Compartir a través de


Integración de Microsoft Entra con MDM

Microsoft Entra ID es el servicio de administración de identidades en la nube empresarial más grande del mundo. Las organizaciones lo usan para acceder a aplicaciones empresariales y de Microsoft 365 desde Microsoft y proveedores de software como servicio (SaaS) de terceros. Muchas de las experiencias enriquecidas de Windows para los usuarios de la organización (como el acceso a la tienda o la itinerancia de estado del sistema operativo) usan Microsoft Entra ID como la infraestructura de identidad subyacente. Windows se integra con Microsoft Entra ID, lo que permite que los dispositivos se registren en Microsoft Entra ID y se inscriban en Mobile Device Management (MDM) en un flujo integrado.

Una vez que un dispositivo está inscrito en MDM, la MDM:

  • Puede aplicar el cumplimiento con las directivas de la organización, agregar o quitar aplicaciones, etc.
  • Puede notificar el cumplimiento de un dispositivo en Microsoft Entra ID.
  • Puede permitir el acceso a los recursos de la organización o a las aplicaciones protegidas por el identificador de Microsoft Entra a los dispositivos que cumplan las directivas.

Para admitir estas experiencias enriquecidas con su producto MDM, los proveedores de MDM pueden integrarse con Microsoft Entra ID.

Inscripción de MDM integrada y experiencia de usuario

Hay varias maneras de conectar los dispositivos a Microsoft Entra ID:

En cada escenario, Microsoft Entra autentica al usuario y al dispositivo. Proporciona un identificador de dispositivo único comprobado que se puede usar para la inscripción de MDM. El flujo de inscripción proporciona una oportunidad para que el servicio MDM represente su propia interfaz de usuario mediante una vista web. Los proveedores de MDM deben usar la interfaz de usuario para representar los Términos de uso (TOU), que pueden ser diferentes para los dispositivos propiedad de la empresa y bring-your-own-device (BYOD). Los proveedores de MDM también pueden usar la vista web para representar más elementos de la interfaz de usuario, como pedir un PIN de un solo uso.

En Windows 10, la vista web durante el escenario integrado se muestra como pantalla completa de forma predeterminada, lo que proporciona a los proveedores de MDM la capacidad de crear una experiencia de usuario perimetral sin problemas. Sin embargo, en Windows 11, la vista web se representa dentro de un iframe. Es importante que los proveedores de MDM que se integran con Microsoft Entra ID respeten las directrices de diseño de Windows. Este paso incluye el uso de un diseño web con capacidad de respuesta y el respeto de las directrices de accesibilidad de Windows. Por ejemplo, incluya los botones de avance y retroceso que están conectados correctamente a la lógica de navegación. Más adelante en este artículo se proporcionan más detalles.

Para que la inscripción de Microsoft Entra funcione para una cuenta de Microsoft Entra respaldada por Active Directory Federated Services (AD FS), debe habilitar la autenticación con contraseña para la intranet en el servicio ADFS. Para obtener más información, consulte Configuración de la autenticación multifactor de Microsoft Entra como proveedor de autenticación con AD FS.

Una vez que un usuario tiene una cuenta de Microsoft Entra agregada a Windows e inscrita en MDM, la inscripción se puede administrar a través deltrabajo o la escuela de Accesoa cuentas> de configuración>. La administración de dispositivos de la unión a Microsoft Entra para escenarios de organización o escenarios BYOD es similar.

Nota

Los usuarios no pueden quitar la inscripción de dispositivos a través de la interfaz de usuario profesional o educativa de Access porque la administración está asociada al identificador de Microsoft Entra o a la cuenta profesional.

Puntos de conexión MDM implicados en la inscripción integrada de Microsoft Entra

La inscripción de MDM de Microsoft Entra es un proceso de dos pasos:

  1. Mostrar los Términos de uso y recopilar el consentimiento del usuario: este consentimiento es un flujo pasivo en el que el usuario se redirige en un control de explorador (vista web) a la dirección URL de los Términos de uso de mdm.
  2. Inscribir el dispositivo: este paso es un flujo activo en el que el agente de Windows OMA DM llama al servicio MDM para inscribir el dispositivo.

Para admitir la inscripción de Microsoft Entra, los proveedores de MDM deben hospedar y exponer un punto de conexión de términos de uso y un punto de conexión de inscripción de MDM.

  • Punto de conexión de términos de uso: use este punto de conexión para informar a los usuarios de las formas en que su organización puede controlar su dispositivo. La página Términos de uso es responsable de recopilar el consentimiento del usuario antes de que comience la fase de inscripción real.

    Es importante comprender que el flujo de términos de uso es un "cuadro opaco" para Windows y Microsoft Entra ID. Toda la vista web se redirige a la dirección URL de términos de uso. Se debe redirigir al usuario después de aprobar o rechazar los Términos. Este diseño permite al proveedor de MDM personalizar sus Términos de uso para diferentes escenarios. Por ejemplo, se aplican diferentes niveles de control en BYOD frente a dispositivos propiedad de la organización. O bien, implemente la segmentación basada en usuarios o grupos, como los usuarios de determinadas zonas geográficas pueden tener directivas de administración de dispositivos más estrictas.

    El punto de conexión de términos de uso puede implementar más lógica empresarial, como recopilar un PIN de un solo uso proporcionado por TI para controlar la inscripción de dispositivos. Sin embargo, los proveedores de MDM no deben usar el flujo de términos de uso para recopilar credenciales de usuario, lo que puede ser una experiencia de usuario degradada. No es necesario, ya que parte de la integración de MDM garantiza que el servicio MDM pueda comprender los tokens emitidos por Microsoft Entra ID.

  • Punto de conexión de inscripción de MDM: después de que los usuarios acepten los Términos de uso, el dispositivo se registra en Microsoft Entra ID. Comienza la inscripción automática de MDM.

    En el diagrama siguiente se muestra el flujo de alto nivel implicado en el proceso de inscripción real. El dispositivo se registra por primera vez con el identificador de Microsoft Entra. Este proceso asigna un identificador de dispositivo único al dispositivo y presenta al dispositivo la capacidad de autenticarse con Microsoft Entra ID (autenticación de dispositivo). A continuación, el dispositivo se inscribe para la administración con MDM. Este paso llama al punto de conexión de inscripción y solicita la inscripción para el usuario y el dispositivo. En este momento, el usuario se ha autenticado y el dispositivo se ha registrado y autenticado con el identificador de Microsoft Entra. Esta información está disponible para mdm en forma de notificaciones dentro de un token de acceso presentado en el punto de conexión de inscripción.

    Flujo de inscripción de Microsoft Entra

    Se espera que MDM use esta información sobre el dispositivo (id. de dispositivo) al notificar el cumplimiento del dispositivo a Microsoft Entra ID mediante Microsoft Graph API. Más adelante en este artículo se proporciona un ejemplo para notificar el cumplimiento de dispositivos.

Convertir MDM en una entidad confiable de Microsoft Entra ID

Para participar en el flujo de inscripción integrado descrito en la sección anterior, la MDM debe consumir tokens de acceso emitidos por Microsoft Entra ID. Para notificar el cumplimiento con Microsoft Entra ID, la MDM debe autenticarse en Microsoft Entra ID y obtener autorización en forma de token de acceso que le permita invocar la API de Microsoft Graph.

MDM basada en la nube

Una MDM basada en la nube es una aplicación SaaS que proporciona funcionalidades de administración de dispositivos en la nube. Es una aplicación multiinquilino. Esta aplicación se registra con el identificador de Microsoft Entra en el inquilino principal del proveedor de MDM. Cuando un administrador de TI decide usar esta solución MDM, una instancia de esta aplicación se hace visible en el inquilino del cliente.

El proveedor de MDM primero debe registrar la aplicación en su inquilino principal y marcarla como una aplicación multiinquilino. Para obtener más información sobre cómo agregar aplicaciones multiinquilino a Microsoft Entra ID, consulte el ejemplo de código Integración de una aplicación que autentica usuarios y llama a Microsoft Graph mediante el ejemplo de código de patrón de integración multiinquilino (SaaS) en GitHub.

Nota

Para el proveedor de MDM, si no tiene un inquilino de Microsoft Entra existente con una suscripción de Microsoft Entra que administre, siga estas guías paso a paso:

La aplicación MDM usa claves para solicitar tokens de acceso desde Microsoft Entra ID. Estas claves se administran dentro del inquilino del proveedor de MDM y no son visibles para clientes individuales. La misma clave la usa la aplicación MDM multiinquilino para autenticarse con el identificador de Microsoft Entra, en el inquilino del cliente al que pertenece el dispositivo administrado.

Nota

Todas las aplicaciones MDM deben implementar tokens de Microsoft Entra v2 antes de certificar que la integración funciona. Debido a los cambios en la plataforma de la aplicación Microsoft Entra, el uso de tokens de Microsoft Entra v2 es un requisito difícil. Para obtener más información, consulte Tokens de acceso de la plataforma de identidad de Microsoft.

MDM local

Una aplicación MDM local es diferente de una MDM en la nube. Se trata de una aplicación de inquilino único que está presente de forma única dentro del inquilino del cliente. Los clientes deben agregar la aplicación directamente dentro de su propio inquilino. Además, cada instancia de una aplicación MDM local debe registrarse por separado y tener una clave independiente para la autenticación con el identificador de Microsoft Entra.

Para agregar una aplicación MDM local al inquilino, use el servicio Microsoft Entra, específicamente en Movilidad (MDM y MAM)>Agregar aplicación>Crear su propia aplicación. Los administradores pueden configurar las direcciones URL necesarias para la inscripción y los Términos de uso.

El producto MDM local debe exponer una experiencia de configuración en la que los administradores puedan proporcionar el identificador de cliente, el identificador de la aplicación y la clave configurada en su directorio para esa aplicación MDM. Puede usar este identificador de cliente y esta clave para solicitar tokens del identificador de Microsoft Entra al notificar el cumplimiento del dispositivo.

Para obtener más información sobre cómo registrar aplicaciones con el identificador de Microsoft Entra, consulte Conceptos básicos del registro de una aplicación en Microsoft Entra ID.

Directrices de administración y seguridad de claves

Las claves de aplicación que usa el servicio MDM son un recurso confidencial. Deben protegerse y revertirse periódicamente para una mayor seguridad. Los tokens de acceso obtenidos por el servicio MDM para llamar a Microsoft Graph API son tokens de portador y deben protegerse para evitar la divulgación no autorizada.

Para conocer los procedimientos recomendados de seguridad, consulte Microsoft Azure Security Essentials.

En el caso de MDM basada en la nube, puede revertir las claves de aplicación sin necesidad de una interacción del cliente. Hay un único conjunto de claves en todos los inquilinos de cliente administrados por el proveedor de MDM en su inquilino de Microsoft Entra.

En el caso de MDM local, las claves de autenticación de Microsoft Entra están dentro del inquilino del cliente y el administrador del cliente debe revertir las claves. Para mejorar la seguridad, proporcione orientación a los clientes sobre cómo revertir y proteger las claves.

Los administradores de TI usan la galería de aplicaciones Microsoft Entra para agregar una MDM para que su organización las use. La galería de aplicaciones es una tienda enriquecida con más de 2400 aplicaciones SaaS integradas con Microsoft Entra ID.

Nota

Debe trabajar con el equipo de ingeniería de Microsoft Entra si la aplicación MDM está basada en la nube y necesita habilitarse como una aplicación MDM multiinquilino.

Para publicar la aplicación, envíe una solicitud para publicar la aplicación en la galería de aplicaciones de Microsoft Entra.

En la tabla siguiente se muestra la información necesaria para crear una entrada en la galería de aplicaciones de Microsoft Entra.

Elemento Descripción
Id. de aplicación El identificador de cliente de la aplicación MDM que está configurado dentro del inquilino. Este identificador es el identificador único de la aplicación multiinquilino.
Publicador Cadena que identifica el publicador de la aplicación.
Dirección URL de la aplicación Dirección URL a la página de aterrizaje de la aplicación donde los administradores pueden obtener más información sobre la aplicación MDM y contiene un vínculo a la página de aterrizaje de la aplicación. Esta dirección URL no se usa para la inscripción real.
Descripción Una breve descripción de la aplicación MDM, que debe tener menos de 255 caracteres.
Iconos Un conjunto de iconos de logotipo para la aplicación MDM. Dimensiones: 45 X 45, 150 X 122, 214 X 215

No hay requisitos especiales para agregar MDM local a la galería de aplicaciones. Hay una entrada genérica para que los administradores agreguen una aplicación a su inquilino.

Sin embargo, la administración de claves es diferente para MDM local. Debe obtener el identificador de cliente (id. de aplicación) y la clave asignadas a la aplicación MDM dentro del inquilino del cliente. El identificador y la clave obtienen autorización para acceder a Microsoft Graph API y notificar el cumplimiento del dispositivo.

Temas

Las páginas representadas por MDM en el proceso de inscripción integrada deben usar plantillas de Windows (descargue las plantillas de Windows y los archivos CSS (1.1.4)). Estas plantillas son importantes para la inscripción durante la experiencia de combinación de Microsoft Entra en OOBE, donde todas las páginas son páginas HTML perimetrales. Evite copiar las plantillas porque es difícil obtener la posición correcta del botón.

Hay tres escenarios distintos:

  1. La inscripción de MDM como parte de Microsoft Entra se une a Windows OOBE.
  2. La inscripción de MDM como parte de la unión a Microsoft Entra, después de Windows OOBE desde Configuración.
  3. Inscripción de MDM como parte de la adición de una cuenta profesional de Microsoft en un dispositivo personal (BYOD).

Estos escenarios admiten Windows Pro, Enterprise y Education.

Los archivos CSS proporcionados por Microsoft contienen información de versión y se recomienda usar la versión más reciente. Hay archivos CSS independientes para dispositivos cliente Windows, OOBE y experiencias posteriores a OOBE. Descargue las plantillas de Windows y los archivos CSS (1.1.4).

  • Para Windows 10, use oobe-desktop.css
  • Para Windows 11, use oobe-light.css

Uso de temas

Una página MDM debe cumplir un tema predefinido en función del escenario que se muestre. Por ejemplo, si el encabezado CXH-HOSTHTTP es FRX, que es el escenario OOBE, la página debe admitir un tema oscuro con color de fondo azul, que usa el archivo WinJS Ui-dark.css ver 4.0 y oobe-desktop.css ver 1.0.4.

CXH-HOST (ENCABEZADO HTTP) Escenario Tema de fondo WinJS Escenario CSS
FRX OOBE Tema oscuro + color de fondo azul Nombre de archivo: Ui-dark.css Nombre de archivo: oobe-dekstop.css
MOSET Configuración o publicación de OOBE Tema claro Nombre de archivo: Ui-light.css Nombre de archivo: settings-desktop.css

Semántica del protocolo de términos de uso

El servidor MDM hospeda el punto de conexión de términos de uso . Durante el flujo del protocolo de unión de Microsoft Entra, Windows realiza una redirección de página completa a este punto de conexión. Esta redirección permite que mdm muestre los términos y condiciones que se aplican. Permite al usuario aceptar o rechazar los términos asociados a la inscripción. Una vez que el usuario acepta los términos, la MDM vuelve a redirigir a Windows para que continúe el proceso de inscripción.

Redirección al punto de conexión de términos de uso

Esta redirección es una redirección de página completa al punto de conexión de términos de usuario hospedado por mdm. Esta es una dirección URL de ejemplo, https://fabrikam.contosomdm.com/TermsOfUse.

Los parámetros siguientes se pasan en la cadena de consulta:

Elemento Descripción
redirect_uri Después de que el usuario acepte o rechace los Términos de uso, se le redirigirá a esta dirección URL.
client-request-id GUID que se usa para correlacionar los registros con fines de diagnóstico y depuración. Use este parámetro para registrar o realizar un seguimiento del estado de la solicitud de inscripción para ayudar a encontrar la causa principal de los errores.
api-version Especifica la versión del protocolo solicitado por el cliente. Este valor proporciona un mecanismo para admitir revisiones de versiones del protocolo.
mode Especifica que el dispositivo es propiedad de la organización cuando mode=azureadjoin. Este parámetro no está presente para dispositivos BYOD.

Token de acceso

Microsoft Entra ID emite un token de acceso de portador. El token se pasa en el encabezado de autorización de la solicitud HTTP. Este es un formato típico:

Autorización: Portador CI6MTQxmCF5xgu6yYcmV9ng6vhQfaJYw...

Se esperan las siguientes notificaciones en el token de acceso pasado por Windows al punto de conexión de términos de uso:

Elemento Descripción
Id. de objeto Identificador del objeto de usuario correspondiente al usuario autenticado.
UPN Notificación que contiene el nombre principal de usuario (UPN) del usuario autenticado.
TID Una notificación que representa el identificador de inquilino del inquilino. En el ejemplo anterior, es Fabrikam.
Recurso Dirección URL saneada que representa la aplicación MDM. Ejemplo: https://fabrikam.contosomdm.com

Nota

No hay ninguna notificación de id. de dispositivo en el token de acceso porque es posible que el dispositivo aún no esté inscrito en este momento.

Para recuperar la lista de pertenencias a grupos para el usuario, puede usar Microsoft Graph API.

Esta es una dirección URL de ejemplo:

https://fabrikam.contosomdm.com/TermsOfUse?redirect_uri=ms-appx-web://ContosoMdm/ToUResponse&client-request-id=34be581c-6ebd-49d6-a4e1-150eff4b7213&api-version=1.0
Authorization: Bearer eyJ0eXAiOi

Se espera que la MDM valide la firma del token de acceso para asegurarse de que se emite mediante el identificador de Microsoft Entra y de que el destinatario es adecuado.

Contenido de términos de uso

La MDM puede realizar otras redirecciones según sea necesario antes de mostrar el contenido de los Términos de uso al usuario. El contenido de los Términos de uso adecuados se debe devolver al autor de la llamada (Windows) para que se pueda mostrar al usuario final en el control del explorador.

El contenido de los Términos de uso debe contener los siguientes botones:

  • Aceptar : el usuario acepta los Términos de uso y continúa con la inscripción.
  • Rechazar : el usuario rechaza y detiene el proceso de inscripción.

El contenido de los Términos de uso debe ser coherente con el tema usado para las demás páginas representadas durante este proceso.

Lógica de procesamiento de puntos de conexión de términos de uso

En este momento, el usuario se encuentra en la página Términos de uso que se muestra durante la OOBE o en las experiencias de configuración. El usuario tiene las siguientes opciones en la página:

  • El usuario hace clic en el botón Aceptar : la MDM debe redirigir al URI especificado por el parámetro redirect_uri en la solicitud entrante. Se esperan los siguientes parámetros de cadena de consulta:
    • IsAccepted : este valor booleano es necesario y debe establecerse en true.
    • OpaqueBlob : parámetro obligatorio si el usuario acepta. La MDM puede usar este blob para que cierta información esté disponible para el punto de conexión de inscripción. El valor que se conserva aquí está disponible sin cambios en el punto de conexión de inscripción. La MDM puede usar este parámetro con fines de correlación.
    • Este es un redireccionamiento de ejemplo: ms-appx-web://MyApp1/ToUResponse?OpaqueBlob=value&IsAccepted=true
  • El usuario hace clic en el botón Rechazar : la MDM debe redirigir al URI especificado en redirect_uri en la solicitud entrante. Se esperan los siguientes parámetros de cadena de consulta:
    • IsAccepted : este valor booleano es obligatorio y debe establecerse en false. Esta opción también se aplica si el usuario omitió los Términos de uso.
    • OpaqueBlob : no se espera que se use este parámetro. La inscripción se detiene con un mensaje de error que se muestra al usuario.

Los usuarios omiten los Términos de uso al agregar una cuenta profesional de Microsoft a su dispositivo. Sin embargo, no pueden omitirlo durante el proceso de unión a Microsoft Entra. No muestre el botón de rechazo en el proceso de unión a Microsoft Entra. El usuario no puede rechazar la inscripción de MDM si lo configura el administrador para la unión a Microsoft Entra.

Se recomienda enviar los parámetros client-request-id en la cadena de consulta como parte de esta respuesta de redireccionamiento.

Control de errores de los términos de uso

Si se produce un error durante el procesamiento de los términos de uso, la MDM puede devolver dos parámetros: un error parámetro y error_description en su solicitud de redireccionamiento a Windows. La dirección URL debe codificarse y el contenido de error_description debe estar en texto sin formato en inglés. Este texto no es visible para el usuario final. Por lo tanto, la localización del error_description texto no es un problema.

Este es el formato de dirección URL:

HTTP/1.1 302
Location:
<redirect_uri>?error=access_denied&error_description=Access%20is%20denied%2E

Example:
HTTP/1.1 302
Location: ms-appx-web://App1/ToUResponse?error=access_denied&error_description=Access%20is%20denied%2E

En la tabla siguiente se muestran los códigos de error.

Causa Estado HTTP Error Descripción
api-version 302 invalid_request versión no admitida
Faltan datos de inquilino o usuario u otros requisitos previos necesarios para la inscripción de dispositivos 302 unauthorized_client usuario o inquilino no autorizado
Error en la validación del token de Microsoft Entra 302 unauthorized_client unauthorized_client
Error interno del servicio 302 server_error Error interno del servicio

Protocolo de inscripción con el identificador de Microsoft Entra

Con la inscripción de MDM integrada de Azure, no hay ninguna fase de detección y la dirección URL de detección se pasa directamente al sistema desde Azure. En la tabla siguiente se muestra la comparación entre las inscripciones tradicionales y las inscripciones de Azure.

Detalle Inscripción de MDM tradicional Unión a Microsoft Entra (dispositivo propiedad de la organización) Microsoft Entra ID agrega una cuenta profesional (dispositivo propiedad del usuario)
Detección automática de MDM mediante la dirección de correo electrónico para recuperar la dirección URL de detección de MDM Inscripción No aplicable
Dirección URL de detección aprovisionada en Azure
Usa la dirección URL de detección de MDM Inscripción
Renovación de la inscripción
ROBO
Inscripción
Renovación de la inscripción
ROBO
Inscripción
Renovación de la inscripción
ROBO
¿Se requiere la inscripción de MDM? No
El usuario puede rechazarlo.
Tipo de autenticación OnPremise
Federado
Certificado
Federado Federado
EnrollmentPolicyServiceURL Opcional (toda la autenticación) Opcional (toda la autenticación) Opcional (toda la autenticación)
EnrollmentServiceURL Obligatorio (toda la autenticación) Se usa (toda la autenticación) Se usa (toda la autenticación)
EnrollmentServiceURL incluye la versión del sistema operativo, la plataforma del sistema operativo y otros atributos proporcionados por la dirección URL de detección de MDM. Muy recomendado Muy recomendado Muy recomendado
AuthenticationServiceURL usado Usado (autenticación federada) Saltamos Saltamos
BinarySecurityToken Personalizado por MDM Token emitido por el id. de Microsoft Entra Token emitido por el id. de Microsoft Entra
EnrollmentType Completo Dispositivo Completo
Tipo de certificado inscrito Certificado de usuario Certificado de dispositivo Certificado de usuario
Almacén de certificados inscrito Mi/Usuario Mi/Sistema Mi/Usuario
Nombre del firmante de CSR Nombre principal del usuario Id. de dispositivo Nombre principal del usuario
EnrollmentData Términos de uso de blob binario como AdditionalContext para EnrollmentServiceURL No se admite Se admite Se admite
Csp accesibles durante la inscripción Compatibilidad con Windows 10:
- DMClient
- CertificateStore
- RootCATrustedCertificates
- ClientCertificateInstall
- EnterpriseModernAppManagement
- PassportForWork
-Política
- w7 APPLICATION

Protocolo de administración con el identificador de Microsoft Entra

Hay dos tipos de inscripción de MDM diferentes que se integran con Microsoft Entra ID y usan identidades de usuario y dispositivo de Microsoft Entra. En función del tipo de inscripción, es posible que el servicio MDM tenga que administrar un único usuario o varios usuarios.

  • Administración de usuarios múltiples para dispositivos unidos a Microsoft Entra

    En este escenario, la inscripción de MDM se aplica a todos los usuarios de Microsoft Entra que inician sesión en el dispositivo unido a Microsoft Entra: llame a este tipo de inscripción una inscripción de dispositivo o una inscripción de varios usuarios. El servidor de administración puede determinar la identidad del usuario, determinar qué directivas tienen como destino este usuario y enviar las directivas correspondientes al dispositivo. Para permitir que el servidor de administración identifique al usuario actual que ha iniciado sesión en el dispositivo, el cliente de OMA DM usa los tokens de usuario de Microsoft Entra. Cada sesión de administración contiene un encabezado HTTP adicional que contiene un token de usuario de Microsoft Entra. Esta información se proporciona en el paquete DM enviado al servidor de administración. Sin embargo, en algunas circunstancias, el token de usuario de Microsoft Entra no se envía al servidor de administración. Uno de estos escenarios se produce inmediatamente después de que se completen las inscripciones de MDM durante el proceso de unión a Microsoft Entra. Hasta que finalice el proceso de unión a Microsoft Entra y el usuario de Microsoft Entra inicie sesión en la máquina, el token de usuario de Microsoft Entra no estará disponible para el proceso OMA-DM. Normalmente, la inscripción de MDM se completa antes de que el usuario de Microsoft Entra inicie sesión en la máquina y la sesión de administración inicial no contenga un token de usuario de Microsoft Entra. El servidor de administración debe comprobar si falta el token y solo enviar directivas de dispositivo en tal caso. Otra posible razón para que falte un token de Microsoft Entra en la carga de OMA-DM es cuando un invitado inicia sesión en el dispositivo.

  • Agregar una cuenta profesional e inscripción de MDM a un dispositivo:

    En este escenario, la inscripción de MDM se aplica a un único usuario que inicialmente agregó su cuenta profesional e inscribió el dispositivo. En este tipo de inscripción, el servidor de administración puede omitir los tokens de Microsoft Entra que se pueden enviar durante la sesión de administración. Independientemente de si el token de Microsoft Entra está presente o falta, el servidor de administración envía directivas de usuario y dispositivo al dispositivo.

  • Evaluación de tokens de usuario de Microsoft Entra:

    El token de Microsoft Entra está en el encabezado de autorización HTTP en el formato siguiente:

    Authorization:Bearer <Azure AD User Token Inserted here>
    

    Puede haber más notificaciones en el token de Microsoft Entra, como:

    • Usuario: usuario que ha iniciado sesión actualmente
    • Cumplimiento de dispositivos: valor que establece el servicio MDM en Azure
    • Id. de dispositivo: identifica el dispositivo que está comprobando
    • ID. del espacio empresarial

    Los tokens de acceso emitidos por Microsoft Entra ID son tokens web JSON (JWT). Windows presenta un token JWT válido al punto de conexión de inscripción de MDM para iniciar el proceso de inscripción. Hay un par de opciones para evaluar los tokens:

    • Use la extensión Controlador de tokens JWT para WIF para validar el contenido del token de acceso y extraer las notificaciones necesarias para su uso. Para obtener más información, vea JwtSecurityTokenHandler (Clase).
    • Consulte los ejemplos de código de autenticación de Microsoft Entra para obtener un ejemplo para trabajar con tokens de acceso. Para obtener un ejemplo, vea NativeClient-DotNet.

Alerta de dispositivo 1224 para el token de usuario de Microsoft Entra

Se envía una alerta cuando se inicia la sesión de DM y hay un usuario de Microsoft Entra que ha iniciado sesión. La alerta se envía en el paquete OMA DM n.º 1. A continuación te mostramos un ejemplo:

Alert Type: com.microsoft/MDM/AADUserToken

Alert sample:
<SyncBody>
 <Alert>
  <CmdID>1</CmdID>
  <Data>1224</Data>
  <Item>
   <Meta>
    <Type xmlns= "syncml:metinf ">com.microsoft/MDM/AADUserToken</Type>
   </Meta>
   <Data>UserToken inserted here</Data>
  </Item>
 </Alert>
 ... other XML tags ...
</SyncBody>

Determinar cuándo un usuario ha iniciado sesión a través del sondeo

Se envía una alerta al servidor MDM en el paquete DM n.º 1.

  • Tipo de alerta: com.microsoft/MDM/LoginStatus
  • Formato de alerta: chr
  • Datos de alerta: proporcione información de estado de inicio de sesión para el usuario activo actual que ha iniciado sesión.
    • Usuario que ha iniciado sesión que tiene una cuenta de Microsoft Entra: texto predefinido: usuario.
    • Usuario que ha iniciado sesión sin una cuenta de Microsoft Entra: texto predefinido: otros.
    • No hay ningún usuario activo: texto predefinido:none

A continuación te mostramos un ejemplo.

<SyncBody>
 <Alert>
  <CmdID>1</CmdID>
  <Data>1224</Data>
  <Item>
   <Meta>
    <Type xmlns= "syncml:metinf ">com.microsoft/MDM/LoginStatus</Type>
   </Meta>
   <Data>user</Data>
  </Item>
 </Alert>
 ... other XML tags ...
</SyncBody>

Notificar el cumplimiento de dispositivos a Microsoft Entra ID

Una vez que un dispositivo está inscrito con MDM para la administración, las directivas de organización configuradas por el administrador de TI se aplican en el dispositivo. MDM evalúa el cumplimiento del dispositivo con las directivas configuradas y, a continuación, lo notifica a Microsoft Entra ID. En esta sección se describe la llamada a Graph API que puede usar para notificar el estado de cumplimiento de un dispositivo a Microsoft Entra ID.

Para obtener un ejemplo que muestra cómo una MDM puede obtener un token de acceso mediante OAuth 2.0 client_credentials tipo de concesión, consulte Daemon_CertificateCredential-DotNet.

  • MDM basado en la nube : si el producto es un servicio MDM multiinquilino basado en la nube, tiene una sola clave configurada para el servicio dentro del inquilino. Para obtener la autorización, use esta clave para autenticar el servicio MDM con el identificador de Microsoft Entra.
  • MDM local : si el producto es una MDM local, los clientes deben configurar el producto con la clave que se usa para autenticarse con microsoft entra id. Esta configuración de clave se debe a que cada instancia local del producto MDM tiene una clave específica del inquilino diferente. Por lo tanto, es posible que deba exponer una experiencia de configuración en el producto MDM que permita a los administradores especificar la clave que se usará para autenticarse con Microsoft Entra ID.

Uso de Microsoft Graph API

La siguiente llamada de API REST de ejemplo muestra cómo una MDM puede usar Microsoft Graph API para notificar el estado de cumplimiento de un dispositivo administrado.

Nota

Esta API solo es aplicable a aplicaciones MDM aprobadas en dispositivos Windows.

Sample Graph API Request:

PATCH https://graph.windows.net/contoso.com/devices/db7ab579-3759-4492-a03f-655ca7f52ae1?api-version=beta HTTP/1.1
Authorization: Bearer eyJ0eXAiO.........
Accept: application/json
Content-Type: application/json
{  "isManaged":true,
   "isCompliant":true
}

Donde:

  • contoso.com : este valor es el nombre del inquilino de Microsoft Entra a cuyo directorio se ha unido el dispositivo.
  • db7ab579-3759-4492-a03f-655ca7f52ae1 : este valor es el identificador de dispositivo del dispositivo cuya información de cumplimiento se notifica a Microsoft Entra ID.
  • eyJ0eXAiO.........: este valor es el token de acceso de portador emitido por Microsoft Entra ID a la MDM que autoriza a MDM a llamar a Microsoft Graph API. El token de acceso se coloca en el encabezado de autorización HTTP de la solicitud.
  • isManaged y isCompliant : estos atributos booleanos indican el estado de cumplimiento.
  • api-version : use este parámetro para especificar qué versión de graph API se solicita.

Respuesta:

  • Correcto: HTTP 204 sin contenido.
  • Error o error: HTTP 404 no encontrado. Este error se puede devolver si no se encuentra el dispositivo o inquilino especificado.

Pérdida de datos durante la anulación de la inscripción de la unión a Microsoft Entra

Cuando un usuario se inscribe en MDM mediante la unión a Microsoft Entra y, a continuación, desconecta la inscripción, no hay ninguna advertencia de que el usuario perderá los datos de Windows Information Protection (WIP). El mensaje de desconexión no indica la pérdida de datos WIP.

aadj unenrollment.

Códigos de error

Código ID Mensaje de error
0x80180001 "idErrorServerConnectivity", // MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR Se produjo un error al comunicarse con el servidor. Puede intentar hacerlo de nuevo o ponerse en contacto con el administrador del sistema con el código de error. {0}
0x80180002 "idErrorAuthenticationFailure", // MENROLL_E_DEVICE_AUTHENTICATION_ERROR Se produjo un problema al autenticar su cuenta o dispositivo. Puede intentar volver a hacerlo o ponerse en contacto con el administrador del sistema con el código {0}de error .
0x80180003 "idErrorAuthorizationFailure", // MENROLL_E_DEVICE_AUTHORIZATION_ERROR Este usuario no está autorizado para inscribirse. Puede intentar volver a hacerlo o ponerse en contacto con el administrador del sistema con el código {0}de error .
0x80180004 "idErrorMDMCertificateError", // MENROLL_E_DEVICE_CERTIFCATEREQUEST_ERROR Se produjo un error de certificado. Puede intentar volver a hacerlo o ponerse en contacto con el administrador del sistema con el código {0}de error .
0x80180005 "idErrorServerConnectivity", // MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR Se produjo un error al comunicarse con el servidor. Puede intentar hacerlo de nuevo o ponerse en contacto con el administrador del sistema con el código de error. {0}
0x80180006 "idErrorServerConnectivity", // MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR Se produjo un error al comunicarse con el servidor. Puede intentar hacerlo de nuevo o ponerse en contacto con el administrador del sistema con el código de error. {0}
0x80180007 "idErrorAuthenticationFailure", // MENROLL_E_DEVICE_INVALIDSECURITY_ERROR Se produjo un problema al autenticar su cuenta o dispositivo. Puede intentar volver a hacerlo o ponerse en contacto con el administrador del sistema con el código {0}de error .
0x80180008 "idErrorServerConnectivity", // MENROLL_E_DEVICE_UNKNOWN_ERROR Se produjo un error al comunicarse con el servidor. Puede intentar hacerlo de nuevo o ponerse en contacto con el administrador del sistema con el código de error. {0}
0x80180009 "idErrorAlreadyInProgress", // MENROLL_E_ENROLLMENT_IN_PROGRESS Hay otra inscripción en curso. Puede intentar volver a hacerlo o ponerse en contacto con el administrador del sistema con el código {0}de error .
0x8018000A "idErrorMDMAlreadyEnrolled", // MENROLL_E_DEVICE_ALREADY_ENROLLED Este dispositivo ya está inscrito. Puede ponerse en contacto con el administrador del sistema con el código {0}de error .
0x8018000D "idErrorMDMCertificateError", // MENROLL_E_DISCOVERY_SEC_CERT_DATE_INVALID Se produjo un error de certificado. Puede intentar volver a hacerlo o ponerse en contacto con el administrador del sistema con el código {0}de error .
0x8018000E "idErrorAuthenticationFailure", // MENROLL_E_PASSWORD_NEEDED Se produjo un problema al autenticar su cuenta o dispositivo. Puede intentar volver a hacerlo o ponerse en contacto con el administrador del sistema con el código {0}de error .
0x8018000F "idErrorAuthenticationFailure", // MENROLL_E_WAB_ERROR Se produjo un problema al autenticar su cuenta o dispositivo. Puede intentar volver a hacerlo o ponerse en contacto con el administrador del sistema con el código {0}de error .
0x80180010 "idErrorServerConnectivity", // MENROLL_E_CONNECTIVITY Se produjo un error al comunicarse con el servidor. Puede intentar hacerlo de nuevo o ponerse en contacto con el administrador del sistema con el código de error. {0}
0x80180012 "idErrorMDMCertificateError", // MENROLL_E_INVALIDSSLCERT Se produjo un error de certificado. Puede intentar volver a hacerlo o ponerse en contacto con el administrador del sistema con el código {0}de error .
0x80180013 "idErrorDeviceLimit", // MENROLL_E_DEVICECAPREACHED Parece que hay demasiados dispositivos o usuarios para esta cuenta. Póngase en contacto con el administrador del sistema con el código {0}de error .
0x80180014 "idErrorMDMNotSupported", // MENROLL_E_DEVICENOTSUPPORTED Esta característica no se admite. Póngase en contacto con el administrador del sistema con el código {0}de error .
0x80180015 "idErrorMDMNotSupported", // MENROLL_E_NOTSUPPORTED Esta característica no se admite. Póngase en contacto con el administrador del sistema con el código {0}de error .
0x80180016 "idErrorMDMRenewalRejected", // MENROLL_E_NOTELIGIBLETORENEW El servidor no aceptó la solicitud. Puede intentar volver a hacerlo o ponerse en contacto con el administrador del sistema con el código {0}de error .
0x80180017 "idErrorMDMAccountMaintenance", // MENROLL_E_INMAINTENANCE El servicio está en mantenimiento. Puede intentar hacerlo de nuevo más adelante o ponerse en contacto con el administrador del sistema con el código {0}de error .
0x80180018 "idErrorMDMLicenseError", // MENROLL_E_USERLICENSE Se produjo un error con la licencia. Puede intentar volver a hacerlo o ponerse en contacto con el administrador del sistema con el código {0}de error .
0x80180019 "idErrorInvalidServerConfig", // MENROLL_E_ENROLLMENTDATAINVALID Parece que el servidor no está configurado correctamente. Puede intentar volver a hacerlo o ponerse en contacto con el administrador del sistema con el código {0}de error .
"rejectedTermsOfUse" "idErrorRejectedTermsOfUse" Su organización requiere que acepte los Términos de uso. Inténtelo de nuevo o pida más información a su persona de soporte técnico.
0x801c0001 "idErrorServerConnectivity", // DSREG_E_DEVICE_MESSAGE_FORMAT_ERROR Se produjo un error al comunicarse con el servidor. Puede intentar hacerlo de nuevo o ponerse en contacto con el administrador del sistema con el código de error. {0}
0x801c0002 "idErrorAuthenticationFailure", // DSREG_E_DEVICE_AUTHENTICATION_ERROR Se produjo un problema al autenticar su cuenta o dispositivo. Puede intentar volver a hacerlo o ponerse en contacto con el administrador del sistema con el código {0}de error .
0x801c0003 "idErrorAuthorizationFailure", // DSREG_E_DEVICE_AUTHORIZATION_ERROR Este usuario no está autorizado para inscribirse. Puede intentar volver a hacerlo o ponerse en contacto con el administrador del sistema con el código {0}de error .
0x801c0006 "idErrorServerConnectivity", // DSREG_E_DEVICE_INTERNALSERVICE_ERROR Se produjo un error al comunicarse con el servidor. Puede intentar hacerlo de nuevo o ponerse en contacto con el administrador del sistema con el código de error. {0}
0x801c000B "idErrorUntrustedServer", // DSREG_E_DISCOVERY_REDIRECTION_NOT_TRUSTED El servidor con el que se está contactando no es de confianza. Póngase en contacto con el administrador del sistema con el código {0}de error .
0x801c000C "idErrorServerConnectivity", // DSREG_E_DISCOVERY_FAILED Se produjo un error al comunicarse con el servidor. Puede intentar hacerlo de nuevo o ponerse en contacto con el administrador del sistema con el código de error. {0}
0x801c000E "idErrorDeviceLimit", // DSREG_E_DEVICE_REGISTRATION_QUOTA_EXCCEEDED Parece que hay demasiados dispositivos o usuarios para esta cuenta. Póngase en contacto con el administrador del sistema con el código {0}de error .
0x801c000F "idErrorDeviceRequiresReboot", // DSREG_E_DEVICE_REQUIRES_REBOOT Se requiere un reinicio para completar el registro del dispositivo.
0x801c0010 "idErrorInvalidCertificate", // DSREG_E_DEVICE_AIK_VALIDATION_ERROR Parece que tiene un certificado no válido. Póngase en contacto con el administrador del sistema con el código {0}de error .
0x801c0011 "idErrorAuthenticationFailure", // DSREG_E_DEVICE_ATTESTATION_ERROR Se produjo un problema al autenticar su cuenta o dispositivo. Puede intentar volver a hacerlo o ponerse en contacto con el administrador del sistema con el código {0}de error .
0x801c0012 "idErrorServerConnectivity", // DSREG_E_DISCOVERY_BAD_MESSAGE_ERROR Se produjo un error al comunicarse con el servidor. Puede intentar hacerlo de nuevo o ponerse en contacto con el administrador del sistema con el código de error. {0}
0x801c0013 "idErrorAuthenticationFailure", // DSREG_E_TENANTID_NOT_FOUND Se produjo un problema al autenticar su cuenta o dispositivo. Puede intentar volver a hacerlo o ponerse en contacto con el administrador del sistema con el código {0}de error .
0x801c0014 "idErrorAuthenticationFailure", // DSREG_E_USERSID_NOT_FOUND Se produjo un problema al autenticar su cuenta o dispositivo. Puede intentar volver a hacerlo o ponerse en contacto con el administrador del sistema con el código {0}de error .