Устранение неполадок при регистрации устройств iOS/iPadOS в Microsoft Intune

В этой статье администраторы Intune понимают и устраняют неполадки при регистрации устройств iOS/iPadOS в Intune. Дополнительные общие сценарии устранения неполадок см. в разделе Устранение неполадок с регистрацией устройств в Microsoft Intune.

Ошибки регистрации iOS/iPadOS

В следующей таблице перечислены ошибки, которые пользователи могут видеть при регистрации устройств iOS/iPadOS в Intune.

Сообщение об ошибке	Проблема	Решение
NoEnrollmentPolicy	Политика регистрации не найдена	Сертификат Службы push-уведомлений Apple (APNs) отсутствует, недопустим или истек. Убедитесь, что регистрация настроена правильно и включена платформа iOS/iPadOS. Инструкции см. в статье "Настройка управления устройствами iOS/iPadOS и Mac", получение сертификата push-отправки Apple MDM и продление push-сертификата Apple MDM.
DeviceCapReached	Слишком много мобильных устройств уже зарегистрировано.	Пользователь должен удалить одно из зарегистрированных мобильных устройств из Корпоративный портал перед регистрацией другого. Ознакомьтесь с подробными инструкциями.
Корпоративный портал временно недоступен	Приложение Корпоративный портал на устройстве устарело или повреждено.	Удалите приложение, проверьте учетные данные пользователя, а затем устраните приложение. Ознакомьтесь с подробными инструкциями.
APNSCertificateNotValid	Существует проблема с сертификатом, который позволяет мобильному устройству взаимодействовать с сетью вашей компании.	Служба push-уведомлений Apple (APNs) предоставляет канал для связи с зарегистрированными устройствами iOS/iPadOS. Регистрация завершится ошибкой, и это сообщение появится, если: Действия по получении сертификата APNs не были завершены или Срок действия сертификата APNs истек. Просмотрите сведения о настройке пользователей в Sync Active Directory и добавлении пользователей в Intune и организации пользователей и устройств.
AccountNotOnboarded	Существует проблема с сертификатом, который позволяет мобильному устройству взаимодействовать с сетью вашей компании. Регистрация завершится ошибкой, и это сообщение появится, если: Действия по получении сертификата APNs не были завершены или Срок действия сертификата APNs истек.
Обновите сертификат APNs, а затем повторно зарегистрируйте устройство. Важно. Убедитесь, что вы продлеваете сертификат APNs. Не заменяйте сертификат APNs. При замене сертификата необходимо повторно зарегистрировать все устройства iOS/iPadOS в Intune. Сведения об автономном сертификате Intune см. в разделе "Продление push-сертификата Apple MDM". Сведения о Microsoft 365 см. в статье "Создание сертификата APNs для устройств iOS".
DeviceTypeNotSupported	Возможно, пользователь попытался зарегистрировать с помощью устройства, отличного от iOS. Тип мобильного устройства, который вы пытаетесь зарегистрировать, не поддерживается. Убедитесь, что устройство работает под управлением iOS/iPadOS версии 8.0 или более поздней.	Убедитесь, что устройство пользователя работает под управлением iOS/iPadOS версии 8.0 или более поздней.
UserLicenseTypeInvalid	Устройство не может быть зарегистрировано, так как учетная запись пользователя еще не является членом обязательной группы пользователей или у пользователя нет правильной лицензии.	У пользователей должен быть правильный тип лицензии для центра управления мобильными устройствами. Например, эта ошибка будет отображаться, если Intune задан как центр MDM, но у пользователя есть лицензия System Center 2012 R2 Configuration Manager. Ознакомьтесь с разделом "Настройка управления iOS/iPadOS и Mac" с помощью Microsoft Intune и сведения о настройке пользователей в Sync Active Directory и добавлении пользователей в Intune и организации пользователей и устройств.
MdmAuthorityNotDefined	Центр управления мобильными устройствами не определен.	Центр управления мобильными устройствами не был установлен в Intune. Просмотрите элемент #1 на шаге 6. Зарегистрируйте мобильные устройства и установите раздел приложения в разделе "Начало работы с 30-дневной пробной версией Microsoft Intune".

Ошибки маркера синхронизации между Intune и ADE

В этом разделе содержатся ошибки синхронизации маркеров, связанные с регистрацией автоматических устройств Apple (ADE):

• Apple Business Manager (ABM)
• Apple School Manager (ASM)

Сообщение об ошибке	Причина	Решение
Истек срок действия или недопустимый маркер	Маркер может быть просроченным, отозванным или неправильным.	Продление маркера. Если у вас возникли проблемы с продлением маркера, обратитесь в службу поддержки Intune, так как вам может потребоваться использовать новый открытый ключ на существующем сервере MDM в Apple Business Manager или Apple School Manager: настройки>параметров>сервера MDM Upload Public Key.
Доступ запрещен	Intune больше не может говорить с Apple. Например, Intune удален из списка серверов MDM в Apple Business Manager или Apple School Manager. Возможно, срок действия маркера истек.	1. Проверьте, истек ли срок действия маркера и был ли создан новый маркер. 2. Проверьте, находится ли Intune в списке серверов MDM
Условия не принимаются	Новые условия (T&C) должны приниматься в Apple Business Manager или Apple School Manager.	Примите новые T&C на портале Apple Business Manager или Apple School Manager. Примечание. Это необходимо сделать пользователем с ролью администратора в Apple Business Manager или Apple School Manager.
Внутренняя ошибка сервера	Требуется дальнейшее исследование	Обратитесь в службу поддержки Intune, так как необходимы дополнительные журналы
Недопустимый номер телефона поддержки	Недопустимый номер телефона поддержки.	Измените номер телефона поддержки для профилей.
Недопустимое имя профиля конфигурации	Имя профиля конфигурации является недопустимым, пустым или слишком длинным.	Измените имя профиля.
Недопустимый курсор	Курсор был отклонен Apple или не найден.	Обратитесь в службу поддержки Intune. Они могут повторить синхронизацию из службы Intune.
Истек срок действия курсора	Срок действия курсора истек на стороне Intune.	Обратитесь в службу поддержки Intune. Они могут повторить синхронизацию из службы Intune.
Обязательный курсор	Курсор изначально не был задан Intune во время синхронизации.	Обратитесь в службу поддержки Intune, чтобы исправить синхронизацию и вернуть курсор.
Профиль Apple не найден	Несколько возможных причин	Создайте новый профиль и назначьте профиль устройствам.
Недопустимая запись отдела	Недопустимая запись поля отдела	Измените поле отдела для профилей.

Ошибка: произошла ошибка при отправке маркера программы регистрации

Если отправка маркера ADE завершается сбоем, может появиться сообщение об ошибке, похожее на следующее:

An error occurred.
Произошла ошибка при отправке маркера программы регистрации. Идентификатор запроса: AjaxError: сбой вызова ajaxExtended

В этом случае выполните следующие действия, чтобы создать новый токен:

1. Войдите в Graph Explorer в качестве администратора Intune.

2. GET Выполните запрос, чтобы перечислить маркеры в клиенте, используя следующий URL-адрес:

   https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings

   При необходимости предоставьте согласие и повторно выполните запрос.

3. Найдите GUID маркера, который необходимо обновить.

4. Выполните запрос, чтобы получить открытый GET ключ шифрования маркера, используя следующий URL-адрес:

   https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKey

   Ответ выглядит следующим образом:

   {
   "@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String",
   "value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----"
   }
   

5. Скопируйте значение из ответа и создайте текстовый файл следующим образом. Затем сохраните текстовый файл в виде PEM-файла . Например, token.pem.

   Внимание

   Файл содержит три строки, и в строке base64 нет разрывов ссылок.

   -----BEGIN CERTIFICATE-----
   SOMEBASE64STRING==
   -----END CERTIFICATE-----
   

6. Войдите в Apple Business Manager или Apple School Manager и найдите сервер токенов, который необходимо обновить. Затем нажмите кнопку "Изменить".

7. В разделе параметров сервера MDM отправьте PEM-файл и нажмите кнопку "Сохранить".

   Примечание.

   Если появится сообщение об ошибке, указывающее, что формат файла неверный, убедитесь, что файл создан на шаге 5. После исправления формата файла закройте страницу и снова нажмите кнопку "Изменить ".

8. Выберите "Скачать маркер" , чтобы скачать новый маркер.

9. Войдите в Intune и выберите, чтобы обновить скачанный маркер.

Другие ошибки и проблемы

В этом разделе описаны действия по устранению неполадок для следующих дополнительных сценариев:

• Проверка включения WS-Trust 1.3
• Сбой присоединения к рабочему месту
• Имя пользователя не распознано
• недопустимое подключение XPC_TYPE_ERROR
• Не удалось скачать конфигурацию... Недопустимый профиль
• Регистрация ADE не запускается
• Регистрация ADE зависла при входе пользователя
• Проверка подлинности не перенаправляется в облако для государственных организаций

Проверка включения WS-Trust 1.3

Регистрация устройств ADE с сопоставлением пользователей требует, чтобы конечная точка WS-Trust 1.3 была включена для запроса маркеров пользователей. Active Directory включает эту конечную точку по умолчанию. Если WS-Trust 1.3 не включена, невозможно зарегистрировать автоматические устройства iOS/iPadOS.

Чтобы получить список включенных конечных точек, используйте Get-AdfsEndpoint командлет PowerShell и ищет конечную точку trust/13/UsernameMixed. Например:

Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"

Дополнительные сведения см. в документации по Get-AdfsEndpoint и рекомендациям по защите службы федерации Active Directory (AD FS). Чтобы узнать, включен ли WS-Trust 1.3 имя пользователя или смешанное имя пользователя в поставщике федерации удостоверений, обратитесь к служба поддержки Майкрософт, если вы используете AD FS. В противном случае обратитесь к стороннему поставщику удостоверений.

Сбой присоединения к рабочему месту

Эта ошибка означает, что приложение Корпоративный портал устарело или повреждено.

Решение.

1. Удалите приложение Корпоративный портал с устройства.
2. Скачайте и установите приложение Microsoft Корпоративный портал Intune из App Store.
3. Повторно зарегистрируйте устройство.

Имя пользователя не распознано

Ошибка "Имя пользователя не распознано. Эта учетная запись пользователя не авторизована для использования Microsoft Intune. Обратитесь к системному администратору, если вы думаете, что вы получили это сообщение в ошибке". Указывает, что пользователь, который пытается зарегистрировать устройство, не имеет допустимой лицензии Intune.

1. Перейдите к Центр администрирования Microsoft 365, а затем выберите "Активные пользователи>".
2. Выберите затронутую учетную запись пользователя, а затем выберите "Изменить лицензии>продукта".
3. Убедитесь, что для этого пользователя назначена допустимая лицензия Intune.
4. Повторно зарегистрируйте устройство.

недопустимое подключение XPC_TYPE_ERROR

Если включить управляемое ADE устройство, назначаемое профилем регистрации, регистрация завершается ошибкой, и вы получите следующее сообщение об ошибке:

asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }

Причина. Существует проблема с подключением между устройством и службой Apple ADE.

Решение. Устранение проблемы с подключением или использование другого сетевого подключения для регистрации устройства. Возможно, вам также придется связаться с Apple, если проблема сохранится.

Не удалось загрузить конфигурацию для iPhone или iPad из <имени> компании: недопустимый профиль

Причина. Регистрация блокируется ограничением типа устройства.

Решение.

1. Войдите в ограничения регистрации устройств>Центра>>администрирования Microsoft Intune.
2. В разделе "Ограничения типа устройства" выберите "Все свойства пользователей>".
3. Выберите "Изменить " рядом с параметрами платформы.
4. На странице ограничения "Изменить" выберите "Разрешить для iOS/iPadOS" и перейдите на страницу "Рецензирование и сохранение", а затем нажмите кнопку "Сохранить".

Регистрация ADE не запускается

Если включить управляемое ADE устройство, назначаемое профилем регистрации, процесс регистрации Intune не инициируется.

Причина. Профиль регистрации создается перед отправкой маркера ADE в Intune.

Решение.

1. Измените профиль регистрации. Вы можете внести любые изменения в профиль. Целью является обновление времени изменения профиля.
2. Синхронизация управляемых ADE устройств: в Центре администрирования Microsoft Intune выберите> маркеры программы регистрации>iOS iOS для iOS>. Теперь выберите синхронизацию маркеров.> > Запрос на синхронизацию будет отправлен в Apple.

Регистрация ADE зависла при входе пользователя

Если включить управляемое ADE устройство, назначаемое профилем регистрации, начальная настройка будет придерживаться после ввода учетных данных.

Причина: включена многофакторная проверка подлинности (MFA). В настоящее время MFA не работает во время регистрации на устройствах ADE, если для метода проверки подлинности задан помощник по настройке (устаревшая версия).

Решение. Отключите MFA и повторно зарегистрируйте устройство. Кроме того, измените метод проверки подлинности на помощник по настройке с современной проверкой подлинности.

Проверка подлинности не перенаправляется в облако для государственных организаций

Пользователи государственных организаций, выполнив вход с другого устройства, перенаправляются в общедоступное облако для проверки подлинности, а не в облако для государственных организаций.

Причина. Идентификатор Microsoft Entra еще не поддерживает перенаправление в облако для государственных организаций при входе с другого устройства.

Решение. Используйте параметр iOS Корпоративный портал Cloud в приложении "Параметры" для перенаправления проверки подлинности государственных пользователей в облако для государственных организаций. По умолчанию для параметра облака задано значение "Автоматический" и Корпоративный портал направляет проверку подлинности в облако, которое автоматически обнаруживается устройством (например, общедоступным или государственными органами). Пользователям государственных организаций, которые входят с другого устройства, потребуется вручную выбрать облако для государственных организаций для проверки подлинности.

Откройте приложение "Параметры" и выберите Корпоративный портал. В параметрах Корпоративный портал выберите Cloud. Задайте для облака для государственных организаций.

• Общие ошибки синхронизации маркеров
• Ошибки создания профиля