استكشاف أخطاء Microsoft Intune وإصلاحها — دليل عملي لتسجيل الأجهزة وAutopilot ونشر التطبيقات

مقدمة: لماذا يحتاج كل فني دعم لإتقان استكشاف أخطاء Intune؟

إذا كنت تعمل في الدعم الفني، فأنت تعرف الإحساس جيدًا — تذكرة جديدة تصلك، والمستخدم يقول إن جهازه "لا يسجّل في Intune" أو أن "التطبيق لم يُثبَّت". ببساطة، Microsoft Intune أصبح العمود الفقري لإدارة الأجهزة في معظم المؤسسات الحديثة، وهو يتعامل مع ملايين الأجهزة عبر أنظمة Windows وmacOS وiOS وAndroid.

ومع تحديثات 2026 الجديدة — الموافقات متعددة المسؤولين، والتحليلات المتقدمة، ودعم Apple DDM — صارت الأمور أعقد بصراحة. هذا الدليل هو خريطتك العملية لتشخيص وحل أكثر مشكلات Intune شيوعًا التي ستواجهها في بيئة عملك.

الجزء الأول: استكشاف أخطاء تسجيل الأجهزة في Intune

تسجيل الأجهزة هو أول خطوة — وللأسف أول مكان تظهر فيه المشكلات. إليك أبرز الأخطاء وكيفية التعامل معها.

1. خطأ DeviceCapReached — تجاوز حد الأجهزة المسجلة

من أكثر الأخطاء التي ستصادفها. يظهر هذا الخطأ ببساطة عندما يحاول المستخدم تسجيل أجهزة أكثر من الحد المسموح في سياسة التقييد.

خطوات الحل:

1. افتح مركز إدارة Microsoft Intune وانتقل إلى Devices > Enrollment restrictions > Device limit restrictions.
2. تحقق من القيمة في عمود Device limit (الافتراضي عادةً 15 جهازًا).
3. انتقل إلى Users > All users واختر المستخدم المتأثر ثم Devices لمعرفة كم جهازًا مسجلاً لديه فعليًا.
4. إذا تجاوز العدد الحد، احذف الأجهزة القديمة أو ارفع الحد حسب سياسة مؤسستك.

2. خطأ "MDM Authority Not Defined" — سلطة MDM غير معيّنة

هذا الخطأ يظهر عادةً عند عدم تكوين سلطة MDM في المستأجر، أو وجود مشكلة في مزامنة بيانات المستخدم. والحل مباشر:

1. تأكد من تعيين سلطة MDM على Microsoft Intune في مركز الإدارة.
2. تحقق من أن UPN الخاص بالمستخدم يتطابق مع بياناته في مركز إدارة Microsoft 365.
3. تأكد من مزامنة بيانات الاعتماد مع Microsoft Entra ID عبر Entra Connect.

3. خطأ hr 0x8007064c — "The Machine is Already Enrolled"

من الأخطاء المزعجة فعلاً! يظهر عندما يكون الجهاز مسجلاً مسبقًا أو يحتوي على شهادة تسجيل قديمة — شائع جدًا في الأجهزة التي أُعيد تصويرها.

خطوات الحل:

1. افتح certlm.msc (مدير الشهادات للكمبيوتر المحلي).
2. انتقل إلى Personal > Certificates.
3. ابحث عن شهادة صادرة من Sc_Online_Issuing واحذفها.
4. تحقق من مفاتيح السجل التالية واحذف أي إدخالات قديمة:

HKLM\SOFTWARE\Microsoft\Enrollments

بعد تنظيف الشهادات ومفاتيح السجل، أعد محاولة التسجيل وينبغي أن تمر العملية بسلاسة.

4. خطأ 0x8018002a / 0x80070003 — حظر التسجيل بسبب الوصول المشروط

هذا خطأ محبط لأنه ليس واضحًا للوهلة الأولى. يحدث عندما تتطلب سياسة الوصول المشروط (Conditional Access) مصادقة MFA لجميع تطبيقات السحابة، فتحظر عملية التسجيل نفسها.

الحل:

1. انتقل إلى Microsoft Entra ID > Security > Conditional Access.
2. حدد السياسة التي تستهدف "All Cloud Apps".
3. أضف استثناءً لتطبيق "Microsoft Intune Enrollment".
4. احفظ التغييرات وأعد المحاولة.

5. مشكلات الترخيص

صدّقني، كثير من مشكلات التسجيل سببها ببساطة أن المستخدم ليس لديه ترخيص مناسب! من الأخطاء الشائعة:

• "This Account is Not Allowed on This Phone" — يحتاج ترخيص Intune صالح.
• "User Name Not Recognised" — تحقق من اسم المستخدم في مركز إدارة Intune وعيّن ترخيصًا صالحًا.

التراخيص المطلوبة: Microsoft 365 Business Premium أو E3/E5 أو Enterprise Mobility + Security (EMS) E3/E5.

6. مشكلة تحديث يناير 2026 — إلغاء تسجيل الأجهزة (KB5074109)

هذه مشكلة أثّرت على كثير من المؤسسات. تحديث Windows الأمني لشهر يناير 2026 (KB5074109 وKB5074752) تسبّب في إلغاء تسجيل بعض الأجهزة من Intune بسبب إعادة تعيين شهادات MDM.

خطوات التشخيص والحل:

1. تحقق من حالة انضمام الجهاز:

dsregcmd /status

2. تأكد من وجود شهادة تسجيل MDM في مخزن الشهادات المحلي.
3. إذا كان الجهاز غير منضم أو الشهادة مفقودة، أعد التسجيل من: Settings > Accounts > Access work or school > Connect
4. تأكد من تثبيت أحدث إصدار من Intune Management Extension.
5. راقب الأجهزة الأخرى في بوابة Intune — هل المشكلة معزولة أم واسعة الانتشار؟

الجزء الثاني: استكشاف أخطاء Windows Autopilot

فهم تدفق تسجيل Autopilot أولاً

قبل أن نبدأ باستكشاف الأخطاء، من المهم أن تفهم كيف يعمل Autopilot خطوة بخطوة (وإلا ستضيع وقتك في المكان الخطأ):

1. تنزيل الملف التعريفي — يقوم الجهاز بتنزيل ملف Autopilot مع جميع الإعدادات.
2. مصادقة المستخدم — في السيناريوهات المدفوعة بالمستخدم، يُدخل بيانات اعتماد Entra.
3. الانضمام إلى Microsoft Entra — ينضم الجهاز لدليل المؤسسة.
4. التسجيل التلقائي في MDM — يُسجَّل الجهاز تلقائيًا في Intune.
5. تطبيق الإعدادات عبر ESP — يطبق Autopilot إعدادات التكوين خلال صفحة حالة التسجيل.

1. خطأ 0x80180014 — فشل إعادة النشر

يحدث عند محاولة إعادة نشر جهاز سبق تسجيله عبر وضع النشر الذاتي أو التجهيز المسبق.

الحل: احذف سجل الجهاز من Intune ثم أعد نشره. أو بدلاً من ذلك، أزل تقييد تسجيل الأجهزة الشخصية لنظام Windows (MDM).

2. خطأ 0x81039023 / 0x81039024 — فشل مصادقة TPM

هذا الخطأ يظهر أثناء تدفق التجهيز المسبق أو وضع النشر الذاتي عندما يفشل TPM في المصادقة. والحل يعتمد على نوع الخطأ:

• الخطأ 0x81039024 يعني اكتشاف ثغرات معروفة في TPM — حدّث البرنامج الثابت من موقع الشركة المصنعة.
• تأكد من تفعيل TPM 2.0 في إعدادات BIOS/UEFI.
• جرّب إعادة تعيين TPM:

# تشغيل PowerShell كمسؤول
Clear-Tpm
# ثم أعد تشغيل الجهاز وحاول مرة أخرى

3. خطأ 0x80180022 — إصدار Windows غير مدعوم

ببساطة: Windows Home Edition غير مدعوم مع Autopilot. تأكد من استخدام Windows 11 Pro أو Enterprise أو Education.

4. خطأ 0x80070774 — فشل الانضمام المختلط (Hybrid Entra Join)

يحدث في سيناريوهات Hybrid Microsoft Entra عندما لا يستطيع الجهاز الوصول إلى وحدة التحكم بالمجال. وهذا خطأ شبكي في الغالب.

خطوات الحل:

1. تحقق من اتصال الشبكة وإمكانية الوصول إلى Domain Controller.
2. تأكد من أن خدمة Intune Connector for Active Directory تعمل على الخادم.
3. راجع سجلات خدمة ODJConnector:

C:\ODJ\Logs\

4. إذا كنت تستخدم خادم وكيل (Proxy)، أعد تشغيل خدمة ODJConnectSvc.exe — أحيانًا تحل هذه الخطوة البسيطة مشكلات ذاكرة مزعجة.

5. مشكلات صفحة حالة التسجيل (ESP)

من المشكلات الشائعة في 2026 مع ESP:

• الشاشة البيضاء — خلل مرئي فقط أثناء عمليات Hybrid Entra Join. لا تقلق، لا يؤثر على النشر الفعلي.
• عدم تثبيت التحديثات — تأكد من ضبط "Install Windows quality updates" على Yes في ملف تعريف ESP.
• تعارض تطبيقات MSI/Win32 — نصيحة مهمة: لا تقم بتثبيت Microsoft 365 Click-to-Run أثناء ESP. انشرها بعد اكتمال Autopilot.

أدوات تشخيص Autopilot

في Windows 11 يمكنك الوصول لصفحة تشخيص Autopilot بسهولة:

1. في ملف تعريف ESP، فعّل "Show app and profile configuration progress".
2. فعّل "Turn on log collection and diagnostics page for end users".
3. أثناء OOBE، اضغط Ctrl + Shift + D لفتح صفحة التشخيص.
4. يمكنك أيضًا استخدام Shift + F10 لفتح موجه أوامر بصلاحيات مرتفعة — مفيد جدًا للتشخيص المباشر.

الجزء الثالث: استكشاف أخطاء نشر التطبيقات عبر Intune

مراقبة حالة تثبيت التطبيقات

قبل البحث في الأخطاء، تأكد من معرفة مكان التحقق من حالة النشر:

1. انتقل إلى Apps > Monitor > App install status للحصول على نظرة عامة.
2. لجهاز محدد: Devices > All Devices > [اختر الجهاز] > Managed apps.
3. استخدم قسم Troubleshooting + support في مركز الإدارة للتحليل التفصيلي.

1. خطأ 0x87D1041C — فشل الكشف بعد التثبيت

هذا الخطأ يعني أن Intune أكمل التثبيت فعلاً، لكنه لم يستطع التحقق من وجود التطبيق بعدها — ما يُعرف بـ "Detection Rule Mismatch". بتجربتي، هذا من أكثر أخطاء نشر التطبيقات شيوعًا.

خطوات الحل:

1. ثبّت التطبيق يدويًا على جهاز اختبار وتحقق من المسار الفعلي للملفات ومفاتيح السجل.
2. حدّث قاعدة الكشف (Detection Rule) لتتطابق مع الموقع الفعلي.
3. لتطبيقات MSI، استخدم طريقة MSI Product Code بدلاً من القواعد المخصصة — أبسط وأكثر موثوقية.
4. إذا كان التطبيق يُثبت per-user، تأكد من نشره في User context وليس System.

2. مشكلة سياق 32-بت مقابل 64-بت

معلومة قد تفاجئك: بشكل افتراضي، Intune يشغّل تثبيت التطبيقات في سياق 32-بت حتى على الأجهزة ذات 64-بت! بعض المثبتات تفشل تمامًا في هذا السياق.

الحل: عند إعداد تطبيق Win32، تأكد من تحديد المعمارية الصحيحة في إعدادات التطبيق، واستخدم سطر الأوامر المناسب للإصدار 64-بت عند الحاجة.

3. حظر التنزيل بسبب الوصول المشروط

مشكلة أخرى مرتبطة بالوصول المشروط — قد تمنع سياسات CA الأجهزة غير المتوافقة من الوصول إلى نقاط نهاية Intune لتنزيل التطبيقات.

الحل:

• استثنِ تطبيقات Intune Enrollment وIntune Management من سياسات CA.
• استخدم فترة سماح للتوافق (Compliance Grace Period) لمنح الأجهزة وقتًا كافيًا.

4. انتهاء مهلة التثبيت

Intune Management Extension يفرض مهلة افتراضية. إذا استغرق المثبت وقتًا أطول — وهذا يحدث مع التطبيقات الكبيرة — يظهر خطأ المهلة حتى لو كان التثبيت لا يزال جاريًا.

الحل: راجع سجلات IME للتأكد من الحالة الفعلية، وأعد مزامنة الجهاز لإعادة المحاولة.

تحليل سجلات Intune Management Extension

ملف السجل الأساسي الذي ستحتاجه كثيرًا:

C:\ProgramData\Microsoft\IntuneManagementExtension\Logs\IntuneManagementExtension.log

هذا الملف يحتوي على كل تفاصيل تنزيل التطبيق وتثبيته. نصيحة: استخدم أداة CMTrace (من أدوات Configuration Manager) لقراءة السجلات بدلاً من Notepad — الفرق كبير في الوضوح.

لجمع سجلات التشخيص عن بُعد:

1. في مركز إدارة Intune، انتقل إلى الجهاز المتأثر.
2. اختر Collect diagnostics — العملية تستغرق حوالي 15 دقيقة.
3. حجم السجلات يصل إلى 250 ميجابايت ويدعم صيغ: .log و.txt و.cab و.zip و.xml و.evtx.

الجزء الرابع: أدوات التشخيص الأساسية لفريق الدعم الفني

لوحة معلومات الدعم الفني في Intune

يوفر Intune لوحة معلومات مخصصة لفريق الدعم تتضمن:

• ملخص — إحصائيات السياسات والتوافق وحماية التطبيقات.
• الأجهزة — تفاصيل نظام التشغيل وحالة التوافق وآخر تسجيل وصول.
• المجموعات — تفاصيل العضوية ونوعها.
• قيود التسجيل — نوع السياسة والمنصة وحدود الأجهزة.
• التشخيص — سجلات التشخيص مع بيانات الجهاز.

لتفعيلها، عيّن دور Help Desk Operator لمجموعة المستخدمين المعنية.

أوامر PowerShell الأساسية للتشخيص

هذه الأوامر ستحتاجها يوميًا تقريبًا:

# التحقق من حالة انضمام الجهاز
dsregcmd /status

# التحقق من حالة تسجيل MDM
Get-WmiObject -Namespace "root\cimv2\mdm\dmmap" -Class "MDM_DevDetail_Ext01" | Select-Object DeviceID

# فحص سياسات المجموعة المتعلقة بالتسجيل التلقائي
gpresult /h C:\Temp\GPReport.html

# التحقق من إصدار Intune Management Extension
Get-WmiObject -Class Win32_Product | Where-Object { $_.Name -like "*Intune*" } | Select-Object Name, Version

# إعادة مزامنة الجهاز مع Intune يدويًا
$Shell = New-Object -ComObject Shell.Application
$Shell.Open("intunemanagementextension://syncapp")

أدوات المجتمع الموصى بها

بعض الأدوات التي ستوفر عليك وقتًا كبيرًا:

• IntuneDebugToolkit — مجموعة أدوات لتصحيح أخطاء السجل ومصادقة Autopilot ومراقبة أحداث MDM.
• Intune Log Reader — تحليل فوري لسجلات IME مع لوحة معلومات وتصنيف تلقائي.
• أداة تشخيص الويب — تحلل مخرجات dsregcmd /status وتعطيك حلولاً فورية.
• مستودع سكربتات PowerShell — أكثر من 86 سكربت جاهز للكشف والمعالجة في Intune Endpoint Analytics.

الجزء الخامس: ميزات Intune الجديدة في 2026

الموافقات متعددة المسؤولين

أضاف تحديث فبراير 2026 إمكانية الموافقة المتعددة على سياسات تكوين الأجهزة والتوافق. الأثر العملي لفريق الدعم: بعض التغييرات قد تتأخر في التطبيق حتى يوافق عليها مسؤول ثانٍ. لا تفزع إذا رأيت "تأخر في تطبيق السياسة" — قد يكون السبب ببساطة أن الموافقة لم تكتمل بعد.

التحليلات المتقدمة واستعلامات الأجهزة

Intune يدعم الآن أنواع استعلامات جديدة مثل leftanti وrightsemi تساعدك في تحديد الأجهزة المفقودة أو التكوينات الناقصة بدقة. استفد منها للعثور سريعًا على الأجهزة التي لم تتلقَ سياسة معينة.

دعم Apple Declarative Device Management

أصبح بالإمكان استخدام مرشحات التعيين (Assignment Filters) مع سياسات DDM لأجهزة Apple، مما يتيح استهدافًا أدق عبر iOS وmacOS.

قائمة التحقق السريعة لفريق الدعم الفني

المشكلة	الحل
تجاوز حد الأجهزة	اضبط الحد في Enrollment Restrictions
سلطة MDM غير معرّفة	تحقق من إعدادات MDM Authority وبيانات المستخدم في Entra ID
التسجيل التلقائي لا يعمل	راجع إعدادات GPO وعنوان MDM Discovery URL
تحديث يناير 2026 يلغي التسجيل	راقب تأثير KB5074109 وأعد التسجيل يدويًا
فشل تثبيت التطبيقات	راجع قواعد الكشف وسياق التثبيت (32/64-بت)
فشل Autopilot مع TPM	حدّث البرنامج الثابت لـ TPM من الشركة المصنعة
حظر Windows 365	اسمح بـ Windows (MDM) لـ All Users في Device Platform Restriction

الأسئلة الشائعة

ما الفرق بين Windows Autopilot وAutopilot Device Preparation؟

Windows Autopilot هو الأسلوب التقليدي الذي يستخدم صفحة حالة التسجيل (ESP) ويتطلب تسجيل معرفات الأجهزة مسبقًا. أما Autopilot Device Preparation فهو الأحدث — لا يستخدم ESP ويدعم مزج تطبيقات LOB وWin32، وهو أنسب لعمليات النشر الكبيرة في 2026.

كيف أتحقق من تسجيل جهاز في Intune بشكل صحيح؟

شغّل dsregcmd /status في موجه الأوامر. ابحث عن حقل MdmUrl — إذا احتوى على عنوان URL صالح لـ Intune فالجهاز مسجل. يمكنك أيضًا التحقق من مركز إدارة Intune عبر Devices > All devices.

لماذا يظهر جهازي كـ "Not Compliant" رغم استيفائه لجميع المتطلبات؟

غالبًا السبب تأخر في المزامنة. أعد المزامنة يدويًا من Settings > Accounts > Access work or school > Info > Sync. إذا استمرت المشكلة، تحقق من سياسات التوافق عبر لوحة Troubleshooting في مركز الإدارة.

هل يمكن استخدام Intune لإدارة أجهزة Linux؟

نعم، يدعم Intune تسجيل أجهزة Linux (Ubuntu وRHEL وFedora) مع سياسات توافق أساسية. لكن بصراحة، ميزات الإدارة لنظام Linux لا تزال محدودة مقارنة بـ Windows وmacOS، وتركز على التحقق من التوافق والوصول المشروط بشكل رئيسي.

ما أفضل طريقة لتشخيص مشكلات نشر التطبيقات؟

ابدأ بمراجعة حالة التثبيت في Apps > Monitor > App install status. ثم انتقل لسجلات IME على الجهاز (IntuneManagementExtension.log). استخدم CMTrace لقراءة السجلات. وللتشخيص عن بُعد، استخدم ميزة Collect diagnostics من مركز إدارة Intune — تجمع السجلات خلال 15 دقيقة تقريبًا.