Intune デバイス登録エラーをトラブルシュートする！ (登録ブロック、タイムアウト)

Intune検証のため日々デバイス登録をする私ですが、自分のテナント設定をうっかり忘れてデバイス登録エラーを起こすことがたくさんあります。

先日Intune管理センター上に便利なモニター画面があることを知り、以後そのモニターを活用して以前よりも早く的確にエラーから抜け出せるようになりました。

本記事ではそのモニター機能の紹介と、直近で出会った登録エラーパターンとその対応についてまとめます！

Case 1：プラットフォーム登録制限による登録エラー

「登録デバイスのプラットフォームの制限」機能で、iOS/iPadOS、Android や macOS の「個人所有」をブロックしているテナントで発生する事象です。

1. エラー発生

iOS/iPadOS デバイス側エラーメッセージ

ユーザーがデバイス登録を進める中で、プロファイルをインストールする工程にて次のエラーメッセージが表示されました。 (iOS/iPadOSの場合)

• エラーメッセージ： プロファイルをインストールできませんでした - サーバへの接続を確立できませんでした。
  

macOS デバイス側エラーメッセージ

ユーザーがデバイス登録を進める中で、プロファイルをインストールする工程にて以下のエラーメッセージが表示されました。(macOSの場合)

• エラーメッセージ： プロファイルをインストールできませんでした。暗号化プロファイルサービスを使用して最終プロファイルを取得できませんでした。プロファイルの資格情報の有効期限が切れている可能性があります。新しいプロファイルをダウンロードしてみてください。
  
  ※iOS/iPadOSとは別日に登録したmacOSデバイスでも同じことをやらかし、運よくエラー画面を入手しました。

2. 原因究明と対応

「登録エラー」モニター確認

• ポータルパス：[Intune 管理ポータル] > [デバイス] > [モニター] > [登録エラー]
• 参考： View enrollment reports

デバイス側 (ユーザー側) のエラーメッセージだと「プロファイルをインストールできなかった」という事象は分かりますが原因は分かりません。

そこで、Intune 管理ポータルにて「登録エラー」モニター画面を開きます。
すると、プラットフォーム登録制限のブロック設定が原因だと分かります。

• 失敗： デバイスを個人用として登録することはできません
  

• 詳細： [デバイスの種類の制限] でプラットフォームが [ブロック] になっている間は、このデバイスを個人用デバイスとして登録できません。

• 推奨される手順： 登録を行うには、ユーザーは個人用デバイスの別のプラットフォームを使用する必要があります。企業のデバイスの場合は、ユーザーが正しく登録を行っていること、および必要に応じて企業のデバイス ID の一覧にデバイスが追加されていることをご確認ください。個人用プラットフォームの制限は、[デバイスの登録] > [登録制限] > (制限を選択) > [プラットフォームの構成] から確認できます。
  

登録エラーモニターに表示された推奨事項を切り分けると、以下の3つになります。

1. 別のプラットフォームのデバイスを登録する (このプラットフォームはブロック設定が構成されているため利用をあきらめる)
2. 正しい手順で再登録する (ユーザーによるデバイス登録操作になんらかの間違いがある場合、正しい手順で再度登録する)
3. 企業のデバイスID (業務用デバイスのID) にデバイス情報を登録したうえで、改めて登録する

今回は、登録手順には誤りが無く、ブロック設定があっても例外的にこの特定のデバイスを登録したいので、3 がよさそうです。

「登録デバイスのプラットフォームの制限」設定確認

• ポータルパス：[Intune 管理ポータル] > [デバイス] > [デバイスの登録] > [登録デバイスのプラットフォームの制限]
• 参考：What are enrollment restrictions? - Device platform

念のため、Intune 管理ポータルにて登録制限設定を確認すると、たしかにこのテナントではiOS/iPadOS, macOSの「個人所有」デバイスの登録を「ブロック」していました。

この状態でも、「業務用デバイスのID」ページでシリアル番号を登録すると、シリアル番号が登録されたデバイスに限り BYOD 方式の登録を許可することができます。
そういえばこのエラー発生デバイスのシリアル番号はまだ登録していませんでした。(あるある...)

「業務用デバイスのID」登録

• ポータルパス：[Intune 管理ポータル] > [デバイス] > [デバイスの登録] > [業務用デバイスのID]
• 参考：Identify devices as corporate-owned

今回は登録制限設定を維持しつつデバイスを登録したいので、該当デバイスのシリアル番号を追加します。

以上で対応が完了しました。
この状態で登録作業をやり直すと、今度は正常に登録完了します。
が、作業開始タイミングによってはタイムアウトによる登録エラーが発生することもあります。(Case 2 へ。)

Case 2：プロファイル インストール タイムアウトによる登録エラー

このエラーは、シリアル番号登録後に改めてプロファイルをインストールしようとしたときに起こりました。

1. エラー発生

iOS/iPadOS デバイス側エラーメッセージ

シリアル番号登録後、再度プロファイルをインストールしようとしたところ次のエラーメッセージが表示されました。 (iOS/iPadOSの場合)

• エラーメッセージ： プロファイルをインストールできませんでした - サーバへの接続を確立できませんでした。
  

2. 原因究明と対応

「登録エラー」モニター確認

• ポータルパス：[Intune 管理ポータル] > [デバイス] > [モニター] > [登録エラー]
• 参考： View enrollment reports

デバイス側 (ユーザー側) のエラーメッセージは Case 1 と全く同じで、てっきり私は先ほど登録したシリアル番号がまだサーバー側で処理されていないのか？ 時間を置いたらエラーは解消するのか？ と思いました。
ただし、5分.... 10分後.... 再試行しても同じエラーメッセージが出続けました。

そこで、Intune 管理ポータルにて「登録エラー」モニター画面を開いたところ、今度はタイムアウトが原因だったこと、プロファイルのインストールをキャンセルして登録を再試行することが推奨される対応だということが分かりました！

• 失敗： iOSのタイムアウトまたはエラー
  

• 詳細： iOS 管理プロファイルのインストールが遅延または失敗しました。

• 推奨される手順： 通常はこれらのイシューは一時的なものですが、ユーザーは iOS 管理プロファイルのインストールをキャンセルして、Intune ポータルサイトから登録プロセスを再開する必要があります。
  

デバイス登録 再試行

デバイスにダウンロードされたプロファイルを「キャンセル」で閉じました。

再度最初から登録工程をやり直したところ、登録に成功しました！
プロファイルのインストール完了直後から、ぽぽぽぽっと管理プロファイルが追加されていき、「必須」割り当てのアプリがある場合はインストールされます。

ご参考：デバイス登録関連のモニター機能

Intune 管理ポータル (intune.microsoft.com) を、[デバイス] > [モニター] とたどるとデバイス登録関連の2つのモニター画面があります。

1. 「登録エラー」モニター
   　- 参考： View enrollment reports
   　- 対象OS：Windows 10/11, iOS/iPadOS, Android, macOS

2. 「不完全なユーザー登録」モニター
   　- 参考： Incomplete user enrollments report
   　- 対象OS：iOS/iPadOS, Android

「不完全なユーザー登録」モニターは、公開情報にあるように、iOS/iPadOSやAndroidのデバイス登録において、ユーザーの誤操作や操作をしないまま時間が経過したことにより不完全な状態となったデバイス登録をモニターする機能です。

なお当環境ではなんだかんだ最終的には登録に成功しているためか、不完全な登録は 0% です。

ご参考：よくある登録エラーと対応方法

参考： Troubleshooting device enrollment in Intune

本記事では私が実際に検証テナントでやらかしがちな一部のトラブル事例しか扱えませんでしたが、上記公開情報を開くと、ツリーの下に各OSごとの登録に関するよくあるトラブル事例と対処法についての情報があります。

以上です！
エラーにめげず頑張っていきましょう！