Registrierung mobiler Geräte

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

Die Registrierung mobiler Geräte ist die erste Phase der Unternehmensverwaltung. Das Gerät ist für die Kommunikation mit dem MDM-Server unter Verwendung von Sicherheitsvorkehrungen während des Registrierungsprozesses konfiguriert. Der Registrierungsdienst überprüft, ob nur authentifizierte und autorisierte Geräte vom Unternehmen verwaltet werden.

Der Registrierungsprozess umfasst die folgenden Schritte:

1. Ermittlung des Registrierungsendpunkts: In diesem Schritt werden die Konfigurationseinstellungen des Registrierungsendpunkts bereitgestellt.
2. Zertifikatinstallation: In diesem Schritt werden die Benutzerauthentifizierung, die Zertifikatgenerierung und die Zertifikatinstallation behandelt. Die installierten Zertifikate werden in Zukunft zur Verwaltung der gegenseitigen Client/Server-Authentifizierung (TLS/SSL) verwendet.
3. DM-Clientbereitstellung: In diesem Schritt wird der Geräteverwaltung-Client (DM) so konfiguriert, dass er nach der Registrierung über DM SyncML über HTTPS (auch bekannt als Open Mobile Alliance Geräteverwaltung (OMA DM) XML) eine Verbindung mit einem Mobile Geräteverwaltung-Server (MDM) herstellt.

Registrierungsprotokoll

Es wurden viele Änderungen am Registrierungsprotokoll vorgenommen, um verschiedene Szenarien auf allen Plattformen besser zu unterstützen. Ausführliche Informationen zum Registrierungsprotokoll für mobile Geräte finden Sie unter:

• [MS-MDM]: Mobile Geräteverwaltung Protocol.
• [MS-MDE2]: Mobile Device Enrollment Protocol Version 2.

Der Registrierungsprozess umfasst die folgenden Schritte:

Ermittlungsanforderung

Die Ermittlungsanforderung ist ein einfacher HTTP-Post-Aufruf, der XML über HTTP zurückgibt. Der zurückgegebene XML-Code enthält die Authentifizierungs-URL, die Verwaltungsdienst-URL und den Benutzeranmeldeinformationstyp.

Zertifikatregistrierungsrichtlinie

Die Konfiguration der Zertifikatregistrierungsrichtlinie ist eine Implementierung des MS-XCEP-Protokolls, die unter [MS-XCEP]: X.509 Certificate Enrollment Policy Protocol Specification (Protokollspezifikation für die Zertifikatregistrierungsrichtlinie) beschrieben wird. Abschnitt 4 der Spezifikation enthält ein Beispiel für die Richtlinienanforderung und -antwort. Das X.509 Certificate Enrollment Policy Protocol ist ein minimales Messagingprotokoll, das eine einzelne Clientanforderungsnachricht (GetPolicies) mit einer übereinstimmenden Serverantwortnachricht (GetPoliciesResponse) enthält.

Weitere Informationen finden Sie unter [MS-XCEP]: X.509 Certificate Enrollment Policy Protocol

Zertifikatregistrierung

Die Zertifikatregistrierung ist eine Implementierung des MS-WSTEP-Protokolls.

Verwaltungskonfiguration

Der Server sendet Bereitstellungs-XML, das ein Serverzertifikat (für die TLS-/SSL-Serverauthentifizierung), ein von der Unternehmenszertifizierungsstelle ausgestelltes Clientzertifikat, Bootstrapinformationen des DM-Clients (für die Kommunikation des Clients mit dem Verwaltungsserver), ein Unternehmensanwendungstoken (für den Benutzer zum Installieren von Unternehmensanwendungen) und den Link zum Herunterladen der Unternehmenshubanwendung enthält.

In den folgenden Artikeln wird der End-to-End-Registrierungsprozess mit verschiedenen Authentifizierungsmethoden beschrieben:

• Registrierung von Geräten mit Verbundauthentifizierung
• Registrierung von Geräten mit Zertifikatauthentifizierung
• Registrierung von Geräten mit lokaler Authentifizierung

Hinweis

Als bewährte Methode sollten Sie keine hartcodierten serverseitigen Überprüfungen für Werte wie die folgenden verwenden:

• Benutzer-Agent-Zeichenfolge
• Alle festen URIs, die während der Registrierung übergeben werden
• Spezifische Formatierung eines beliebigen Werts, sofern nicht anders angegeben, z. B. das Format der Geräte-ID.

Registrierungsunterstützung für in die Domäne eingebundene Geräte

Geräte, die mit einem lokales Active Directory verknüpft sind, können sich über Einstellungen>auf Geschäfts-, Schul- oder Unikonto bei MDM registrieren. Die Registrierung kann jedoch nur auf den Benutzer abzielen, der mit benutzerspezifischen Richtlinien registriert ist. Geräteorientierte Richtlinien richten sich weiterhin an alle Benutzer des Geräts.

Registrierungsszenarien werden nicht unterstützt

In den folgenden Szenarien sind MDM-Registrierungen nicht zulässig:

• Integrierte Administratorkonten auf dem Windows-Desktop können sich nicht bei MDM registrieren.
• Standardbenutzer können sich nicht bei MDM registrieren. Nur Administratorbenutzer können sich registrieren.

Deaktivieren von MDM-Registrierungen

IT-Administratoren können MDM-Registrierungen für in die Domäne eingebundene PCs mithilfe der Gruppenrichtlinie MDM-Registrierung deaktivieren deaktivieren.

Gruppenrichtlinie Pfad: Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>MDM>Deaktivieren der MDM-Registrierung. Entsprechender Registrierungsschlüssel: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)

Registrierungsfehlermeldungen

Der Registrierungsserver kann Registrierungsmeldungen mit dem SOAP-Fehlerformat ablehnen. Erstellte Fehler können wie folgt gesendet werden:

<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
    <s:header>
        <a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
        <activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
        <a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
    </s:header>
    <s:body>
        <s:fault>
            <s:code>
                <s:value>s:receiver</s:value>
                <s:subcode>
                    <s:value>s:authorization</s:value>
                </s:subcode>
            </s:code>
            <s:reason>
                <s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
            </s:reason>
        </s:fault>
    </s:body>
</s:envelope>

Beispielfehlermeldungen:

Namespace	Subcode	Fehler	Beschreibung	HRESULT
s:	Messageformat	MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR	Ungültige Nachricht vom Mobile Geräteverwaltung-Server (MDM).	80180001
s:	Authentication	MENROLL_E_DEVICE_AUTHENTICATION_ERROR	Der Mobile Geräteverwaltung-Server (MDM) konnte den Benutzer nicht authentifizieren. Versuchen Sie es erneut, oder wenden Sie sich an Ihren Systemadministrator.	80180002
s:	Autorisierung	MENROLL_E_DEVICE_AUTHORIZATION_ERROR	Der Benutzer ist nicht berechtigt, sich bei Mobile Geräteverwaltung (MDM) zu registrieren. Versuchen Sie es erneut, oder wenden Sie sich an Ihren Systemadministrator.	80180003
s:	CertificateRequest	MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR	Der Benutzer hat keine Berechtigung für die Zertifikatvorlage, oder die Zertifizierungsstelle ist nicht erreichbar. Versuchen Sie es erneut, oder wenden Sie sich an Ihren Systemadministrator.	80180004
s:	EnrollmentServer	MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR	Auf dem Mobile Geräteverwaltung-Server (MDM) ist ein Fehler aufgetreten. Versuchen Sie es erneut, oder wenden Sie sich an Ihren Systemadministrator.	80180005
Eine:	InternalServiceFault	MENROLL_E_DEVICE_INTERNALSERVICE_ERROR	Auf dem Mobile Geräteverwaltung-Server (MDM) wurde eine Ausnahme nicht behandelt. Versuchen Sie es erneut, oder wenden Sie sich an Ihren Systemadministrator.	80180006
Eine:	InvalidSecurity	MENROLL_E_DEVICE_INVALIDSECURITY_ERROR	Der Mobile Geräteverwaltung-Server (MDM) konnte Ihr Konto nicht überprüfen. Versuchen Sie es erneut, oder wenden Sie sich an Ihren Systemadministrator.	80180007

Das SOAP-Format enthält deviceenrollmentserviceerror auch ein -Element. Beispiel:

<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
    <s:header>
        <a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
        <activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
        <a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
    </s:header>
    <s:body>
        <s:fault>
            <s:code>
                <s:value>s:receiver</s:value>
                <s:subcode>
                    <s:value>s:authorization</s:value>
                </s:subcode>
            </s:code>
            <s:reason>
                <s:text xml:lang="en-us">device cap reached</s:text>
            </s:reason>
            <s:detail>
                <deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
                    <errortype>devicecapreached</errortype>
                    <message>device cap reached</message>
                    <traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
                </deviceenrollmentserviceerror>
            </s:detail>
        </s:fault>
    </s:body>
</s:envelope>

Beispielfehlermeldungen:

Subcode	Fehler	Beschreibung	HRESULT
DeviceCapReached	MENROLL_E_DEVICECAPREACHED	Für das Konto sind zu viele Geräte bei Mobile Geräteverwaltung (MDM) registriert. Löschen Sie alte Geräte, oder heben Sie die Registrierung auf, um diesen Fehler zu beheben.	80180013
DeviceNotSupported	MENROLL_E_DEVICENOTSUPPORTED	Der Mobile Geräteverwaltung-Server (MDM) unterstützt diese Plattform oder Version nicht. Erwägen Sie ein Upgrade Ihres Geräts.	80180014
Notsupported	MENROLL_E_NOT_SUPPORTED	Mobile Geräteverwaltung (MDM) wird für dieses Gerät im Allgemeinen nicht unterstützt.	80180015
NotEligibleToRenew	MENROLL_E_NOTELIGIBLETORENEW	Das Gerät versucht, das Mobile Geräteverwaltung(MDM)-Zertifikat zu erneuern, aber der Server hat die Anforderung abgelehnt. Überprüfen Sie den Zeitplan für die Verlängerung auf dem Gerät.	80180016
InMaintenance	MENROLL_E_INMAINTENANCE	Der Mobile Geräteverwaltung-Server (MDM) gibt an, dass Ihr Konto gewartet wird. Versuchen Sie es später erneut.	80180017
UserLicense	MENROLL_E_USER_LICENSE	Es ist ein Fehler bei Ihrer Mobile Geräteverwaltung-Benutzerlizenz (MDM) aufgetreten. Wenden Sie sich an Ihren Systemadministrator.	80180018
InvalidEnrollmentData	MENROLL_E_ENROLLMENTDATAINVALID	Der Mobile Geräteverwaltung(MDM)-Server hat die Registrierungsdaten abgelehnt. Der Server ist möglicherweise nicht ordnungsgemäß konfiguriert.	80180019

TraceID ist ein Freihandform-Textknoten, der protokolliert wird. Er sollte den serverseitigen Zustand für diesen Registrierungsversuch identifizieren. Diese Informationen können vom Support verwendet werden, um nachzuschlagen, warum der Server die Registrierung abgelehnt hat.

Verwandte Artikel

• MDM-Registrierung von Windows-basierten Geräten
• Registrierung von Geräten mit Verbundauthentifizierung
• Registrierung von Geräten mit Zertifikatauthentifizierung
• Registrierung von Geräten mit lokaler Authentifizierung