Inscripción de dispositivos móviles
La inscripción de dispositivos móviles es la primera fase de la administración empresarial. El dispositivo está configurado para comunicarse con el servidor MDM mediante precauciones de seguridad durante el proceso de inscripción. El servicio de inscripción comprueba que la empresa solo administra los dispositivos autenticados y autorizados.
El proceso de inscripción incluye los pasos siguientes:
- Detección del punto de conexión de inscripción: en este paso se proporcionan los valores de configuración del punto de conexión de inscripción.
- Instalación de certificados: este paso controla la autenticación del usuario, la generación de certificados y la instalación de certificados. Los certificados instalados se usarán en el futuro para administrar la autenticación mutua de cliente/servidor (TLS/SSL).
- Aprovisionamiento de cliente DM: este paso configura el cliente de administración de dispositivos (DM) para conectarse a un servidor de administración de dispositivos móviles (MDM) después de la inscripción a través de DM SyncML a través de HTTPS (también conocido como XML de Administración de dispositivos de Open Mobile Alliance (OMA DM).
Protocolo de inscripción
Hay muchos cambios realizados en el protocolo de inscripción para admitir mejor varios escenarios en todas las plataformas. Para obtener información detallada sobre el protocolo de inscripción de dispositivos móviles, consulte:
- [MS-MDM]: Protocolo de administración de dispositivos móviles.
- [MS-MDE2]: Protocolo de inscripción de dispositivos móviles versión 2.
El proceso de inscripción implica los pasos siguientes:
Solicitud de detección
La solicitud de detección es una simple llamada post HTTP que devuelve XML a través de HTTP. El XML devuelto incluye la dirección URL de autenticación, la dirección URL del servicio de administración y el tipo de credencial de usuario.
Directiva de inscripción de certificados
La configuración de la directiva de inscripción de certificados es una implementación del protocolo MS-XCEP, que se describe en [MS-XCEP]: Especificación del protocolo de directiva de inscripción de certificados X.509. La sección 4 de la especificación proporciona un ejemplo de la solicitud y respuesta de la directiva. El protocolo de directiva de inscripción de certificados X.509 es un protocolo de mensajería mínimo que incluye un único mensaje de solicitud de cliente (GetPolicies) con un mensaje de respuesta del servidor coincidente (GetPoliciesResponse).
Para obtener más información, vea [MS-XCEP]: Protocolo de directiva de inscripción de certificados X.509
Inscripción de certificados
La inscripción de certificados es una implementación del protocolo MS-WSTEP.
Configuración de administración
El servidor envía xml de aprovisionamiento que contiene un certificado de servidor (para la autenticación de servidor TLS/SSL), un certificado de cliente emitido por la CA empresarial, información de arranque dmClient (para que el cliente se comunique con el servidor de administración), un token de aplicación empresarial (para que el usuario instale aplicaciones empresariales) y el vínculo para descargar la aplicación centro de empresa.
En los artículos siguientes se describe el proceso de inscripción de un extremo a otro mediante varios métodos de autenticación:
- Inscripción de dispositivos de autenticación federados
- Inscripción de dispositivos de autenticación de certificado
- Inscripción de dispositivos de autenticación local
Nota
Como procedimiento recomendado, no use comprobaciones del lado servidor codificadas de forma rígida en valores como:
- Cadena de agente de usuario
- Cualquier URI fijo que se pase durante la inscripción
- Formato específico de cualquier valor a menos que se indique lo contrario, como el formato del identificador de dispositivo.
Compatibilidad con la inscripción para dispositivos unidos a un dominio
Los dispositivos que se unen a una instancia local de Active Directory pueden inscribirse en MDM a través de La configuración>Acceder al trabajo o a la escuela. Sin embargo, la inscripción solo puede dirigirse al usuario inscrito con directivas específicas del usuario. Las directivas dirigidas a dispositivos siguen teniendo como destino a todos los usuarios del dispositivo.
Escenarios de inscripción no admitidos
Los escenarios siguientes no permiten inscripciones de MDM:
- Las cuentas de administrador integradas en el escritorio de Windows no se pueden inscribir en MDM.
- Los usuarios estándar no pueden inscribirse en MDM. Solo los usuarios administradores pueden inscribirse.
Deshabilitación de inscripciones de MDM
El administrador de TI puede deshabilitar las inscripciones de MDM para equipos unidos a un dominio mediante la directiva de grupo Deshabilitar inscripción de MDM .
Ruta de acceso de directiva de grupo: Configuración> del equipoPlantillas> administrativasComponentes> de WindowsMDM>Deshabilita la inscripción de MDM.
Clave del Registro correspondiente: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)
Mensajes de error de inscripción
El servidor de inscripción puede rechazar los mensajes de inscripción mediante el formato de error SOAP. Los errores creados se pueden enviar de la siguiente manera:
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
</s:reason>
</s:fault>
</s:body>
</s:envelope>
Mensajes de error de ejemplo:
Espacio de nombres | Subcódigo | Error | Descripción | HRESULT |
---|---|---|---|---|
s: | MessageFormat | MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR | Mensaje no válido del servidor de administración de dispositivos móviles (MDM). | 80180001 |
s: | Authentication | MENROLL_E_DEVICE_AUTHENTICATION_ERROR | El servidor de administración de dispositivos móviles (MDM) no pudo autenticar al usuario. Inténtelo de nuevo o póngase en contacto con el administrador del sistema. | 80180002 |
s: | Authorization | MENROLL_E_DEVICE_AUTHORIZATION_ERROR | El usuario no está autorizado para inscribirse en Administración de dispositivos móviles (MDM). Inténtelo de nuevo o póngase en contacto con el administrador del sistema. | 80180003 |
s: | CertificateRequest | MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR | El usuario no tiene permiso para la plantilla de certificado o no se puede acceder a la entidad de certificación. Inténtelo de nuevo o póngase en contacto con el administrador del sistema. | 80180004 |
s: | EnrollmentServer | MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR | El servidor de administración de dispositivos móviles (MDM) encontró un error. Inténtelo de nuevo o póngase en contacto con el administrador del sistema. | 80180005 |
un: | InternalServiceFault | MENROLL_E_DEVICE_INTERNALSERVICE_ERROR | Hubo una excepción no controlada en el servidor de administración de dispositivos móviles (MDM). Inténtelo de nuevo o póngase en contacto con el administrador del sistema. | 80180006 |
un: | InvalidSecurity | MENROLL_E_DEVICE_INVALIDSECURITY_ERROR | El servidor de administración de dispositivos móviles (MDM) no pudo validar la cuenta. Inténtelo de nuevo o póngase en contacto con el administrador del sistema. | 80180007 |
El formato SOAP también incluye deviceenrollmentserviceerror
el elemento . A continuación te mostramos un ejemplo:
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">device cap reached</s:text>
</s:reason>
<s:detail>
<deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
<errortype>devicecapreached</errortype>
<message>device cap reached</message>
<traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
</deviceenrollmentserviceerror>
</s:detail>
</s:fault>
</s:body>
</s:envelope>
Mensajes de error de ejemplo:
Subcódigo | Error | Descripción | HRESULT |
---|---|---|---|
DeviceCapReached | MENROLL_E_DEVICECAPREACHED | La cuenta tiene demasiados dispositivos inscritos en Mobile Device Management (MDM). Elimine o desinscriba dispositivos antiguos para corregir este error. | 80180013 |
DeviceNotSupported | MENROLL_E_DEVICENOTSUPPORTED | El servidor de administración de dispositivos móviles (MDM) no admite esta plataforma o versión, considere la posibilidad de actualizar el dispositivo. | 80180014 |
NotSupported | MENROLL_E_NOT_SUPPORTED | Por lo general, la administración de dispositivos móviles (MDM) no se admite para este dispositivo. | 80180015 |
NotEligibleToRenew | MENROLL_E_NOTELIGIBLETORENEW | El dispositivo está intentando renovar el certificado de administración de dispositivos móviles (MDM), pero el servidor rechazó la solicitud. Compruebe la programación de renovación en el dispositivo. | 80180016 |
InMaintenance | MENROLL_E_INMAINTENANCE | El servidor administración de dispositivos móviles (MDM) indica que la cuenta está en mantenimiento e inténtelo de nuevo más tarde. | 80180017 |
UserLicense | MENROLL_E_USER_LICENSE | Se produjo un error con la licencia de usuario de Administración de dispositivos móviles (MDM). Póngase en contacto con el administrador del sistema. | 80180018 |
InvalidEnrollmentData | MENROLL_E_ENROLLMENTDATAINVALID | El servidor de administración de dispositivos móviles (MDM) rechazó los datos de inscripción. Es posible que el servidor no esté configurado correctamente. | 80180019 |
TraceID es un nodo de texto de forma libre que se registra. Debe identificar el estado del lado servidor para este intento de inscripción. El soporte técnico puede usar esta información para buscar por qué el servidor rechazó la inscripción.