诊断 MDM 注册
本文提供有关排查 MDM 设备注册问题的建议。
验证自动注册要求和设置
若要确保自动注册功能按预期工作,必须验证是否已正确配置各种要求和设置。 以下步骤演示了使用 Intune 服务所需的设置:
验证要注册设备的用户是否具有有效的Intune许可证。
验证是否为打算使用 Intune 将设备注册到移动设备管理 (MDM) 的用户激活了自动注册。 有关详细信息,请参阅Microsoft Entra ID和Microsoft Intune:新门户中的自动 MDM 注册。
重要提示
对于自带设备 (BYOD 设备) ,如果为所有用户 (或) 的相同用户组启用 MAM 用户范围和 MDM 用户范围 (MDM) 用户范围,则移动应用程序管理 (MAM) 用户范围优先。 设备将使用 Windows 信息保护 (WIP) 策略 ((如果你) 配置它们而不是已注册 MDM)。
对于公司拥有的设备,如果启用了这两个范围,则 MDM 用户范围优先。 设备已注册 MDM。
验证设备是否正在运行 受支持的 Windows 版本。
通过组策略自动注册到Intune仅适用于Microsoft Entra混合联接的设备。 这种情况意味着设备必须加入本地 Active Directory 和 Microsoft Entra ID。 若要验证设备是否Microsoft Entra混合联接,请从命令行运行
dsregcmd /status。如果 AzureAdJoined 和 DomainJoined 都设置为 “是”,则可以确认设备是否已正确加入混合。
此外,验证“SSO 状态”部分是否将 AzureAdPrt 显示为 “是”。
此信息也可以在Microsoft Entra设备列表中找到。
验证自动注册期间的 MDM 发现 URL 是否为
https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc。
某些租户可能同时具有“移动性”下的“Microsoft Intune”和“Microsoft Intune注册”。 请确保在“Microsoft Intune而不是Microsoft Intune注册”下配置了自动注册设置。
使用组策略进行注册时,请验证“使用默认Microsoft Entra凭据启用自动 MDM 注册”组策略 (本地组策略 编辑器>计算机配置>策略>管理模板 > Windows 组件 > MDM) 是否正确部署到应注册到Intune. 可以联系域管理员来验证是否已成功部署组策略。
验证Microsoft Intune是否允许注册 Windows 设备。
排查组策略注册问题
如果在执行所有验证步骤后出现问题,请调查日志。 要调查的第一个日志文件是目标 Windows 设备上的事件日志。 若要收集事件查看器日志,请执行以下操作:
打开事件查看器。
导航到“应用程序和服务日志>”“Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>管理员”。
提示
有关如何收集Intune事件日志的指导,请参阅收集 MDM 事件查看器日志 YouTube 视频。
搜索表示成功自动注册的事件 ID 75。 下面是显示自动注册成功完成的示例屏幕截图:
如果在日志中找不到事件 ID 75,则表示自动注册失败。 发生此故障的原因如下:
注册失败并出现错误。 在这种情况下,请搜索表示自动注册失败的事件 ID 76。 下面是显示自动注册失败的示例屏幕截图:
若要进行故障排除,检查事件中显示的错误代码。 有关详细信息,请参阅排查 Microsoft Intune 中的 Windows 设备注册问题。
完全未触发自动注册。 在这种情况下,找不到事件 ID 75 或事件 ID 76。 若要了解原因,必须了解设备上发生的内部机制,如下所述:
自动注册过程由任务计划程序中的 Microsoft>Windows>EnterpriseMgmt) (任务触发。 如果“使用默认Microsoft Entra凭据启用自动 MDM 注册”组策略 (计算机配置>策略>管理模板>Windows 组件>MDM) 已成功部署到目标计算机,则会出现此任务,如以下屏幕截图所示:
注意
此任务对标准用户不可见,请运行具有管理凭据的计划任务来查找该任务。
此任务每 5 分钟运行一天。 若要确认任务是否成功,检查任务计划程序事件日志:应用程序和服务日志 > Microsoft > Windows > 任务计划程序>操作。 查找事件 ID 107 触发由注册客户端创建的任务计划程序,以便从 Microsoft Entra ID 自动注册 MDM 的任务计划程序。
任务完成后,将记录新的事件 ID 102。
无论自动注册成功还是失败,任务计划程序日志都会显示事件 ID 102 (任务已完成) 。 此状态显示意味着任务计划程序日志仅用于确认是否触发了自动注册任务。 它不指示自动注册是成功还是失败。
如果无法从日志中看到注册客户端创建的任务计划,以便从Microsoft Entra ID自动注册 MDM,则组策略可能存在问题。 立即在命令提示符
gpupdate /force中运行 命令,以应用组策略对象。 如果此步骤仍然不起作用,则需要对 Active Directory 进行进一步的故障排除。 一个经常出现的错误与目标客户端设备上的注册表中的某些过时注册条目有关, (HKLM > Software > Microsoft > Enrollments) 。 如果设备已注册 (可以是任何 MDM 解决方案,并且不仅Intune) ,还会看到添加到注册表中的某些注册信息:
默认情况下,当设备未注册时,会删除这些条目,但有时即使取消注册,注册表项也会保留。 在这种情况下,
gpupdate /force无法启动自动注册任务,错误代码2149056522显示在 应用程序和服务日志>Microsoft>Windows>任务计划程序>操作 事件日志文件中的事件 ID 7016 下。此问题的解决方法是手动删除注册表项。 如果不知道要删除哪个注册表项,请转到显示大多数条目的键,如上一屏幕截图所示。 所有其他键显示的条目较少,如以下屏幕截图所示:
错误代码
| 代码 | ID | 错误消息 |
|---|---|---|
| 0x80180001 | “idErrorServerConnectivity”, // MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR | 与服务器通信时出错。 可以尝试再次执行此操作,或者通过错误代码联系系统管理员 {0} |
| 0x80180002 | “idErrorAuthenticationFailure”, // MENROLL_E_DEVICE_AUTHENTICATION_ERROR | 对帐户或设备进行身份验证时出现问题。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。 |
| 0x80180003 | “idErrorAuthorizationFailure”, // MENROLL_E_DEVICE_AUTHORIZATION_ERROR | 此用户无权注册。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。 |
| 0x80180004 | “idErrorMDMCertificateError”, // MENROLL_E_DEVICE_CERTIFCATEREQUEST_ERROR | 出现证书错误。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。 |
| 0x80180005 | “idErrorServerConnectivity”, // MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR | 与服务器通信时出错。 可以尝试再次执行此操作,或者通过错误代码联系系统管理员 {0} |
| 0x80180006 | “idErrorServerConnectivity”, // MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR | 与服务器通信时出错。 可以尝试再次执行此操作,或者通过错误代码联系系统管理员 {0} |
| 0x80180007 | “idErrorAuthenticationFailure”, // MENROLL_E_DEVICE_INVALIDSECURITY_ERROR | 对帐户或设备进行身份验证时出现问题。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。 |
| 0x80180008 | “idErrorServerConnectivity”, // MENROLL_E_DEVICE_UNKNOWN_ERROR | 与服务器通信时出错。 可以尝试再次执行此操作,或者通过错误代码联系系统管理员 {0} |
| 0x80180009 | “idErrorAlreadyInProgress”, // MENROLL_E_ENROLLMENT_IN_PROGRESS | 另一个注册正在进行中。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。 |
| 0x8018000A | “idErrorMDMAlreadyEnrolled”, // MENROLL_E_DEVICE_ALREADY_ENROLLED | 此设备已注册。 可以使用错误代码 {0}联系系统管理员。 |
| 0x8018000D | “idErrorMDMCertificateError”, // MENROLL_E_DISCOVERY_SEC_CERT_DATE_INVALID | 出现证书错误。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。 |
| 0x8018000E | “idErrorAuthenticationFailure”, // MENROLL_E_PASSWORD_NEEDED | 对帐户或设备进行身份验证时出现问题。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。 |
| 0x8018000F | “idErrorAuthenticationFailure”, // MENROLL_E_WAB_ERROR | 对帐户或设备进行身份验证时出现问题。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。 |
| 0x80180010 | “idErrorServerConnectivity”, // MENROLL_E_CONNECTIVITY | 与服务器通信时出错。 可以尝试再次执行此操作,或者通过错误代码联系系统管理员 {0} |
| 0x80180012 | “idErrorMDMCertificateError”, // MENROLL_E_INVALIDSSLCERT | 出现证书错误。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。 |
| 0x80180013 | “idErrorDeviceLimit”, // MENROLL_E_DEVICECAPREACHED | 此帐户的设备或用户似乎太多。 请与系统管理员联系,并显示错误代码 {0}。 |
| 0x80180014 | “idErrorMDMNotSupported”, // MENROLL_E_DEVICENOTSUPPORTED | 不支持此功能。 请与系统管理员联系,并显示错误代码 {0}。 |
| 0x80180015 | “idErrorMDMNotSupported”, // MENROLL_E_NOTSUPPORTED | 不支持此功能。 请与系统管理员联系,并显示错误代码 {0}。 |
| 0x80180016 | “idErrorMDMRenewalRejected”, // MENROLL_E_NOTELIGIBLETORENEW | 服务器未接受请求。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。 |
| 0x80180017 | “idErrorMDMAccountMaintenance”, // MENROLL_E_INMAINTENANCE | 该服务正在维护中。 可以稍后尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。 |
| 0x80180018 | “idErrorMDMLicenseError”, // MENROLL_E_USERLICENSE | 许可证出错。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。 |
| 0x80180019 | “idErrorInvalidServerConfig”, // MENROLL_E_ENROLLMENTDATAINVALID | 服务器似乎未正确配置。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。 |
| “rejectedTermsOfUse” | “idErrorRejectedTermsOfUse” | 你的组织要求你同意使用条款。 请重试或咨询支持人员以获取详细信息。 |
| 0x801c0001 | “idErrorServerConnectivity”, // DSREG_E_DEVICE_MESSAGE_FORMAT_ERROR | 与服务器通信时出错。 可以尝试再次执行此操作,或者通过错误代码联系系统管理员 {0} |
| 0x801c0002 | “idErrorAuthenticationFailure”, // DSREG_E_DEVICE_AUTHENTICATION_ERROR | 对帐户或设备进行身份验证时出现问题。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。 |
| 0x801c0003 | “idErrorAuthorizationFailure”, // DSREG_E_DEVICE_AUTHORIZATION_ERROR | 此用户无权注册。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。 |
| 0x801c0006 | “idErrorServerConnectivity”, // DSREG_E_DEVICE_INTERNALSERVICE_ERROR | 与服务器通信时出错。 可以尝试再次执行此操作,或者通过错误代码联系系统管理员 {0} |
| 0x801c000B | “idErrorUntrustedServer”, // DSREG_E_DISCOVERY_REDIRECTION_NOT_TRUSTED | 所联系的服务器不受信任。 请与系统管理员联系,并显示错误代码 {0}。 |
| 0x801c000C | “idErrorServerConnectivity”, // DSREG_E_DISCOVERY_FAILED | 与服务器通信时出错。 可以尝试再次执行此操作,或者通过错误代码联系系统管理员 {0} |
| 0x801c000E | “idErrorDeviceLimit”, // DSREG_E_DEVICE_REGISTRATION_QUOTA_EXCCEEDED | 此帐户的设备或用户似乎太多。 请与系统管理员联系,并显示错误代码 {0}。 |
| 0x801c000F | “idErrorDeviceRequiresReboot”, // DSREG_E_DEVICE_REQUIRES_REBOOT | 需要重新启动才能完成设备注册。 |
| 0x801c0010 | “idErrorInvalidCertificate”, // DSREG_E_DEVICE_AIK_VALIDATION_ERROR | 证书似乎无效。 请与系统管理员联系,并显示错误代码 {0}。 |
| 0x801c0011 | “idErrorAuthenticationFailure”, // DSREG_E_DEVICE_ATTESTATION_ERROR | 对帐户或设备进行身份验证时出现问题。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。 |
| 0x801c0012 | “idErrorServerConnectivity”, // DSREG_E_DISCOVERY_BAD_MESSAGE_ERROR | 与服务器通信时出错。 可以尝试再次执行此操作,或者通过错误代码联系系统管理员 {0} |
| 0x801c0013 | “idErrorAuthenticationFailure”, // DSREG_E_TENANTID_NOT_FOUND | 对帐户或设备进行身份验证时出现问题。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。 |
| 0x801c0014 | “idErrorAuthenticationFailure”, // DSREG_E_USERSID_NOT_FOUND | 对帐户或设备进行身份验证时出现问题。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。 |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈