Résolution des erreurs d’inscription des appareils iOS/iPadOS dans Microsoft Intune

  • Article

Cet article aide les administrateurs d’Intune à comprendre et résoudre les problèmes lors de l’inscription d’appareils iOS/iPadOS dans Intune. Pour obtenir des scénarios de dépannage généraux et supplémentaires, consultez l’article Résolution des problèmes d’inscription des appareils dans Intune.

Erreurs d’inscription iOS/iPadOS

Le tableau suivant répertorie les erreurs pouvant s’afficher pour les utilisateurs finaux lors de l’inscription d’appareils iOS/iPadOS dans Intune.

Message d’erreur Problème Résolution
NoEnrollmentPolicy Aucune stratégie d’inscription trouvée Le certificat Apple Push Notification Service (APNs) est manquant, non valide ou a expiré. Vérifiez que l’inscription a été correctement configurée et qu’iOS/iPadOS en tant que plateforme est activé. Pour obtenir des instructions, consultez les sections Configurer la gestion des appareils iOS/iPadOS et Mac, Obtenir un certificat Apple MDM Push et Renouveler un certificat Apple MDM Push.
DeviceCapReached Trop d’appareils mobiles sont déjà inscrits. L’utilisateur doit supprimer l’un des appareils mobiles actuellement inscrits du Portail d’entreprise avant d’en inscrire un autre. Consultez les instructions détaillées ici.
Le portail d’entreprise est temporairement indisponible L’application Portail d’entreprise sur l’appareil est obsolète ou endommagée. Supprimez l’application, validez les informations d’identification de l’utilisateur, puis réinstallez l’application. Consultez les instructions détaillées ici.
APNSCertificateNotValid Le certificat présente un problème qui permet à l’appareil mobile de communiquer avec le réseau de votre entreprise.

 Le service Apple Push Notification Service (APNs) fournit un canal pour contacter les appareils iOS/iPadOS inscrits. L’inscription échoue et ce message s’affiche si :
  • Les étapes d’obtention d’un certificat APNs n’ont pas été effectuées, ou
  • Le certificat APNs a expiré.
Passez en revue les informations sur la façon de configurer des utilisateurs dans les sections Synchroniser Active Directory et ajouter des utilisateurs à Intune et Organisation des utilisateurs et des appareils.
AccountNotOnboarded Le certificat présente un problème qui permet à l’appareil mobile de communiquer avec le réseau de votre entreprise. L’inscription échoue et ce message s’affiche si :
  • Les étapes d’obtention d’un certificat APNs n’ont pas été effectuées, ou
  • Le certificat APNs a expiré.
Renouvelez le certificat APNs, puis réinscrivez l’appareil.
Important : veillez à renouveler le certificat APNs. Ne remplacez pas le certificat APNs. Si vous remplacez le certificat, vous devez réinscrire tous les appareils iOS/iPadOS dans Intune. Pour la version autonome d’Intune, consultez la section Renouveler le certificat Apple MDM Push. Pour Microsoft 365, consultez la section Créer un certificat APNs pour les appareils iOS.
DeviceTypeNotSupported L’utilisateur a peut-être essayé de s’inscrire à l’aide d’un appareil non iOS. Le type d’appareil mobile que vous essayez d’inscrire n’est pas pris en charge.

Vérifiez que l’appareil exécute iOS/iPadOS version 8.0 ou ultérieure.

 Assurez-vous que l’appareil de votre utilisateur exécute iOS/iPadOS version 8.0 ou ultérieure.
UserLicenseTypeInvalid L’appareil ne peut pas être inscrit, car le compte de l’utilisateur n’est pas encore membre d’un groupe d’utilisateurs requis ou l’utilisateur ne dispose pas de la licence appropriée.

 Les utilisateurs doivent disposer du type de licence approprié pour l’autorité de gestion des appareils mobiles. Par exemple, cette erreur s’affiche si Intune a été défini comme autorité MDM, mais que l’utilisateur dispose d’une licence System Center 2012 R2 Configuration Manager.
Consultez la page Configuration de la gestion iOS/iPadOS et Mac avec Microsoft Intune et les informations concernant la configuration des utilisateurs dans Sync Active Directory et l’ajout d’utilisateurs à Intune et l’organisation des utilisateurs et des appareils.
MdmAuthorityNotDefined L’autorité de gestion des périphériques mobiles n’a pas été définie.

 L’autorité de gestion des périphériques mobiles n’a pas été paramétrée dans Intune.

Passez en revue l’élément 1 de la section Étape 6 : inscrire des appareils mobiles et installer une application dans Prise en main avec un essai de 30 jours de Microsoft Intune.

Erreurs de jeton de synchronisation entre Intune et ADE

Cette section inclut les erreurs de synchronisation de jetons liées à l’inscription automatique d’appareils Apple (ADE) :

  • Apple Business Manager (ABM)
  • Apple School Manager (ASM)
Message d’erreur Cause Solution
Jeton expiré ou invalide Le jeton peut être expiré, révoqué ou mal formé. Les jetons expirés peuvent être renouvelés. Un jeton non valide doit être créé dans Intune.
Le nouveau jeton peut être utilisé sur un serveur MDM existant dans Apple Business Manager ou Apple School Manager : Modifier les > paramètres > du serveur MDM Charger la clé publique
Accès refusé Intune ne peux plus communiquer avec Apple. Par exemple, Intune a été supprimé de la liste des serveurs MDM dans Apple Business Manager ou Apple School Manager. Le jeton a peut-être expiré. 1. Vérifiez si votre jeton a expiré et si un nouveau jeton a été créé.
2. Vérifiez si Intune se trouve dans la liste des serveurs GPM.
Conditions générales non acceptées Les nouvelles conditions générales (T&C) doivent être acceptées dans Apple Business Manager ou Apple School Manager. Acceptez le nouveau T&C dans Apple Business Manager ou le portail Apple School Manager.
Note: Cette opération doit être effectuée par un utilisateur disposant du rôle Administrateur dans Apple Business Manager ou Apple School Manager.
Erreur interne au serveur Nécessite une investigation plus approfondie Contactez l’équipe de support technique Intune, car des journaux supplémentaires sont nécessaires.
Numéro de téléphone de support non valide Le numéro de téléphone de support n’est pas valide. Modifiez le numéro de téléphone de support pour vos profils.
Nom du profil de configuration non valide Le nom du profil de configuration n’est pas valide, est vide ou trop long. Modifiez le nom du profil.
Curseur non valide Le curseur a été rejeté par Apple ou est introuvable. Contactez l’équipe de support technique Intune. L’équipe peut réessayer la synchronisation à partir du service Intune.
Le curseur a expiré Le curseur a expiré du côté d’Intune. Contactez l’équipe de support technique Intune. L’équipe peut réessayer la synchronisation à partir du service Intune.
Curseur requis Le curseur n’a pas été initialement défini par Intune pendant la synchronisation. Contactez l’équipe de support technique Intune pour corriger la synchronisation et retourner le curseur.
Profil Apple introuvable Causes multiples possibles Créez un profil et attribuez-le aux appareils.
Entrée de département non valide L’entrée du champ Département n’est pas valide Modifiez le champ Département de vos profils.

Erreur : une erreur s’est produite lors du chargement du jeton du programme d’inscription

Si le chargement du jeton ADE échoue, un message d’erreur semblable à celui-ci peut s’afficher :

Une erreur s'est produite.
Une erreur s’est produite lors du chargement du jeton du programme d’inscription. ID de la demande : AjaxError : échec de l’appel ajaxExtended

Dans ce cas, essayez les étapes suivantes pour créer un jeton :

  1. Connectez-vous à Graph Explorer en tant qu’administrateur Intune.

  2. Exécutez une GET requête pour énumérer les jetons dans le locataire à l’aide de l’URL suivante :

    https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings

    Si nécessaire, accordez votre consentement et réexécutez la demande.

  3. Recherchez le GUID du jeton qui doit être renouvelé.

  4. Exécutez une GET requête pour obtenir la clé de chiffrement publique du jeton à l’aide de l’URL suivante :

    https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKey

    La réponse ressemble à l’exemple suivant :

    {
"@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String",
"value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----"
}

  5. Copiez la valeur de la réponse et créez un fichier texte comme suit. Ensuite, enregistrez le fichier texte en tant que fichier .pem . Par exemple, token.pem.

    Importante

    Le fichier contient trois lignes, et il n’y a aucun saut de lien dans la chaîne base64.

    -----BEGIN CERTIFICATE-----
SOMEBASE64STRING==
-----END CERTIFICATE-----

  6. Connectez-vous à Apple Business Manager ou Apple School Manager et recherchez le serveur de jetons qui doit être mis à jour. Ensuite, sélectionnez Modifier.

  7. Dans la section Paramètres du serveur MDM , chargez le fichier .pem , puis sélectionnez Enregistrer.

    Remarque

    Si vous recevez un message d’erreur indiquant que le format de fichier est incorrect, assurez-vous que le fichier est créé conformément à l’étape 5. Une fois le format de fichier résolu, fermez la page et sélectionnez à nouveau Modifier .

  8. Sélectionnez Télécharger le jeton pour télécharger le nouveau jeton.

  9. Connectez-vous à Intune et sélectionnez pour actualiser le jeton téléchargé.

Autres erreurs et problèmes

Cette section fournit des étapes de dépannage pour ces scénarios supplémentaires :

Vérifier que WS-Trust 1.3 est activé

L’inscription d’appareils ADE avec affinité utilisateur nécessite l’activation du point de terminaison Username/Mixed de WS-Trust 1.3 pour la demande de jetons utilisateur. Active Directory active ce point de terminaison par défaut. Si WS-Trust 1.3 n’est pas activé, les appareils IOS/iPadOS ADE (Automated Device Enrollment) ne peuvent pas être inscrits.

Pour obtenir la liste des points de terminaison activés, utilisez l’applet Get-AdfsEndpoint de commande PowerShell et recherchez le point de terminaison trust/13/UsernameMixed. Par exemple :

Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"

Pour plus d’informations, consultez la documentation Get-AdfsEndpoint ainsi que les Bonnes pratiques relatives à la sécurisation des services de fédération Active Directory (AD FS). Pour savoir si WS-Trust 1.3 Username/Mixed est activé dans votre fournisseur de fédération des identités, contactez le support Microsoft si vous utilisez AD FS. Sinon, contactez votre fournisseur d’identité tiers.

Échec du rattachement à l’espace de travail

Cette erreur indique que l’application Portail d’entreprise est obsolète ou endommagée.

Solution :

  1. Supprimez l’application Portail d’entreprise de l’appareil.
  2. Téléchargez et installez l’application Portail d’entreprise Microsoft Intune à partir de l’App Store.
  3. Réinscrivez l’appareil.

Nom d’utilisateur non reconnu

L’erreur « Nom d’utilisateur non reconnu. Ce compte d’utilisateur n’est pas autorisé à utiliser Microsoft Intune. Contactez votre administrateur système si vous pensez avoir reçu ce message par erreur. » indique que l’utilisateur qui tente d’inscrire l’appareil ne dispose pas d’une licence Intune valide.

  1. Accédez au Centre d’administration Microsoft 365, puis sélectionnez Utilisateurs>Utilisateurs actifs.
  2. Sélectionnez le compte d’utilisateur affecté, puis choisissez Licences de produits>Modifier.
  3. Vérifiez qu’une licence Intune valide est attribuée à cet utilisateur.
  4. Réinscrivez l’appareil.

Connexion XPC_TYPE_ERROR non valide

Lorsque vous activez un appareil géré par ADE auquel un profil d’inscription est attribué, l’inscription échoue et le message d’erreur suivant s’affiche :

asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }

Cause : il existe un problème de connexion entre l’appareil et le service Apple ADE.

Solution : corrigez le problème de connexion ou utilisez une autre connexion réseau pour inscrire l’appareil. Si le problème persiste, il vous faudra peut-être également contacter Apple.

La configuration de votre iPhone/iPad n’a pas pu être téléchargée à partir de <Nom de l’entreprise> : profil non valide

Cause : l’inscription est bloquée par une restriction de type d’appareil.

Solution :

  1. Connectez-vous au centre >d’administration Microsoft IntuneAppareils>Inscrire des appareils> Restrictionsd’inscription.
  2. Sous Restrictions de type d’appareil, sélectionnez Tous les utilisateurs>Propriétés.
  3. Sélectionnez Modifier en regard des Paramètres de plateforme.
  4. Dans la page Modifier la restriction, sélectionnez Autoriser pour iOS/iPadOS, passez à la page Vérifier + enregistrer, puis sélectionnez Enregistrer.

L’inscription ADE ne démarre pas

Lorsque vous activez un appareil géré par ADE auquel un profil d’inscription est attribué, le processus d’inscription Intune n’est pas lancé.

Cause : le profil d’inscription est créé avant le chargement du jeton ADE sur Intune.

Solution :

  1. Modifiez le profil d’inscription. Vous pouvez apporter n’importe quelle modification au profil. L’objectif est de mettre à jour l’heure de modification du profil.
  2. Synchroniser les appareils gérés par ADE : dans le centre d’administration Microsoft Intune, choisissez Appareils>iOSinscription iOS> Jetons >du programme d’inscription> choisissez un jeton >Synchroniser maintenant. Une demande de synchronisation est envoyée à Apple.

L’inscription ADE est bloquée à la connexion de l’utilisateur

Lorsque vous activez un appareil géré par ADE auquel un profil d’inscription est attribué, la configuration initiale reste une fois que vous avez entré les informations d’identification.

Cause : l’authentification multifacteur (MFA) est activée. Actuellement, l’authentification multifacteur ne fonctionne pas lors de l’inscription sur les appareils ADE.

Solution : désactivez l’authentification multifacteur, puis réinscrivez l’appareil.

L’authentification ne redirige pas vers le cloud du secteur public

Les utilisateurs du secteur public qui se connectent à partir d’un autre appareil sont redirigés vers le cloud public pour l’authentification plutôt que vers le cloud pour le secteur public.

Cause : Microsoft Entra ID ne prend pas encore en charge la redirection vers le cloud du secteur public lors de la connexion à partir d’un autre appareil.

Solution: Utilisez le paramètre iOS Portail d'entreprise Cloud dans l’application Paramètres pour rediriger l’authentification des utilisateurs gouvernementaux vers le cloud du secteur public. Par défaut, le paramètre Cloud est défini sur Automatique et Portail d’entreprise dirige l’authentification vers le cloud qui est détecté automatiquement par l’appareil (par exemple, Public ou Secteur public). Les utilisateurs du secteur public qui se connectent à partir d’un autre appareil doivent sélectionner manuellement le cloud pour le secteur public pour l’authentification.

Ouvrez l’application Paramètres et sélectionnez Portail d’entreprise. Dans les paramètres de Portail d’entreprise, sélectionnez Cloud. Définissez le Cloud sur Secteur public.