Диагностика регистрации MDM
В этой статье приведены рекомендации по устранению проблем с регистрацией устройств для MDM.
Проверка требований и параметров автоматической регистрации
Чтобы убедиться, что функция автоматической регистрации работает должным образом, необходимо убедиться, что различные требования и параметры настроены правильно. Ниже описаны необходимые параметры с помощью службы Intune.
Убедитесь, что пользователь, который собирается зарегистрировать устройство, имеет действительную лицензию на Intune.
Убедитесь, что автоматическая регистрация активирована для тех пользователей, которые собираются зарегистрировать устройства в mobile Управление устройствами (MDM) с помощью Intune. Дополнительные сведения см. в разделе Microsoft Entra ID и Microsoft Intune: Автоматическая регистрация MDM на новом портале.
Важно.
Для собственных устройств (устройств BYOD) пользователь управления мобильными приложениями (MAM) область имеет приоритет, если оба пользователя MAM область и область пользователя MDM (автоматическая регистрация MDM) включены для всех пользователей (или одной и той же группы пользователей). Устройство будет использовать политики windows Information Protection (WIP) (если они настроены), а не регистрироваться MDM.
Для корпоративных устройств пользователь MDM область имеет приоритет, если включены обе области. Устройства регистрируются в MDM.
Убедитесь, что на устройстве установлена поддерживаемая версия Windows.
Автоматическая регистрация в Intune через групповая политика действительна только для устройств, которые Microsoft Entra гибридным присоединением. Это условие означает, что устройство должно быть присоединено как к локальной службе Active Directory, так и к Microsoft Entra ID. Чтобы убедиться, что устройство Microsoft Entra гибридное присоединение, выполните команду
dsregcmd /statusиз командной строки.Вы можете убедиться, что устройство правильно присоединено к гибридному соединению, если для AzureAdJoined и DomainJoined задано значение ДА.
Кроме того, убедитесь, что в разделе Состояние единого входа azureAdPrt отображается значение ДА.
Эти сведения также можно найти в списке Microsoft Entra устройств.
Убедитесь, что URL-адрес обнаружения MDM во время автоматической регистрации имеет значение
https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc.
У некоторых клиентов могут быть как Microsoft Intune, так и Microsoft Intune регистрация в разделе Мобильность. Убедитесь, что параметры автоматической регистрации настроены в разделе Microsoft Intune, а не Microsoft Intune регистрация.
При использовании групповой политики для регистрации убедитесь, что групповая политика Включить автоматическую регистрацию MDM с использованием учетных данных Microsoft Entra по умолчанию (локальные групповая политика Редактор > политики > конфигурации > компьютеров) > правильно развернута на всех устройствах, которые должны быть зарегистрированы>. в Intune. Вы можете обратиться к администраторам домена, чтобы проверить, успешно ли развернута групповая политика.
Убедитесь, что Microsoft Intune разрешает регистрацию устройств Windows.
Устранение неполадок с регистрацией групповой политики
Изучите журналы, если у вас возникли проблемы даже после выполнения всех действий по проверке. Первым файлом журнала для исследования является журнал событий на целевом устройстве Windows. Чтобы собрать журналы Просмотр событий, выполните приведенные далее действия.
Откройте окно просмотра событий.
Перейдите в раздел Журналы> приложений и службMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Администратор.
Совет
Инструкции по сбору журналов событий для Intune см. в разделе Сбор Просмотр событий журналов MDM на YouTube.
Найдите событие с идентификатором 75, которое представляет успешную автоматическую регистрацию. Ниже приведен пример снимка экрана, на котором показано успешное завершение автоматической регистрации:
Если в журналах не удается найти событие с идентификатором 75, это означает, что сбой автоматической регистрации. Этот сбой может произойти по следующим причинам:
Регистрация завершилась ошибкой. В этом случае найдите событие с идентификатором 76, которое представляет неудачную автоматическую регистрацию. Ниже приведен пример снимка экрана, на котором показано, что сбой автоматической регистрации:
Чтобы устранить неполадки, проверка код ошибки, который отображается в событии. Дополнительные сведения см. в статье Устранение неполадок с регистрацией устройств с Windows в Microsoft Intune.
Автоматическая регистрация вообще не активируется. В этом случае вы не найдете ни событие с идентификатором 75, ни событие с идентификатором 76. Чтобы узнать причину, необходимо понимать внутренние механизмы, происходящие на устройстве, как описано здесь:
Процесс автоматической регистрации активируется задачей (Microsoft>Windows>EnterpriseMgmt) в планировщике задач. Эта задача появляется, если на целевом компьютере успешно развернута на целевом компьютере групповая политика Включить автоматическую регистрацию MDM с помощью Microsoft Entra учетных данных (MDM политик конфигурации>>компьютеров>>) на целевом компьютере, как показано на следующем снимке экрана:
Примечание.
Эта задача не отображается для обычных пользователей. Для поиска задачи выполните запланированные задачи с учетными данными администратора.
Эта задача выполняется каждые 5 минут в течение одного дня. Чтобы убедиться, что задача выполнена успешно, проверка журналы событий планировщика задач: Журналы > приложений и служб Microsoft > Windows > Task Scheduler > Operational. Найдите запись, в которой планировщик задач, созданный клиентом регистрации для автоматической регистрации в MDM из Microsoft Entra ID, активируется событием с идентификатором 107.
После завершения задачи регистрируется новое событие с идентификатором 102.
В журнале планировщика задач отображается событие с идентификатором 102 (задача завершена) независимо от успешного или сбоя автоматической регистрации. Это отображение состояния означает, что журнал планировщика задач полезен только для подтверждения того, активирована ли задача автоматической регистрации. Он не указывает на успешное или неудачно выполнение автоматической регистрации.
Если в журнале не отображается задача Расписание, созданное клиентом регистрации для автоматической регистрации в MDM из Microsoft Entra ID инициируется, возможно, возникла проблема с групповой политикой. Немедленно выполните команду
gpupdate /forceв командной строке, чтобы получить примененный объект групповой политики. Если этот шаг по-прежнему не помогает, требуется дальнейшее устранение неполадок в Active Directory. Одна из часто встречающихся ошибок связана с некоторыми устаревшими записями регистрации в реестре на целевом клиентском устройстве (HKLM > Software > Microsoft > Enrollments). Если устройство зарегистрировано (может быть любым решением MDM, а не только Intune), отображаются некоторые сведения о регистрации, добавленные в реестр:
По умолчанию эти записи удаляются при отмене регистрации устройства, но иногда раздел реестра остается даже после отмены регистрации. В этом случае не удается инициировать задачу автоматической регистрации и
gpupdate /forceкод ошибки, 2149056522 отображается в журнале > событий Приложения и службыMicrosoft>Windows>Task Scheduler>Operational log с идентификатором события 7016.Решение этой проблемы заключается в удалении раздела реестра вручную. Если вы не знаете, какой раздел реестра следует удалить, перейдите к разделу, в котором отображается большинство записей, как показано на предыдущем снимке экрана. Все остальные ключи отображают меньше записей, как показано на следующем снимке экрана:
Коды ошибок
| Код | ID | Сообщение об ошибке |
|---|---|---|
| 0x80180001 | "idErrorServerConnectivity", // MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR | Произошла ошибка при взаимодействии с сервером. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки. {0} |
| 0x80180002 | "idErrorAuthenticationFailure", // MENROLL_E_DEVICE_AUTHENTICATION_ERROR | Возникла проблема с проверкой подлинности вашей учетной записи или устройства. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки . |
| 0x80180003 | "idErrorAuthorizationFailure", // MENROLL_E_DEVICE_AUTHORIZATION_ERROR | Этот пользователь не имеет прав на регистрацию. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки . |
| 0x80180004 | "idErrorMDMCertificateError", // MENROLL_E_DEVICE_CERTIFCATEREQUEST_ERROR | Произошла ошибка сертификата. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки . |
| 0x80180005 | "idErrorServerConnectivity", // MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR | Произошла ошибка при взаимодействии с сервером. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки. {0} |
| 0x80180006 | "idErrorServerConnectivity", // MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR | Произошла ошибка при взаимодействии с сервером. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки. {0} |
| 0x80180007 | "idErrorAuthenticationFailure", // MENROLL_E_DEVICE_INVALIDSECURITY_ERROR | Возникла проблема с проверкой подлинности вашей учетной записи или устройства. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки . |
| 0x80180008 | "idErrorServerConnectivity", // MENROLL_E_DEVICE_UNKNOWN_ERROR | Произошла ошибка при взаимодействии с сервером. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки. {0} |
| 0x80180009 | "idErrorAlreadyInProgress", // MENROLL_E_ENROLLMENT_IN_PROGRESS | Выполняется еще одна регистрация. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки . |
| 0x8018000A | "idErrorMDMAlreadyEnrolled", // MENROLL_E_DEVICE_ALREADY_ENROLLED | Это устройство уже зарегистрировано. Вы можете обратиться к системному администратору с кодом {0}ошибки . |
| 0x8018000D | "idErrorMDMCertificateError", // MENROLL_E_DISCOVERY_SEC_CERT_DATE_INVALID | Произошла ошибка сертификата. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки . |
| 0x8018000E | "idErrorAuthenticationFailure", // MENROLL_E_PASSWORD_NEEDED | Возникла проблема с проверкой подлинности вашей учетной записи или устройства. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки . |
| 0x8018000F | "idErrorAuthenticationFailure", // MENROLL_E_WAB_ERROR | Возникла проблема с проверкой подлинности вашей учетной записи или устройства. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки . |
| 0x80180010 | "idErrorServerConnectivity", // MENROLL_E_CONNECTIVITY | Произошла ошибка при взаимодействии с сервером. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки. {0} |
| 0x80180012 | "idErrorMDMCertificateError", // MENROLL_E_INVALIDSSLCERT | Произошла ошибка сертификата. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки . |
| 0x80180013 | "idErrorDeviceLimit", // MENROLL_E_DEVICECAPREACHED | Похоже, для этой учетной записи слишком много устройств или пользователей. Обратитесь к системному администратору с кодом {0}ошибки . |
| 0x80180014 | "idErrorMDMNotSupported", // MENROLL_E_DEVICENOTSUPPORTED | Эта функция не поддерживается. Обратитесь к системному администратору с кодом {0}ошибки . |
| 0x80180015 | "idErrorMDMNotSupported", // MENROLL_E_NOTSUPPORTED | Эта функция не поддерживается. Обратитесь к системному администратору с кодом {0}ошибки . |
| 0x80180016 | "idErrorMDMRenewalRejected", // MENROLL_E_NOTELIGIBLETORENEW | Сервер не принял запрос. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки . |
| 0x80180017 | "idErrorMDMAccountMaintenance", // MENROLL_E_INMAINTENANCE | Служба находится в состоянии обслуживания. Вы можете попытаться сделать это позже или обратиться к системному администратору с кодом {0}ошибки . |
| 0x80180018 | "idErrorMDMLicenseError", // MENROLL_E_USERLICENSE | Произошла ошибка с вашей лицензией. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки . |
| 0x80180019 | "idErrorInvalidServerConfig", // MENROLL_E_ENROLLMENTDATAINVALID | Похоже, сервер настроен неправильно. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки . |
| "rejectedTermsOfUse" | "idErrorRejectedTermsOfUse" | Ваша организация требует, чтобы вы согласились с условиями использования. Повторите попытку или обратитесь к специалисту службы поддержки за дополнительными сведениями. |
| 0x801c0001 | "idErrorServerConnectivity", // DSREG_E_DEVICE_MESSAGE_FORMAT_ERROR | Произошла ошибка при взаимодействии с сервером. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки. {0} |
| 0x801c0002 | "idErrorAuthenticationFailure", // DSREG_E_DEVICE_AUTHENTICATION_ERROR | Возникла проблема с проверкой подлинности вашей учетной записи или устройства. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки . |
| 0x801c0003 | "idErrorAuthorizationFailure", // DSREG_E_DEVICE_AUTHORIZATION_ERROR | Этот пользователь не имеет прав на регистрацию. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки . |
| 0x801c0006 | "idErrorServerConnectivity", // DSREG_E_DEVICE_INTERNALSERVICE_ERROR | Произошла ошибка при взаимодействии с сервером. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки. {0} |
| 0x801c000B | "idErrorUntrustedServer", // DSREG_E_DISCOVERY_REDIRECTION_NOT_TRUSTED | Сервер, с которым осуществляется связь, не является доверенным. Обратитесь к системному администратору с кодом {0}ошибки . |
| 0x801c000C | "idErrorServerConnectivity", // DSREG_E_DISCOVERY_FAILED | Произошла ошибка при взаимодействии с сервером. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки. {0} |
| 0x801c000E | "idErrorDeviceLimit", // DSREG_E_DEVICE_REGISTRATION_QUOTA_EXCCEEDED | Похоже, для этой учетной записи слишком много устройств или пользователей. Обратитесь к системному администратору с кодом {0}ошибки . |
| 0x801c000F | "idErrorDeviceRequiresReboot", // DSREG_E_DEVICE_REQUIRES_REBOOT | Для завершения регистрации устройства требуется перезагрузка. |
| 0x801c0010 | "idErrorInvalidCertificate", // DSREG_E_DEVICE_AIK_VALIDATION_ERROR | Похоже, у вас есть недопустимый сертификат. Обратитесь к системному администратору с кодом {0}ошибки . |
| 0x801c0011 | "idErrorAuthenticationFailure", // DSREG_E_DEVICE_ATTESTATION_ERROR | Возникла проблема с проверкой подлинности вашей учетной записи или устройства. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки . |
| 0x801c0012 | "idErrorServerConnectivity", // DSREG_E_DISCOVERY_BAD_MESSAGE_ERROR | Произошла ошибка при взаимодействии с сервером. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки. {0} |
| 0x801c0013 | "idErrorAuthenticationFailure", // DSREG_E_TENANTID_NOT_FOUND | Возникла проблема с проверкой подлинности вашей учетной записи или устройства. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки . |
| 0x801c0014 | "idErrorAuthenticationFailure", // DSREG_E_USERSID_NOT_FOUND | Возникла проблема с проверкой подлинности вашей учетной записи или устройства. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки . |