在 Intune 中排除 iOS/iPadOS 设备注册错误

本文帮助 Intune 管理员理解在 Microsoft Intune 中注册 Windows 设备时出现的错误消息并进行故障排除。 有关其他常规故障排除场景,请参阅在 Microsoft Intune 中解决设备注册问题

iOS/iPadOS 注册错误

下表列出了最终用户在 Intune 中注册 iOS/iPadOS 设备时可能看到的错误。

错误消息 问题 解决方案
NoEnrollmentPolicy 未找到注册策略 Apple Push Notification Service (APN) 证书缺失、无效或过期。 检查注册是否已正确设置,以及是否已将 iOS/iPadOS 作为平台启用。 有关说明,请参阅 设置 iOS/iPadOS 和 Mac 设备管理获取 Apple MDM 推送证书续订 Apple MDM 推送证书
DeviceCapReached 已注册过多移动设备。 用户必须先从公司门户中删除当前注册的移动设备之一,然后再注册另一台设备。 请参阅此处的详细说明。
公司门户暂时不可用 设备上的“公司门户”应用已过时或损坏。 删除应用,验证用户凭据,然后重新安装应用。 请参阅此处的详细说明。
APNSCertificateNotValid 允许移动设备与公司的网络通信的证书存在问题。

Apple Push Notification Service (APN) 提供联系已注册 iOS/iPadOS 设备的通道。 如果出现以下情况,注册将失败,且会显示此消息:
  • 获取 APN 证书的步骤未完成,或者
  • APN 证书已过期。
查看有关如何在 Sync Active Directory 中设置用户并将用户添加到 Intune组织用户和设备的信息。
AccountNotOnboarded 允许移动设备与公司的网络通信的证书存在问题。 如果出现以下情况,注册将失败,且会显示此消息:
  • 获取 APN 证书的步骤未完成,或者
  • APN 证书已过期。
续订 APN 证书,然后重新注册设备。
重要提示:请确保续订 APN 证书。 请勿替换 APN 证书。 如果替换证书,则必须在 Intune 中重新注册所有 iOS/iPadOS 设备。 仅对于 Intune,请参阅续订 Apple MDM 推送证书。 对于 Microsoft 365,请参阅 为 iOS 设备创建 APN 证书
DeviceTypeNotSupported 用户可能已尝试使用非 iOS 设备进行注册。 不支持你尝试注册的移动设备类型。

确认设备正在运行 iOS/iPadOS 版本 8.0 或更高版本。

确保用户的设备正在运行 iOS/iPadOS 版本 8.0 或更高版本。
UserLicenseTypeInvalid 无法注册设备,因为用户的帐户还不是所需用户组的成员,或者用户没有正确的许可证。

用户必须具有移动设备管理机构颁发的正确类型的许可证。 例如,如果已将 Intune 设置为 MDM 颁发机构,但用户具有 System Center 2012 R2 Configuration Manager 许可证,他们将看到此错误。
查看使用 Microsoft Intune 设置 iOS/iPadOS 和 Mac 管理,并查看同步 Active Directory 并将用户添加到 Intune组织用户和设备,了解关于如何设置用户的信息。
MdmAuthorityNotDefined 尚未定义移动设备管理机构。

尚未在 Intune 中设置移动设备管理机构。

查看步骤 6 中的第 1 项:注册移动设备并在试用 30 天 Microsoft Intune 部分中安装应用

Intune 和 ADE 之间的同步令牌错误

本部分包括与 Apple 自动设备注册 (ADE) 相关的令牌同步错误:

  • Apple Business Manager (ABM)
  • Apple School Manager (ASM)
错误消息 原因 解决方案
过期或无效的令牌 令牌可能过期、撤消或格式不正确。 可以续订过期的令牌,无效令牌需要在 Intune 中创建新令牌。
新令牌可用于 Apple Business Manager 或 Apple School Manager 中的现有 MDM 服务器:编辑选项 > MDM 服务器设置 > 上传公钥
Access denied Intune 不和 Apple 通信。 例如,Intune已从 Apple Business Manager 或 Apple School Manager 中的 MDM 服务器列表中删除。 令牌可能已过期。 1. 验证令牌是否已过期,以及是否已创建新令牌。
2. 检查 Intune 是否在 MDM 服务器列表中
不接受的条款和条件 Apple Business Manager 或 Apple School Manager 中需要接受 T&C) (的新条款和条件。 在 Apple Apple Business Manager 或 Apple School Manager 门户中接受新的 T&C。
注意: 这必须由在 Apple Business Manager 或 Apple School Manager 中具有管理员角色的用户完成。
内部服务器错误 需要进一步调查 请联系 Intune 支持团队,因为需要其他日志
支持电话号码无效 支持电话号码无效。 编辑配置文件的支持电话号码。
配置文件名称无效 配置文件名称无效、为空或过长。 编辑配置文件名称。
光标无效 光标被 Apple 拒绝或找不到。 联系 Intune 支持团队。 他们可以从 Intune 服务重试同步。
光标已过期 光标在 Intune 端过期。 联系 Intune 支持团队。 他们可以从 Intune 服务重试同步。
需要光标 在同步期间,Intune 最初不会设置光标。 请联系 Intune 支持团队来修复同步并返回光标。
找不到 Apple 配置文件 多个可能的原因 创建新配置文件,并将配置文件分配给设备。
部门条目无效 部门字段条目无效 编辑配置文件的部门字段。

错误:上传注册计划令牌时出错

如果 ADE 令牌上传失败,可能会看到如下所示的错误消息:

发生错误。
上传注册计划令牌时出错。 请求 ID: AjaxError: ajaxExtended 调用失败

在这种情况下,请尝试以下步骤来创建新令牌:

  1. 以Intune管理员身份登录到 Graph 资源管理器

  2. GET使用以下 URL 运行请求以枚举租户中的令牌:

    https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings

    如有必要,请授予同意并重新运行请求。

  3. 查找需要续订的令牌的 GUID。

  4. GET使用以下 URL 运行请求以获取令牌的公共加密密钥:

    https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKey

    响应如以下示例所示:

    {
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String",
    "value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----"
    }
    
  5. 复制响应中的值并创建一个文本文件,如下所示。 然后,将文本文件另存为 .pem 文件。 例如 ,token.pem

    重要

    该文件包含三行,base64 字符串中没有链接中断。

    -----BEGIN CERTIFICATE-----
    SOMEBASE64STRING==
    -----END CERTIFICATE-----
    
  6. 登录到 Apple Business Manager 或 Apple School Manager,找到需要更新的令牌服务器。 然后,选择 “编辑”。

  7. “MDM 服务器设置” 部分中,上传 .pem 文件,然后选择“ 保存”。

    注意

    如果收到一条错误消息,指示文件格式不正确,请确保根据步骤 5 创建该文件。 固定文件格式后,关闭页面,然后再次选择 “编辑 ”。

  8. 选择“ 下载令牌 ”以下载新令牌。

  9. 登录到Intune并选择刷新下载的令牌。

其他错误和问题

本部分针对这些其他方案提供以下疑难解答步骤:

验证是否已启用 WS-Trust 1.3

注册具有用户关联的 ADE 设备需要启用 WS-Trust 1.3 用户名/混合终结点来请求用户令牌。 默认情况下,Active Directory 启用此终结点。 如果未启用 WS-Trust 1.3,则无法注册自动设备注册 (ADE) iOS/iPadOS 设备。

若要获取已启用的终结点的列表,请使用 Get-AdfsEndpoint PowerShell cmdlet 并查找 trust/13/UsernameMixed 终结点。 例如:

Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"

有关详细信息,请参阅 Get-AdfsEndpoint 文档保护 Active Directory 联合身份验证服务安全的最佳做法。 要帮助确定是否在标识联合身份验证提供程序中启用了 WS-Trust 1.3 用户名/混合,请联系 Microsoft 支持部门(如果使用 AD FS)。 否则,请联系第三方标识供应商。

工作区加入失败

此错误指示“公司门户”应用已过期或已损坏。

解决方案:

  1. 从设备中删除“公司门户”应用。
  2. 应用商店下载并安装Microsoft Intune 公司门户应用。
  3. 重新注册设备。

用户名未识别

错误“用户名未识别。 此用户帐户无权使用 Microsoft Intune。 如果你认为错误地收到此消息,请与系统管理员联系。“表示尝试注册设备的用户没有有效的Intune许可证。

  1. 转到“Microsoft 365 管理中心”,然后依次选择“用户”“活动用户”>
  2. 选择受影响的用户帐户,然后依次选择“产品许可证”>“编辑”
  3. 验证是否为此用户分配了有效的 Intune 许可证。
  4. 重新注册设备。

XPC_TYPE_ERROR 连接无效

打开分配了注册配置文件的 ADE 托管设备时,注册失败,并收到以下错误消息:

asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }

原因:设备与 Apple ADE 服务之间存在连接问题。

解决方案:修复连接问题,或使用其它网络连接注册设备。 如果问题仍然存在,可能需要联系 Apple 公司。

无法从 <公司名称>下载 iPhone/iPad 的配置:配置文件无效

原因:注册被设备类型限制阻止。

解决方案:

  1. 登录到Microsoft Intune管理中心>设备>注册设备>注册限制
  2. 在“设备类型限制”下,依次选择“所有用户”>“属性”
  3. 选择“平台设置”旁边的“编辑”
  4. 在“编辑限制”页上,选择“允许 iOS/iPadOS”,然后进入“查看 + 保存”页,然后选择“保存”

ADE 注册未启动

打开分配了注册配置文件的 ADE 托管设备时,不会启动 Intune 注册过程。

原因:注册配置文件是在 ADE 令牌上传到 Intune 之前创建的。

解决方案:

  1. 编辑注册配置文件。 可以对配置文件进行任何更改。 目的是更新配置文件的修改时间。
  2. 同步 ADE 管理的设备:在 Microsoft Intune 管理中心,选择“设备>”“iOS>注册>”“注册计划令牌>”选择令牌>“”立即同步”。 同步请求将发送到 Apple。

ADE 注册停滞在用户登录时

打开分配了注册配置文件的 ADE 托管设备时,在输入凭据后,初始设置会保留。

原因:启用了多重身份验证 (MFA)。 目前,MFA 在 ADE 设备上注册期间不能正常运行。

解决方案:禁用 MFA,然后重新注册设备。

身份验证不会重定向到政府云

从另一台设备登录的政府用户会重定向到公有云进行身份验证,而不是政府云。

原因:从其他设备登录时,Microsoft Entra ID尚不支持重定向到政府云。

解决 方案:使用“设置”应用中的 iOS 公司门户 Cloud 设置将政府用户的身份验证重定向到政府云。 默认情况下,“云”设置设置为“自动”,公司门户将身份验证定向到设备自动检测到的云(例如公有云或政府云)。 从另一台设备登录的政府用户需要手动选择政府云进行身份验证。

打开“设置”应用,然后选择公司门户。 在公司门户设置中,选择“云”。 将“云”设置为政府。