Unternehmenseinstellungen und Richtlinienverwaltung

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

Die eigentliche Verwaltungsinteraktion zwischen Gerät und Server erfolgt über den DM-Client. Der DM-Client kommuniziert mit dem Unternehmensverwaltungsserver über die DM v1.2 SyncML-Syntax. Die vollständige Beschreibung des OMA DM-Protokolls v1.2 finden Sie auf der OMA-Website.

MDM-Einstellungen für Unternehmen werden über verschiedene Konfigurationsdienstanbieter für den DM-Client verfügbar gemacht. Eine Liste der verfügbaren Konfigurationsdienstanbieter finden Sie unter Referenz zu Konfigurationsdienstanbietern.

Windows unterstützt derzeit einen MDM-Server. Dem DM-Client, der über den Registrierungsprozess konfiguriert wird, wird Zugriff auf unternehmensbezogene Einstellungen gewährt. Während des Registrierungsprozesses wird der Aufgabenplaner so konfiguriert, dass er den DM-Client aufruft, um den MDM-Server regelmäßig abzufragen.

Das folgende Diagramm zeigt den Workflow zwischen Server und Client.

Verwaltungsworkflow

Dieses Protokoll definiert eine HTTPS-basierte Client/Server-Kommunikation mit DM SyncML XML als Paketnutzlast, die Verwaltungsanforderungen und Ausführungsergebnisse enthält. Die Konfigurationsanforderung wird über ein verwaltetes Objekt (Mo) adressiert. Die vom verwalteten Objekt unterstützten Einstellungen werden in einer konzeptionellen Struktur dargestellt. Diese logische Ansicht konfigurierbarer Geräteeinstellungen vereinfacht die Art und Weise, wie der Server die Geräteeinstellungen behandelt, indem die Implementierungsdetails von der konzeptionellen Struktur getrennt werden.

Windows unterstützt die zertifikatbasierte gegenseitige Authentifizierung über einen verschlüsselten TLS/SSL-HTTP-Kanal zwischen dem DM-Client und dem Verwaltungsdienst, um die sicherheitsoptimale Kommunikation mit dem Remoteserver für die Unternehmensverwaltung zu vereinfachen. Die Server- und Clientzertifikate werden während des Registrierungsprozesses bereitgestellt.

Die DM-Clientkonfiguration, die Erzwingung von Unternehmensrichtlinien, die Verwaltung von Geschäftsanwendungen und die Geräteinventur werden über Konfigurationsdienstanbieter (Configuration Service Providers, CSPs) verfügbar gemacht oder ausgedrückt. CSPs sind der Windows-Begriff für verwaltete Objekte. Der DM-Client kommuniziert mit dem Server und sendet eine Konfigurationsanforderung an CSPs. Der Server muss nur die logischen lokalen URIs kennen, die von diesen CSP-Knoten definiert werden, um die DM-Protokoll-XML zum Verwalten des Geräts verwenden zu können.

Hier ist eine Zusammenfassung der dm-Aufgaben, die für die Unternehmensverwaltung unterstützt werden:

• Unternehmensrichtlinienverwaltung: Unternehmensrichtlinien werden über den Richtlinien-CSP unterstützt, mit dem das Unternehmen verschiedene Einstellungen verwalten kann. Es ermöglicht dem Verwaltungsdienst, Richtlinien für Gerätesperren zu konfigurieren, die Speicher Karte zu deaktivieren/zu aktivieren und die Geräteverschlüsselung status abzufragen. Mit dem RemoteWipe-CSP können IT-Experten den internen Benutzerdatenspeicher aus der Ferne vollständig löschen.
• Unternehmensanwendungsverwaltung: Diese Aufgabe wird über den Enterprise ModernApp Management-CSP und mehrere ApplicationManagement-bezogene Richtlinien behandelt. Es wird verwendet, um das Unternehmenstoken zu installieren, installierte Geschäftsanwendungsnamen und -versionen abzufragen usw. Auf diesen CSP kann nur der Unternehmensdienst zugreifen.
• Zertifikatverwaltung: CertificateStore CSP, RootCACertificate CSP und ClientCertificateInstall CSP werden zum Installieren von Zertifikaten verwendet.
• Grundlegende Geräteinventur und Ressourcenverwaltung: Einige grundlegende Geräteinformationen können über den DevInfo-CSP, DevDetail-CSPs und den DeviceStatus-CSP abgerufen werden. Diese stellen grundlegende Geräteinformationen bereit, z. B. OEM-Name, Gerätemodell, Hardwareversion, Betriebssystemversion, Prozessortypen usw. Diese Informationen sind für die Ressourcenverwaltung und die Geräteadressierung vorgesehen. Der NodeCache-CSP ermöglicht es dem Gerät, nur Deltainventureinstellungen an den Server zu senden, um die Over-the-Air-Datennutzung zu reduzieren. Auf den NodeCache-CSP kann nur der Unternehmensdienst zugreifen.