Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Trennung erfolgt entweder lokal durch den Benutzer, der ein Telefon verwendet, oder remote vom IT-Administrator mithilfe des Verwaltungsservers. Der vom Benutzer initiierte Trennungsprozess ähnelt der anfänglichen Verbindung, wobei die Initiierung von demselben Speicherort im Einstellungs-Systemsteuerung wie das Erstellen des Arbeitsplatzkontos erfolgt. Die Benutzer entscheiden sich, die Verbindung aus einer Reihe von Gründen zu trennen, z. B. wenn sie das Unternehmen verlassen oder ein neues Gerät erhalten oder keinen Zugriff mehr auf ihre BRANCHEN-Apps auf dem alten Gerät benötigen. Wenn ein IT-Administrator eine Trennung initiiert, führt der Registrierungsclient die Trennung während der nächsten regulären Wartungssitzung aus. Administratoren entscheiden sich dafür, das Gerät von Benutzern zu trennen, nachdem sie das Unternehmen verlassen haben oder weil das Gerät regelmäßig die Sicherheitseinstellungsrichtlinie des organization nicht erfüllt.
Während der Trennung führt der Client die folgenden Aufgaben aus:
- Entfernt das Unternehmensanwendungstoken, das die Installation und Ausführung von Branchen-Apps ermöglicht hat. Alle Geschäftsanwendungen, die diesem Unternehmenstoken zugeordnet sind, werden ebenfalls entfernt.
- Entfernt Zertifikate, die vom MDM-Server konfiguriert werden.
- Beendet die Erzwingung der Einstellungsrichtlinien, die von der Verwaltungsinfrastruktur angewendet werden.
- Entfernt die Geräteverwaltungsclientkonfiguration und andere Einstellungskonfigurationen, die vom MDM-Server hinzugefügt wurden, einschließlich des geplanten Wartungstasks. Der Client bleibt inaktiv, es sei denn, der Benutzer stellt eine erneute Verbindung mit der Verwaltungsinfrastruktur her.
- Meldet, dass die Zuordnung zur Verwaltungsinfrastruktur erfolgreich initiiert wurde, wenn der Administrator den Prozess initiiert hat. Unter Windows wird eine vom Benutzer initiierte Trennung an den Server als bestmögliche Leistung gemeldet.
Vom Benutzer initiierte Trennung
Nachdem der Benutzer den Befehl zum Löschen des Kontos bestätigt hat und bevor das Konto gelöscht wird, benachrichtigt der MDM-Client den MDM-Server, dass das Konto entfernt wird. Diese Benachrichtigung ist eine Best-Effort-Aktion, da keine Wiederholung integriert ist, um sicherzustellen, dass die Benachrichtigung erfolgreich an das Gerät gesendet wird.
Diese Aktion verwendet die generische OMA DM-Funktion 1226, um einem Benutzer eine Mdm-Benutzerwarnung zur Aufhebung der Registrierung an den MDM-Server zu senden, nachdem das Gerät die Anforderung zur Aufhebung der Registrierung des Benutzers akzeptiert hat, aber bevor es Unternehmensdaten löscht. Der Server sollte die Erwartung festlegen, dass die Aufhebung der Registrierung erfolgreich oder fehlschlagen kann, und der Server kann überprüfen, ob die Registrierung des Geräts aufgehoben wird, indem entweder überprüft wird, ob das Gerät zum geplanten Zeitpunkt zurückgerufen wird, oder indem eine Pushbenachrichtigung an das Gerät gesendet wird, um festzustellen, ob es wieder reagiert. Wenn der Server plant, eine Pushbenachrichtigung zu senden, sollte es eine gewisse Verzögerung ermöglichen, um dem Gerät die Zeit zu geben, die Aufhebung der Registrierung abzuschließen.
Hinweis
Die Aufhebung der Benutzerregistrierung ist ein OMA DM-Standard. Weitere Informationen zur generischen Warnung 1226 finden Sie in der OMA Geräteverwaltung Protocol-Spezifikation (OMA-TS-DM_Protocol-V1_2_1-20080617-A), die auf der OMA-Website verfügbar ist.
Der Anbieter verwendet das Type-Attribut, um anzugeben, um welchen Typ der generischen Warnung es sich handelt. Bei geräteinitiierten MDM-Registrierungen lautet der Warnungstyp com.microsoft:mdm.unenrollment.userrequest.
Nachdem sich der Benutzer für die Aufhebung der Registrierung entscheidet, werden alle aktiven MDM OMA DM-Sitzungen beendet. Danach startet der DMClient eine DM-Sitzung, einschließlich einer generischen Warnung, die die Registrierung des Benutzers im ersten Paket aufheben, das an den Server gesendet wird.
Das folgende Beispiel zeigt ein erstes OMA DM-Paket, das eine generische Warnmeldung enthält. Weitere Informationen zur Unterstützung von WP OMA DM finden Sie im Artikel zur Unterstützung des OMA DM-Protokolls .
<SyncML xmlns='SYNCML:SYNCML1.2'>
<SyncHdr>
<VerDTD>1.2</VerDTD>
<VerProto>DM/1.2</VerProto>
<SessionID>1</SessionID>
<MsgID>1</MsgID>
<Target>
<LocURI>{unique device ID}</LocURI>
</Target>
<Source>
<LocURI>https://www.thephone-company.com/mgmt-server</LocURI>
</Source>
</SyncHdr>
<SyncBody>
<Alert>
<CmdID>2</CmdID>
<Data>1226</Data> <!-- generic alert -->
<Item>
<Meta>
<Type xmlns="syncml:metinfo"> com.microsoft:mdm.unenrollment.userrequest</Type>
<Format xmlns= "syncml:metinfo">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Alert>
<!-- other device information -->
<Replace>
<CmdID>2</CmdID>
<Item>
<Source>
<LocURI>./DevInfo/DevID</LocURI>
</Source>
<Data>{unique device ID}</Data>
</Item>
<Item>
...
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
Nachdem das vorherige Paket gesendet wurde, beginnt die Aufhebung der Registrierung.
Vom Server initiierte Trennung
Wenn der Server die Trennung initiiert, werden alle Sitzungen für die Registrierungs-ID sofort abgebrochen, um Deadlocks zu vermeiden. Der Server erhält keine Antwort auf die Aufhebung der Registrierung, stattdessen wird eine generische Warnungsbenachrichtigung mit messageid=1gesendet.
<Alert>
<CmdID>4</CmdID>
<Data>1226</Data>
<Item>
<Meta>
<Type xmlns="syncml:metinf">com.microsoft:mdm.unenrollment.userrequest</Type>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Alert>
Aufheben der Registrierung von der Seite "Arbeitszugriffseinstellungen"
Wenn der Benutzer mithilfe eines Microsoft Entra ID (Microsoft Entra beitreten oder ein Microsoft-Geschäftskonto hinzufügen) bei MDM registriert ist, wird das MDM-Konto auf der Seite Arbeitszugriff angezeigt. Die Schaltfläche Trennen ist jedoch abgeblendet und nicht zugänglich. Benutzer können dieses MDM-Konto entfernen, indem sie die Microsoft Entra Zuordnung zum Gerät entfernen.
Sie können die Seite Arbeitszugriff nur verwenden, um die Registrierung unter den folgenden Bedingungen aufzuheben:
- Die Registrierung wurde mithilfe der Massenregistrierung durchgeführt.
- Die Registrierung wurde über die Arbeitszugriffsseite erstellt.
Aufheben der Registrierung von Microsoft Entra Join
Wenn ein Benutzer über Microsoft Entra Beitritt bei MDM registriert wird und später die Registrierung getrennt wird, gibt es keine Warnung, dass der Benutzer Windows Information Protection -Daten (WIP) verliert. Die Trennungsmeldung weist nicht auf den Verlust von WIP-Daten hin.
Während des Prozesses, bei dem ein Gerät über Microsoft Entra Join bei MDM registriert und dann remote nicht mehr registriert wird, kann das Gerät in einen Zustand versetzt werden, in dem ein Reimaging durchgeführt werden muss. Wenn die Registrierung von Geräten bei MDM remote aufgehoben wird, wird auch die Microsoft Entra-Zuordnung entfernt. Diese Sicherheit ist vorhanden, um zu vermeiden, dass die Unternehmensgeräte nicht verwaltet werden.
Bevor Sie die Registrierung von Unternehmensgeräten remote aufheben, müssen Sie sicherstellen, dass mindestens ein Administratorbenutzer auf dem Gerät vorhanden ist, das nicht Teil Microsoft Entra ID ist. Andernfalls verfügt das Gerät nach dem Vorgang nicht über einen Administratorbenutzer.
Bei mobilen Geräten tritt bei der Remoteregistrierung für Microsoft Entra verbundene Geräte ein Fehler auf. Um Unternehmensinhalte von diesen Geräten zu entfernen, empfiehlt es sich, das Gerät remote zu löschen.
Vom IT-Administrator angeforderte Trennung
Der Server fordert eine Trennung der Unternehmensverwaltung an, indem er einen Exec OMA DM SyncML XML-Befehl für das Gerät ausgibt, indem er den Knoten "Registrierung aufheben" des DMClient-Konfigurationsdienstanbieters während der nächsten clientinitiierte DM-Sitzung verwendet. Das Tag Data innerhalb des Exec-Befehls sollte der Wert der providerID des bereitgestellten DM-Servers sein. Weitere Informationen finden Sie im Artikel unternehmensspezifische DMClient-Konfiguration.
Wenn die Trennung abgeschlossen ist, wird der Benutzer benachrichtigt, dass das Gerät von der Unternehmensverwaltung getrennt wurde.