Inscription de périphérique mobile

• S’applique à:

  ✅ Windows 11, ✅ Windows 10

L’inscription des appareils mobiles est la première phase de la gestion d’entreprise. L’appareil est configuré pour communiquer avec le serveur MDM en utilisant des précautions de sécurité pendant le processus d’inscription. Le service d’inscription vérifie que seuls les appareils authentifiés et autorisés sont gérés par l’entreprise.

Le processus d’inscription comprend les étapes suivantes :

1. Découverte du point de terminaison d’inscription : cette étape fournit les paramètres de configuration du point de terminaison d’inscription.
2. Installation du certificat : cette étape gère l’authentification utilisateur, la génération de certificat et l’installation des certificats. Les certificats installés seront utilisés à l’avenir pour gérer l’authentification mutuelle client/serveur (TLS/SSL).
3. Provisionnement du client DM : cette étape configure le client Gestion des appareils (DM) pour qu’il se connecte à un serveur de gestion des appareils mobiles (GPM) après l’inscription via DM SyncML sur HTTPS (également appelé XML OMA DM (Open Mobile Alliance Device Management).

Protocole d’inscription

De nombreuses modifications ont été apportées au protocole d’inscription pour mieux prendre en charge différents scénarios sur toutes les plateformes. Pour plus d’informations sur le protocole d’inscription des appareils mobiles, consultez :

• [MS-MDM] : protocole de gestion des appareils mobiles.
• [MS-MDE2] : protocole d’inscription d’appareil mobile version 2.

Le processus d’inscription implique les étapes suivantes :

Demande de découverte

La demande de découverte est un simple appel http post qui retourne du code XML sur HTTP. Le code XML retourné inclut l’URL d’authentification, l’URL du service de gestion et le type d’informations d’identification de l’utilisateur.

Stratégie d’inscription de certificat

La configuration de la stratégie d’inscription de certificat est une implémentation du protocole MS-XCEP, qui est décrit dans [MS-XCEP] : X.509 Certificate Enrollment Policy Protocol Specification. La section 4 de la spécification fournit un exemple de demande et de réponse de stratégie. Le protocole de stratégie d’inscription de certificat X.509 est un protocole de messagerie minimal qui inclut un message de demande client unique (GetPolicies) avec un message de réponse de serveur correspondant (GetPoliciesResponse).

Pour plus d’informations, consultez [MS-XCEP] : Protocole de stratégie d’inscription de certificats X.509

Inscription de certificat

L’inscription de certificat est une implémentation du protocole MS-WSTEP.

Configuration de la gestion

Le serveur envoie le code XML d’approvisionnement qui contient un certificat de serveur (pour l’authentification serveur TLS/SSL), un certificat client émis par l’autorité de certification d’entreprise, des informations de démarrage DMClient (pour que le client communique avec le serveur d’administration), un jeton d’application d’entreprise (pour que l’utilisateur installe des applications d’entreprise) et le lien pour télécharger l’application Hub d’entreprise.

Les articles suivants décrivent le processus d’inscription de bout en bout à l’aide de différentes méthodes d’authentification :

• Inscription de périphériques de l'authentification fédérée
• Inscription d'appareils à l'authentification par certificat
• Inscription d'appareils à l'authentification sur site

Remarque

Il est recommandé de ne pas utiliser de vérifications côté serveur codées en dur sur des valeurs telles que :

• Chaîne de l’agent utilisateur
• Tous les URI fixes passés lors de l’inscription
• Mise en forme spécifique d’une valeur, sauf indication contraire, telle que le format de l’ID d’appareil.

Prise en charge de l’inscription pour les appareils joints à un domaine

Les appareils joints à un annuaire Active Directory local peuvent s’inscrire à GPM via Paramètres>Accès professionnel ou scolaire. Toutefois, l’inscription peut uniquement cibler l’utilisateur inscrit avec des stratégies spécifiques à l’utilisateur. Les stratégies ciblées sur l’appareil continuent de cibler tous les utilisateurs de l’appareil.

Scénarios d’inscription non pris en charge

Les scénarios suivants n’autorisent pas les inscriptions GPM :

• Les comptes d’administrateur intégrés sur le bureau Windows ne peuvent pas s’inscrire à GPM.
• Les utilisateurs standard ne peuvent pas s’inscrire à GPM. Seuls les utilisateurs administrateurs peuvent s’inscrire.

Désactiver les inscriptions MDM

L’administrateur informatique peut désactiver les inscriptions MDM pour les PC joints à un domaine à l’aide de la stratégie de groupe Désactiver l’inscription MDM .

Chemin de la stratégie de groupe : Configuration> ordinateurModèles d’administration>Composants> WindowsGPM>Désactiver l’inscription MDM. Clé de Registre correspondante : HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)

Messages d’erreur d’inscription

Le serveur d’inscription peut refuser les messages d’inscription en utilisant le format d’erreur SOAP. Les erreurs créées peuvent être envoyées comme suit :

<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
    <s:header>
        <a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
        <activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
        <a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
    </s:header>
    <s:body>
        <s:fault>
            <s:code>
                <s:value>s:receiver</s:value>
                <s:subcode>
                    <s:value>s:authorization</s:value>
                </s:subcode>
            </s:code>
            <s:reason>
                <s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
            </s:reason>
        </s:fault>
    </s:body>
</s:envelope>

Exemples de messages d’erreur :

Espace de noms	Sous-code	Erreur	Description	HRESULT
s:	MessageFormat	MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR	Message non valide provenant du serveur de gestion des appareils mobiles (GPM).	80180001
s:	Authentication	MENROLL_E_DEVICE_AUTHENTICATION_ERROR	Le serveur de gestion des appareils mobiles (MDM) n’a pas pu authentifier l’utilisateur. Réessayez ou contactez votre administrateur système.	80180002
s:	Authorization	MENROLL_E_DEVICE_AUTHORIZATION_ERROR	L’utilisateur n’est pas autorisé à s’inscrire à la gestion des appareils mobiles (GPM). Réessayez ou contactez votre administrateur système.	80180003
s:	CertificateRequest	MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR	L’utilisateur n’a aucune autorisation pour le modèle de certificat ou l’autorité de certification est inaccessible. Réessayez ou contactez votre administrateur système.	80180004
s:	EnrollmentServer	MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR	Le serveur de gestion des appareils mobiles (GPM) a rencontré une erreur. Réessayez ou contactez votre administrateur système.	80180005
un:	InternalServiceFault	MENROLL_E_DEVICE_INTERNALSERVICE_ERROR	Il y avait une exception non prise en charge sur le serveur de gestion des appareils mobiles (GPM). Réessayez ou contactez votre administrateur système.	80180006
un:	InvalidSecurity	MENROLL_E_DEVICE_INVALIDSECURITY_ERROR	Le serveur gestion des appareils mobiles (MDM) n’a pas pu valider votre compte. Réessayez ou contactez votre administrateur système.	80180007

Le format SOAP inclut également un deviceenrollmentserviceerror élément. Voici un exemple :

<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
    <s:header>
        <a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
        <activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
        <a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
    </s:header>
    <s:body>
        <s:fault>
            <s:code>
                <s:value>s:receiver</s:value>
                <s:subcode>
                    <s:value>s:authorization</s:value>
                </s:subcode>
            </s:code>
            <s:reason>
                <s:text xml:lang="en-us">device cap reached</s:text>
            </s:reason>
            <s:detail>
                <deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
                    <errortype>devicecapreached</errortype>
                    <message>device cap reached</message>
                    <traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
                </deviceenrollmentserviceerror>
            </s:detail>
        </s:fault>
    </s:body>
</s:envelope>

Exemples de messages d’erreur :

Sous-code	Erreur	Description	HRESULT
DeviceCapReached	MENROLL_E_DEVICECAPREACHED	Le compte a trop d’appareils inscrits à la gestion des appareils mobiles (GPM). Supprimez ou désinscrivez les anciens appareils pour corriger cette erreur.	80180013
DeviceNotSupported	MENROLL_E_DEVICENOTSUPPORTED	Le serveur gestion des appareils mobiles (GPM) ne prend pas en charge cette plateforme ou cette version. Envisagez de mettre à niveau votre appareil.	80180014
Non pris en charge	MENROLL_E_NOT_SUPPORTED	La gestion des appareils mobiles (GPM) n’est généralement pas prise en charge pour cet appareil.	80180015
Not EligibleToRenew	MENROLL_E_NOTELIGIBLETORENEW	L’appareil tente de renouveler le certificat de gestion des appareils mobiles (MDM), mais le serveur a rejeté la demande. Vérifiez la planification du renouvellement sur l’appareil.	80180016
InMaintenance	MENROLL_E_INMAINTENANCE	Le serveur gestion des appareils mobiles (MDM) indique que votre compte est en maintenance, réessayez ultérieurement.	80180017
UserLicense	MENROLL_E_USER_LICENSE	Une erreur s’est produite avec votre licence utilisateur gestion des appareils mobiles (GPM). Contactez votre administrateur système.	80180018
InvalidEnrollmentData	MENROLL_E_ENROLLMENTDATAINVALID	Le serveur gestion des appareils mobiles (MDM) a rejeté les données d’inscription. Le serveur n’est peut-être pas configuré correctement.	80180019

TraceID est un nœud de texte de forme libre qui est journalisé. Il doit identifier l’état côté serveur pour cette tentative d’inscription. Ces informations peuvent être utilisées par le support technique pour rechercher la raison pour laquelle le serveur a refusé l’inscription.

Articles connexes

• Inscription GPM d’appareils Windows
• Inscription de périphériques de l'authentification fédérée
• Inscription d'appareils à l'authentification par certificat
• Inscription d'appareils à l'authentification sur site