Risoluzione degli errori di registrazione dei dispositivi Microsoft Intune

  • Articolo

Questo articolo consente agli amministratori di Intune di comprendere e risolvere i messaggi di errore durante la registrazione di dispositivi iOS/iPadOS in Intune. Per altri scenari di risoluzione dei problemi generali, consultare Risolvere i problemi di registrazione dei dispositivi in Microsoft Intune.

Errori di registrazione di iOS/iPadOS

La tabella seguente elenca gli errori che gli utenti finali potrebbero visualizzare durante la registrazione dei dispositivi iOS/iPadOS in Intune.

Messaggio di errore Problema Risoluzione
NoEnrollmentPolicy Nessun criterio di registrazione trovato Il certificato del Servizio di notifica Push di Apple (APN) è mancante, non valido o scaduto. Verificare che la registrazione sia stata configurata correttamente e che l'opzione iOS/iPadOS come piattaforma sia abilitata. Per ricevere istruzioni, consultare Configurare la gestione dei dispositivi iOS/iPadOS e Mac, Ottenere un certificato Apple push MDM e Rinnovare il certificato Apple push MDM .
DeviceCapReached Sono già registrati molti dispositivi mobili. L'utente deve rimuovere uno dei dispositivi mobili attualmente registrati dal Portale aziendale prima di registrarne un altro. Consultare le istruzioni dettagliate qui.
Portale aziendale temporaneamente non disponibile L'app del Portale aziendale nel dispositivo non è aggiornata o danneggiata. Rimuovere l'app, convalidare le credenziali utente e quindi reinstallarla. Consultare le istruzioni dettagliate qui.
APNSCertificateNotValid Si è verificato un problema con il certificato che consente al dispositivo mobile di comunicare con la rete aziendale.

 Il Servizio di notifica Push di Apple (APN) fornisce un canale per contattare i dispositivi iOS/iPadOS registrati. La registrazione avrà esito negativo e verrà visualizzato questo messaggio se:
  • I passaggi per ottenere un certificato APN non sono stati completati, oppure
  • il certificato APN è scaduto.
Esaminare le informazioni su come impostare gli utenti in Sincronizzare Active Directory e aggiungere utenti a Intune e Organizzare utenti e dispositivi.
AccountNotOnboarded Si è verificato un problema con il certificato che consente al dispositivo mobile di comunicare con la rete aziendale. La registrazione avrà esito negativo e verrà visualizzato questo messaggio se:
  • I passaggi per ottenere un certificato APN non sono stati completati, oppure
  • il certificato APN è scaduto.
Rinnovare il certificato APN e quindi registrare nuovamente il dispositivo.
Importante: assicurarsi di rinnovare il certificato APN. Non sostituire il certificato APN. Se si sostituisce il certificato, è necessario registrare nuovamente tutti i dispositivi iOS/iPadOS in Intune. Per Intune autonomo, consultare Rinnovare il certificato Apple push MDM. Per Microsoft 365, consultare Creare un certificato APN per dispositivi iOS.
DeviceTypeNotSupported L'utente potrebbe aver tentato di eseguire la registrazione utilizzando un dispositivo non iOS. Il tipo di dispositivo mobile che si sta tentando di registrare non è supportato.

Verificare che il dispositivo esegua iOS/iPadOS versione 8.0 o successiva.

 Assicurarsi che il dispositivo dell'utente esegua iOS/iPadOS versione 8.0 o successiva.
UserLicenseTypeInvalid Il dispositivo non può essere registrato perché l'account dell'utente non è ancora membro di un gruppo di utenti richiesto o l'utente non dispone della licenza corretta.

 Gli utenti devono avere il tipo di licenza corretto per l'autorità di gestione dei dispositivi mobili. Ad esempio, questo errore verrà visualizzato se Intune è stato impostato come autorità MDM, ma l'utente ha una licenza di System Center 2012 R2 Configuration Manager.
Consultare Configurare la gestione di iOS/iPadOS e Mac con Microsoft Intune e le informazioni su come impostare gli utenti in Sincronizzare Active Directory e aggiungere utenti a Intune e Organizzare utenti e dispositivi.
MdmAuthorityNotDefined L'autorità di gestione dei dispositivi mobili non è stata definita in Intune.

 L'autorità di gestione dei dispositivi mobili non è stata definita in Intune.

Esaminare l'elemento 1 nella sezione Passaggio 6: registrare i dispositivi mobili e installare un'app in Introduzione a una versione di valutazione di 30 giorni di Microsoft Intune.

Errori del token di sincronizzazione tra Intune e ADE

Questa sezione include gli errori di sincronizzazione dei token correlati alla registrazione automatica dei dispositivi (ADE) di Apple:

  • Apple Business Manager (ABM)
  • Apple School Manager (ASM)
Messaggio di errore Causa Soluzione
Token scaduto o non valido Il token può essere scaduto, revocato o in formato non corretto. I token scaduti possono essere rinnovati, mentre quelli non validi dovranno avere un nuovo token creato in Intune.
Il nuovo token può essere usato in un server MDM esistente in Apple Business Manager o Apple School Manager: modifica delle > impostazioni > del server MDM Caricare la chiave pubblica
accesso negato Intune non riesce più a comunicare con Apple. Ad esempio, Intune è stato rimosso dall'elenco dei server MDM in Apple Business Manager o Apple School Manager. Probabilmente il token è scaduto. 1. Verificare se il token è scaduto e se ne è stato creato uno nuovo.
2. Verificare se Intune si trova nell'elenco dei server MDM
Termini e condizioni non accettati I nuovi termini e condizioni (T&C) devono essere accettati in Apple Business Manager o Apple School Manager. Accettare il nuovo T&C in Apple Apple Business Manager o nel portale Apple School Manager.
Nota: Questa operazione deve essere eseguita da un utente con il ruolo di amministratore in Apple Business Manager o Apple School Manager.
Errore interno del server. È necessaria un'ulteriore analisi Contattare il team di supporto di Intune, perché sono necessari log aggiuntivi
Numero di telefono del supporto non valido Il numero di telefono del supporto non è valido. Modificare il numero di telefono del supporto per i profili.
Nome del profilo di configurazione non valido Il nome del profilo di configurazione non è valido, vuoto o troppo lungo. Immettere il nome del profilo.
Il cursore non è valido Il cursore è stato rifiutato da Apple oppure non è stato trovato. Contattare il team di supporto di Intune. Il team di supporto può riprovare la sincronizzazione dal servizio Intune.
Il cursore è scaduto Il cursore è scaduto sul lato di Intune. Contattare il team di supporto di Intune. Il team di supporto può riprovare la sincronizzazione dal servizio Intune.
Il cursore è obbligatorio Il cursore non è stato inizialmente impostato da Intune durante la sincronizzazione. Contattare il team di supporto di Intune per correggere la sincronizzazione e restituire il cursore.
Il profilo Apple non è stato trovato Più cause possibili Creare un nuovo profilo e assegnarlo ai dispositivi.
Voce del reparto non valida La voce del campo del reparto non è valida Modificare il campo reparto per i profili.

Errore: errore durante il caricamento del token del programma di registrazione

Se il caricamento del token ADE non riesce, potrebbe essere visualizzato un messaggio di errore simile al seguente:

Si è verificato un errore.
Errore durante il caricamento del token del programma di registrazione. ID richiesta: AjaxError: chiamata ajaxExtended non riuscita

In questo caso, provare la procedura seguente per creare un nuovo token:

  1. Accedere a Graph Explorer come amministratore Intune.

  2. Eseguire una GET richiesta per enumerare i token nel tenant usando l'URL seguente:

    https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings

    Se necessario, concedere il consenso ed eseguire nuovamente la richiesta.

  3. Trovare il GUID del token che deve essere rinnovato.

  4. Eseguire una GET richiesta per ottenere la chiave di crittografia pubblica del token usando l'URL seguente:

    https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKey

    La risposta è simile all'esempio seguente:

    {
"@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String",
"value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----"
}

  5. Copiare il valore dalla risposta e creare un file di testo come indicato di seguito. Salvare quindi il file di testo come file con estensione pem . Ad esempio, token.pem.

    Importante

    Il file contiene tre righe e nella stringa base64 non sono presenti interruzioni di collegamento.

    -----BEGIN CERTIFICATE-----
SOMEBASE64STRING==
-----END CERTIFICATE-----

  6. Accedere ad Apple Business Manager o Apple School Manager e trovare il server token che deve essere aggiornato. Selezionare quindi Modifica.

  7. Nella sezione Impostazioni server MDM caricare il file con estensione pem e quindi selezionare Salva.

    Nota

    Se viene visualizzato un messaggio di errore che indica che il formato del file non è corretto, assicurarsi che il file venga creato in base al passaggio 5. Dopo aver corretto il formato del file, chiudere la pagina e selezionare di nuovo Modifica .

  8. Selezionare Scarica token per scaricare il nuovo token.

  9. Accedere a Intune e selezionare per aggiornare il token scaricato.

Altri errori e problemi

Questa sezione illustra la procedura di risoluzione dei problemi per questi scenari aggiuntivi:

Verificare che WS-Trust 1.3 sia abilitato

Per registrare i dispositivi ADE con affinità utente è necessario abilitare WS-Trust 1.3 Username/Mixed endpoint per richiedere token utente. Active Directory abilita questo endpoint per impostazione predefinita. Se WS-Trust 1.3 non è abilitato, non è possibile registrare i dispositivi iOS/iPadOS con registrazione automatica del dispositivo (ADE).

Per ottenere un elenco di endpoint abilitati, usare il Get-AdfsEndpoint cmdlet di PowerShell e cercare l'endpoint trust/13/UsernameMixed. Ad esempio:

Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"

Per maggiori informazioni, consultare la documentazione di Get-AdfsEndpoint e Procedure consigliate per la protezione di Active Directory Federation Services. Per ricevere assistenza su come determinare se WS-Trust 1.3 Username/Mixed è abilitato nel provider di federazione delle identità e si utilizza AD FS, contattare il supporto tecnico Microsoft. In caso contrario, contattare il fornitore di identità di terze parti.

Impossibile aggiungere alla rete aziendale

Questo errore indica che l'app del Portale aziendale non è aggiornata o è danneggiata.

Soluzione:

  1. Rimuovere l'app del Portale aziendale dal dispositivo.
  2. Scaricare e installare l'app Portale aziendale di Microsoft Intune dall'App Store.
  3. Registrare nuovamente il dispositivo.

Nome utente non riconosciuto

L'errore "Nome utente non riconosciuto. Questo account utente non è autorizzato a utilizzare Microsoft Intune. Contattare l'amministratore di sistema se si ritiene di aver ricevuto questo messaggio per errore." Indica che l'utente che sta tentando di registrare il dispositivo non dispone di una licenza di Intune valida.

  1. Andare sull'Interfaccia di amministrazione di Microsoft 365 e quindi scegliere Utenti>Utenti attivi.
  2. Selezionare l'account utente interessato e quindi scegliere Licenze del prodotto>Modifica.
  3. Verificare che all'utente sia assegnata una licenza di Intune valida.
  4. Registrare nuovamente il dispositivo.

Connessione non valida XPC_TYPE_ERROR

Quando si attiva un dispositivo gestito da ADE a cui è assegnato un profilo di registrazione, la registrazione non riesce e viene visualizzato il messaggio di errore seguente:

asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }

Causa: si è verificato un problema di connessione tra il dispositivo e il servizio Apple ADE.

Soluzione: risolvere il problema di connessione o utilizzare una connessione di rete diversa per registrare il dispositivo. Se il problema persiste, è possibile contattare Apple.

La configurazione per l'iPhone/iPad non può essere scaricata da <Nome azienda>: profilo non valido

Causa: la registrazione è bloccata da una restrizione del tipo di dispositivo.

Soluzione:

  1. Accedere all'interfaccia di amministrazione> Microsoft IntuneDispositivi>Registrare i dispositivi>Restrizioni di registrazione.
  2. In Restrizioni del tipo di dispositivo, selezionare Tutti gli utenti>.Proprietà.
  3. Selezionare Modifica accanto alle impostazioni della piattaforma.
  4. Nella pagina Modifica restrizione, selezionare Consenti per iOS/iPadOS, passare alla pagina Rivedi e salva e quindi selezionare Salva.

La registrazione ADE non viene avviata

Quando si attiva un dispositivo gestito da ADE a cui è assegnato un profilo di registrazione, il processo di registrazione di Intune non viene avviato.

Causa: il profilo di registrazione viene creato prima che il token ADE venga caricato su Intune.

Soluzione:

  1. Modificare il profilo di registrazione. È possibile apportare qualsiasi modifica al profilo. Lo scopo è quello di aggiornare l'ora di modifica del profilo.
  2. Sincronizzare i dispositivi gestiti da ADE: nell'interfaccia di amministrazione Microsoft Intune scegliere Dispositivi>iOS iOS>>Enrollment program tokens> choose a token Sync now (Sincronizza token).> Una richiesta di sincronizzazione viene inviata ad Apple.

Registrazione ADE bloccata all'accesso utente

Quando si attiva un dispositivo gestito da ADE a cui è assegnato un profilo di registrazione, la configurazione iniziale si blocca dopo aver immesso le credenziali.

Causa: è abilitata l'autenticazione a più fattori (MFA). Attualmente l'autenticazione a più fattori non funziona durante la registrazione nei dispositivi ADE.

Soluzione: disabilitare l'autenticazione a più fattori e quindi registrare nuovamente il dispositivo.

L'autenticazione non viene reindirizzata al cloud per enti pubblici

Gli utenti di enti pubblici che eseguono l'accesso da un altro dispositivo vengono reindirizzati al cloud pubblico per l'autenticazione anziché al cloud per enti pubblici.

Causa: Microsoft Entra ID non supporta ancora il reindirizzamento al cloud per enti pubblici quando si accede da un altro dispositivo.

Soluzione: Usare l'impostazione iOS Portale aziendale Cloud nell'app Impostazioni per reindirizzare l'autenticazione degli utenti pubblici verso il cloud per enti pubblici. Per impostazione predefinita, l'impostazione Cloud è impostata su Automatico e il Portale aziendale indirizza l'autenticazione verso il cloud rilevato automaticamente dal dispositivo (ad esempio Pubblico o Enti pubblici). Gli utenti pubblici che accedono da un altro dispositivo dovranno selezionare manualmente il cloud per enti pubblici per l'autenticazione.

Aprire l'app Impostazioni e selezionare Portale aziendale. Nelle impostazioni del Portale aziendale, selezionare Cloud. Impostare il Cloud su Enti pubblici.