Устранение неполадок с регистрацией устройств с iOS/iPadOS в Windows Intune

Эта статья поможет администраторам Intune понять и устранить сообщения об ошибках при регистрации устройств с iOS/iPadOS в Intune. Дополнительные общие сценарии устранения неполадок см. в разделе Устранение неполадок с регистрацией устройств в Microsoft Intune.

Ошибки регистрации устройств с iOS/iPadOS

В следующей таблице перечислены ошибки, которые могут возникнуть у конечных пользователей при регистрации устройств с iOS/iPadOS в Intune.

Сообщение об ошибке	Проблема	Решение
NoEnrollmentPolicy	Политика регистрации не найдена	Сертификат службы push-уведомлений Apple (APN) отсутствует, недопустим или просрочен. Убедитесь, что регистрация настроена правильно и что iOS/iPadOS как платформа включена. Инструкции см. в разделе "Настройка управления устройствами с iOS/iPadOS и Mac", "Получение сертификата push-уведомлений Apple MDM" и "Продление сертификата push-уведомлений Apple MDM".
DeviceCapReached	Слишком много мобильных устройств уже зарегистрировано.	Пользователь должен удалить одно из зарегистрированных в настоящее время мобильных устройств из корпоративного портала перед регистрацией другого. Подробные инструкции см. здесь.
Корпоративный портал временно недоступен	Причина: приложение корпоративного портала на устройстве устарело или было повреждено.	Удалите приложение, проверьте учетные данные пользователя, а затем повторно установите приложение. Подробные инструкции см. здесь.
APNSCertificateNotValid	Возникла проблема с сертификатом, который позволяет мобильному устройству взаимодействовать с сетью вашей компании.	Служба push-уведомлений Apple (APN) предоставляет канал для связи с зарегистрированным устройством с iOS/iPadOS. Регистрация завершится ошибкой, и это сообщение появится, если: действия, необходимые для получения сертификата APNs, не выполнены или срок действия сертификата истек. Ознакомьтесь с информацией о том, как настроить пользователей в Sync Active Directory и добавить пользователей Intune и упорядочить пользователей и устройства.
AccountNotOnboarded	Возникла проблема с сертификатом, который позволяет мобильному устройству взаимодействовать с сетью вашей компании. Регистрация завершится ошибкой, и это сообщение появится, если: действия, необходимые для получения сертификата APNs, не выполнены или срок действия сертификата истек.
Обновите сертификат APNs, а затем повторно зарегистрируйте устройство. Важно. Убедитесь, что вы продлевали сертификат APNs. Не заменяйте сертификат APNs. При замене сертификата необходимо повторно зарегистрировать все устройства с iOS/iPadOS в Intune. Информацию по Intune в автономном режиме см. в статье Продление сертификата push-уведослений Apple MDM. Сведения о Microsoft 365 см. в статье "Создание сертификата APNs для устройств iOS".
DeviceTypeNotSupported	Возможно, пользователь пытался зарегистрироваться с помощью устройства, отличного от iOS. Тип мобильного устройства, которое вы пытаетесь зарегистрировать, не поддерживается. Убедитесь, что устройство работает под управлением iOS/iPadOS версии 8.0 или более поздней.	Убедитесь, что устройство пользователя работает под управлением iOS/iPadOS версии 8.0 или более поздней.
UserLicenseTypeInvalid	Устройство не может быть зарегистрировано, так как учетная запись пользователя еще не является участником требуемой группы пользователей или у пользователя нет правильной лицензии.	Пользователи должны иметь лицензию для центра управления мобильными устройствами правильного типа. Например, эта ошибка возникает, если Intune в качестве центра MDM, но у пользователя есть лицензия System Center 2012 R2 Configuration Manager. Ознакомьтесь со сведениями о настройке управления iOS/iPadOS и Mac с помощью Microsoft Intune и сведений о том, как настроить пользователей в Sync Active Directory, добавить пользователей в Intune и упорядочить пользователей и устройства.
MdmAuthorityNotDefined	Причина. В Intune не определена служба управления мобильными устройствами.	Причина. В Intune не определена служба управления мобильными устройствами. Просмотрите элемент 1 на шаге 6. Регистрация мобильных устройств и установка раздела приложения в разделе Начало работы с 30-дневной пробной версией Microsoft Intune.

Ошибки маркера синхронизации между Intune и ADE

В этом разделе содержатся ошибки синхронизации маркеров, связанные с автоматической регистрацией устройств Apple (ADE):

• Apple Business Manager (ABM)
• Apple School Manager (ASM)

Сообщение об ошибке	Причина	Решение
Просроченный или недействительный токен	Срок действия маркера может быть истекшим, он может быть отозван или неправильно сформирован.	Маркеры с истекшим сроком действия могут быть обновлены, а недопустимый маркер должен быть заменен на новый маркер, созданный в Intune. Новый маркер можно использовать на существующем сервере MDM в Apple Business Manager или Apple School Manager: изменить параметр > Параметры > сервера MDM Отправить открытый ключ
Отказано в доступе	Intune больше не может общаться с Apple. Например, Intune удалены из списка серверов MDM в Apple Business Manager или Apple School Manager. Возможно, срок действия маркера истек.	1. Проверьте, истек ли срок действия маркера и был ли создан новый маркер. 2. Проверьте, есть ли Intune в списке серверов MDM.
Условия не приняты	Новые условия (T&C) должны быть приняты в Apple Business Manager или Apple School Manager.	Примите новый T&C в Apple Apple Business Manager или на портале Apple School Manager. Примечание: Это должен сделать пользователь с ролью администратора в Apple Business Manager или Apple School Manager.
Внутренняя ошибка сервера.	Требуется дальнейшее исследование	Обратитесь в службу поддержки Intune, так как требуются дополнительные журналы.
Недопустимый номер телефона службы поддержки	Недопустимый номер телефона службы поддержки.	Измените номер телефона службы поддержки для своих профилей.
Недопустимое имя профиля конфигурации	Имя профиля конфигурации является недопустимым, незаполненным или слишком длинным.	Введите название профиля.
Недопустимый курсор	Курсор был отклонен Apple или не найден.	Обратитесь в службу поддержки Intune. Они могут повторить синхронизацию из службы Intune.
Срок действия курсора истек	Срок действия курсора истек на стороне Intune.	Обратитесь в службу поддержки Intune. Они могут повторить синхронизацию из службы Intune.
Обязательный курсор	Курсор изначально не был задан Intune во время синхронизации.	Обратитесь в службу поддержки Intune, чтобы исправить синхронизацию и вернуть курсор.
Профиль Apple не найден	Это может быть по нескольким причинам	Создайте новый профиль и назначьте его устройствам.
Недопустимая запись отдела	Недопустимая запись в поле отдела	Измените поле отдела для профилей.

Ошибка: произошла ошибка при отправке маркера программы регистрации

Если отправка маркера ADE завершается сбоем, может появиться сообщение об ошибке, похожее на следующее:

Ошибка.
Произошла ошибка при отправке маркера программы регистрации. Идентификатор запроса: AjaxError: сбой вызова ajaxExtended

В этом случае выполните следующие действия, чтобы создать новый маркер:

1. Войдите в Graph Обозреватель с правами администратора Intune.

2. GET Выполните запрос на перечисление маркеров в клиенте, используя следующий URL-адрес:

   https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings

   При необходимости предоставьте согласие и повторно выполните запрос.

3. Найдите GUID маркера, который необходимо обновить.

4. GET Выполните запрос на получение открытого ключа шифрования маркера, используя следующий URL-адрес:

   https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKey

   Ответ выглядит следующим образом:

   {
   "@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String",
   "value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----"
   }
   

5. Скопируйте значение из ответа и создайте текстовый файл следующим образом. Затем сохраните текстовый файл как PEM-файл . Например, token.pem.

   Важно!

   Файл содержит три строки, и разрывы ссылок в строке base64 отсутствуют.

   -----BEGIN CERTIFICATE-----
   SOMEBASE64STRING==
   -----END CERTIFICATE-----
   

6. Войдите в Apple Business Manager или Apple School Manager и найдите сервер маркеров, который необходимо обновить. Затем выберите Изменить.

7. В разделе Параметры сервера MDM отправьте PEM-файл и нажмите кнопку Сохранить.

   Примечание.

   Если появляется сообщение об ошибке с неправильным форматом файла, убедитесь, что файл создан в соответствии с шагом 5. После исправления формата файла закройте страницу и снова нажмите кнопку Изменить .

8. Выберите Скачать токен , чтобы скачать новый маркер.

9. Войдите в Intune и выберите, чтобы обновить скачанный маркер.

Другие ошибки и проблемы

В этом разделе описаны действия по устранению неполадок для следующих дополнительных сценариев:

• Убедитесь, что включен WS-Trust 1.3
• Не удалось присоединиться к рабочему месту
• Имя пользователя не распознано
• XPC_TYPE_ERROR недопустимое подключение
• Не удалось скачать конфигурацию... Недопустимый профиль
• Регистрация ADE не запускается
• Регистрация ADE зависла при входе пользователя
• Проверка подлинности не перенаправляется в облако для государственных организаций

Убедитесь, что включен WS-Trust 1.3

Для регистрации устройств ADE с сопоставлением пользователей для запроса маркеров пользователя требуется включить конечную точку WS-Trust 1.3 в режиме Username/Mixed (Имя пользователя/смешаный). Active Directory включает эту конечную точку по умолчанию. Если WS-Trust 1.3 не включен, регистрация устройств iOS и iPadOS с помощью автоматической регистрации устройств (ADE) не поддерживается.

Чтобы получить список включенных конечных точек, используйте Get-AdfsEndpoint командлет PowerShell и найдите конечную точку trust/13/UsernameMixed. Например:

Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"

Дополнительные сведения см. в документации по Get-AdfsEndpoint и рекомендациях по защите служб федерации Active Directory (AD FS). Чтобы определить, включен ли WS-Trust 1.3 в режиме username/Mixed в поставщике федерации удостоверений, обратитесь к служба поддержки Майкрософт, если вы используете AD FS. В противном случае обратитесь к стороннему поставщику удостоверений.

Не удалось присоединится к рабочему месту

Эта ошибка указывает, что приложение Корпоративный портал устарело или повреждено.

Решение:

1. Удалите приложение Корпоративный портал с устройства.
2. Скачайте и установите Корпоративный портал Microsoft Intuneиз App Store.
3. Повторно зарегистрируйте устройство.

Имя пользователя не распознано

Ошибка "Имя пользователя не распознано. Эта учетная запись пользователя не имеет прав на использование Microsoft Intune. Обратитесь к системному администратору, если вы считаете, что получили это сообщение по ошибке. " Указывает, что пользователь, пытающийся зарегистрировать устройство, не имеет действительной лицензии на Intune.

1. Перейдите в Центр администрирования Microsoft 365 и выберите "Пользователи>Активные пользователи".
2. Выберите затронутую учетную запись пользователя, а затем нажмите Лицензии на продукт>Изменить.
3. Убедитесь, что пользователю назначена действительная лицензия Intune.
4. Повторно зарегистрируйте устройство.

XPC_TYPE_ERROR недопустимое подключение

При включении устройства под управлением ADE, назначенного профилю регистрации, происходит сбой регистрации, и вы получаете следующее сообщение об ошибке:

asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }

Причина. Возникла проблема с подключением устройства к службе Apple ADE.

Решение. Устраните проблему с подключением или используйте другое сетевое подключение для регистрации устройства. Если проблема не устранилась, возможно потребоваться перезапустить контроллер домена.

Не удалось скачать конфигурацию для iPhone/iPad из <раздела Название> компании: Недопустимый профиль

Причина. Регистрация блокируется из-за ограничения типа устройства.

Решение:

1. Войдитев центр >администрирования Microsoft IntuneУстройства >Регистрация устройств>Ограничения регистрации.
2. В разделе Ограничения типа устройства выберите Все пользователи>Свойства.
3. Выберите Изменить рядом с Параметры платформы.
4. На странице Изменение ограничений выберитеРазрешить для iOS/iPadOS и перейдите на страницу Просмотр и сохранение , а затем нажмите Сохранить.

Регистрация ADE не запускается

При включении устройства под управлением ADE, назначенного профилю регистрации, процесс регистрации Intune не инициируется.

Причина. Профиль регистрации создан до отправки маркера ADE в Intune.

Решение:

1. Измените профиль регистрации. Вы можете внести любое изменение в профиль. Цель — обновить время изменения профиля.
2. Синхронизация устройств, управляемых ADE. В центре администрирования Microsoft Intune выберите Устройства>iOSРегистрацияiOS>Токены> программы регистрации > выберите токен >Синхронизировать сейчас. Запрос на синхронизацию отправляется в Apple.

Процесс регистрации ADE зависает при входе пользователя

При включении устройства под управлением ADE, назначенного профилю регистрации, процесс начальной настройки зависает после ввода учетных данных.

Причина. Включена многофакторная проверка подлинности (MFA). В настоящее время MFA не работает во время регистрации на устройствах ADE.

Решение. Отключите MFA, а затем повторно зарегистрируйте устройство.

Проверка подлинности не перенаправляется в облако для государственных организаций

Пользователи из государственных организаций, которые выполняют вход с другого устройства, перенаправляются в общедоступное облако для проверки подлинности, а не в облако для государственных организаций.

Причина. Microsoft Entra ID еще не поддерживает перенаправление в облако для государственных организаций при входе с другого устройства.

Решение: Используйте параметр iOS Корпоративный портал облако в приложении "Параметры", чтобы перенаправить проверку подлинности пользователей из государственных организаций в облако для государственных организаций. По умолчанию для параметра Облако задано значение Автоматически, и Корпоративный портал направляет проверку подлинности в облако, которое автоматически обнаруживается устройством (например, общедоступное или для государственных организаций). Пользователям из государственных организаций, которые выполняют вход с другого устройства, потребуется вручную выбрать облако для государственных организаций для проверки подлинности.

Откройте приложение Настройки и выберите «Корпоративный портал». В разделе параметров Корпоративного портала выберите Облако. Задайте для облака значение «Для государственных организаций».

• Общие ошибки синхронизации маркеров
• Ошибки при создании профиля