Inscripción de dispositivos móviles

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10

La inscripción de dispositivos móviles es la primera fase de la administración empresarial. El dispositivo está configurado para comunicarse con el servidor MDM mediante precauciones de seguridad durante el proceso de inscripción. El servicio de inscripción comprueba que la empresa solo administra los dispositivos autenticados y autorizados.

El proceso de inscripción incluye los pasos siguientes:

1. Detección del punto de conexión de inscripción: en este paso se proporcionan los valores de configuración del punto de conexión de inscripción.
2. Instalación de certificados: este paso controla la autenticación del usuario, la generación de certificados y la instalación de certificados. Los certificados instalados se usarán en el futuro para administrar la autenticación mutua de cliente/servidor (TLS/SSL).
3. Aprovisionamiento de cliente DM: este paso configura el cliente de Administración de dispositivos (DM) para conectarse a un servidor de Mobile Administración de dispositivos (MDM) después de la inscripción a través de DM SyncML a través de HTTPS (también conocido como XML de Open Mobile Alliance Administración de dispositivos (OMA DM).

Protocolo de inscripción

Hay muchos cambios realizados en el protocolo de inscripción para admitir mejor varios escenarios en todas las plataformas. Para obtener información detallada sobre el protocolo de inscripción de dispositivos móviles, consulte:

• [MS-MDM]: Protocolo de Administración de dispositivos móvil.
• [MS-MDE2]: Protocolo de inscripción de dispositivos móviles versión 2.

El proceso de inscripción implica los pasos siguientes:

Solicitud de detección

La solicitud de detección es una simple llamada post HTTP que devuelve XML a través de HTTP. El XML devuelto incluye la dirección URL de autenticación, la dirección URL del servicio de administración y el tipo de credencial de usuario.

Directiva de inscripción de certificados

La configuración de la directiva de inscripción de certificados es una implementación del protocolo MS-XCEP, que se describe en [MS-XCEP]: Especificación del protocolo de directiva de inscripción de certificados X.509. La sección 4 de la especificación proporciona un ejemplo de la solicitud y respuesta de la directiva. El protocolo de directiva de inscripción de certificados X.509 es un protocolo de mensajería mínimo que incluye un único mensaje de solicitud de cliente (GetPolicies) con un mensaje de respuesta del servidor coincidente (GetPoliciesResponse).

Para obtener más información, vea [MS-XCEP]: Protocolo de directiva de inscripción de certificados X.509

Inscripción de certificados

La inscripción de certificados es una implementación del protocolo MS-WSTEP.

Configuración de administración

El servidor envía xml de aprovisionamiento que contiene un certificado de servidor (para la autenticación de servidor TLS/SSL), un certificado de cliente emitido por la ENTIDAD de certificación empresarial, información de arranque del cliente DM (para que el cliente se comunique con el servidor de administración), un token de aplicación empresarial (para que el usuario instale aplicaciones empresariales) y el vínculo para descargar la aplicación centro de empresa.

En los artículos siguientes se describe el proceso de inscripción de un extremo a otro mediante varios métodos de autenticación:

• Inscripción de dispositivos de autenticación federados
• Inscripción de dispositivos de autenticación de certificado
• Inscripción de dispositivos de autenticación local

Nota

Como procedimiento recomendado, no use comprobaciones del lado servidor codificadas de forma rígida en valores como:

• Cadena de agente de usuario
• Cualquier URI fijo que se pase durante la inscripción
• Formato específico de cualquier valor a menos que se indique lo contrario, como el formato del identificador de dispositivo.

Compatibilidad con la inscripción para dispositivos unidos a un dominio

Los dispositivos que están unidos a un Active Directory local pueden inscribirse en MDM a través deltrabajo o la escuela de Acceso ala configuración>. Sin embargo, la inscripción solo puede dirigirse al usuario inscrito con directivas específicas del usuario. Las directivas dirigidas a dispositivos siguen teniendo como destino a todos los usuarios del dispositivo.

Escenarios de inscripción no admitidos

Los escenarios siguientes no permiten inscripciones de MDM:

• Las cuentas de administrador integradas en el escritorio de Windows no se pueden inscribir en MDM.
• Los usuarios estándar no pueden inscribirse en MDM. Solo los usuarios administradores pueden inscribirse.

Deshabilitación de inscripciones de MDM

El administrador de TI puede deshabilitar las inscripciones de MDM para equipos unidos a un dominio mediante la directiva de grupo Deshabilitar inscripción de MDM .

directiva de grupo Ruta de acceso: Configuración> del equipoPlantillas> administrativasComponentes> de WindowsMDM>Deshabilitar inscripción de MDM. Clave del Registro correspondiente: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)

Mensajes de error de inscripción

El servidor de inscripción puede rechazar los mensajes de inscripción mediante el formato de error SOAP. Los errores creados se pueden enviar de la siguiente manera:

<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
    <s:header>
        <a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
        <activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
        <a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
    </s:header>
    <s:body>
        <s:fault>
            <s:code>
                <s:value>s:receiver</s:value>
                <s:subcode>
                    <s:value>s:authorization</s:value>
                </s:subcode>
            </s:code>
            <s:reason>
                <s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
            </s:reason>
        </s:fault>
    </s:body>
</s:envelope>

Mensajes de error de ejemplo:

Espacio de nombres	Subcódigo	Error	Descripción	HRESULT
s:	MessageFormat	MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR	Mensaje no válido del servidor de Mobile Administración de dispositivos (MDM).	80180001
s:	Authentication	MENROLL_E_DEVICE_AUTHENTICATION_ERROR	El servidor de Mobile Administración de dispositivos (MDM) no pudo autenticar al usuario. Inténtelo de nuevo o póngase en contacto con el administrador del sistema.	80180002
s:	Authorization	MENROLL_E_DEVICE_AUTHORIZATION_ERROR	El usuario no está autorizado para inscribirse en Mobile Administración de dispositivos (MDM). Inténtelo de nuevo o póngase en contacto con el administrador del sistema.	80180003
s:	CertificateRequest	MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR	El usuario no tiene permiso para la plantilla de certificado o no se puede acceder a la entidad de certificación. Inténtelo de nuevo o póngase en contacto con el administrador del sistema.	80180004
s:	EnrollmentServer	MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR	El servidor de Mobile Administración de dispositivos (MDM) encontró un error. Inténtelo de nuevo o póngase en contacto con el administrador del sistema.	80180005
Un:	InternalServiceFault	MENROLL_E_DEVICE_INTERNALSERVICE_ERROR	Hubo una excepción no controlada en el servidor de mobile Administración de dispositivos (MDM). Inténtelo de nuevo o póngase en contacto con el administrador del sistema.	80180006
Un:	InvalidSecurity	MENROLL_E_DEVICE_INVALIDSECURITY_ERROR	El servidor de Mobile Administración de dispositivos (MDM) no pudo validar la cuenta. Inténtelo de nuevo o póngase en contacto con el administrador del sistema.	80180007

El formato SOAP también incluye deviceenrollmentserviceerror el elemento . A continuación te mostramos un ejemplo:

<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
    <s:header>
        <a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
        <activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
        <a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
    </s:header>
    <s:body>
        <s:fault>
            <s:code>
                <s:value>s:receiver</s:value>
                <s:subcode>
                    <s:value>s:authorization</s:value>
                </s:subcode>
            </s:code>
            <s:reason>
                <s:text xml:lang="en-us">device cap reached</s:text>
            </s:reason>
            <s:detail>
                <deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
                    <errortype>devicecapreached</errortype>
                    <message>device cap reached</message>
                    <traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
                </deviceenrollmentserviceerror>
            </s:detail>
        </s:fault>
    </s:body>
</s:envelope>

Mensajes de error de ejemplo:

Subcódigo	Error	Descripción	HRESULT
DeviceCapReached	MENROLL_E_DEVICECAPREACHED	La cuenta tiene demasiados dispositivos inscritos en Mobile Administración de dispositivos (MDM). Elimine o desinscriba dispositivos antiguos para corregir este error.	80180013
DeviceNotSupported	MENROLL_E_DEVICENOTSUPPORTED	El servidor de Mobile Administración de dispositivos (MDM) no admite esta plataforma o versión, considere la posibilidad de actualizar el dispositivo.	80180014
NotSupported	MENROLL_E_NOT_SUPPORTED	Por lo general, no se admite la Administración de dispositivos móvil (MDM) para este dispositivo.	80180015
NotEligibleToRenew	MENROLL_E_NOTELIGIBLETORENEW	El dispositivo está intentando renovar el certificado de mobile Administración de dispositivos (MDM), pero el servidor rechazó la solicitud. Compruebe la programación de renovación en el dispositivo.	80180016
InMaintenance	MENROLL_E_INMAINTENANCE	El servidor de Mobile Administración de dispositivos (MDM) indica que la cuenta está en mantenimiento e inténtelo de nuevo más tarde.	80180017
UserLicense	MENROLL_E_USER_LICENSE	Se produjo un error con la licencia de usuario de Mobile Administración de dispositivos (MDM). Póngase en contacto con el administrador del sistema.	80180018
InvalidEnrollmentData	MENROLL_E_ENROLLMENTDATAINVALID	El servidor de Mobile Administración de dispositivos (MDM) rechazó los datos de inscripción. Es posible que el servidor no esté configurado correctamente.	80180019

TraceID es un nodo de texto de forma libre que se registra. Debe identificar el estado del lado servidor para este intento de inscripción. El soporte técnico puede usar esta información para buscar por qué el servidor rechazó la inscripción.

Artículos relacionados

• Inscripción de MDM de dispositivos basados en Windows
• Inscripción de dispositivos de autenticación federados
• Inscripción de dispositivos de autenticación de certificado
• Inscripción de dispositivos de autenticación local