本文可帮助 Intune 管理员了解和排查在 Intune 中注册 iOS/iPadOS 设备时出现的问题。 有关其他常规故障排除场景,请参阅在 Microsoft Intune 中解决设备注册问题。
iOS/iPadOS 注册错误
下表列出了最终用户在 Intune 中注册 iOS/iPadOS 设备时可能看到的错误。
| 错误消息 | 问题 | 决议 |
|---|---|---|
| 无注册政策 | 未找到注册策略 | Apple Push Notification Service (APN) 证书缺失、无效或已过期。 检查是否已正确设置注册,并检查是否已启用 iOS/iPadOS 作为平台。 有关说明,请参阅 设置 iOS/iPadOS 和 Mac 设备管理、获取 Apple MDM 推送证书和 续订 Apple MDM 推送证书。 |
| 设备容量已满 | 已注册的移动设备过多。 | 在注册另一个移动设备之前,用户必须从公司门户中删除其当前注册的移动设备之一。 请参阅此处的详细说明。 |
| 公司门户暂时不可用 | 设备上的公司门户应用已过期或已损坏。 | 删除应用,验证用户凭据,然后重新安装该应用。 请参阅此处的详细说明。 |
| APNS证书无效 (APNSCertificateNotValid) | 证书存在问题,该证书允许移动设备与公司网络通信。 |
Apple Push Notification Service (APN) 提供一个通道,用于联系已注册的 iOS/iPadOS 设备。 注册将失败,如果出现以下问题,将显示此消息:
重要说明: 请确保续订 APNs 证书。 请勿 替换 APN 证书。 如果替换证书,则必须在 Intune 中重新注册所有 iOS/iPadOS 设备。 对于 Intune 独立版,请参阅 “续订 Apple MDM 推送证书”。 有关 Microsoft 365,请参阅 为 iOS 设备创建 APN 证书。 |
| 账户未注册 | 证书存在问题,该证书允许移动设备与公司网络通信。 | Apple Push Notification Service (APN) 提供一个通道,用于联系已注册的 iOS/iPadOS 设备。 注册将失败,如果出现以下问题,将显示此消息:
|
| 设备类型不支持 | 用户可能尝试使用非 iOS 设备注册。 不支持尝试注册的移动设备类型。 确认设备正在运行 iOS/iPadOS 版本 8.0 或更高版本。 |
确保用户的设备正在运行 iOS/iPadOS 8.0 或更高版本。 |
| 用户许可类型无效 | 无法注册设备,因为用户的帐户尚不是所需用户组的成员,或者该用户没有正确的许可证。 |
用户必须具有移动设备管理机构的正确许可证类型。 例如,如果 Intune 已设置为 MDM 机构,但用户具有 System Center 2012 R2 Configuration Manager 许可证,则他们将看到此错误。 查看 使用 Microsoft Intune 设置 iOS/iPadOS 和 Mac 管理,以及有关如何在 Sync Active Directory 中 设置用户以及如何将用户添加到 Intune 以及 组织用户和设备的信息。 |
| 未定义的移动设备管理(MDM)权限 | 尚未定义移动设备管理机构。 |
尚未在 Intune 中设置移动设备管理机构。 查看步骤 6:注册移动设备并安装应用部分中的项目 #1,在Microsoft Intune 30 天试用版入门中找到相关说明。 |
Intune 和 ADE 之间的同步令牌错误
本部分包括与 Apple 自动设备注册相关的令牌同步错误(ADE):
- Apple Business Manager (ABM)
- Apple School Manager (ASM)
| 错误消息 | 原因 | 解决方案 |
|---|---|---|
| 令牌已过期或无效 | 令牌可能已过期、吊销或格式不正确。 | 更新令牌。 如果在续订令牌时遇到问题,请联系 Intune 支持团队,因为可能需要在 Apple Business Manager 或 Apple School Manager 中的现有 MDM 服务器上使用新的公钥:首选项>>上传公钥。 |
| 访问被拒绝 | Intune 再也不能与 Apple 交谈了。 例如,Intune 已从 Apple Business Manager 或 Apple School Manager 中的 MDM 服务器列表中删除。 令牌可能已过期。 | 1.验证令牌是否已过期,以及是否已创建新令牌。 2.检查 Intune 是否位于 MDM 服务器列表中 |
| 不接受条款和条件 | 需要在 Apple Business Manager 或 Apple School Manager 中接受新的条款和条件(T&C)。 | 在 Apple Business Manager 或 Apple School Manager 门户中接受新的条款和条件。 注意: 这必须由在 Apple Business Manager 或 Apple School Manager 中具有管理员角色的用户完成。 |
| 内部服务器错误 | 需要进一步调查 | 联系 Intune 支持团队,因为需要其他日志 |
| 支持电话号码无效 | 支持电话号码无效。 | 编辑个人资料的支持电话号码。 |
| 配置文件名称无效 | 配置文件名称无效、空或太长。 | 编辑配置文件的名称。 |
| 游标无效 | 光标被 Apple 拒绝或未找到。 | 请联系 Intune 支持团队。 他们可以从 Intune 服务重试同步。 |
| 游标已过期 | 游标在 Intune 端已过期。 | 请联系 Intune 支持团队。 他们可以重新尝试从 Intune 服务同步。 |
| 所需游标 | 同步期间 Intune 最初未设置游标。 | 请联系 Intune 支持团队修复同步并返回游标。 |
| 找不到 Apple 配置文件 | 多个可能的原因 | 创建新的个人资料,并将其分配给设备。 |
| 部门条目无效 | 部门字段输入无效 | 编辑您的简介中的部门字段。 |
错误:上传注册计划令牌时出错
如果 ADE 令牌上传失败,可能会看到如下所示的错误消息:
出现了错误。
上传注册计划令牌时出错。 请求 ID:AjaxError:ajaxExtended 调用失败
在这种情况下,请尝试以下步骤来创建新令牌:
以 Intune 管理员身份登录到 Graph 资源管理器 。
运行
GET请求以枚举租户中的令牌,使用以下 URL:https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings如有必要,请授予权限并重新运行请求。
查找需要续订的令牌的 GUID。
使用以下 URL 运行
GET请求以获取令牌的公共加密密钥:https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKey响应如以下示例所示:
{ "@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String", "value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----" }复制响应中的值,并按如下所示创建文本文件。 然后,将文本文件另存为 .pem 文件。 例如 token.pem。
重要
该文件包含三行,base64 字符串中没有链接分隔符。
-----BEGIN CERTIFICATE----- SOMEBASE64STRING== -----END CERTIFICATE-----登录到 Apple Business Manager 或 Apple School Manager,找到需要更新的令牌服务器。 然后选择“ 编辑”。
在 “MDM 服务器设置” 部分中,上传 .pem 文件,然后选择“ 保存”。
注意
如果收到一条错误消息,指出文件格式不正确,请确保根据步骤 5 创建该文件。 修复文件格式后,关闭页面,然后再次选择“ 编辑 ”。
选择“下载令牌”以下载新令牌。
登录到 Intune 并选择刷新下载的令牌。
其他错误和问题
本部分提供以下其他方案的故障排除步骤:
- 验证是否已启用 WS-Trust 1.3
- 职场加入失败
- 无法识别用户名
- XPC_TYPE_ERROR连接无效
- 无法下载配置...无效的配置文件
- ADE 注册未启动
- ADE 注册停滞在用户登录时
- 身份验证不会重定向到政府云
验证是否已启用 WS-Trust 1.3
注册与用户相关的 ADE 设备需要启用 WS-Trust 1.3 用户名/混合端点,以便请求用户令牌。 Active Directory 默认启用此终结点。 如果未启用 WS-Trust 1.3,则无法注册自动设备注册 (ADE) iOS/iPadOS 设备。
若要获取已启用的终结点列表,请使用 Get-AdfsEndpoint PowerShell cmdlet 并查找 trust/13/UsernameMixed 终结点。 例如:
Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"
有关详细信息,请参阅 Get-AdfsEndpoint 文档和保护Active Directory 联合身份验证服务的最佳做法。 如果需要帮助来确定您的标识联合提供程序中是否启用了 WS-Trust 1.3 用户名/混合,并且您使用 AD FS,请联系 Microsoft 支持部门。 否则,请联系第三方标识供应商。
Workplace Join 失败
此错误指示公司门户应用已过期或已损坏。
解决方案;
- 从设备中删除公司门户应用。
- 从 App Store 下载并安装Microsoft Intune 公司门户应用。
- 重新注册设备。
无法识别用户名
错误“无法识别用户名。 此用户帐户无权使用 Microsoft Intune。 如果你认为你收到此消息时出错,请与系统管理员联系。“指示尝试注册设备的用户没有有效的 Intune 许可证。
- 转到Microsoft 365 管理中心,然后选择用户>活动用户。
- 选择受影响的用户帐户,然后选择产品许可证>编辑。
- 验证是否为此用户分配了有效的 Intune 许可证。
- 重新注册设备。
XPC_TYPE_ERROR连接无效
当您启动分配有注册配置文件的 ADE 托管设备时,注册会失败,您会收到以下错误消息:
asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }
原因: 设备与 Apple ADE 服务之间存在连接问题。
解决方案: 修复连接问题,或使用其他网络连接注册设备。 如果问题仍然存在,可能还需要联系 Apple。
无法从 <公司名称>下载 iPhone/iPad 的配置:配置文件无效
原因: 注册被设备类型限制阻止。
解决方案;
- 登录到 Microsoft Intune 管理中心>设备>注册设备>注册限制。
- 在“设备类型限制”下,选择“>属性”。
- 选择“平台设置”旁边的“编辑”。
- 在“编辑限制”页上,选择“允许 iOS/iPadOS”,然后转到“审阅 + 保存”页,然后选择“保存”。
ADE 注册尚未开始
打开分配有注册配置文件的由 ADE 管理的设备时,Intune 注册过程不会启动。
原因: 注册配置文件是在将 ADE 令牌上传到 Intune 之前创建的。
解决方案;
- 编辑注册配置文件。 可以对配置文件进行任何更改。 目的是更新用户配置文件的修改时间。
- 同步 ADE 托管设备:在 Microsoft Intune 管理中心,选择 设备>iOS>iOS 注册>计划令牌>,选择一个令牌,然后 >立即同步。 会向 Apple 发送同步请求。
ADE 注册在用户登录时卡住
当您打开一个分配了注册配置文件的 ADE 托管设备,并输入登录凭据后,初始设置将保留。
原因: 已启用多重身份验证(MFA)。 目前,如果身份验证方法设置为 “设置助手”(旧版),则 MFA 在 ADE 设备上注册期间不起作用。
解决方案: 禁用 MFA,然后重新注册设备。 或者,将身份验证方法更改为使用新式身份验证的设置助手。
身份验证不会重定向到政府云
从另一台设备登录的政府用户会重定向到公有云进行身份验证,而不是政府云。
原因: Microsoft从另一台设备登录时,Entra ID 尚不支持重定向到政府云。
解决方案:使用“设置”应用中的 iOS 公司门户云设置将政府用户的身份验证重定向到政府云。 默认情况下,云设置设置为“自动”,公司门户将身份验证定向到设备(例如公共或政府)自动检测到的云。 从另一台设备登录的政府用户需要手动选择政府云进行身份验证。
打开“设置”应用并选择公司门户。 在公司门户设置中,选择“云”。 将 云平台 配置为政府模式。