Microsoft Intune での iOS/iPadOS デバイス登録エラーのトラブルシューティング
この記事は、Intune 管理者が Intune に iOS/iPadOS デバイスを登録するときの問題を理解し、トラブルシューティングするのに役立ちます。 追加の一般的なトラブルシューティング シナリオについては、「Microsoft Intune でのデバイス登録のトラブルシューティング」を参照してください。
iOS/iPadOS 登録エラー
次の表に、iOS/iPadOS デバイスを Intune に登録するときにエンド ユーザーに表示される可能性があるエラーの一覧を示します。
| エラー メッセージ | 問題 | 解決策 |
|---|---|---|
| NoEnrollmentPolicy | 登録ポリシーが見つかりません | Apple Push Notification Service (APN) 証明書が見つからない、無効、または有効期限が切れています。 登録が正しく設定されていること、およびプラットフォームとして iOS/iPadOS が有効になっていることを確認します。 手順については、「 iOS/iPadOS および Mac デバイス管理の設定、Apple MDM プッシュ証明書の取得、 Apple MDM プッシュ証明書の新規作成を参照してください。 |
| DeviceCapReached | 既に登録されているモバイル デバイスが多すぎます。 | ユーザーは、別のモバイル デバイスを登録する前に、ポータル サイトから現在登録されているモバイル デバイスの 1 つを削除する必要があります。 詳細な手順はこちらを参照してください。 |
| ポータル サイト一時的に使用できない | デバイス上のポータル サイト アプリが古いか破損しています。 | アプリを削除し、ユーザーの資格情報を検証してから、アプリを再インストールします。 詳細な手順はこちらを参照してください。 |
| APNSCertificateNotValid | モバイル デバイスが会社のネットワークと通信できるようにする証明書に問題があります。 |
Apple Push Notification Service (APN) は、登録済みの iOS/iPadOS デバイスに接続するためのチャネルを提供します。 登録は失敗し、次の場合にこのメッセージが表示されます。
|
| AccountNotOnboarded | モバイル デバイスが会社のネットワークと通信できるようにする証明書に問題があります。 登録は失敗し、次の場合にこのメッセージが表示されます。
|
|
| APNs 証明書を更新し、デバイスを再登録します。 重要: APNs 証明書を必ず更新してください。 APNs 証明書置き換えないでください。 証明書を置き換える場合は、すべての iOS/iPadOS デバイスを Intune に再登録する必要があります。 Intune スタンドアロンについては、「 Renew Apple MDM プッシュ証明書を参照してください。 Microsoft 365 については、「 iOS デバイス用の APNs 証明書を作成するを参照してください。 |
||
| DeviceTypeNotSupported | ユーザーが iOS 以外のデバイスを使用して登録しようとした可能性があります。 登録しようとしているモバイル デバイスの種類はサポートされていません。 デバイスが iOS/iPadOS バージョン 8.0 以降を実行していることを確認します。 |
ユーザーのデバイスが iOS/iPadOS バージョン 8.0 以降を実行していることを確認します。 |
| UserLicenseTypeInvalid | ユーザーのアカウントがまだ必要なユーザー グループのメンバーになっていないか、ユーザーが正しいライセンスを持っていないため、デバイスを登録できません。 |
ユーザーは、モバイル デバイス管理機関の適切なライセンスの種類を持っている必要があります。 たとえば、Intune が MDM 機関として設定されているが、ユーザーが System Center 2012 R2 Configuration Manager ライセンスを持っている場合、このエラーが表示されます。 Microsoft Intune を使用して iOS/iPadOS と Mac の管理を設定する方法とSync Active Directory でユーザーを設定し、Intune にユーザーを追加しユーザーとデバイスを整理する方法する方法について説明します。 |
| MdmAuthorityNotDefined | モバイル デバイス管理機関が定義されていません。 |
モバイル デバイス管理機関が Intune で設定されていません。 「 手順 6: モバイル デバイスを登録してアプリをインストールする 」セクションの項目 1 を確認 Microsoft Intune の 30 日間の試用版を開始します。 |
Intune と ADE の間の同期トークン エラー
このセクションには、Apple Automated Device Enrollment (ADE) に関連するトークン同期エラーが含まれています。
- Apple Business Manager (ABM)
- Apple School Manager (ASM)
| エラー メッセージ | 原因 | ソリューション |
|---|---|---|
| 期限切れまたは無効なトークン | トークンの有効期限が切れている、取り消された、または形式が正しくない可能性があります。 | トークンを更新します。 トークンの更新で問題が発生した場合は、Apple Business Manager または Apple School Manager の既存の MDM サーバーで新しい公開キーを使用する必要がある場合があるため、 Intune サポート チームにお問い合わせください: Preferences>MDM サーバー設定>公開キーのアップロード。 |
| アクセスが拒否されました | Intune は Apple と通信できなくなりました。 たとえば、Intune は Apple Business Manager または Apple School Manager の MDM サーバーの一覧から削除されています。 トークンの有効期限が切れている可能性があります。 | 1. トークンの有効期限が切れているかどうか、および新しいトークンが作成されたかどうかを確認します。 2. Intune が MDM サーバーの一覧に含まれているかどうかを確認する |
| 使用条件が受け入れられない | 新しい使用条件 (T&C) は、Apple Business Manager または Apple School Manager で受け入れる必要があります。 | Apple Business Manager または Apple School Manager ポータルで新しい T&C を受け入れます。 注: これは、Apple Business Manager または Apple School Manager の管理者ロールを持つユーザーが行う必要があります。 |
| 内部サーバー エラー | 詳細な調査が必要 | 追加のログが必要な場合は、 Intune サポート チームにお問い合わせください |
| サポート電話番号が無効です | サポート電話番号が無効です。 | プロファイルのサポート電話番号を編集します。 |
| 構成プロファイル名が無効です | 構成プロファイル名が無効、空、または長すぎます。 | プロファイルの名前を編集します。 |
| カーソルが無効です | カーソルが Apple によって拒否されたか、見つかりませんでした。 | Intune サポート チームにお問い合わせください。 Intune サービスからの同期を再試行できます。 |
| カーソルの有効期限が切れた | Intune 側でカーソルの有効期限が切れています。 | Intune サポート チームにお問い合わせください。 Intune サービスからの同期を再試行できます。 |
| 必要なカーソル | カーソルは、同期中に Intune によって最初に設定されませんでした。 | 同期を修正してカーソルを返すにはIntune サポート チームに問い合わせてください。 |
| Apple プロファイルが見つかりません | 考えられる複数の原因 | 新しいプロファイルを作成し、プロファイルをデバイスに割り当てます。 |
| 部署のエントリが無効です | 部署フィールドのエントリが無効です | プロファイルの部門フィールドを編集します。 |
エラー: 登録プログラム トークンのアップロード中にエラーが発生しました
ADE トークンのアップロードが失敗した場合、次のようなエラー メッセージが表示されることがあります。
エラーが発生しました。
登録プログラム トークンのアップロード中にエラーが発生しました。 要求 ID: AjaxError: ajaxExtended 呼び出しに失敗しました
この場合は、次の手順を試して新しいトークンを作成します。
次の URL を使用して、テナント内のトークンを列挙する
GET要求を実行します。https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings必要に応じて、同意を与え、要求を再実行します。
更新する必要があるトークンの GUID を見つけます。
GET要求を実行し、次の URL を使用してトークンの公開暗号化キーを取得します。https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKey応答は次の例のようになります。
{ "@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String", "value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----" }応答から値をコピーし、次のようにテキスト ファイルを作成します。 次に、テキスト ファイルを .pem ファイルとして保存します。 たとえば、 token.pem。
重要
ファイルには 3 行が含まれており、base64 文字列にリンク区切りはありません。
-----BEGIN CERTIFICATE----- SOMEBASE64STRING== -----END CERTIFICATE-----Apple Business Manager または Apple School Manager にサインインし、更新する必要があるトークン サーバーを見つけます。 次に、 Edit を選択します。
[ MDM サーバーの設定 セクションで、 .pem ファイルをアップロードし、 Save を選択します。
Note
ファイル形式が正しくないことを示すエラー メッセージが表示される場合は、手順 5 に従ってファイルが作成されていることを確認します。 ファイル形式が修正されたら、ページを閉じて、もう一度 編集 を選択します。
[トークンのダウンロード を選択して 新しいトークンをダウンロードします。
Intune にサインインし、ダウンロードしたトークンを更新することを選択します。
その他のエラーと問題
このセクションでは、次の追加シナリオのトラブルシューティング手順について説明します。
- WS-Trust 1.3 が有効になっていることを確認する
- Workplace Join に失敗しました
- ユーザー名が認識されない
- XPC_TYPE_ERROR接続が無効です
- 構成をダウンロードできませんでした...無効なプロファイル
- ADE 登録が開始されない
- ユーザー ログイン時に ADE 登録がスタックする
- 認証が政府機関向けクラウドにリダイレクトされない
WS-Trust 1.3 が有効になっていることを確認する
ユーザー アフィニティを持つ ADE デバイスを登録するには、WS-Trust 1.3 Username/Mixed エンドポイントを有効にしてユーザー トークンを要求する必要があります。 Active Directory では、このエンドポイントが既定で有効になります。 WS-Trust 1.3 が有効になっていない場合、自動デバイス登録 (ADE) iOS/iPadOS デバイスを登録できません。
有効なエンドポイントの一覧を取得するには、 Get-AdfsEndpoint PowerShell コマンドレットを使用し、信頼/13/UsernameMixed エンドポイントを探します。 例えば次が挙げられます。
Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"
詳細については、Get-AdfsEndpoint のドキュメントおよびActive Directory フェデレーション サービス (AD FS)をセキュリティで保護するためのベスト プラクティスを参照してください。 ID フェデレーション プロバイダーで WS-Trust 1.3 Username/Mixed が有効になっているかどうかを判断する方法については、AD FS を使用している場合は、Microsoft サポートにお問い合わせください。 それ以外の場合は、サード パーティの ID ベンダーにお問い合わせください。
Workplace Join に失敗しました
このエラーは、ポータル サイト アプリが古いか破損していることを示します。
解決方法:
- ポータル サイト アプリをデバイスから削除します。
- App Store から Microsoft Intune ポータル サイト アプリをダウンロードしてインストール。
- デバイスを再登録します。
ユーザー名が認識されない
エラー "ユーザー名が認識されていません。 このユーザー アカウントは、Microsoft Intune を使用する権限がありません。 このメッセージがエラーで表示されたと思われる場合は、システム管理者に問い合わせてください。デバイスを登録しようとしているユーザーに有効な Intune ライセンスがないことを示します。
- Microsoft 365 管理センターに移動し、ユーザー>アクティブ ユーザーを選択します。
- 影響を受けるユーザー アカウントを選択し、 Product licenses>Edit を選択します。
- 有効な Intune ライセンスがこのユーザーに割り当てられていることを確認します。
- デバイスを再登録します。
XPC_TYPE_ERROR接続が無効です
登録プロファイルが割り当てられている ADE マネージド デバイスを有効にすると、登録が失敗し、次のエラー メッセージが表示されます。
asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }
原因: デバイスと Apple ADE サービスの間に接続の問題があります。
解決策: 接続の問題を解決するか、別のネットワーク接続を使用してデバイスを登録します。 問題が解決しない場合は、Apple にお問い合わせください。
iPhone/iPad の構成を <Company Name>: Invalid Profile からダウンロードできませんでした
原因: 登録はデバイスの種類の制限によってブロックされます。
解決方法:
- Microsoft Intune 管理センター>Devices>登録デバイス>登録の制限にサインインします。
- [Device の種類の制限で、[すべてのユーザー>プロパティ選択します。
- Platform 設定の横にある [Edit を選択します。
- [編集の制限] ページで、iOS/iPadOS の [Allow を選択しReview + save ページに進み、Save を選択します。
ADE 登録が開始されない
登録プロファイルが割り当てられている ADE で管理されているデバイスを有効にすると、Intune 登録プロセスは開始されません。
原因: ADE トークンが Intune にアップロードされる前に登録プロファイルが作成されます。
解決方法:
- 登録プロファイルを編集します。 プロファイルに変更を加えることができます。 目的は、プロファイルの変更時刻を更新することです。
- ADE マネージド デバイスの同期: Microsoft Intune 管理センターでDevices>iOS>iOS 登録>登録プログラム トークンを選択>トークン >今すぐ同期を選択します。 同期要求が Apple に送信されます。
ユーザー ログイン時に ADE 登録がスタックする
登録プロファイルが割り当てられている ADE マネージド デバイスを有効にすると、資格情報を入力した後も初期セットアップが維持されます。
原因: Multi-Factor Authentication (MFA) が有効になっています。 現時点では、認証方法が Setup Assistant (レガシ) に設定されている場合、ADE デバイスへの登録中に MFA は機能しません。
解決策: MFA を無効にしてから、デバイスを再登録します。 または、先進認証を使用して認証方法を Setup Assistant に変更。
認証が政府機関向けクラウドにリダイレクトされない
別のデバイスからサインインする政府機関ユーザーは、政府機関向けクラウドではなく、認証のためにパブリック クラウドにリダイレクトされます。
原因: Microsoft Entra ID は、別のデバイスからサインインするときに、政府機関向けクラウドへのリダイレクトをまだサポートしていません。
解決策: Settings アプリの iOS ポータル サイト Cloud 設定を使用して、政府機関ユーザーの認証を政府機関向けクラウドにリダイレクトします。 既定では、Cloud 設定は Automatic に設定され、ポータル サイトは、デバイスによって自動的に検出されるクラウド (パブリックや Government など) に認証を送信します。 別のデバイスからサインインしている政府機関ユーザーは、認証のために政府機関向けクラウドを手動で選択する必要があります。
Settings アプリを開き、ポータル サイトを選択します。 ポータル サイト設定で、Cloudを選択します。 Cloud を Government に設定します。