide ou trop long.	Modifiez le nom du profil.
Curseur non valide	Le curseur a été rejeté par Apple ou introuvable.	Contactez l’équipe du support technique Intune. Ils peuvent réessayer la synchronisation à partir du service Intune.
Le curseur a expiré	Le curseur a expiré sur le côté d’Intune.	Contactez l’équipe du support technique Intune. Ils peuvent réessayer la synchronisation à partir du service Intune.
Curseur requis	Le curseur n’a pas été initialement défini par Intune pendant la synchronisation.	Contactez l’équipe du support technique Intune pour corriger la synchronisation et retourner le curseur.
Profil Apple introuvable	Causes multiples possibles	Créez un profil et attribuez-le aux appareils.
Entrée de service non valide	L’entrée de champ de service n’est pas valide	Modifiez le champ de service pour vos profils.

Erreur : une erreur s’est produite lors du chargement du jeton du programme d’inscription

Si le chargement du jeton ADE échoue, un message d’erreur semblable à ce qui suit peut s’afficher :

Une erreur est survenue.
Une erreur s’est produite lors du chargement du jeton du programme d’inscription. ID de demande : AjaxError : échec de l’appel ajaxExtended

Dans ce cas, essayez les étapes suivantes pour créer un jeton :

1. Connectez-vous à l’Explorateur Graph en tant qu’administrateur Intune.

2. Exécutez une GET demande pour énumérer les jetons dans le locataire à l’aide de l’URL suivante :

   https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings

   Si nécessaire, accordez le consentement et réexécutez la demande.

3. Recherchez le GUID du jeton qui doit être renouvelé.

4. Exécutez une GET demande pour obtenir la clé de chiffrement publique du jeton à l’aide de l’URL suivante :

   https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKey

   La réponse ressemble à l’exemple suivant :

   {
   "@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String",
   "value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----"
   }
   

5. Copiez la valeur de la réponse et créez un fichier texte comme suit. Ensuite, enregistrez le fichier texte en tant que fichier .pem . Par exemple, token.pem.

   Important

   Le fichier contient trois lignes et il n’existe aucun saut de lien dans la chaîne base64.

   -----BEGIN CERTIFICATE-----
   SOMEBASE64STRING==
   -----END CERTIFICATE-----
   

6. Connectez-vous à Apple Business Manager ou Apple School Manager et recherchez le serveur de jetons à mettre à jour. Ensuite, sélectionnez Modifier.

7. Dans la section Paramètres du serveur MDM, chargez le fichier .pem, puis sélectionnez Enregistrer.

   Note

   Si vous recevez un message d’erreur indiquant que le format de fichier est incorrect, vérifiez que le fichier est créé à l’étape 5. Une fois le format de fichier résolu, fermez la page et sélectionnez Modifier à nouveau.

8. Sélectionnez Télécharger le jeton pour télécharger le nouveau jeton.

9. Connectez-vous à Intune et sélectionnez cette option pour actualiser le jeton téléchargé.

Autres erreurs et problèmes

Cette section fournit des étapes de résolution des problèmes pour ces scénarios supplémentaires :

• Vérifier que WS-Trust 1.3 est activé
• Échec de la jointure de l’espace de travail
• Nom d’utilisateur non reconnu
• connexion XPC_TYPE_ERROR non valide
• Impossible de télécharger la configuration... Profil non valide
• L’inscription ADE ne démarre pas
• Inscription ADE bloquée lors de la connexion de l’utilisateur
• L’authentification ne redirige pas vers le cloud public

Vérifier que WS-Trust 1.3 est activé

L’inscription d’appareils ADE avec affinité utilisateur nécessite que le point de terminaison WS-Trust 1.3 Username/Mixed soit activé pour demander des jetons utilisateur. Active Directory active ce point de terminaison par défaut. Si WS-Trust 1.3 n’est pas activé, les appareils iOS/iPadOS automatisés (ADE) ne peuvent pas être inscrits.

Pour obtenir la liste des points de terminaison activés, utilisez l’applet Get-AdfsEndpoint de commande PowerShell et recherchez le point de terminaison trust/13/UsernameMixed. Par exemple :

Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"

Pour plus d’informations, consultez la documentation Get-AdfsEndpoint et les meilleures pratiques pour sécuriser services de fédération Active Directory (AD FS). Pour obtenir de l’aide pour déterminer si WS-Trust 1.3 Username/Mixed est activé dans votre fournisseur de fédération d’identité, contactez Support Microsoft si vous utilisez AD FS. Sinon, contactez votre fournisseur d’identité tiers.

Échec de la jointure de l’espace de travail

Cette erreur indique que l’application Portail d’entreprise est obsolète ou endommagée.

Solution :

1. Supprimez l’application Portail d’entreprise de l’appareil.
2. Téléchargez et installez l’application Portail d’entreprise Microsoft Intune à partir de l’App Store.
3. Réinscrivez l’appareil.

Nom d’utilisateur non reconnu

Erreur « Nom d’utilisateur non reconnu. Ce compte d’utilisateur n’est pas autorisé à utiliser Microsoft Intune. Contactez votre administrateur système si vous pensez avoir reçu ce message en erreur. » indique que l’utilisateur qui tente d’inscrire l’appareil n’a pas de licence Intune valide.

1. Accédez au Centre d’administration Microsoft 365, puis choisissez Utilisateurs actifs utilisateurs>.
2. Sélectionnez le compte d’utilisateur concerné, puis choisissez Modifier les licences>de produit.
3. Vérifiez qu’une licence Intune valide est affectée à cet utilisateur.
4. Réinscrivez l’appareil.

connexion XPC_TYPE_ERROR non valide

Lorsque vous activez un appareil géré par ADE qui reçoit un profil d’inscription, l’inscription échoue et vous recevez le message d’erreur suivant :

asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }

Cause : Il existe un problème de connexion entre l’appareil et le service Apple ADE.

Solution : corrigez le problème de connexion ou utilisez une autre connexion réseau pour inscrire l’appareil. Vous devrez peut-être également contacter Apple si le problème persiste.

La configuration de votre iPhone/iPad n’a pas pu être téléchargée à partir du nom> de <la société : profil non valide

Cause : l’inscription est bloquée par une restriction de type d’appareil.

Solution :

1. Connectez-vous aux appareils>du Centre>d’administration Microsoft Intune Inscrire les restrictions d’inscription des appareils.>
2. Sous Restrictions de type d’appareil, sélectionnez Toutes les propriétés des utilisateurs>.
3. Sélectionnez Modifier en regard des paramètres de la plateforme.
4. Dans la page Modifier la restriction , sélectionnez Autoriser pour iOS/iPadOS , puis passez à la page Vérifier + enregistrer , puis sélectionnez Enregistrer.

L’inscription ADE ne démarre pas

Lorsque vous activez un appareil géré par ADE auquel un profil d’inscription est attribué, le processus d’inscription Intune n’est pas lancé.

Cause : le profil d’inscription est créé avant le chargement du jeton ADE dans Intune.

Solution :

1. Modifiez le profil d’inscription. Vous pouvez apporter n’importe quelle modification au profil. L’objectif est de mettre à jour l’heure de modification du profil.
2. Synchroniser les appareils gérés par ADE : dans le Centre d’administration Microsoft Intune, choisissez Appareils>iOS iOS>Inscription>program tokens> choose a token >Sync now. Une demande de synchronisation est envoyée à Apple.

Inscription ADE bloquée lors de la connexion de l’utilisateur

Lorsque vous activez un appareil géré par ADE auquel un profil d’inscription est attribué, la configuration initiale est conservée après avoir entré les informations d’identification.

Cause : L’authentification multifacteur (MFA) est activée. Actuellement, l’authentification multifacteur ne fonctionne pas lors de l’inscription sur les appareils ADE si la méthode d’authentification est définie sur l’Assistant Configuration (hérité) .

Solution : désactivez l’authentification multifacteur, puis réinscrivez l’appareil. Vous pouvez également remplacer la méthode d’authentification par l’Assistant Configuration avec l’authentification moderne.

L’authentification ne redirige pas vers le cloud public

Les utilisateurs gouvernementaux qui se connectent à partir d’un autre appareil sont redirigés vers le cloud public pour l’authentification plutôt que vers le cloud public.

Cause : Microsoft Entra ID ne prend pas encore en charge la redirection vers le cloud gouvernemental lors de la connexion à partir d’un autre appareil.

Solution : utilisez le paramètre Cloud du portail d’entreprise iOS dans l’application Paramètres pour rediriger l’authentification des utilisateurs du gouvernement vers le cloud gouvernemental. Par défaut, le paramètre Cloud est défini sur Automatique et Portail d’entreprise dirige l’authentification vers le cloud détecté automatiquement par l’appareil (par exemple, Public ou Gouvernement). Les utilisateurs gouvernementaux qui se connectent à partir d’un autre appareil doivent sélectionner manuellement le cloud gouvernemental pour l’authentification.

Ouvrez l’application Paramètres et sélectionnez Portail d’entreprise. Dans les paramètres du portail d’entreprise, sélectionnez Cloud. Définissez le cloud sur Government.

• Erreurs globales de synchronisation des jetons
• Erreurs de création de profil