Ce navigateur n’est plus pris en charge.
Effectuez une mise à niveau vers Microsoft Edge pour tirer parti des dernières fonctionnalités, des mises à jour de sécurité et du support technique.
L’inscription des appareils mobiles est la première phase de la gestion d’entreprise. L’appareil est configuré pour communiquer avec le serveur MDM en utilisant des précautions de sécurité pendant le processus d’inscription. Le service d’inscription vérifie que seuls les appareils authentifiés et autorisés sont gérés par l’entreprise.
Le processus d’inscription comprend les étapes suivantes :
De nombreuses modifications ont été apportées au protocole d’inscription pour mieux prendre en charge différents scénarios sur toutes les plateformes. Pour plus d’informations sur le protocole d’inscription des appareils mobiles, consultez :
Le processus d’inscription implique les étapes suivantes :
La demande de découverte est un simple appel http post qui retourne du code XML sur HTTP. Le code XML retourné inclut l’URL d’authentification, l’URL du service de gestion et le type d’informations d’identification de l’utilisateur.
La configuration de la stratégie d’inscription de certificat est une implémentation du protocole MS-XCEP, qui est décrit dans [MS-XCEP] : X.509 Certificate Enrollment Policy Protocol Specification. La section 4 de la spécification fournit un exemple de demande et de réponse de stratégie. Le protocole de stratégie d’inscription de certificat X.509 est un protocole de messagerie minimal qui inclut un message de demande client unique (GetPolicies) avec un message de réponse de serveur correspondant (GetPoliciesResponse).
Pour plus d’informations, consultez [MS-XCEP] : Protocole de stratégie d’inscription de certificats X.509
L’inscription de certificat est une implémentation du protocole MS-WSTEP.
Le serveur envoie le code XML d’approvisionnement qui contient un certificat de serveur (pour l’authentification serveur TLS/SSL), un certificat client émis par l’autorité de certification d’entreprise, des informations de démarrage DMClient (pour que le client communique avec le serveur d’administration), un jeton d’application d’entreprise (pour que l’utilisateur installe des applications d’entreprise) et le lien pour télécharger l’application Hub d’entreprise.
Les articles suivants décrivent le processus d’inscription de bout en bout à l’aide de différentes méthodes d’authentification :
Notes
Il est recommandé de ne pas utiliser de vérifications côté serveur codées en dur sur des valeurs telles que :
Les appareils joints à un Active Directory local peuvent s’inscrire à GPM via Paramètres>Accès professionnel ou scolaire. Toutefois, l’inscription peut uniquement cibler l’utilisateur inscrit avec des stratégies spécifiques à l’utilisateur. Les stratégies ciblées sur l’appareil continuent de cibler tous les utilisateurs de l’appareil.
Les scénarios suivants n’autorisent pas les inscriptions GPM :
L’administrateur informatique peut désactiver les inscriptions MDM pour les PC joints à un domaine à l’aide de la stratégie de groupe Désactiver l’inscription MDM .
stratégie de groupe Chemin d’accès : Configuration> ordinateurModèles d’administration>Composants> WindowsGPM>Désactiver l’inscription MDM.
Clé de Registre correspondante : HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)
Le serveur d’inscription peut refuser les messages d’inscription en utilisant le format d’erreur SOAP. Les erreurs créées peuvent être envoyées comme suit :
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
</s:reason>
</s:fault>
</s:body>
</s:envelope>
Exemples de messages d’erreur :
| Espace de noms | Sous-code | Erreur | Description | HRESULT |
|---|---|---|---|---|
| s: | MessageFormat | MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR | Message non valide provenant du serveur Mobile Gestion des appareils (MDM). | 80180001 |
| s: | Authentication | MENROLL_E_DEVICE_AUTHENTICATION_ERROR | Le serveur Mobile Gestion des appareils (MDM) n’a pas pu authentifier l’utilisateur. Réessayez ou contactez votre administrateur système. | 80180002 |
| s: | Authorization | MENROLL_E_DEVICE_AUTHORIZATION_ERROR | L’utilisateur n’est pas autorisé à s’inscrire à Mobile Gestion des appareils (MDM). Réessayez ou contactez votre administrateur système. | 80180003 |
| s: | CertificateRequest | MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR | L’utilisateur n’a aucune autorisation pour le modèle de certificat ou l’autorité de certification est inaccessible. Réessayez ou contactez votre administrateur système. | 80180004 |
| s: | EnrollmentServer | MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR | Le serveur Mobile Gestion des appareils (MDM) a rencontré une erreur. Réessayez ou contactez votre administrateur système. | 80180005 |
| un: | InternalServiceFault | MENROLL_E_DEVICE_INTERNALSERVICE_ERROR | Il y a eu une exception non prise en charge sur le serveur Mobile Gestion des appareils (MDM). Réessayez ou contactez votre administrateur système. | 80180006 |
| un: | InvalidSecurity | MENROLL_E_DEVICE_INVALIDSECURITY_ERROR | Le serveur Mobile Gestion des appareils (MDM) n’a pas pu valider votre compte. Réessayez ou contactez votre administrateur système. | 80180007 |
Le format SOAP inclut également un deviceenrollmentserviceerror élément. Voici un exemple :
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">device cap reached</s:text>
</s:reason>
<s:detail>
<deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
<errortype>devicecapreached</errortype>
<message>device cap reached</message>
<traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
</deviceenrollmentserviceerror>
</s:detail>
</s:fault>
</s:body>
</s:envelope>
Exemples de messages d’erreur :
| Sous-code | Erreur | Description | HRESULT |
|---|---|---|---|
| DeviceCapReached | MENROLL_E_DEVICECAPREACHED | Le compte a trop d’appareils inscrits à Mobile Gestion des appareils (MDM). Supprimez ou désinscrivez les anciens appareils pour corriger cette erreur. | 80180013 |
| DeviceNotSupported | MENROLL_E_DEVICENOTSUPPORTED | Le serveur Mobile Gestion des appareils (MDM) ne prend pas en charge cette plateforme ou version. Envisagez de mettre à niveau votre appareil. | 80180014 |
| Non pris en charge | MENROLL_E_NOT_SUPPORTED | Le Gestion des appareils mobile (GPM) n’est généralement pas pris en charge pour cet appareil. | 80180015 |
| Not EligibleToRenew | MENROLL_E_NOTELIGIBLETORENEW | L’appareil tente de renouveler le certificat Mobile Gestion des appareils (MDM), mais le serveur a rejeté la demande. Vérifiez la planification du renouvellement sur l’appareil. | 80180016 |
| InMaintenance | MENROLL_E_INMAINTENANCE | Le serveur Mobile Gestion des appareils (MDM) indique que votre compte est en maintenance, réessayez ultérieurement. | 80180017 |
| UserLicense | MENROLL_E_USER_LICENSE | Une erreur s’est produite avec votre licence utilisateur Mobile Gestion des appareils (MDM). Contactez votre administrateur système. | 80180018 |
| InvalidEnrollmentData | MENROLL_E_ENROLLMENTDATAINVALID | Le serveur Mobile Gestion des appareils (MDM) a rejeté les données d’inscription. Le serveur n’est peut-être pas configuré correctement. | 80180019 |
TraceID est un nœud de texte de forme libre qui est journalisé. Il doit identifier l’état côté serveur pour cette tentative d’inscription. Ces informations peuvent être utilisées par le support technique pour rechercher la raison pour laquelle le serveur a refusé l’inscription.
Entrainement
Parcours d’apprentissage
MD-101 Implémenter l’inscription d’appareils - Training
MD-101 Implémenter l’inscription d’appareils
Certification
Microsoft 365 Certified : Endpoint Administrator Associate - Certifications
Planifier et exécuter une stratégie de déploiement de points de terminaison, en utilisant les éléments essentiels de la gestion moderne, les approches de cogestion et l’intégration de Microsoft Intune.
Documentation
Inscription GPM des appareils Windows
Découvrez l’inscription à la gestion des appareils mobiles (MDM) des appareils Windows pour simplifier l’accès aux ressources de votre organization.
Inscription GPM automatique dans le centre d’administration Intune
Inscription GPM automatique dans le centre d’administration Intune
Inscription d'appareils à l'authentification sur site
Cette section fournit un exemple de protocole d’inscription d’appareil mobile utilisant une stratégie d’authentification locale.