Registrierung mobiler Geräte
Die Registrierung mobiler Geräte ist die erste Phase der Unternehmensverwaltung. Das Gerät ist für die Kommunikation mit dem MDM-Server unter Verwendung von Sicherheitsvorkehrungen während des Registrierungsprozesses konfiguriert. Der Registrierungsdienst überprüft, ob nur authentifizierte und autorisierte Geräte vom Unternehmen verwaltet werden.
Der Registrierungsprozess umfasst die folgenden Schritte:
- Ermittlung des Registrierungsendpunkts: In diesem Schritt werden die Konfigurationseinstellungen des Registrierungsendpunkts bereitgestellt.
- Zertifikatinstallation: In diesem Schritt werden die Benutzerauthentifizierung, die Zertifikatgenerierung und die Zertifikatinstallation behandelt. Die installierten Zertifikate werden in Zukunft zur Verwaltung der gegenseitigen Client/Server-Authentifizierung (TLS/SSL) verwendet.
- DM-Clientbereitstellung: In diesem Schritt wird der Geräteverwaltungsclient (Device Management, DM) so konfiguriert, dass nach der Registrierung über DM SyncML über HTTPS (auch als Open Mobile Alliance Device Management (OMA DM) XML bezeichnet) eine Verbindung mit einem MDM-Server (Mobile Device Management) hergestellt wird.
Registrierungsprotokoll
Es wurden viele Änderungen am Registrierungsprotokoll vorgenommen, um verschiedene Szenarien auf allen Plattformen besser zu unterstützen. Ausführliche Informationen zum Registrierungsprotokoll für mobile Geräte finden Sie unter:
- [MS-MDM]: Mobile Device Management Protocol.
- [MS-MDE2]: Mobile Device Enrollment Protocol Version 2.
Der Registrierungsprozess umfasst die folgenden Schritte:
Ermittlungsanforderung
Die Ermittlungsanforderung ist ein einfacher HTTP-Post-Aufruf, der XML über HTTP zurückgibt. Der zurückgegebene XML-Code enthält die Authentifizierungs-URL, die Verwaltungsdienst-URL und den Benutzeranmeldeinformationstyp.
Zertifikatregistrierungsrichtlinie
Die Konfiguration der Zertifikatregistrierungsrichtlinie ist eine Implementierung des MS-XCEP-Protokolls, die unter [MS-XCEP]: X.509 Certificate Enrollment Policy Protocol Specification (Protokollspezifikation für die Zertifikatregistrierungsrichtlinie) beschrieben wird. Abschnitt 4 der Spezifikation enthält ein Beispiel für die Richtlinienanforderung und -antwort. Das X.509 Certificate Enrollment Policy Protocol ist ein minimales Messagingprotokoll, das eine einzelne Clientanforderungsnachricht (GetPolicies) mit einer übereinstimmenden Serverantwortnachricht (GetPoliciesResponse) enthält.
Weitere Informationen finden Sie unter [MS-XCEP]: X.509 Certificate Enrollment Policy Protocol
Zertifikatregistrierung
Die Zertifikatregistrierung ist eine Implementierung des MS-WSTEP-Protokolls.
Verwaltungskonfiguration
Der Server sendet Bereitstellungs-XML, das ein Serverzertifikat (für die TLS-/SSL-Serverauthentifizierung), ein von der Unternehmenszertifizierungsstelle ausgestelltes Clientzertifikat, DMClient-Bootstrapinformationen (für die Kommunikation des Clients mit dem Verwaltungsserver), ein Unternehmensanwendungstoken (für den Benutzer zum Installieren von Unternehmensanwendungen) und den Link zum Herunterladen der Unternehmenshubanwendung enthält.
In den folgenden Artikeln wird der End-to-End-Registrierungsprozess mit verschiedenen Authentifizierungsmethoden beschrieben:
- Registrierung von Geräten mit Verbundauthentifizierung
- Registrierung von Geräten mit Zertifikatauthentifizierung
- Registrierung von Geräten mit lokaler Authentifizierung
Hinweis
Als bewährte Methode sollten Sie keine hartcodierten serverseitigen Überprüfungen für Werte wie die folgenden verwenden:
- Benutzer-Agent-Zeichenfolge
- Alle festen URIs, die während der Registrierung übergeben werden
- Spezifische Formatierung eines beliebigen Werts, sofern nicht anders angegeben, z. B. das Format der Geräte-ID.
Registrierungsunterstützung für in die Domäne eingebundene Geräte
Geräte, die in ein lokales Active Directory eingebunden sind, können sich über Einstellungen>auf Geschäfts-, Schul- oder Unikonto bei MDM registrieren. Die Registrierung kann jedoch nur auf den Benutzer abzielen, der mit benutzerspezifischen Richtlinien registriert ist. Geräteorientierte Richtlinien richten sich weiterhin an alle Benutzer des Geräts.
Registrierungsszenarien werden nicht unterstützt
In den folgenden Szenarien sind MDM-Registrierungen nicht zulässig:
- Integrierte Administratorkonten auf dem Windows-Desktop können sich nicht bei MDM registrieren.
- Standardbenutzer können sich nicht bei MDM registrieren. Nur Administratorbenutzer können sich registrieren.
Deaktivieren von MDM-Registrierungen
IT-Administratoren können MDM-Registrierungen für in die Domäne eingebundene PCs mithilfe der Gruppenrichtlinie MDM-Registrierung deaktivieren deaktivieren.
Gruppenrichtlinienpfad: Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>MDM>Deaktivieren der MDM-Registrierung.
Entsprechender Registrierungsschlüssel: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)
Registrierungsfehlermeldungen
Der Registrierungsserver kann Registrierungsmeldungen mit dem SOAP-Fehlerformat ablehnen. Erstellte Fehler können wie folgt gesendet werden:
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
</s:reason>
</s:fault>
</s:body>
</s:envelope>
Beispielfehlermeldungen:
| Namespace | Subcode | Fehler | Beschreibung | HRESULT |
|---|---|---|---|---|
| s: | MessageFormat | MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR | Ungültige Nachricht vom MDM-Server (Mobile Device Management). | 80180001 |
| s: | Authentication | MENROLL_E_DEVICE_AUTHENTICATION_ERROR | Der MDM-Server (Mobile Device Management) konnte den Benutzer nicht authentifizieren. Versuchen Sie es erneut, oder wenden Sie sich an Ihren Systemadministrator. | 80180002 |
| s: | Autorisierung | MENROLL_E_DEVICE_AUTHORIZATION_ERROR | Der Benutzer ist nicht autorisiert, sich bei mobiler Geräteverwaltung (Mobile Device Management, MDM) zu registrieren. Versuchen Sie es erneut, oder wenden Sie sich an Ihren Systemadministrator. | 80180003 |
| s: | CertificateRequest | MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR | Der Benutzer hat keine Berechtigung für die Zertifikatvorlage, oder die Zertifizierungsstelle ist nicht erreichbar. Versuchen Sie es erneut, oder wenden Sie sich an Ihren Systemadministrator. | 80180004 |
| s: | EnrollmentServer | MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR | Auf dem MDM-Server (Mobile Device Management) ist ein Fehler aufgetreten. Versuchen Sie es erneut, oder wenden Sie sich an Ihren Systemadministrator. | 80180005 |
| ein: | InternalServiceFault | MENROLL_E_DEVICE_INTERNALSERVICE_ERROR | Auf dem MDM-Server (Mobile Device Management) wurde eine Ausnahme nicht behandelt. Versuchen Sie es erneut, oder wenden Sie sich an Ihren Systemadministrator. | 80180006 |
| ein: | InvalidSecurity | MENROLL_E_DEVICE_INVALIDSECURITY_ERROR | Der MDM-Server (Mobile Device Management) konnte Ihr Konto nicht überprüfen. Versuchen Sie es erneut, oder wenden Sie sich an Ihren Systemadministrator. | 80180007 |
Das SOAP-Format enthält deviceenrollmentserviceerror auch ein -Element. Beispiel:
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">device cap reached</s:text>
</s:reason>
<s:detail>
<deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
<errortype>devicecapreached</errortype>
<message>device cap reached</message>
<traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
</deviceenrollmentserviceerror>
</s:detail>
</s:fault>
</s:body>
</s:envelope>
Beispielfehlermeldungen:
| Subcode | Fehler | Beschreibung | HRESULT |
|---|---|---|---|
| DeviceCapReached | MENROLL_E_DEVICECAPREACHED | Für das Konto sind zu viele Geräte für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) registriert. Löschen Sie alte Geräte, oder heben Sie die Registrierung auf, um diesen Fehler zu beheben. | 80180013 |
| DeviceNotSupported | MENROLL_E_DEVICENOTSUPPORTED | Der MDM-Server (Mobile Device Management) unterstützt diese Plattform oder Version nicht. Erwägen Sie ein Upgrade Ihres Geräts. | 80180014 |
| Nicht Unterstützt | MENROLL_E_NOT_SUPPORTED | Die Verwaltung mobiler Geräte (Mobile Device Management, MDM) wird für dieses Gerät im Allgemeinen nicht unterstützt. | 80180015 |
| NotEligibleToRenew | MENROLL_E_NOTELIGIBLETORENEW | Das Gerät versucht, das MDM-Zertifikat (Mobile Device Management) zu erneuern, aber der Server hat die Anforderung abgelehnt. Überprüfen Sie den Zeitplan für die Verlängerung auf dem Gerät. | 80180016 |
| InMaintenance | MENROLL_E_INMAINTENANCE | Der MDM-Server (Mobile Device Management, Verwaltung mobiler Geräte) gibt an, dass Ihr Konto gewartet wird. Versuchen Sie es später erneut. | 80180017 |
| UserLicense | MENROLL_E_USER_LICENSE | Es ist ein Fehler bei Ihrer MDM-Benutzerlizenz (Mobile Device Management) aufgetreten. Wenden Sie sich an Ihren Systemadministrator. | 80180018 |
| InvalidEnrollmentData | MENROLL_E_ENROLLMENTDATAINVALID | Der MDM-Server (Mobile Device Management) hat die Registrierungsdaten abgelehnt. Der Server ist möglicherweise nicht ordnungsgemäß konfiguriert. | 80180019 |
TraceID ist ein Freihandform-Textknoten, der protokolliert wird. Er sollte den serverseitigen Zustand für diesen Registrierungsversuch identifizieren. Diese Informationen können vom Support verwendet werden, um nachzuschlagen, warum der Server die Registrierung abgelehnt hat.