Condividi tramite

Risoluzione degli errori di registrazione dei dispositivi iOS/iPadOS in Microsoft Intune

  • Articolo

Questo articolo aiuta gli amministratori di Intune a comprendere e risolvere i problemi durante la registrazione dei dispositivi iOS/iPadOS in Intune. Per altri scenari di risoluzione dei problemi generali, consultare Risolvere i problemi di registrazione dei dispositivi in Microsoft Intune.

Errori di registrazione iOS/iPadOS

La tabella seguente elenca gli errori visualizzati dagli utenti finali durante la registrazione dei dispositivi iOS/iPadOS in Intune.

Messaggio d'errore Problema Risoluzione
NoEnrollmentPolicy Nessun criterio di registrazione trovato Il certificato apple Push Notification Service (APN) manca, non è valido o è scaduto. Verificare che la registrazione sia stata configurata correttamente e che iOS/iPadOS come piattaforma sia abilitata. Per istruzioni, vedere Configurare la gestione dei dispositivi iOS/iPadOS e Mac, Ottenere un certificato push MDM Apple e Rinnovare il certificato push MDM Apple.
DeviceCapReached Troppi dispositivi mobili sono già registrati. L'utente deve rimuovere uno dei dispositivi mobili attualmente registrati dal Portale aziendale prima di registrare un altro. Vedere le istruzioni dettagliate qui.
Portale aziendale temporaneamente non disponibile L'app Portale aziendale nel dispositivo non è aggiornata o danneggiata. Rimuovere l'app, convalidare le credenziali utente e quindi installare nuovamente l'app. Vedere le istruzioni dettagliate qui.
APNSCertificateNotValid Si è verificato un problema con il certificato che consente al dispositivo mobile di comunicare con la rete aziendale.

 Apple Push Notification Service (APN) fornisce un canale per contattare i dispositivi iOS/iPadOS registrati. La registrazione avrà esito negativo e questo messaggio verrà visualizzato se:
  • La procedura per ottenere un certificato APN non è stata completata o
  • Il certificato APN è scaduto.
Esaminare le informazioni su come configurare gli utenti in Sync Active Directory e aggiungere utenti a Intune e organizzare utenti e dispositivi.
AccountNotOnboarded Si è verificato un problema con il certificato che consente al dispositivo mobile di comunicare con la rete aziendale. La registrazione avrà esito negativo e questo messaggio verrà visualizzato se:
  • La procedura per ottenere un certificato APN non è stata completata o
  • Il certificato APN è scaduto.
Rinnovare il certificato APN e quindi registrare nuovamente il dispositivo.
Importante: assicurarsi di rinnovare il certificato APN. Non sostituire il certificato APN. Se si sostituisce il certificato, è necessario registrare nuovamente tutti i dispositivi iOS/iPadOS in Intune. Per la versione autonoma di Intune, vedere Rinnovare il certificato push MDM apple. Per Microsoft 365, vedere Creare un certificato APN per i dispositivi iOS.
DeviceTypeNotSupported L'utente potrebbe aver tentato di eseguire la registrazione usando un dispositivo non iOS. Il tipo di dispositivo mobile che si sta tentando di registrare non è supportato.

Verificare che il dispositivo esegua iOS/iPadOS versione 8.0 o successiva.

 Assicurarsi che il dispositivo dell'utente esegua iOS/iPadOS versione 8.0 o successiva.
UserLicenseTypeInvalid Il dispositivo non può essere registrato perché l'account dell'utente non è ancora membro di un gruppo di utenti richiesto o l'utente non ha la licenza corretta.

 Gli utenti devono avere il tipo di licenza corretto per l'autorità di gestione dei dispositivi mobili. Ad esempio, verrà visualizzato questo errore se Intune è stato impostato come autorità MDM, ma l'utente ha una licenza di System Center 2012 R2 Configuration Manager.
Vedere Configurare la gestione di iOS/iPadOS e Mac con Microsoft Intune e informazioni su come configurare gli utenti in Sync Active Directory e aggiungere utenti a Intune e organizzare utenti e dispositivi.
MdmAuthorityNotDefined L'autorità di gestione dei dispositivi mobili non è stata definita.

 L'autorità di gestione dei dispositivi mobili non è stata impostata in Intune.

Esaminare l'elemento 1 nella sezione Passaggio 6: Registrare i dispositivi mobili e installare un'app in Introduzione a una versione di valutazione di 30 giorni di Microsoft Intune.

Errori del token di sincronizzazione tra Intune e ADE

Questa sezione include gli errori di sincronizzazione dei token correlati alla registrazione automatica dei dispositivi (ADE) di Apple:

  • Apple Business Manager (ABM)
  • Apple School Manager (ASM)
Messaggio di errore Causa Soluzione
Token scaduto o non valido Il token può essere scaduto, revocato o non valido. Rinnovare il token. Se si verificano problemi di rinnovo del token, contattare il team di supporto di Intune, perché potrebbe essere necessario usare una nuova chiave pubblica nel server MDM esistente in Apple Business Manager o Apple School Manager: Preferenze Impostazioni>>server MDM Carica chiave pubblica.
Accesso negato Intune non può più parlare con Apple. Ad esempio, Intune è stato rimosso dall'elenco dei server MDM in Apple Business Manager o Apple School Manager. Il token è probabilmente scaduto. 1. Verificare se il token è scaduto e se è stato creato un nuovo token.
2. Verificare se Intune è incluso nell'elenco dei server MDM
Termini e condizioni non accettati I nuovi termini e condizioni (T&C) devono essere accettati in Apple Business Manager o Apple School Manager. Accettare il nuovo T&C nel portale Apple Business Manager o Apple School Manager.
Nota: questa operazione deve essere eseguita da un utente con il ruolo Amministratore in Apple Business Manager o Apple School Manager.
Errore interno del server Richiede ulteriori indagini Contattare il team di supporto di Intune, perché sono necessari log aggiuntivi
Numero di telefono del supporto non valido Il numero di telefono del supporto non è valido. Modificare il numero di telefono del supporto per i profili.
Nome del profilo di configurazione non valido Il nome del profilo di configurazione non è valido, vuoto o troppo lungo. Modificare il nome del profilo.
Cursore non valido Il cursore è stato rifiutato da Apple o non è stato trovato. Contattare il team di supporto di Intune. Possono riprovare a eseguire la sincronizzazione dal servizio Intune.
Cursore scaduto Il cursore è scaduto sul lato di Intune. Contattare il team di supporto di Intune. Possono riprovare a eseguire la sincronizzazione dal servizio Intune.
Cursore obbligatorio Il cursore non è stato inizialmente impostato da Intune durante la sincronizzazione. Contattare il team di supporto di Intune per correggere la sincronizzazione e restituire il cursore.
Profilo Apple non trovato Cause multiple possibili Creare un nuovo profilo e assegnare il profilo ai dispositivi.
Voce del reparto non valida La voce del campo del reparto non è valida Modificare il campo reparto per i profili.

Errore: si è verificato un errore durante il caricamento del token del programma di registrazione

Se il caricamento del token ADE non riesce, potrebbe essere visualizzato un messaggio di errore simile al seguente:

Si è verificato un errore.
Errore durante il caricamento del token del programma di registrazione. ID richiesta: AjaxError: chiamata ajaxExtended non riuscita

In questo caso, provare i passaggi seguenti per creare un nuovo token:

  1. Accedere a Graph Explorer come amministratore di Intune.

  2. Eseguire una GET richiesta per enumerare i token nel tenant usando l'URL seguente:

    https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings

    Se necessario, concedere il consenso ed eseguire nuovamente la richiesta.

  3. Trovare il GUID del token che deve essere rinnovato.

  4. Eseguire una GET richiesta per ottenere la chiave di crittografia pubblica del token usando l'URL seguente:

    https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKey

    La risposta è simile all'esempio seguente:

    {
"@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String",
"value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----"
}

  5. Copiare il valore dalla risposta e creare un file di testo come indicato di seguito. Salvare quindi il file di testo come file con estensione pem . Ad esempio, token.pem.

    Importante

    Il file contiene tre righe e non sono presenti interruzioni di collegamento nella stringa base64.

    -----BEGIN CERTIFICATE-----
SOMEBASE64STRING==
-----END CERTIFICATE-----

  6. Accedere ad Apple Business Manager o Apple School Manager e trovare il server token che deve essere aggiornato. Selezionare quindi Modifica.

  7. Nella sezione Impostazioni server MDM caricare il file con estensione pem e quindi selezionare Salva.

    Note

    Se viene visualizzato un messaggio di errore che indica che il formato del file non è corretto, assicurarsi che il file venga creato in base al passaggio 5. Dopo aver corretto il formato del file, chiudere la pagina e selezionare di nuovo Modifica .

  8. Selezionare Scarica token per scaricare il nuovo token.

  9. Accedere a Intune e selezionare per aggiornare il token scaricato.

Altri errori e problemi

Questa sezione illustra la procedura di risoluzione dei problemi per questi scenari aggiuntivi:

Verificare che WS-Trust 1.3 sia abilitato

La registrazione dei dispositivi ADE con affinità utente richiede l'abilitazione dell'endpoint nome utente/misto WS-Trust 1.3 per richiedere i token utente. Active Directory abilita questo endpoint per impostazione predefinita. Se WS-Trust 1.3 non è abilitato, i dispositivi iOS/iPadOS (Automated Device Enrollment) non possono essere registrati.

Per ottenere un elenco di endpoint abilitati, usare il Get-AdfsEndpoint cmdlet di PowerShell e cercare l'endpoint trust/13/UsernameMixed. Ad esempio:

Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"

Per altre informazioni, vedere la documentazione di Get-AdfsEndpoint e Procedure consigliate per la protezione di Active Directory Federation Services. Per informazioni su come determinare se WS-Trust 1.3 Username/Mixed è abilitato nel provider di federazione delle identità, contattare supporto tecnico Microsoft se si usa AD FS. In caso contrario, contattare il fornitore di identità di terze parti.

Aggiunta all'area di lavoro non riuscita

Questo errore indica che l'app Portale aziendale non è aggiornata o danneggiata.

Soluzione:

  1. Rimuovere l'app Portale aziendale dal dispositivo.
  2. Scaricare e installare l'app Microsoft Portale aziendale Intune da App Store.
  3. Registrare nuovamente il dispositivo.

Nome utente non riconosciuto

Errore "Nome utente non riconosciuto. Questo account utente non è autorizzato a usare Microsoft Intune. Se si ritiene di aver ricevuto questo messaggio di errore, contattare l'amministratore di sistema." indica che l'utente che sta tentando di registrare il dispositivo non dispone di una licenza di Intune valida.

  1. Passare alla interfaccia di amministrazione di Microsoft 365 e quindi scegliere Utenti>attivi.
  2. Selezionare l'account utente interessato e quindi scegliere Licenze>prodotto Modifica.
  3. Verificare che a questo utente sia assegnata una licenza di Intune valida.
  4. Registrare nuovamente il dispositivo.

connessione XPC_TYPE_ERROR non valida

Quando si attiva un dispositivo gestito da ADE a cui è assegnato un profilo di registrazione, la registrazione ha esito negativo e viene visualizzato il messaggio di errore seguente:

asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }

Causa: si verifica un problema di connessione tra il dispositivo e il servizio Apple ADE.

Soluzione: risolvere il problema di connessione o usare una connessione di rete diversa per registrare il dispositivo. Potrebbe anche essere necessario contattare Apple se il problema persiste.

Impossibile scaricare la configurazione per l'iPhone/iPad da <Nome> società: Profilo non valido

Causa: la registrazione è bloccata da una restrizione del tipo di dispositivo.

Soluzione:

  1. Accedere all'interfaccia >di amministrazione di Microsoft Intune Dispositivi>Registrare le restrizioni di registrazione dei dispositivi.>
  2. In Restrizioni relative al tipo di dispositivo selezionare Tutte le proprietà degli utenti>.
  3. Selezionare Modifica accanto alle impostazioni della piattaforma.
  4. Nella pagina Modifica restrizione selezionare Consenti per iOS/iPadOS e passare alla pagina Rivedi e salva , quindi selezionare Salva.

La registrazione di Active Directory non viene avviata

Quando si attiva un dispositivo gestito da ADE a cui è assegnato un profilo di registrazione, il processo di registrazione di Intune non viene avviato.

Causa: il profilo di registrazione viene creato prima del caricamento del token ADE in Intune.

Soluzione:

  1. Modificare il profilo di registrazione. È possibile apportare qualsiasi modifica al profilo. Lo scopo è aggiornare l'ora di modifica del profilo.
  2. Sincronizzare i dispositivi gestiti da ADE: nell'interfaccia di amministrazione di Microsoft Intune scegliere Dispositivi>i token> del programma di registrazione>iOS per iOS>scegliere ora sincronizzazione >token. Viene inviata una richiesta di sincronizzazione ad Apple.

Registrazione di Active Directory bloccata all'account di accesso utente

Quando si attiva un dispositivo gestito da ADE a cui viene assegnato un profilo di registrazione, la configurazione iniziale si applica dopo aver immesso le credenziali.

Causa: Multi-Factor Authentication (MFA) è abilitato. Attualmente, L'autenticazione a più fattori non funziona durante la registrazione nei dispositivi ADE se il metodo di autenticazione è impostato su Assistente configurazione (legacy).

Soluzione: disabilitare l'autenticazione a più fattori e quindi registrare nuovamente il dispositivo. In alternativa, modificare il metodo di autenticazione impostando Assistente configurazione con l'autenticazione moderna.

L'autenticazione non reindirizza al cloud per enti pubblici

Gli utenti pubblici che eseguono l'accesso da un altro dispositivo vengono reindirizzati al cloud pubblico per l'autenticazione anziché al cloud per enti pubblici.

Causa: Microsoft Entra ID non supporta ancora il reindirizzamento al cloud per enti pubblici durante l'accesso da un altro dispositivo.

Soluzione: usare l'impostazione iOS Portale aziendale Cloud nell'app Impostazioni per reindirizzare l'autenticazione degli utenti pubblici verso il cloud per enti pubblici. Per impostazione predefinita, l'impostazione Cloud è impostata su Automatico e Portale aziendale indirizza l'autenticazione verso il cloud rilevata automaticamente dal dispositivo (ad esempio Pubblico o Enti pubblici). Gli utenti per enti pubblici che eseguono l'accesso da un altro dispositivo dovranno selezionare manualmente il cloud per enti pubblici per l'autenticazione.

Aprire l'app Impostazioni e selezionare Portale aziendale. Nelle impostazioni Portale aziendale selezionare Cloud. Impostare Cloud su Government.