針對 Microsoft Intune 中 iOS/iPadOS 裝置註冊錯誤進行疑難排解

  • 發行項

本文可幫助 Intune 系統管理員了解在 Intune 中註冊 iOS/iPadOS 裝置時出現的問題並進行疑難排解。 如需其他一般疑難排解案例,請參閱針對 Microsoft Intune 中的裝置註冊進行疑難排解

iOS/iPadOS 註冊錯誤

下表列出終端使用者在 Intune 中註冊 iOS/iPadOS 裝置時可能會看到的錯誤。

錯誤訊息 問題 解決方案
NoEnrollmentPolicy 找不到註冊原則 Apple Push Notification Service (APN) 憑證遺失、無效或過期。 請檢查註冊是否已正確設定,且已啟用 iOS/iPadOS 作為平台 。 如需指南,請參閱 設定 iOS/iPadOS 和 Mac 裝置管理取得 Apple MDM 推播憑證更新 Apple MDM 推播憑證
DeviceCapReached 已註冊太多行動裝置。 使用者必須先從公司入口網站移除其中一個目前已註冊的行動裝置,才能註冊另一個裝置。 請參閱此處的詳細指南。
公司入口網站暫時無法使用 裝置上的公司入口網站應用程式已過期或損毀。 移除應用程式、驗證使用者認證,然後重新安裝應用程式。 請參閱此處的詳細指南。
APNSCertificateNotValid 可讓行動裝置與您公司的網路進行通訊的憑證有問題。

 Apple Push Notification Service (APN) 提供通道來連絡已註冊的 iOS/iPadOS 裝置。 註冊將會失敗,如果下列狀況,就會出現此訊息:
  • 取得 APNs 憑證的步驟尚未完成,或
  • APN 憑證已過期。
檢閱 同步 Active Directory 以及將使用者新增至 Intune 中設定使用者的方法和 組織使用者和裝置的相關資訊。
AccountNotOnboarded 可讓行動裝置與您公司的網路進行通訊的憑證有問題。 註冊將會失敗,如果下列狀況,就會出現此訊息:
  • 取得 APNs 憑證的步驟尚未完成,或
  • APN 憑證已過期。
更新 APNs 憑證,然後重新註冊裝置。
重要: 請確定您已更新 APNs 憑證。 請勿 取代 APNs 憑證。 如果您取代憑證,您必須在 Intune 中重新註冊所有 iOS/iPadOS 裝置。 對於 Intune 獨立,請參閱更新 Apple MDM 推播憑證。 針對 Microsoft 365,請參閱 建立 iOS 裝置的 APNs 憑證
DeviceTypeNotSupported 使用者可能嘗試使用非 iOS 裝置進行註冊。 不支援您嘗試註冊的行動裝置類型。

請確認裝置正在執行 iOS/iPadOS 8.0 版或更新版本。

 請確定使用者的裝置正在執行 iOS/iPadOS 8.0 版或更新版本。
UserLicenseTypeInvalid 無法註冊裝置,因為使用者的帳戶還不是必要使用者群組的成員,或使用者沒有正確的授權。

 使用者必須具有行動裝置管理授權單位的正確授權類型。 例如,如果 Intune 已設定為 MDM 授權單位,但使用者擁有 System Center 2012 R2 Configuration Manager 授權,就會看到此錯誤。
檢閱使用 Microsoft Intune 設定 iOS/iPadOS 和 Mac 管理,以及在同步 Active Directory 和將使用者新增至 Intune組織使用者和裝置中檢閱如何設定使用者的相關資訊。
MdmAuthorityNotDefined 尚未定義行動裝置管理授權單位。

 Intune 中尚未定義行動裝置管理授權單位。

開始使用 Microsoft Intune 的 30 天免費試用版的<步驟 6:註冊行動裝置和安裝應用程式>一節中,檢閱項目 #1。

同步 Intune 與 ADE 之間的權杖錯誤

本節包含與 Apple Automated Device Enrollment (ADE) 相關的權杖同步錯誤:

  • Apple Business Manager (ABM)
  • Apple School Manager (ASM)
錯誤訊息 原因 解決方案
過期或無效的權杖 權杖可能已過期、遭到撤銷或格式錯誤。 過期的權杖可以更新,無效的權杖則必須在 Intune 中建立新的權杖。
新的令牌可以用於Apple Business Manager或 Apple School Manager 中的現有 MDM 伺服器:編輯選項 > MDM 伺服器設定 > 上傳公鑰
Access denied (E_ACCESSDENIED (0x80070005):拒絕存取) Intune 無法再與 Apple 交談。 例如,Intune 已從 Apple Business Manager 或 Apple School Manager 中的 MDM 伺服器清單中移除。 權杖可能已過期。 1. 確認您的權杖是否已過期,以及是否已建立新的權杖。
2. 檢查 Intune 是否在 MDM 伺服器清單中
未接受條款與條件 需要在 Apple Business Manager 或 Apple School Manager 中接受 T&C) (的新條款和條件。 在 Apple Apple Business Manager 或 Apple School Manager 入口網站中接受新的 T&C。
注意: 這必須由在 Apple Business Manager 或 Apple School Manager 中具有系統管理員角色的使用者完成。
內部伺服器錯誤。 需要進一步調查 如需其他記錄,請連絡 Intune 支援小組
無效的支援電話號碼 無效的支援電話號碼。 編輯設定檔的支援電話號碼。
無效的組態設定檔名稱 組態設定檔名稱無效、空白或太長。 編輯設定檔的名稱。
無效的資料指標 資料指標遭到 Apple 拒絕或找不到。 請連絡 Intune 支援小組。 他們可以從 Intune 服務重試進行同步。
資料指標已過期 Intune 端的資料指標已過期。 請連絡 Intune 支援小組。 他們可以從 Intune 服務重試進行同步。
必要的資料指標 在同步期間,Intune 一開始並未設定資料指標。 請連絡 Intune 支援小組以修正同步並傳回資料指標。
找不到 Apple 設定檔 多種可能原因 建立新的設定檔,並將設定檔指派給裝置。
無效的部門項目 部門欄位項目無效 編輯設定檔的部門欄位。

錯誤:上傳註冊計劃令牌時發生錯誤

如果 ADE 令牌上傳失敗,您可能會看到類似下列的錯誤訊息:

發生錯誤。
上傳註冊計劃令牌時發生錯誤。 要求標識碼:AjaxError:ajaxExtended 呼叫失敗

在此情況下,請嘗試下列步驟來建立新的令牌:

  1. 以 Intune 系統管理員身分登入 Graph 總管。

  2. GET使用下列 URL 執行要求以列舉租使用者中的權杖:

    https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings

    如有必要,請授與同意並重新執行要求。

  3. 尋找需要更新之令牌的 GUID。

  4. GET執行要求,以使用下列 URL 取得令牌的公用加密金鑰:

    https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKey

    回應看起來如下列範例所示:

    {
"@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String",
"value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----"
}

  5. 從響應複製值,並建立文本檔,如下所示。 然後,將文本文件儲存為 .pem 檔案。 例如, token.pem

    重要事項

    檔案包含三行,而且base64字串中沒有連結中斷。

    -----BEGIN CERTIFICATE-----
SOMEBASE64STRING==
-----END CERTIFICATE-----

  6. 登入 Apple Business Manager 或 Apple School Manager,並尋找需要更新的令牌伺服器。 然後,選取 [編輯]

  7. 在 [ MDM 伺服器設定] 區段中,上傳 .pem 檔案,然後選取 [ 儲存]

    注意事項

    如果您收到指出檔格式不正確的錯誤訊息,請確定已根據步驟 5 建立檔案。 修正檔案格式之後,請關閉頁面,然後再次選取 [編輯 ]。

  8. 選取 [下載令牌 ] 以下載新的令牌。

  9. 登入 Intune,然後選取重新整理下載的令牌。

其他錯誤和問題

本節提供這些額外案例的疑難排解步驟:

請確認 WS-Trust 1.3 已啟用

註冊具有使用者親和性的 ADE 裝置需要 WS-Trust 1.3 使用者名稱/混合端點,才能請求使用者權杖。 預設情況下,Active Directory 會啟用此端點。 如果未啟用 WS-Trust 1.3,則無法註冊自動裝置註冊 (aDE) iOS/iPadOS 裝置。

若要取得已啟用端點的清單,請使用 Get-AdfsEndpoint PowerShell Cmdlet並尋找 trust/13/UsernameMixed 端點。 例如:

Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"

如需詳細資訊,請參閱 Get-AdfsEndpoint 文件保護 Active Directory 同盟服務的最佳做法。 如需判斷身分識別同盟提供者中是否已啟用 WS-Trust 1.3 使用者名稱/混合的說明,如果您使用 AD FS,請連絡 Microsoft 支援服務。 否則,請連絡您的協力廠商身分識別廠商。

加入工作場所失敗

此錯誤表示公司入口網站應用程式已過期或損毀。

解決方案:

  1. 從裝置移除公司入口網站應用程式。
  2. App Store 下載並安裝 Microsoft Intune 公司入口網站應用程式。
  3. 重新註冊裝置。

無法辨識使用者名稱

錯誤「無法辨識使用者名稱。 此使用者帳戶未獲授權使用 Microsoft Intune。 如果您認為收到此訊息時發生錯誤,請連絡系統管理員。」表示嘗試註冊裝置的用戶沒有有效的 Intune 授權。

  1. 前往 [Microsoft 365 系統管理中心],然後選擇 [使用者]> [使用中使用者]
  2. 選取受影響的使用者帳戶,然後選擇 [產品授權]> [編輯]
  3. 請確認已將有效的 Intune 授權指派給此使用者。
  4. 重新註冊裝置。

XPC_TYPE_ERROR 連線無效

當您開啟已指派註冊設定檔的 ADE 託管裝置時,註冊會失敗,而且您會收到下列錯誤訊息:

asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }

原因: 裝置與 Apple ADE 服務之間有連線問題。

解決方案: 修正連線問題,或使用不同的網路連線來註冊裝置。 如果問題仍然存在,則可能需要連絡 Apple。

無法從 <公司名稱>下載 iPhone/iPad 的設定:無效的配置檔

原因: 註冊遭到裝置類型限制封鎖。

解決方案:

  1. 登入 Microsoft Intune 系統管理中心>裝置>註冊裝置>註冊限制
  2. 在 [裝置類型限制] 下,選取 [所有使用者]> [屬性]
  3. 選取 [平臺設定] 旁的 [編輯]
  4. 在 [編輯限制] 頁面上,選取 [允許] [iOS/iPadOS] ],然後繼續前往 [檢閱 + 儲存] 頁面,然後選取 [儲存]

ADE 註冊未啟動

當您開啟已指派註冊設定檔的 ADE 託管裝置時,不會起始 Intune 註冊程式。

原因:註冊設定檔會在 ADE 權杖上傳至 Intune 之前建立。

解決方案:

  1. 編輯註冊設定檔。 您可以對設定檔進行任何變更。 其目的是要更新設定檔的修改時間。
  2. 同步處理受 ADE 管理的裝置:在 Microsoft Intune 系統管理中心中,選擇 [裝置>iOS iOS>註冊註冊>計劃令牌>] 選擇 [立即同步處理] 令牌>。 同步處理請求會傳送至 Apple。

ADE 註冊卡在使用者登入

當您開啟已指派註冊設定檔的 ADE 託管裝置時,初始設定會在您輸入認證之後繼續進行。

原因: 已啟用多重要素驗證 (MFA)。 在 ADE 裝置上註冊期間,MFA 目前無法運作。

解決方案: 停用 MFA,然後重新註冊裝置。

驗證不會重新導向至政府雲端

從另一個裝置登入的政府使用者會重新導向至公用雲端進行驗證,而不是政府雲端。

原因:Microsoft Entra ID 在從另一部裝置登入時,尚不支援重新導向至政府雲端。

解決方案:使用 [設定] 應用程式中的 [iOS 公司入口網站 端] 設定,將政府使用者的驗證重新導向至政府雲端。 預設情況下,[雲端] 設定會設定為 [自動],公司入口網站將驗證導向到裝置 (例如公用或政府) 自動偵測到的雲端。 從另一部裝置登入的政府使用者必須手動選取政府雲端進行驗證。

開啟 [設定] 應用程式,然後選取 [公司入口網站]。 在公司入口網站設定中,選取 [雲端]。 將 [雲端] 設定為 [政府]。