Solução de problemas de erro de registro de dispositivos iOS/iPadOS no Windows Intune
Este artigo ajuda os administradores do Intune a entender e solucionar problemas ao registrar dispositivos iOS/iPadOS no Intune. Consulte Solucionar problemas de registro de dispositivo no Microsoft Intune para saber mais sobre cenários adicionais de solução de problemas gerais.
Erros de registro do iOS/iPadOS
A tabela a seguir lista os erros que os usuários finais podem ver ao registrar dispositivos iOS/iPadOS no Intune.
| Mensagem de erro | Problema | Resolução |
|---|---|---|
| NoEnrollmentPolicy | Nenhuma política de registro encontrada | O certificado APNs (Apple Push Notification Service) está ausente, é inválido ou expirou. Verifique se o registro foi configurado corretamente e se o iOS/iPadOS como uma plataforma está habilitado. Para obter instruções, consulte Configurar o gerenciamento de dispositivos iOS/iPadOS e Mac, Obter um certificado push MDM da Apple e Renovar o certificado push MDM da Apple. |
| DeviceCapReached | Muitos dispositivos móveis já estão registrados. | O usuário deve remover um de seus dispositivos móveis registrados no momento do Portal da Empresa antes de registrar outro. Confira as instruções detalhadas aqui. |
| Portal da Empresa Temporariamente Indisponível | O aplicativo do Portal da Empresa no dispositivo está desatualizado ou corrompido. | Remova o aplicativo, valide as credenciais do usuário e reinstale o aplicativo. Confira as instruções detalhadas aqui. |
| APNSCertificateNotValid | Há um problema com o certificado que permite que o dispositivo móvel se comunique com a rede da sua empresa. |
O APNs (Apple Push Notification Service) fornece um canal para contatar dispositivos iOS/iPadOS registrados. O registro falhará e esta mensagem será exibida se:
|
| AccountNotOnboarded | Há um problema com o certificado que permite que o dispositivo móvel se comunique com a rede da sua empresa. O registro falhará e esta mensagem será exibida se:
|
|
| Renove o certificado APNs e registre novamente o dispositivo. Importante: Certifique-se de renovar o certificado APNs. Não substitua o certificado APNs. Se você substituir o certificado, precisará registrar novamente todos os dispositivos iOS/iPadOS no Intune. Para Intune autônomo, consulte Renovar o certificado push MDM da Apple. Para o Microsoft 365, consulte Criar um certificado APNs para dispositivos iOS. |
||
| DeviceTypeNotSupported | O usuário pode ter tentado se registrar usando um dispositivo não iOS. Não há suporte para o tipo de dispositivo móvel que você está tentando registrar. Confirme se o dispositivo está executando o iOS/iPadOS versão 8.0 ou posterior. |
Verifique se o dispositivo do usuário está executando o iOS/iPadOS versão 8.0 ou posterior. |
| UserLicenseTypeInvalid | O dispositivo não pode ser registrado porque a conta do usuário ainda não é membro de um grupo de usuários necessário ou o usuário não tem a licença correta. |
Os usuários devem ter o tipo de licença correto para a autoridade de gerenciamento de dispositivo móvel. Por exemplo, eles verão esse erro se o Intune tiver sido definido como a autoridade de MDM, mas o usuário tiver uma licença de Gerenciador de Configurações System Center 2012 R2. Examine Configurar o gerenciamento de iOS/iPadOS e Mac com o Microsoft Intune e informações sobre como configurar usuários no Sync Active Directory e adicionar usuários ao Intune e organizar usuários e dispositivos. |
| MdmAuthorityNotDefined | A autoridade de gerenciamento de dispositivo móvel não foi definida. |
A autoridade de gerenciamento de dispositivo móvel não foi definida no Intune. Examine o item nº 1 na seção Etapa 6: Registrar dispositivos móveis e instalar um aplicativo em Comece com uma avaliação de 30 dias do Microsoft Intune. |
Erros de token de sincronização entre o Intune e o ADE
Esta seção inclui erros de sincronização de token relacionados ao ADE (Registro Automatizado de Dispositivos) da Apple:
- ABM (Apple Business Manager)
- ASM (Apple School Manager)
| Mensagem de erro | Motivo | Solução |
|---|---|---|
| Token expirado ou inválido | O token pode estar expirado, revogado ou malformado. | Renove o token. Se tiver problemas ao renovar o token, contacte a equipa de suporte do Intune, uma vez que poderá ter de utilizar uma nova chave pública no servidor MDM existente no Apple Business Manager ou no Apple School Manager: Preferências>Definições> do Servidor MDMCarregar Chave Pública. |
| Acesso negado | O Intune não pode mais se comunicar com a Apple. Por exemplo, o Intune foi removido da lista de servidores MDM no Apple Business Manager ou no Apple School Manager. O token possivelmente expirou. | 1. Verifique se o token expirou e se um novo token foi criado. 2. Verifique se o Intune está na lista de servidores MDM |
| Termos e condições não aceitos | Os novos termos e condições (T&C) têm de ser aceites no Apple Business Manager ou no Apple School Manager. | Aceite o novo T&C no Apple Business Manager ou no Portal do Apple School Manager. Nota: Isto tem de ser feito por um utilizador com a função de Administrador no Apple Business Manager ou no Apple School Manager. |
| Erro de servidor interno | Precisa de mais investigação | Entre em contato com a equipe de suporte do Intune, pois logs adicionais são necessários |
| Número de telefone de suporte inválido | O número de telefone de suporte é inválido. | Edite o número de telefone de suporte para seus perfis. |
| Nome inválido do perfil de configuração | O nome do perfil de configuração é inválido, está vazio ou é muito longo. | Edite o nome do perfil. |
| Cursor inválido | O cursor foi rejeitado pela Apple ou não foi encontrado. | Entre em contato com a equipe de suporte do Intune. Eles podem tentar sincronizar novamente a partir do serviço do Intune. |
| O cursor expirou | O cursor expirou no lado do Intune. | Entre em contato com a equipe de suporte do Intune. Eles podem tentar sincronizar novamente a partir do serviço do Intune. |
| Cursor obrigatório | O cursor não foi definido inicialmente pelo Intune durante a sincronização. | Entre em contato com a equipe de suporte do Intune para corrigir a sincronização e retornar o cursor. |
| Perfil da Apple não encontrado | Várias causas possíveis | Crie um novo perfil e atribua o perfil aos dispositivos. |
| Entrada de departamento inválida | A entrada do campo de departamento é inválida | Edite o campo de departamento para seus perfis. |
Erro: Ocorreu um erro ao carregar o token do Programa de Inscrição
Se o carregamento do token do ADE falhar, poderá ver uma mensagem de erro semelhante à seguinte:
Ocorreu um erro.
Ocorreu um erro ao carregar o token do Programa de Inscrição. ID do Pedido: AjaxError: falha na chamada ajaxExtended
Neste caso, experimente os seguintes passos para criar um novo token:
Inicie sessão no Graph Explorer como administrador do Intune.
Execute um
GETpedido para enumerar os tokens no inquilino com o seguinte URL:https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettingsSe necessário, conceda consentimento e volte a executar o pedido.
Localize o GUID do token que tem de ser renovado.
Execute um
GETpedido para obter a chave de encriptação pública do token com o seguinte URL:https://graph.microsoft.com/beta/deviceManagement/depOnboardingSettings/<TokenGuid>/getEncryptionPublicKeyA resposta tem o seguinte aspeto:
{ "@odata.context": "https://graph.microsoft.com/beta/$metadata#Edm.String", "value": "-----BEGIN CERTIFICATE-----SOMEBASE64STRING==-----END CERTIFICATE-----" }Copie o valor da resposta e crie um ficheiro de texto da seguinte forma. Em seguida, guarde o ficheiro de texto como um ficheiro .pem . Por exemplo, token.pem.
Importante
O ficheiro contém três linhas e não existem quebras de ligação na cadeia base64.
-----BEGIN CERTIFICATE----- SOMEBASE64STRING== -----END CERTIFICATE-----Inicie sessão no Apple Business Manager ou no Apple School Manager e localize o servidor de tokens que precisa de ser atualizado. Em seguida, selecione Editar.
Na secção Definições do Servidor MDM , carregue o ficheiro .pem e, em seguida, selecione Guardar.
Observação
Se receber uma mensagem de erro a indicar que o formato do ficheiro está incorreto, certifique-se de que o ficheiro é criado de acordo com o passo 5. Depois de o formato de ficheiro ser corrigido, feche a página e selecione Editar novamente.
Selecione Transferir Token para transferir o novo token.
Inicie sessão no Intune e selecione para atualizar o token transferido.
Outros erros e problemas
Esta seção fornece etapas de solução de problemas para estes cenários adicionais:
- Verifique se WS-Trust 1.3 está habilitado
- O ingresso no espaço de trabalho falhou
- Nome de usuário não reconhecido
- XPC_TYPE_ERROR conexão inválida
- Não foi possível baixar a configuração... Perfil inválido
- O registro do ADE não é iniciado
- Registro do ADE paralisado no logon do usuário
- A autenticação não redireciona para a cloud governamental
Verifique se o WS-Trust 1.3 está habilitado
O registro de dispositivos ADE com afinidade de usuário requer que o ponto de extremidade de nome de usuário/misto WS-Trust 1.3 seja habilitado para solicitar tokens de usuário. O Active Directory habilita esse ponto de extremidade por padrão. Se WS-Trust 1.3 não estiver habilitado, o Registro de Dispositivo Automatizado (ADE) IOS/iPadOS não poderão ser registrados.
Para obter uma lista de pontos finais ativados, utilize o cmdlet do Get-AdfsEndpoint PowerShell e procure o ponto final trust/13/UsernameMixed. Por exemplo:
Get-AdfsEndpoint -AddressPath "/adfs/services/trust/13/UsernameMixed"
Para obter mais informações, consulte a documentação get-AdfsEndpoint e as práticas recomendadas para proteger Serviços de Federação do Active Directory (AD FS). Para obter ajuda para determinar se o nome de usuário/misto do WS-Trust 1.3 está habilitado em seu provedor de federação de identidade, entre em contato Suporte da Microsoft se você usar o AD FS. Caso contrário, entre em contato com o fornecedor de identidade de terceiros.
O ingresso no espaço de trabalho falhou
Esse erro indica que o Portal da Empresa está desatualizado ou corrompido.
Solução:
- Remova o aplicativo Portal da Empresa do dispositivo.
- Baixe e instale o Portal da Empresa do Microsoft Intune da App Store.
- Registre novamente o dispositivo.
Nome de usuário não reconhecido
O erro "Nome de usuário não reconhecido. Essa conta de usuário não está autorizada a usar o Microsoft Intune. Entre em contato com o administrador do sistema se achar que recebeu esta mensagem por engano. " indica que o usuário que está tentando registrar o dispositivo não possui uma licença válida do Intune.
- Vá para o Centro de administração do Microsoft 365 e escolha Usuários>Ativos.
- Selecione a conta de usuário afetada e escolha Licenças de produto>Editar.
- Verifique se uma licença válida do Intune está atribuída a esse usuário.
- Registre novamente o dispositivo.
XPC_TYPE_ERROR conexão inválida
Quando você ativa um dispositivo gerenciado pelo ADE que recebe um perfil de registro, o registro falha e você recebe a seguinte mensagem de erro:
asciidoc
mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" } }
iPhone mobileassetd[83] <Notice>: Client connection invalid (Connection invalid); terminating connection
iPhone com.apple.accessibility.AccessibilityUIServer(MobileAsset)[288] <Notice>: [MobileAssetError:29] Unable to copy asset information from https://mesu.apple.com/assets/ for asset type com.apple.MobileAsset.VoiceServices.CombinedVocalizerVoices
iPhone mobileassetd[83] <Notice>: 0x1a49aebc0 Client connection: XPC_TYPE_ERROR Connection invalid <error: 0x1a49aebc0> { count = 1, transaction: 0, voucher = 0x0, contents = "XPCErrorDescription" => <string: 0x1a49aee18> { length = 18, contents = "Connection invalid" }
Causa: há um problema de conexão entre o dispositivo e o serviço ADE da Apple.
Solução: corrija o problema de conexão ou use uma conexão de rede diferente para registrar o dispositivo. Talvez você deva entrar em contato com a Apple se o problema persistir.
A configuração para seu iPhone/iPad não pôde ser baixada de <Nome da empresa>: Perfil inválido
Causa: O registro é bloqueado por uma restrição de tipo de dispositivo.
Solução:
- Inicie sessão no centro > de administração do Microsoft IntuneDispositivos>Inscrever dispositivos>Restrições de inscrição de dispositivos.
- Em Restrições de tipo de dispositivo, selecione Todas as Propriedades de>Usuários.
- Selecione Editar ao lado das configurações da plataforma.
- Na página Editar restrição, selecione Permitir para iOS/iPadOS e vá para a página Examinar + salvar e selecione Salvar.
O registro do ADE não é iniciado
Quando você ativa um dispositivo gerenciado pelo ADE que recebe um perfil de registro, o processo de registro do Intune não é iniciado.
Causa: O perfil de registro é criado antes que o token ADE seja carregado para o Intune.
Solução:
- Edite o perfil de registro. Você pode fazer qualquer alteração no perfil. A finalidade é atualizar o tempo de modificação do perfil.
- Sincronizar dispositivos geridos por ADE: no centro de administração do Microsoft Intune, selecioneDispositivos tokens>> doprograma de inscrição>iOS> iOS selecione agora um token >Sincronizar. Uma solicitação de sincronização é enviada à Apple.
Registro do ADE travado no logon do usuário
Quando você ativa um dispositivo gerenciado pelo ADE que recebe um perfil de registro, a configuração inicial trava depois que você insere as credenciais.
Causa: A MFA (Autenticação Multifator) está habilitada. Atualmente, a MFA não funciona durante o registro em dispositivos ADE.
Solução: Desabilite a MFA e registre novamente o dispositivo.
A autenticação não redireciona para a cloud governamental
Os usuários governamentais que se conectam de outro dispositivo são redirecionados para a nuvem pública para autenticação em vez da nuvem do governo.
Causa: O Microsoft Entra ID ainda não suporta o redirecionamento para a cloud governamental ao iniciar sessão a partir de outro dispositivo.
Solução: Utilize a definição Cloud do Portal da Empresa para iOS na aplicação Definições para redirecionar a autenticação dos utilizadores governamentais para a cloud governamental. Por padrão, a configuração Nuvem é definida como Automática e o Portal da Empresa direciona a autenticação para a nuvem que é detectada automaticamente pelo dispositivo (como Pública ou Governamental). Os usuários governamentais que estiverem entrando de outro dispositivo precisarão selecionar manualmente a nuvem do governo para autenticação.
Abra o aplicativo Configurações e selecione o Portal da Empresa. Nas configurações do Portal da Empresa, selecione Nuvem. Defina a Nuvem como Governo.