Condividi tramite


Disconnessione dell'infrastruttura di gestione (annullamento della registrazione)

Il processo di disconnessione viene eseguito localmente dall'utente che usa un telefono o in remoto dall'amministratore IT usando il server di gestione. Il processo di disconnessione avviato dall'utente è simile alla connessione iniziale, in cui l'avvio proviene dalla stessa posizione nel Pannello di controllo di impostazione della creazione dell'account di lavoro. Gli utenti scelgono di disconnettersi per un numero qualsiasi di motivi, ad esempio lasciare l'azienda o ottenere un nuovo dispositivo o non avere più bisogno di accedere alle proprie app LOB nel vecchio dispositivo. Quando un amministratore IT avvia una disconnessione, il client di registrazione esegue la disconnessione durante la sessione di manutenzione regolare successiva. Gli amministratori scelgono di disconnettere il dispositivo degli utenti dopo aver lasciato l'azienda o perché il dispositivo non è regolarmente conforme ai criteri delle impostazioni di sicurezza dell'organizzazione.

Durante la disconnessione, il client esegue le attività seguenti:

  • Rimuove il token dell'applicazione aziendale che consentiva l'installazione e l'esecuzione di app line-of-business. Vengono rimosse anche tutte le applicazioni aziendali associate a questo token aziendale.
  • Rimuove i certificati configurati dal server MDM.
  • Interrompe l'imposizione dei criteri delle impostazioni applicati dall'infrastruttura di gestione.
  • Rimuove la configurazione client di gestione dei dispositivi e altre impostazioni aggiunte dal server MDM, inclusa l'attività di manutenzione pianificata. Il client rimane inattiva a meno che l'utente non la riconnetta all'infrastruttura di gestione.
  • Segnala la disassociazione avviata correttamente all'infrastruttura di gestione se l'amministratore ha avviato il processo. In Windows, una disassociazione avviata dall'utente viene segnalata al server come un'operazione ottimale.

Disconnessione avviata dall'utente

In Windows, dopo che l'utente conferma il comando di eliminazione dell'account e prima dell'eliminazione dell'account, il client MDM notificherà al server MDM che l'account verrà rimosso. Questa notifica è un'azione ottimale perché non viene compilato alcun nuovo tentativo per garantire che la notifica venga inviata correttamente al dispositivo.

Questa azione usa la funzione OMA DM generic alert 1226 per inviare a un utente un avviso utente di annullamento della registrazione MDM al server MDM dopo che il dispositivo accetta la richiesta di annullamento della registrazione dell'utente, ma prima di eliminare i dati aziendali. Il server deve impostare l'aspettativa che l'annullamento della registrazione possa avere esito positivo o negativo e il server può controllare se il dispositivo viene annullato controllando se il dispositivo chiama nuovamente all'ora pianificata o inviando una notifica push al dispositivo per verificare se risponde. Se il server prevede di inviare una notifica push, dovrebbe consentire un certo ritardo per concedere al dispositivo il tempo necessario per completare il lavoro di annullamento della registrazione.

Nota

L'annullamento della registrazione utente è uno standard OMA DM. Per altre informazioni sull'avviso generico 1226, vedere la specifica OMA Gestione dispositivi Protocol (OMA-TS-DM_Protocol-V1_2_1-20080617-A), disponibile nel sito Web OMA.

Il fornitore usa l'attributo Type per specificare il tipo di avviso generico. Per l'annullamento della registrazione MDM avviata dal dispositivo, il tipo di avviso è com.microsoft:mdm.unenrollment.userrequest.

Dopo che l'utente ha scelto di annullare la registrazione, tutte le sessioni MDM OMA DM attive vengono terminate. Successivamente, DMClient avvia una sessione dm, incluso un utente che annulla la registrazione dell'avviso generico nel primo pacchetto inviato al server.

L'esempio seguente mostra un primo pacchetto OMA DM che contiene un messaggio di avviso generico. Per altre informazioni sul supporto di WP OMA DM, vedere l'articolo supporto del protocollo OMA DM .

<SyncML xmlns=&#39;SYNCML:SYNCML1.2&#39;>
   <SyncHdr>
      <VerDTD>1.2</VerDTD>
      <VerProto>DM/1.2</VerProto>
      <SessionID>1</SessionID>
      <MsgID>1</MsgID>
      <Target>
         <LocURI>{unique device ID}</LocURI>
      </Target>
      <Source>
         <LocURI>https://www.thephone-company.com/mgmt-server</LocURI>
      </Source>
   </SyncHdr>
   <SyncBody>
      <Alert>
    <CmdID>2</CmdID>
        <Data>1226</Data> <!-- generic alert -->
        <Item>
          <Meta>
             <Type xmlns="syncml:metinfo"> com.microsoft:mdm.unenrollment.userrequest</Type>
          <Format xmlns= "syncml:metinfo">int</Format>
           </Meta>
        <Data>1</Data>
         </Item>
       </Alert>

<!-- other device information -->
      <Replace>
         <CmdID>2</CmdID>
         <Item>
            <Source>
               <LocURI>./DevInfo/DevID</LocURI>
            </Source>
         <Data>{unique device ID}</Data>
         </Item>
         <Item>
        ...
         </Item>
      </Replace>
      <Final/>
   </SyncBody>
</SyncML>

Dopo l'invio del pacchetto precedente, inizia il processo di annullamento della registrazione.

Disconnessione avviata dal server

Quando il server avvia la disconnessione, tutte le sessioni in fase di esecuzione per l'ID di registrazione vengono interrotte immediatamente per evitare deadlock. Il server non riceve una risposta per l'annullamento della registrazione, ma viene inviata una notifica di avviso generica con messageid=1.

<Alert>
      <CmdID>4</CmdID>
      <Data>1226</Data>
      <Item>
        <Meta>
          <Type xmlns="syncml:metinf">com.microsoft:mdm.unenrollment.userrequest</Type>
         <Format xmlns="syncml:metinf">int</Format>
        </Meta>
        <Data>1</Data>
      </Item>
</Alert>

Pagina Annulla registrazione dalle impostazioni di Accesso al lavoro

Se l'utente viene registrato in MDM usando un Microsoft Entra ID (Microsoft Entra partecipare o aggiungendo un account aziendale Microsoft), l'account MDM viene visualizzato nella pagina Accesso al lavoro. Tuttavia, il pulsante Disconnetti è disattivato e non è accessibile. Gli utenti possono rimuovere tale account MDM rimuovendo l'associazione Microsoft Entra al dispositivo.

È possibile utilizzare la pagina Accesso al lavoro solo per annullare la registrazione nelle condizioni seguenti:

  • La registrazione è stata eseguita usando la registrazione in blocco.
  • La registrazione è stata creata usando la pagina Accesso al lavoro.

Annullamento della registrazione da Microsoft Entra join

Quando un utente viene registrato in MDM tramite Microsoft Entra join e versioni successive, la registrazione si disconnette, non viene visualizzato alcun avviso che informa che l'utente perderà i dati di Windows Information Protection (WIP). Il messaggio di disconnessione non indica la perdita di dati WIP.

aadj unenerollment.

Durante il processo in cui un dispositivo viene registrato in MDM tramite Microsoft Entra join e quindi non registrato in remoto, il dispositivo può entrare in uno stato in cui deve essere ricreato l'immagine. Quando i dispositivi vengono annullati in remoto da MDM, viene rimossa anche l'associazione Microsoft Entra. Questa protezione è valida per evitare di lasciare i dispositivi aziendali in stato non gestito.

Prima di annullare la registrazione remota dei dispositivi aziendali, è necessario assicurarsi che nel dispositivo sia presente almeno un utente amministratore che non fa parte di Microsoft Entra ID, in caso contrario il dispositivo non avrà alcun utente amministratore dopo l'operazione.

Nei dispositivi mobili la registrazione remota per Microsoft Entra dispositivi aggiunti non riesce. Per rimuovere il contenuto aziendale da questi dispositivi, è consigliabile cancellare il dispositivo in remoto.

Disconnessione richiesta dall'amministratore IT

Il server richiede una disconnessione di gestione aziendale eseguendo un comando OMA DM SyncML XML al dispositivo, usando il nodo Unenroll del provider di servizi di configurazione DMClient durante la sessione dm avviata dal client successiva. Il tag Data all'interno del comando Exec deve essere il valore del providerID del server DM di cui è stato effettuato il provisioning. Per altre informazioni, vedere l'articolo configurazione DMClient specifica dell'organizzazione.

Al termine della disconnessione, l'utente riceve una notifica che informa che il dispositivo è stato disconnesso dalla gestione aziendale.