Microsoft Intune 中的 iOS/iPadOS 设备注册错误疑难解答

本文可帮助 Intune 管理员了解和排查在 Intune 中注册 iOS/iPadOS 设备时出现的问题。 有关其他常规故障排除场景,请参阅在 Microsoft Intune 中解决设备注册问题

iOS/iPadOS 注册错误

下表列出了最终用户在 Intune 中注册 iOS/iPadOS 设备时可能看到的错误。

错误消息 问题 决议
无注册政策 未找到注册策略 Apple Push Notification Service (APN) 证书缺失、无效或已过期。 检查是否已正确设置注册,并检查是否已启用 iOS/iPadOS 作为平台。 有关说明,请参阅 设置 iOS/iPadOS 和 Mac 设备管理获取 Apple MDM 推送证书续订 Apple MDM 推送证书
设备容量已满 已注册的移动设备过多。 在注册另一个移动设备之前,用户必须从公司门户中删除其当前注册的移动设备之一。 请参阅此处的详细说明
公司门户暂时不可用 设备上的公司门户应用已过期或已损坏。 删除应用,验证用户凭据,然后重新安装该应用。 请参阅此处的详细说明
APNS证书无效 (APNSCertificateNotValid) 证书存在问题,该证书允许移动设备与公司网络通信。

Apple Push Notification Service (APN) 提供一个通道,用于联系已注册的 iOS/iPadOS 设备。 注册将失败,如果出现以下问题,将显示此消息:
  • 获取 APNs 证书的步骤尚未完成,或者
  • APN 证书已过期。
续订 APN 证书,然后重新注册设备。
重要说明: 请确保续订 APNs 证书。 请勿 替换 APN 证书。 如果替换证书,则必须在 Intune 中重新注册所有 iOS/iPadOS 设备。 对于 Intune 独立版,请参阅 “续订 Apple MDM 推送证书”。 有关 Microsoft 365,请参阅 为 iOS 设备创建 APN 证书。
账户未注册 证书存在问题,该证书允许移动设备与公司网络通信。 Apple Push Notification Service (APN) 提供一个通道,用于联系已注册的 iOS/iPadOS 设备。 注册将失败,如果出现以下问题,将显示此消息:
  • 获取 APNs 证书的步骤尚未完成,或者
  • APN 证书已过期。
查看 为 iOS 设备创建 APNs 证书。
设备类型不支持 用户可能尝试使用非 iOS 设备注册。 不支持尝试注册的移动设备类型。

确认设备正在运行 iOS/iPadOS 版本 8.0 或更高版本。

确保用户的设备正在运行 iOS/iPadOS 8.0 或更高版本。
用户许可类型无效 无法注册设备,因为用户的帐户尚不是所需用户组的成员,或者该用户没有正确的许可证。

用户必须具有移动设备管理机构的正确许可证类型。 例如,如果 Intune 已设置为 MDM 机构,但用户具有 System Center 2012 R2 Configuration Manager 许可证,则他们将看到此错误。

查看 使用 Microsoft Intune 设置 iOS/iPadOS 和 Mac 管理,以及有关如何在 Sync Active Directory 中 设置用户以及如何将用户添加到 Intune 以及 组织用户和设备的信息。
未定义的移动设备管理(MDM)权限 尚未定义移动设备管理机构。

尚未在 Intune 中设置移动设备管理机构。

查看步骤 6:注册移动设备并安装应用部分中的项目 #1,在Microsoft Intune 30 天试用版入门中找到相关说明。

Intune 和 ADE 之间的同步令牌错误

本部分包括与 Apple 自动设备注册相关的令牌同步错误(ADE):

  • Apple Business Manager (ABM)
  • Apple School Manager (ASM)
错误消息 原因 解决方案
令牌已过期或无效 令牌可能已过期、吊销或格式不正确。 更新令牌。 如果在续订令牌时遇到问题,请联系 Intune 支持团队,因为可能需要在 Apple Business Manager 或 Apple School Manager 中的现有 MDM 服务器上使用新的公钥:首选项>>上传公钥。
访问被拒绝 Intune 再也不能与 Apple 交谈了。 例如,Intune 已从 Apple Business Manager 或 Apple School Manager 中的 MDM 服务器列表中删除。 令牌可能已过期。 1.验证令牌是否已过期,以及是否已创建新令牌。
2.检查 Intune 是否位于 MDM 服务器列表中
不接受条款和条件 需要在 Apple Business Manager 或 Apple School Manager 中接受新的条款和条件(T&C)。 在 Apple Business Manager 或 Apple School Manager 门户中接受新的条款和条件。
注意: 这必须由在 Apple Business Manager 或 Apple School Manager 中具有管理员角色的用户完成。
内部服务器错误 需要进一步调查 联系 Intune 支持团队,因为需要其他日志
支持电话号码无效 支持电话号码无效。 编辑个人资料的支持电话号码。
配置文件名称无效 配置文件名称无效、空或太长。 编辑配置文件的名称。
游标无效 光标被 Apple 拒绝或未找到。 请联系 Intune 支持团队。 他们可以从 Intune 服务重试同步。
游标已过期 游标在 Intune 端已过期。 请联系 Intune 支持团队。 他们可以重新尝试从 Intune 服务同步。
所需游标 同步期间 Intune 最初未设置游标。 请联系 Intune 支持团队修复同步并返回游标。
找不到 Apple 配置文件 多个可能的原因 创建新的个人资料,并将其分配给设备。
部门条目无效 部门字段输入无效 编辑您的简介中的部门字段。

错误:上传注册计划令牌时出错

如果 ADE 令牌上传失败,可能会看到如下所示的错误消息:

出现了错误。
上传注册计划令牌时出错。 请求 ID:AjaxError:ajaxExtended 调用失败

在这种情况下,请尝试以下步骤来创建新令牌:

  1. 以 Intune 管理员身份登录到 Graph 资源管理器

  2. 运行 GET 请求以枚举租户中的令牌,使用以下 URL:

    https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings

    如有必要,请授予权限并重新运行请求。

  3. 查找需要续订的令牌的 GUID。

  4. 使用以下 URL 运行GET请求以获取令牌的公共加密密钥:

    https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKey

    响应如以下示例所示:

    {
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String",
    "value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----"
    }
    
  5. 复制响应中的值,并按如下所示创建文本文件。 然后,将文本文件另存为 .pem 文件。 例如 token.pem

    重要

    该文件包含三行,base64 字符串中没有链接分隔符。

    -----BEGIN CERTIFICATE-----
    SOMEBASE64STRING==
    -----END CERTIFICATE-----
    
  6. 登录到 Apple Business Manager 或 Apple School Manager,找到需要更新的令牌服务器。 然后选择“ 编辑”。

  7. “MDM 服务器设置” 部分中,上传 .pem 文件,然后选择“ 保存”。

    注意

    如果收到一条错误消息,指出文件格式不正确,请确保根据步骤 5 创建该文件。 修复文件格式后,关闭页面,然后再次选择“ 编辑 ”。

  8. 选择“下载令牌以下载新令牌。

  9. 登录到 Intune 并选择刷新下载的令牌。

其他错误和问题

本部分提供以下其他方案的故障排除步骤:

验证是否已启用 WS-Trust 1.3

注册与用户相关的 ADE 设备需要启用 WS-Trust 1.3 用户名/混合端点,以便请求用户令牌。 Active Directory 默认启用此终结点。 如果未启用 WS-Trust 1.3,则无法注册自动设备注册 (ADE) iOS/iPadOS 设备。

若要获取已启用的终结点列表,请使用 Get-AdfsEndpoint PowerShell cmdlet 并查找 trust/13/UsernameMixed 终结点。 例如:

Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"

有关详细信息,请参阅 Get-AdfsEndpoint 文档保护Active Directory 联合身份验证服务的最佳做法。 如果需要帮助来确定您的标识联合提供程序中是否启用了 WS-Trust 1.3 用户名/混合,并且您使用 AD FS,请联系 Microsoft 支持部门。 否则,请联系第三方标识供应商。

Workplace Join 失败

此错误指示公司门户应用已过期或已损坏。

解决方案

  1. 从设备中删除公司门户应用。
  2. App Store 下载并安装Microsoft Intune 公司门户应用。
  3. 重新注册设备。

无法识别用户名

错误“无法识别用户名。 此用户帐户无权使用 Microsoft Intune。 如果你认为你收到此消息时出错,请与系统管理员联系。“指示尝试注册设备的用户没有有效的 Intune 许可证。

  1. 转到Microsoft 365 管理中心,然后选择用户>活动用户
  2. 选择受影响的用户帐户,然后选择产品许可证>编辑
  3. 验证是否为此用户分配了有效的 Intune 许可证。
  4. 重新注册设备。

XPC_TYPE_ERROR连接无效

当您启动分配有注册配置文件的 ADE 托管设备时,注册会失败,您会收到以下错误消息:

asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }

原因: 设备与 Apple ADE 服务之间存在连接问题。

解决方案: 修复连接问题,或使用其他网络连接注册设备。 如果问题仍然存在,可能还需要联系 Apple。

无法从 <公司名称>下载 iPhone/iPad 的配置:配置文件无效

原因: 注册被设备类型限制阻止。

解决方案

  1. 登录到 Microsoft Intune 管理中心>设备>注册设备>注册限制
  2. 在“设备类型限制”下,选择“>属性”。
  3. 选择“平台设置旁边的“编辑”。
  4. “编辑限制”页上,选择“允许 iOS/iPadOS,然后转到“审阅 + 保存”页,然后选择“保存”。

ADE 注册尚未开始

打开分配有注册配置文件的由 ADE 管理的设备时,Intune 注册过程不会启动。

原因: 注册配置文件是在将 ADE 令牌上传到 Intune 之前创建的。

解决方案

  1. 编辑注册配置文件。 可以对配置文件进行任何更改。 目的是更新用户配置文件的修改时间。
  2. 同步 ADE 托管设备:在 Microsoft Intune 管理中心,选择 设备>iOS>iOS 注册>计划令牌>,选择一个令牌,然后 >立即同步。 会向 Apple 发送同步请求。

ADE 注册在用户登录时卡住

当您打开一个分配了注册配置文件的 ADE 托管设备,并输入登录凭据后,初始设置将保留。

原因: 已启用多重身份验证(MFA)。 目前,如果身份验证方法设置为 “设置助手”(旧版),则 MFA 在 ADE 设备上注册期间不起作用。

解决方案: 禁用 MFA,然后重新注册设备。 或者,将身份验证方法更改为使用新式身份验证的设置助手

身份验证不会重定向到政府云

从另一台设备登录的政府用户会重定向到公有云进行身份验证,而不是政府云。

原因: Microsoft从另一台设备登录时,Entra ID 尚不支持重定向到政府云。

解决方案:使用“设置”应用中的 iOS 公司门户设置将政府用户的身份验证重定向到政府云。 默认情况下,云设置设置为“自动”,公司门户将身份验证定向到设备(例如公共或政府)自动检测到的云。 从另一台设备登录的政府用户需要手动选择政府云进行身份验证。

打开“设置”应用并选择公司门户。 在公司门户设置中,选择“”。 将 云平台 配置为政府模式。