通过

Microsoft Intune 中的 iOS/iPadOS 设备注册错误疑难解答

  • 项目

本文可帮助 Intune 管理员了解和排查在 Intune 中注册 iOS/iPadOS 设备时出现的问题。 有关其他常规故障排除场景,请参阅在 Microsoft Intune 中解决设备注册问题

iOS/iPadOS 注册错误

下表列出了最终用户在 Intune 中注册 iOS/iPadOS 设备时可能看到的错误。

错误消息 问题 解决方案
NoEnrollmentPolicy 未找到注册策略 Apple Push Notification Service (APN) 证书缺失、无效或已过期。 检查是否已正确设置注册,并且已启用 平台的 iOS/iPadOS。 有关说明,请参阅 设置 iOS/iPadOS 和 Mac 设备管理获取 Apple MDM 推送证书续订 Apple MDM 推送证书
DeviceCapReached 已注册的移动设备过多。 在注册另一个移动设备之前,用户必须从公司门户中删除其当前注册的移动设备之一。 请参阅此处的详细说明
公司门户暂时不可用 设备上的公司门户应用已过期或已损坏。 删除应用,验证用户凭据,然后安装应用。 请参阅此处的详细说明
APNSCertificateNotValid 证书存在问题,该证书允许移动设备与公司网络通信。

 Apple Push Notification Service (APN) 提供一个通道,用于联系已注册的 iOS/iPadOS 设备。 注册将失败,如果出现以下问题,将显示此消息:
  • 获取 APN 证书的步骤尚未完成,或者
  • APN 证书已过期。
查看有关如何在 Sync Active Directory 中 设置用户并将用户添加到 Intune 以及 组织用户和设备的信息。
AccountNotOnboarded 证书存在问题,该证书允许移动设备与公司网络通信。 注册将失败,如果出现以下问题,将显示此消息:
  • 获取 APN 证书的步骤尚未完成,或者
  • APN 证书已过期。
续订 APN 证书,然后重新注册设备。
重要说明: 请确保续订 APNs 证书。 请勿 替换 APN 证书。 如果替换证书,则必须在 Intune 中重新注册所有 iOS/iPadOS 设备。 对于 Intune 独立版,请参阅 “续订 Apple MDM 推送证书”。 有关 Microsoft 365,请参阅 为 iOS 设备创建 APN 证书。
DeviceTypeNotSupported 用户可能尝试使用非 iOS 设备注册。 不支持尝试注册的移动设备类型。

确认设备正在运行 iOS/iPadOS 版本 8.0 或更高版本。

 确保用户的设备正在运行 iOS/iPadOS 8.0 或更高版本。
UserLicenseTypeInvalid 无法注册设备,因为用户帐户尚不是所需用户组的成员,或者该用户没有正确的许可证。

 用户必须具有移动设备管理机构的正确许可证类型。 例如,如果 Intune 已设置为 MDM 机构,但用户具有 System Center 2012 R2 Configuration Manager 许可证,则他们将看到此错误。
查看 使用 Microsoft Intune 设置 iOS/iPadOS 和 Mac 管理,以及有关如何在 Sync Active Directory 中 设置用户以及如何将用户添加到 Intune 以及 组织用户和设备的信息。
MdmAuthorityNotDefined 尚未定义移动设备管理机构。

 尚未在 Intune 中设置移动设备管理机构。

查看步骤 6 中的项目 #1:注册移动设备并在 Intune 的 30 天 Microsoft试用版入门中安装应用部分。

Intune 和 ADE 之间的同步令牌错误

本部分包括与 Apple 自动设备注册相关的令牌同步错误(ADE):

  • Apple Business Manager (ABM)
  • Apple 校园教务管理 (ASM)
错误消息 原因 解决方案
令牌已过期或无效 令牌可能已过期、吊销或格式不正确。 续订令牌。 如果在续订令牌时遇到问题,请联系 Intune 支持团队,因为可能需要在 Apple Business Manager 或 Apple School Manager 中的现有 MDM 服务器上使用新的公钥:首选项>MDM 服务器设置>上传公钥。
访问被拒绝 Intune 再也不能与 Apple 交谈了。 例如,Intune 已从 Apple Business Manager 或 Apple School Manager 中的 MDM 服务器列表中删除。 令牌可能已过期。 1.验证令牌是否已过期,以及是否已创建新令牌。
2.检查 Intune 是否位于 MDM 服务器列表中
不接受条款和条件 需要在 Apple Business Manager 或 Apple School Manager 中接受新的条款和条件(T&C)。 在 Apple Apple Business Manager 或 Apple School Manager 门户中接受新的 T&C。
注意: 这必须由在 Apple Business Manager 或 Apple School Manager 中具有管理员角色的用户完成。
内部服务器错误 需要进一步调查 联系 Intune 支持团队,因为需要其他日志
支持电话号码无效 支持电话号码无效。 编辑配置文件的支持电话号码。
配置文件名称无效 配置文件名称无效、空或太长。 编辑配置文件的名称。
游标无效 光标被 Apple 拒绝或未找到。 请联系 Intune 支持团队。 他们可以重试从 Intune 服务同步。
游标已过期 游标在 Intune 端已过期。 请联系 Intune 支持团队。 他们可以重试从 Intune 服务同步。
所需游标 在同步期间,Intune 最初未设置游标。 请联系 Intune 支持团队修复同步并返回游标。
找不到 Apple 配置文件 多个可能的原因 创建新的配置文件,并将配置文件分配给设备。
部门条目无效 部门字段条目无效 编辑配置文件的部门字段。

错误:上传注册计划令牌时出错

如果 ADE 令牌上传失败,可能会看到如下所示的错误消息:

出现了错误。
上传注册计划令牌时出错。 请求 ID:AjaxError:ajaxExtended 调用失败

在这种情况下,请尝试以下步骤来创建新令牌:

  1. 以 Intune 管理员身份登录到 Graph 资源管理器

  2. GET使用以下 URL 运行请求以枚举租户中的令牌:

    https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings

    如有必要,请授予许可并重新运行请求。

  3. 查找需要续订的令牌的 GUID。

  4. GET使用以下 URL 运行请求以获取令牌的公共加密密钥:

    https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKey

    响应如以下示例所示:

    {
"@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String",
"value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----"
}

  5. 复制响应中的值,并按如下所示创建文本文件。 然后,将文本文件另存为 .pem 文件。 例如 token.pem

    重要

    该文件包含三行,base64 字符串中没有链接分隔符。

    -----BEGIN CERTIFICATE-----
SOMEBASE64STRING==
-----END CERTIFICATE-----

  6. 登录到 Apple Business Manager 或 Apple School Manager,找到需要更新的令牌服务器。 然后选择“ 编辑”。

  7. “MDM 服务器设置” 部分中,上传 .pem 文件,然后选择“ 保存”。

    注意

    如果收到一条错误消息,指出文件格式不正确,请确保根据步骤 5 创建该文件。 修复文件格式后,关闭页面,然后再次选择“ 编辑 ”。

  8. 选择“下载令牌以下载新令牌。

  9. 登录到 Intune 并选择刷新下载的令牌。

其他错误和问题

本部分提供以下其他方案的故障排除步骤:

验证是否已启用 WS-Trust 1.3

注册具有用户相关性的 ADE 设备需要启用 WS-Trust 1.3 用户名/混合终结点才能请求用户令牌。 Active Directory 默认启用此终结点。 如果未启用 WS-Trust 1.3,则无法注册自动设备注册 (ADE) iOS/iPadOS 设备。

若要获取已启用的终结点列表,请使用 Get-AdfsEndpoint PowerShell cmdlet 并查找 trust/13/UsernameMixed 终结点。 例如:

Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"

有关详细信息,请参阅 Get-AdfsEndpoint 文档保护Active Directory 联合身份验证服务的最佳做法。 若要帮助确定是否在标识联合提供程序中启用了 WS-Trust 1.3 用户名/混合,请使用 AD FS 联系Microsoft 支持部门。 否则,请联系第三方标识供应商。

工作区加入失败

此错误指示公司门户应用已过期或已损坏。

解决方案

  1. 从设备中删除公司门户应用。
  2. 从 App Store 下载并安装Microsoft Intune 公司门户应用。
  3. 重新注册设备。

无法识别用户名

错误“无法识别用户名。 此用户帐户无权使用 Microsoft Intune。 如果认为你收到此消息时出错,请与系统管理员联系。“指示尝试注册设备的用户没有有效的 Intune 许可证。

  1. 转到Microsoft 365 管理中心,然后选择“用户活动用户>”。
  2. 选择受影响的用户帐户,然后选择“产品许可证>编辑”。
  3. 验证是否为此用户分配了有效的 Intune 许可证。
  4. 重新注册设备。

XPC_TYPE_ERROR连接无效

打开分配有注册配置文件的 ADE 托管设备时,注册会失败,并收到以下错误消息:

asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }

原因: 设备与 Apple ADE 服务之间存在连接问题。

解决方案: 修复连接问题,或使用其他网络连接注册设备。 如果问题仍然存在,可能还需要联系 Apple。

无法从 <公司名称>下载 iPhone/iPad 的配置:配置文件无效

原因: 注册被设备类型限制阻止。

解决方案

  1. 登录到 Microsoft Intune 管理中心>设备>注册>限制。
  2. 在“设备类型限制”下,选择“所有用户>属性”。
  3. 选择“平台设置旁边的“编辑”。
  4. “编辑限制”页上,选择“允许 iOS/iPadOS,然后转到“审阅 + 保存”页,然后选择“保存”。

ADE 注册未启动

打开分配有注册配置文件的 ADE 托管设备时,不会启动 Intune 注册过程。

原因: 注册配置文件是在将 ADE 令牌上传到 Intune 之前创建的。

解决方案

  1. 编辑注册配置文件。 可以对配置文件进行任何更改。 目的是更新配置文件的修改时间。
  2. 同步 ADE 托管的设备:在 Microsoft Intune 管理中心,选择“设备>iOS iOS>注册>计划令牌>”立即选择令牌>同步。 会向 Apple 发送同步请求。

ADE 注册停滞在用户登录时

打开分配有注册配置文件的 ADE 托管设备时,输入凭据后,初始设置会坚持。

原因: 已启用多重身份验证(MFA)。 目前,如果身份验证方法设置为 “设置助手”(旧版),则 MFA 在 ADE 设备上注册期间不起作用。

解决方案: 禁用 MFA,然后重新注册设备。 或者,使用新式身份验证将身份验证方法更改为设置助手。

身份验证不会重定向到政府云

从另一台设备登录的政府用户会重定向到公有云进行身份验证,而不是政府云。

原因: Microsoft Entra ID 尚不支持从另一台设备登录时重定向到政府云。

解决方案:使用“设置”应用中的 iOS 公司门户设置将政府用户的身份验证重定向到政府云。 默认情况下,云设置设置为“自动”,公司门户将身份验证定向到设备(例如公共或政府)自动检测到的云。 从另一台设备登录的政府用户需要手动选择政府云进行身份验证。

打开“设置”应用并选择公司门户。 在公司门户设置中,选择“”。 将 设置为政府。