針對 Microsoft Intune 中 iOS/iPadOS 裝置註冊錯誤進行疑難排解
本文可幫助 Intune 系統管理員了解在 Intune 中註冊 iOS/iPadOS 裝置時出現的問題並進行疑難排解。 如需其他一般疑難排解案例,請參閱針對 Microsoft Intune 中的裝置註冊進行疑難排解。
iOS/iPadOS 註冊錯誤
下表列出終端使用者在 Intune 中註冊 iOS/iPadOS 裝置時可能會看到的錯誤。
錯誤訊息 | 問題 | 解決方案 |
---|---|---|
NoEnrollmentPolicy | 找不到註冊原則 | Apple Push Notification Service (APN) 憑證遺失、無效或過期。 請檢查註冊是否已正確設定,且已啟用 iOS/iPadOS 作為平台 。 如需指南,請參閱 設定 iOS/iPadOS 和 Mac 裝置管理、取得 Apple MDM 推播憑證和更新 Apple MDM 推播憑證。 |
DeviceCapReached | 已註冊太多行動裝置。 | 使用者必須先從公司入口網站移除其中一個目前已註冊的行動裝置,才能註冊另一個裝置。 請參閱此處的詳細指南。 |
公司入口網站暫時無法使用 | 裝置上的公司入口網站應用程式已過期或損毀。 | 移除應用程式、驗證使用者認證,然後重新安裝應用程式。 請參閱此處的詳細指南。 |
APNSCertificateNotValid | 可讓行動裝置與您公司的網路進行通訊的憑證有問題。 |
Apple Push Notification Service (APN) 提供通道來連絡已註冊的 iOS/iPadOS 裝置。 註冊將會失敗,如果下列狀況,就會出現此訊息:
|
AccountNotOnboarded | 可讓行動裝置與您公司的網路進行通訊的憑證有問題。 註冊將會失敗,如果下列狀況,就會出現此訊息:
|
|
更新 APNs 憑證,然後重新註冊裝置。 重要: 請確定您已更新 APNs 憑證。 請勿 取代 APNs 憑證。 如果您取代憑證,您必須在 Intune 中重新註冊所有 iOS/iPadOS 裝置。 對於 Intune 獨立,請參閱更新 Apple MDM 推播憑證。 針對 Microsoft 365,請參閱 建立 iOS 裝置的 APNs 憑證。 |
||
DeviceTypeNotSupported | 使用者可能嘗試使用非 iOS 裝置進行註冊。 不支援您嘗試註冊的行動裝置類型。 請確認裝置正在執行 iOS/iPadOS 8.0 版或更新版本。 |
請確定使用者的裝置正在執行 iOS/iPadOS 8.0 版或更新版本。 |
UserLicenseTypeInvalid | 無法註冊裝置,因為使用者的帳戶還不是必要使用者群組的成員,或使用者沒有正確的授權。 |
使用者必須具有行動裝置管理授權單位的正確授權類型。 例如,如果 Intune 已設定為 MDM 授權單位,但使用者擁有 System Center 2012 R2 Configuration Manager 授權,就會看到此錯誤。 檢閱使用 Microsoft Intune 設定 iOS/iPadOS 和 Mac 管理,以及在同步 Active Directory 和將使用者新增至 Intune及組織使用者和裝置中檢閱如何設定使用者的相關資訊。 |
MdmAuthorityNotDefined | 尚未定義行動裝置管理授權單位。 |
Intune 中尚未定義行動裝置管理授權單位。 在開始使用 Microsoft Intune 的 30 天免費試用版的<步驟 6:註冊行動裝置和安裝應用程式>一節中,檢閱項目 #1。 |
同步 Intune 與 ADE 之間的權杖錯誤
本節包含與 Apple Automated Device Enrollment (ADE) 相關的權杖同步錯誤:
- Apple Business Manager (ABM)
- Apple School Manager (ASM)
錯誤訊息 | 原因 | 解決方案 |
---|---|---|
過期或無效的權杖 | 權杖可能已過期、遭到撤銷或格式錯誤。 | 過期的權杖可以更新,無效的權杖則必須在 Intune 中建立新的權杖。 新的令牌可以用於Apple Business Manager或 Apple School Manager 中的現有 MDM 伺服器:編輯選項 > MDM 伺服器設定 > 上傳公鑰 |
Access denied (E_ACCESSDENIED (0x80070005):拒絕存取) | Intune 無法再與 Apple 交談。 例如,Intune 已從 Apple Business Manager 或 Apple School Manager 中的 MDM 伺服器清單中移除。 權杖可能已過期。 | 1. 確認您的權杖是否已過期,以及是否已建立新的權杖。 2. 檢查 Intune 是否在 MDM 伺服器清單中 |
未接受條款與條件 | 需要在 Apple Business Manager 或 Apple School Manager 中接受 T&C) (的新條款和條件。 | 在 Apple Apple Business Manager 或 Apple School Manager 入口網站中接受新的 T&C。 注意: 這必須由在 Apple Business Manager 或 Apple School Manager 中具有系統管理員角色的使用者完成。 |
內部伺服器錯誤。 | 需要進一步調查 | 如需其他記錄,請連絡 Intune 支援小組 |
無效的支援電話號碼 | 無效的支援電話號碼。 | 編輯設定檔的支援電話號碼。 |
無效的組態設定檔名稱 | 組態設定檔名稱無效、空白或太長。 | 編輯設定檔的名稱。 |
無效的資料指標 | 資料指標遭到 Apple 拒絕或找不到。 | 請連絡 Intune 支援小組。 他們可以從 Intune 服務重試進行同步。 |
資料指標已過期 | Intune 端的資料指標已過期。 | 請連絡 Intune 支援小組。 他們可以從 Intune 服務重試進行同步。 |
必要的資料指標 | 在同步期間,Intune 一開始並未設定資料指標。 | 請連絡 Intune 支援小組以修正同步並傳回資料指標。 |
找不到 Apple 設定檔 | 多種可能原因 | 建立新的設定檔,並將設定檔指派給裝置。 |
無效的部門項目 | 部門欄位項目無效 | 編輯設定檔的部門欄位。 |
錯誤:上傳註冊計劃令牌時發生錯誤
如果 ADE 令牌上傳失敗,您可能會看到類似下列的錯誤訊息:
發生錯誤。
上傳註冊計劃令牌時發生錯誤。 要求標識碼:AjaxError:ajaxExtended 呼叫失敗
在此情況下,請嘗試下列步驟來建立新的令牌:
以 Intune 系統管理員身分登入 Graph 總管。
GET
使用下列 URL 執行要求以列舉租使用者中的權杖:https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings
如有必要,請授與同意並重新執行要求。
尋找需要更新之令牌的 GUID。
GET
執行要求,以使用下列 URL 取得令牌的公用加密金鑰:https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKey
回應看起來如下列範例所示:
{ "@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String", "value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----" }
從響應複製值,並建立文本檔,如下所示。 然後,將文本文件儲存為 .pem 檔案。 例如, token.pem。
重要事項
檔案包含三行,而且base64字串中沒有連結中斷。
-----BEGIN CERTIFICATE----- SOMEBASE64STRING== -----END CERTIFICATE-----
登入 Apple Business Manager 或 Apple School Manager,並尋找需要更新的令牌伺服器。 然後,選取 [編輯]。
在 [ MDM 伺服器設定] 區段中,上傳 .pem 檔案,然後選取 [ 儲存]。
注意事項
如果您收到指出檔格式不正確的錯誤訊息,請確定已根據步驟 5 建立檔案。 修正檔案格式之後,請關閉頁面,然後再次選取 [編輯 ]。
選取 [下載令牌 ] 以下載新的令牌。
登入 Intune,然後選取重新整理下載的令牌。
其他錯誤和問題
本節提供這些額外案例的疑難排解步驟:
- 確認 WS-Trust 1.3 已啟用
- 加入工作場所失敗
- 無法辨識使用者名稱
- XPC_TYPE_ERROR 連線無效
- 無法下載設定...設定檔無效
- ADE 註冊未啟動
- ADE 註冊卡在使用者登入
- 驗證不會重新導向至政府雲端
請確認 WS-Trust 1.3 已啟用
註冊具有使用者親和性的 ADE 裝置需要 WS-Trust 1.3 使用者名稱/混合端點,才能請求使用者權杖。 預設情況下,Active Directory 會啟用此端點。 如果未啟用 WS-Trust 1.3,則無法註冊自動裝置註冊 (aDE) iOS/iPadOS 裝置。
若要取得已啟用端點的清單,請使用 Get-AdfsEndpoint
PowerShell Cmdlet並尋找 trust/13/UsernameMixed 端點。 例如:
Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"
如需詳細資訊,請參閱 Get-AdfsEndpoint 文件和保護 Active Directory 同盟服務的最佳做法。 如需判斷身分識別同盟提供者中是否已啟用 WS-Trust 1.3 使用者名稱/混合的說明,如果您使用 AD FS,請連絡 Microsoft 支援服務。 否則,請連絡您的協力廠商身分識別廠商。
加入工作場所失敗
此錯誤表示公司入口網站應用程式已過期或損毀。
解決方案:
- 從裝置移除公司入口網站應用程式。
- 從 App Store 下載並安裝 Microsoft Intune 公司入口網站應用程式。
- 重新註冊裝置。
無法辨識使用者名稱
錯誤「無法辨識使用者名稱。 此使用者帳戶未獲授權使用 Microsoft Intune。 如果您認為收到此訊息時發生錯誤,請連絡系統管理員。」表示嘗試註冊裝置的用戶沒有有效的 Intune 授權。
- 前往 [Microsoft 365 系統管理中心],然後選擇 [使用者]> [使用中使用者]。
- 選取受影響的使用者帳戶,然後選擇 [產品授權]> [編輯]。
- 請確認已將有效的 Intune 授權指派給此使用者。
- 重新註冊裝置。
XPC_TYPE_ERROR 連線無效
當您開啟已指派註冊設定檔的 ADE 託管裝置時,註冊會失敗,而且您會收到下列錯誤訊息:
asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }
原因: 裝置與 Apple ADE 服務之間有連線問題。
解決方案: 修正連線問題,或使用不同的網路連線來註冊裝置。 如果問題仍然存在,則可能需要連絡 Apple。
無法從 <公司名稱>下載 iPhone/iPad 的設定:無效的配置檔
原因: 註冊遭到裝置類型限制封鎖。
解決方案:
- 登入 Microsoft Intune 系統管理中心>裝置>註冊裝置>註冊限制。
- 在 [裝置類型限制] 下,選取 [所有使用者]> [屬性]。
- 選取 [平臺設定] 旁的 [編輯]。
- 在 [編輯限制] 頁面上,選取 [允許] [iOS/iPadOS] ],然後繼續前往 [檢閱 + 儲存] 頁面,然後選取 [儲存]。
ADE 註冊未啟動
當您開啟已指派註冊設定檔的 ADE 託管裝置時,不會起始 Intune 註冊程式。
原因:註冊設定檔會在 ADE 權杖上傳至 Intune 之前建立。
解決方案:
- 編輯註冊設定檔。 您可以對設定檔進行任何變更。 其目的是要更新設定檔的修改時間。
- 同步處理受 ADE 管理的裝置:在 Microsoft Intune 系統管理中心中,選擇 [裝置>iOS iOS>註冊註冊>計劃令牌>] 選擇 [立即同步處理] 令牌>。 同步處理請求會傳送至 Apple。
ADE 註冊卡在使用者登入
當您開啟已指派註冊設定檔的 ADE 託管裝置時,初始設定會在您輸入認證之後繼續進行。
原因: 已啟用多重要素驗證 (MFA)。 在 ADE 裝置上註冊期間,MFA 目前無法運作。
解決方案: 停用 MFA,然後重新註冊裝置。
驗證不會重新導向至政府雲端
從另一個裝置登入的政府使用者會重新導向至公用雲端進行驗證,而不是政府雲端。
原因:Microsoft Entra ID 在從另一部裝置登入時,尚不支援重新導向至政府雲端。
解決方案:使用 [設定] 應用程式中的 [iOS 公司入口網站 雲端] 設定,將政府使用者的驗證重新導向至政府雲端。 預設情況下,[雲端] 設定會設定為 [自動],公司入口網站將驗證導向到裝置 (例如公用或政府) 自動偵測到的雲端。 從另一部裝置登入的政府使用者必須手動選取政府雲端進行驗證。
開啟 [設定] 應用程式,然後選取 [公司入口網站]。 在公司入口網站設定中,選取 [雲端]。 將 [雲端] 設定為 [政府]。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應