integrazione Microsoft Entra con MDM
Microsoft Entra ID è il più grande servizio di gestione delle identità cloud aziendale al mondo. Viene usato dalle organizzazioni per accedere a Microsoft 365 e alle applicazioni aziendali da Microsoft e dai fornitori di software as a service (SaaS) di terze parti. Molte delle esperienze avanzate di Windows per gli utenti dell'organizzazione (ad esempio l'accesso allo store o il roaming dello stato del sistema operativo) usano Microsoft Entra ID come infrastruttura di identità sottostante. Windows si integra con Microsoft Entra ID, consentendo la registrazione dei dispositivi in Microsoft Entra ID e la registrazione in MDM in un flusso integrato.
Dopo la registrazione di un dispositivo in MDM, l'MDM:
- Può applicare la conformità ai criteri dell'organizzazione, aggiungere o rimuovere app e altro ancora.
- Può segnalare la conformità di un dispositivo in Microsoft Entra ID.
- Microsoft Entra ID può consentire l'accesso alle risorse o alle applicazioni dell'organizzazione protette da Microsoft Entra ID ai dispositivi conformi ai criteri.
Per supportare queste esperienze avanzate con il prodotto MDM, i fornitori di MDM possono integrarsi con Microsoft Entra ID.
Registrazione e esperienza utente MDM integrate
Esistono diversi modi per connettere i dispositivi a Microsoft Entra ID:
- Aggiungere un dispositivo a Microsoft Entra ID
- Aggiungere un dispositivo ad ACTIVE Directory locale e Microsoft Entra ID
- Aggiungere un account aziendale Microsoft a Windows
In ogni scenario, Microsoft Entra autentica l'utente e il dispositivo. Fornisce un identificatore di dispositivo univoco verificato che può essere usato per la registrazione MDM. Il flusso di registrazione offre al servizio MDM l'opportunità di eseguire il rendering della propria interfaccia utente usando una visualizzazione Web. I fornitori di MDM devono usare l'interfaccia utente per eseguire il rendering delle Condizioni per l'utilizzo (TOU), che possono essere diverse per i dispositivi byod (Bring Your Own Device) di proprietà dell'azienda. I fornitori MDM possono anche usare la visualizzazione Web per eseguire il rendering di più elementi dell'interfaccia utente, ad esempio la richiesta di un PIN monouso.
In Windows 10, la visualizzazione Web durante lo scenario predefinito viene visualizzata come schermo intero per impostazione predefinita, offrendo ai fornitori MDM la possibilità di creare un'esperienza utente edge-to-edge senza problemi. Tuttavia, in Windows 11 viene eseguito il rendering della visualizzazione Web all'interno di un iframe. È importante che i fornitori di MDM che si integrano con Microsoft Entra ID rispettino le linee guida di progettazione di Windows. Questo passaggio include l'uso di una progettazione Web reattiva e il rispetto delle linee guida per l'accessibilità di Windows. Ad esempio, includere i pulsanti avanti e indietro collegati correttamente alla logica di navigazione. Altri dettagli sono disponibili più avanti in questo articolo.
Affinché Microsoft Entra registrazione funzioni per un account di Microsoft Entra supportato da Active Directory Federated Services (AD FS), è necessario abilitare l'autenticazione della password per la intranet nel servizio ADFS. Per altre informazioni, vedere Configurare Azure MFA come provider di autenticazione con AD FS.
Dopo che un utente ha aggiunto un account di Microsoft Entra a Windows e registrato in MDM, la registrazione può essere gestita tramite Impostazioni>Account>Accesso aziendale o dell'istituto di istruzione. La gestione dei dispositivi di Microsoft Entra join per scenari dell'organizzazione o byod è simile.
Nota
Gli utenti non possono rimuovere la registrazione del dispositivo tramite l'interfaccia utente di Access aziendale o dell'istituto di istruzione perché la gestione è associata all'account Microsoft Entra ID o aziendale.
Endpoint MDM coinvolti nella registrazione integrata Microsoft Entra
Microsoft Entra registrazione MDM è un processo in due passaggi:
- Visualizzare le Condizioni per l'utilizzo e raccogliere il consenso dell'utente: questo consenso è un flusso passivo in cui l'utente viene reindirizzato in un controllo browser (webview) all'URL delle Condizioni per l'utilizzo della MDM.
- Registrare il dispositivo: questo passaggio è un flusso attivo in cui l'agente di Gestione dispositivi Windows OMA chiama il servizio MDM per registrare il dispositivo.
Per supportare la registrazione Microsoft Entra, i fornitori MDM devono ospitare ed esporre un endpoint condizioni per l'utilizzo e un endpoint di registrazione MDM.
Condizioni per l'utilizzo dell'endpoint: usare questo endpoint per informare gli utenti dei modi in cui l'organizzazione può controllare il dispositivo. La pagina Condizioni per l'utilizzo è responsabile della raccolta del consenso dell'utente prima dell'inizio della fase di registrazione effettiva.
È importante comprendere che il flusso condizioni d'uso è una "casella opaca" per Windows e Microsoft Entra ID. L'intera visualizzazione Web viene reindirizzata all'URL delle condizioni per l'utilizzo. L'utente deve essere reindirizzato dopo l'approvazione o il rifiuto delle Condizioni. Questa progettazione consente al fornitore di MDM di personalizzare le condizioni per l'utilizzo per scenari diversi. Ad esempio, nei dispositivi BYOD vengono applicati diversi livelli di controllo rispetto ai dispositivi di proprietà dell'organizzazione. In alternativa, implementare la destinazione basata su utenti/gruppi, ad esempio gli utenti in determinate aree geografiche potrebbero avere criteri di gestione dei dispositivi più rigorosi.
L'endpoint condizioni per l'utilizzo può implementare più logica di business, ad esempio la raccolta di un PIN monouso fornito dall'IT per controllare la registrazione dei dispositivi. Tuttavia, i fornitori di MDM non devono usare il flusso Condizioni per l'utilizzo per raccogliere le credenziali utente, il che può essere un'esperienza utente danneggiata. Non è necessario, poiché parte dell'integrazione MDM garantisce che il servizio MDM possa comprendere i token emessi da Microsoft Entra ID.
Endpoint di registrazione MDM: dopo che gli utenti accettano le Condizioni per l'utilizzo, il dispositivo viene registrato in Microsoft Entra ID. Inizia la registrazione automatica di MDM.
Il diagramma seguente illustra il flusso generale coinvolto nel processo di registrazione effettivo. Il dispositivo viene registrato per la prima volta con Microsoft Entra ID. Questo processo assegna un identificatore univoco del dispositivo al dispositivo e offre al dispositivo la possibilità di autenticarsi con Microsoft Entra ID (autenticazione del dispositivo). Il dispositivo viene quindi registrato per la gestione con MDM. Questo passaggio chiama l'endpoint di registrazione e richiede la registrazione per l'utente e il dispositivo. A questo punto, l'utente è stato autenticato e il dispositivo è stato registrato e autenticato con Microsoft Entra ID. Queste informazioni sono disponibili per MDM sotto forma di attestazioni all'interno di un token di accesso presentato all'endpoint di registrazione.
L'MDM dovrebbe usare queste informazioni sul dispositivo (ID dispositivo) quando segnala la conformità del dispositivo a Microsoft Entra ID usando microsoft API Graph. Un esempio per la segnalazione della conformità dei dispositivi è disponibile più avanti in questo articolo.
Rendere MDM un'entità affidabile di Microsoft Entra ID
Per partecipare al flusso di registrazione integrato descritto nella sezione precedente, MDM deve usare i token di accesso emessi da Microsoft Entra ID. Per segnalare la conformità con Microsoft Entra ID, il MDM deve autenticarsi per Microsoft Entra ID e ottenere l'autorizzazione sotto forma di token di accesso che consente di richiamare microsoft API Graph.
MDM basato sul cloud
Un MDM basato sul cloud è un'applicazione SaaS che offre funzionalità di gestione dei dispositivi nel cloud. Si tratta di un'applicazione multi-tenant. Questa applicazione viene registrata con Microsoft Entra ID nel tenant principale del fornitore MDM. Quando un amministratore IT decide di usare questa soluzione MDM, un'istanza di questa applicazione viene resa visibile nel tenant del cliente.
Il fornitore MDM deve prima registrare l'applicazione nel tenant principale e contrassegnarla come applicazione multi-tenant. Per altre informazioni su come aggiungere applicazioni multi-tenant a Microsoft Entra ID, vedere l'esempio di codice Integrare un'app che autentica gli utenti e chiama Microsoft Graph usando l'esempio di codice SaaS (Multi-Tenant Integration Pattern) in GitHub.
Nota
Per il provider MDM, se non si dispone di un tenant Microsoft Entra esistente con una sottoscrizione Microsoft Entra gestita, seguire queste guide dettagliate:
- Avvio rapido: Creare un nuovo tenant in Microsoft Entra ID per configurare un tenant.
- Associare o aggiungere una sottoscrizione di Azure al tenant Microsoft Entra per aggiungere una sottoscrizione e gestirla tramite il portale di Azure.
L'applicazione MDM usa le chiavi per richiedere i token di accesso da Microsoft Entra ID. Queste chiavi vengono gestite all'interno del tenant del provider MDM e non sono visibili ai singoli clienti. La stessa chiave viene usata dall'applicazione MDM multi-tenant per autenticarsi con Microsoft Entra ID, nel tenant del cliente a cui appartiene il dispositivo gestito.
Nota
Tutte le app MDM devono implementare Microsoft Entra token v2 prima di certificare il funzionamento dell'integrazione. A causa delle modifiche apportate alla piattaforma dell'app Microsoft Entra, l'uso di token Microsoft Entra v2 è un requisito difficile. Per altre informazioni, vedere Microsoft Identity Platform token di accesso.
MDM locale
Un'applicazione MDM locale è diversa da una MDM cloud. Si tratta di un'applicazione a tenant singolo presente in modo univoco all'interno del tenant del cliente. I clienti devono aggiungere l'applicazione direttamente all'interno del proprio tenant. Inoltre, ogni istanza di un'applicazione MDM locale deve essere registrata separatamente e avere una chiave separata per l'autenticazione con Microsoft Entra ID.
Per aggiungere un'applicazione MDM locale al tenant, usare il servizio Microsoft Entra, in particolare in Mobility (MDM e MAM)>Aggiungi applicazione>Creare un'applicazione personalizzata. Gli amministratori possono configurare gli URL necessari per la registrazione e le condizioni per l'utilizzo.
Il prodotto MDM locale deve esporre un'esperienza di configurazione in cui gli amministratori possono fornire l'ID client, l'ID app e la chiave configurata nella directory per l'applicazione MDM. È possibile usare questo ID client e la chiave per richiedere token da Microsoft Entra ID quando si segnala la conformità del dispositivo.
Per altre informazioni sulla registrazione di applicazioni con Microsoft Entra ID, vedere Nozioni di base sulla registrazione di un'applicazione in Microsoft Entra ID.
Linee guida per la gestione e la sicurezza delle chiavi
Le chiavi dell'applicazione usate dal servizio MDM sono una risorsa sensibile. Devono essere protetti e arrotolati periodicamente per una maggiore sicurezza. I token di accesso ottenuti dal servizio MDM per chiamare microsoft API Graph sono token di connessione e devono essere protetti per evitare la divulgazione non autorizzata.
Per le procedure consigliate per la sicurezza, vedere Microsoft Azure Security Essentials.
Per MDM basato sul cloud, è possibile eseguire il rollover delle chiavi dell'applicazione senza richiedere l'interazione del cliente. È disponibile un singolo set di chiavi in tutti i tenant dei clienti gestiti dal fornitore MDM nel tenant Microsoft Entra.
Per il MDM locale, le chiavi di autenticazione Microsoft Entra si trovano all'interno del tenant del cliente e l'amministratore del cliente deve eseguire il rollover delle chiavi. Per migliorare la sicurezza, fornire indicazioni ai clienti sul rollover e sulla protezione delle chiavi.
Pubblicare l'app MDM in Microsoft Entra raccolta di app
Gli amministratori IT usano la raccolta di app Microsoft Entra per aggiungere un MDM da usare per l'organizzazione. La raccolta di app è un archivio completo con oltre 2400 applicazioni SaaS integrate con Microsoft Entra ID.
Aggiungere MDM basato sul cloud alla raccolta di app
Nota
È consigliabile collaborare con il team di progettazione Microsoft Entra se l'applicazione MDM è basata sul cloud e deve essere abilitata come applicazione MDM multi-tenant
Per pubblicare l'applicazione, inviare una richiesta per pubblicare l'applicazione in Microsoft Entra raccolta di applicazioni
La tabella seguente mostra le informazioni necessarie per creare una voce nella raccolta di app Microsoft Entra.
| Elemento | Descrizione |
|---|---|
| ID applicazione | ID client dell'app MDM configurato all'interno del tenant. Questo ID è l'identificatore univoco per l'app multi-tenant. |
| Pubblicato da | Stringa che identifica l'editore dell'app. |
| URL applicazione | URL della pagina di destinazione dell'app in cui gli amministratori possono ottenere altre informazioni sull'app MDM e contiene un collegamento alla pagina di destinazione dell'app. Questo URL non viene usato per la registrazione effettiva. |
| Descrizione | Breve descrizione dell'app MDM, che deve contenere meno di 255 caratteri. |
| Icone | Set di icone del logo per l'app MDM. Dimensioni: 45 X 45, 150 X 122, 214 X 215 |
Aggiungere MDM locale alla raccolta di app
Non sono previsti requisiti speciali per l'aggiunta di MDM locale alla raccolta di app. È disponibile una voce generica per consentire agli amministratori di aggiungere un'app al tenant.
Tuttavia, la gestione delle chiavi è diversa per MDM locale. È necessario ottenere l'ID client (ID app) e la chiave assegnati all'app MDM all'interno del tenant del cliente. L'ID e la chiave ottengono l'autorizzazione per accedere a Microsoft API Graph e segnalare la conformità del dispositivo.
Temi
Le pagine sottoposte a rendering da MDM nel processo di registrazione integrata devono usare i modelli di Windows (Scaricare i modelli di Windows e i file CSS (1.1.4)). Questi modelli sono importanti per la registrazione durante l'esperienza di join Microsoft Entra nella Configurazione guidata, in cui tutte le pagine sono pagine HTML perimetrali. Evitare di copiare i modelli perché è difficile ottenere il posizionamento corretto del pulsante.
Esistono tre scenari distinti:
- La registrazione MDM come parte di Microsoft Entra partecipare alla configurazione guidata di Windows.
- Registrazione MDM come parte dell'aggiunta Microsoft Entra, dopo Configurazione guidata Windows da Impostazioni.
- Registrazione MDM come parte dell'aggiunta di un account aziendale Microsoft in un dispositivo personale (BYOD).
Questi scenari supportano Windows Pro, Enterprise ed Education.
I file CSS forniti da Microsoft contengono informazioni sulla versione e si consiglia di usare la versione più recente. Sono disponibili file CSS separati per dispositivi client Windows, configurazione guidata ed esperienze post-Configurazione guidata. Scaricare i modelli di Windows e i file CSS (1.1.4).
- Per Windows 10, usare oobe-desktop.css
- Per Windows 11, usare oobe-light.css
Uso dei temi
Una pagina MDM deve rispettare un tema predefinito a seconda dello scenario visualizzato. Ad esempio, se l'intestazione CXH-HOSTHTTP è FRX, ovvero lo scenario della configurazione guidata, la pagina deve supportare un tema scuro con colore di sfondo blu, che usa il file WinJS Ui-dark.css ver 4.0 e oobe-desktop.css ver 1.0.4.
| CXH-HOST (INTESTAZIONE HTTP) | Scenario | Tema di sfondo | Winjs | Scenario CSS |
|---|---|---|---|---|
| FRX | OOBE | Tema scuro + colore di sfondo blu | Nome file: Ui-dark.css | Nome file: oobe-dekstop.css |
| MOSET | Impostazioni/Post Configurazione guidata | Tema chiaro | Nome file: Ui-light.css | Nome file: settings-desktop.css |
Semantica del protocollo Terms of Use
Il server MDM ospita l'endpoint condizioni per l'utilizzo . Durante il flusso del protocollo di join Microsoft Entra, Windows esegue un reindirizzamento a pagina intera a questo endpoint. Questo reindirizzamento consente al MDM di visualizzare i termini e le condizioni applicabili. Consente all'utente di accettare o rifiutare le condizioni associate alla registrazione. Dopo che l'utente accetta i termini, MDM esegue il reindirizzamento a Windows per continuare il processo di registrazione.
Reindirizzamento all'endpoint condizioni per l'utilizzo
Questo reindirizzamento è un reindirizzamento a pagina intera all'endpoint Condizioni dell'utente ospitato da MDM. Ecco un URL di esempio, https://fabrikam.contosomdm.com/TermsOfUse.
Nella stringa di query vengono passati i parametri seguenti:
| Elemento | Descrizione |
|---|---|
| redirect_uri | Dopo che l'utente accetta o rifiuta le Condizioni per l'utilizzo, l'utente viene reindirizzato a questo URL. |
| client-request-id | GUID usato per correlare i log a scopo di diagnostica e debug. Usare questo parametro per registrare o tracciare lo stato della richiesta di registrazione per individuare la causa radice degli errori. |
| api-version | Specifica la versione del protocollo richiesta dal client. Questo valore fornisce un meccanismo per supportare le revisioni della versione del protocollo. |
| mode | Specifica che il dispositivo è di proprietà dell'organizzazione quando mode=azureadjoin. Questo parametro non è presente per i dispositivi BYOD. |
Token di accesso
Microsoft Entra ID rilascia un token di accesso al bearer. Il token viene passato nell'intestazione di autorizzazione della richiesta HTTP. Ecco un formato tipico:
Autorizzazione: Bearer CI6MTQxmCF5xgu6yYcmV9ng6vhQfaJYw...
Nel token di accesso passato da Windows all'endpoint condizioni per l'utilizzo sono previste le attestazioni seguenti:
| Elemento | Descrizione |
|---|---|
| ID oggetto | Identificatore dell'oggetto utente corrispondente all'utente autenticato. |
| UPN | Attestazione contenente il nome dell'entità utente (UPN) dell'utente autenticato. |
| TID | Attestazione che rappresenta l'ID tenant del tenant. Nell'esempio precedente si tratta di Fabrikam. |
| Risorsa | URL purificato che rappresenta l'applicazione MDM. Esempio: https://fabrikam.contosomdm.com |
Nota
Non è presente alcuna attestazione id dispositivo nel token di accesso perché il dispositivo potrebbe non essere ancora registrato in questo momento.
Per recuperare l'elenco delle appartenenze ai gruppi per l'utente, è possibile usare microsoft API Graph.
Ecco un URL di esempio:
https://fabrikam.contosomdm.com/TermsOfUse?redirect_uri=ms-appx-web://ContosoMdm/ToUResponse&client-request-id=34be581c-6ebd-49d6-a4e1-150eff4b7213&api-version=1.0
Authorization: Bearer eyJ0eXAiOi
Si prevede che MDM convalidi la firma del token di accesso per assicurarsi che venga emesso da Microsoft Entra ID e che il destinatario sia appropriato.
Contenuto delle condizioni per l'utilizzo
Il MDM può eseguire altri reindirizzamenti in base alle esigenze prima di visualizzare il contenuto delle Condizioni per l'utilizzo per l'utente. Il contenuto delle condizioni per l'utilizzo appropriato deve essere restituito al chiamante (Windows) in modo che possa essere visualizzato all'utente finale nel controllo del browser.
Il contenuto delle condizioni per l'utilizzo deve contenere i pulsanti seguenti:
- Accetta : l'utente accetta le Condizioni per l'utilizzo e procede con la registrazione.
- Rifiuta : l'utente rifiuta e arresta il processo di registrazione.
Il contenuto delle condizioni per l'utilizzo deve essere coerente con il tema usato per le altre pagine di cui è stato eseguito il rendering durante questo processo.
Condizioni per l'utilizzo della logica di elaborazione degli endpoint
A questo punto, l'utente si trova nella pagina Condizioni per l'utilizzo visualizzata durante la Configurazione guidata o dalle esperienze di impostazione. L'utente ha le opzioni seguenti nella pagina:
- L'utente fa clic sul pulsante Accetta : il MDM deve reindirizzare all'URI specificato dal parametro redirect_uri nella richiesta in ingresso. Sono previsti i parametri della stringa di query seguenti:
- IsAccepted : questo valore booleano è obbligatorio e deve essere impostato su true.
- OpaqueBlob : parametro obbligatorio se l'utente accetta. MDM può usare questo BLOB per rendere disponibili alcune informazioni all'endpoint di registrazione. Il valore salvato in modo permanente viene reso disponibile invariato nell'endpoint di registrazione. MDM può usare questo parametro a scopo di correlazione.
- Ecco un reindirizzamento di esempio:
ms-appx-web://MyApp1/ToUResponse?OpaqueBlob=value&IsAccepted=true
- L'utente fa clic sul pulsante Rifiuta : il MDM deve reindirizzarsi all'URI specificato in redirect_uri nella richiesta in ingresso. Sono previsti i parametri della stringa di query seguenti:
- IsAccepted : questo valore booleano è obbligatorio e deve essere impostato su false. Questa opzione si applica anche se l'utente ha ignorato le Condizioni per l'utilizzo.
- OpaqueBlob : non è previsto l'uso di questo parametro. La registrazione viene arrestata con un messaggio di errore visualizzato all'utente.
Gli utenti ignorano le Condizioni per l'utilizzo quando aggiungono un account aziendale Microsoft al dispositivo. Tuttavia, non possono ignorarla durante il processo di join Microsoft Entra. Non visualizzare il pulsante di rifiuto nel processo di aggiunta Microsoft Entra. L'utente non può rifiutare la registrazione MDM se configurata dall'amministratore per il join Microsoft Entra.
È consigliabile inviare i parametri client-request-id nella stringa di query come parte di questa risposta di reindirizzamento.
Condizioni per l'utilizzo Gestione degli errori
Se si verifica un errore durante l'elaborazione delle condizioni per l'utilizzo, MDM può restituire due parametri: un error parametro e error_description nella richiesta di reindirizzamento a Windows. L'URL deve essere codificato e il contenuto di error_description deve essere in testo normale in inglese. Questo testo non è visibile all'utente finale. Quindi, la localizzazione del error_description testo non è un problema.
Ecco il formato DELL'URL:
HTTP/1.1 302
Location:
<redirect_uri>?error=access_denied&error_description=Access%20is%20denied%2E
Example:
HTTP/1.1 302
Location: ms-appx-web://App1/ToUResponse?error=access_denied&error_description=Access%20is%20denied%2E
La tabella seguente mostra i codici di errore.
| Causa | Stato HTTP | Errore | Descrizione |
|---|---|---|---|
| api-version | 302 | invalid_request | versione non supportata |
| I dati del tenant o dell'utente sono mancanti o non vengono soddisfatti altri prerequisiti necessari per la registrazione del dispositivo | 302 | unauthorized_client | utente o tenant non autorizzato |
| convalida del token Microsoft Entra non riuscita | 302 | unauthorized_client | unauthorized_client |
| errore del servizio interno | 302 | server_error | errore del servizio interno |
Protocollo di registrazione con Microsoft Entra ID
Con la registrazione MDM integrata di Azure, non esiste alcuna fase di individuazione e l'URL di individuazione viene passato direttamente al sistema da Azure. La tabella seguente illustra il confronto tra le registrazioni tradizionali e di Azure.
| Dettaglio | Registrazione MDM tradizionale | Microsoft Entra partecipare (dispositivo di proprietà dell'organizzazione) | Microsoft Entra ID aggiunge un account aziendale (dispositivo di proprietà dell'utente) |
|---|---|---|---|
| Individuazione automatica MDM tramite l'indirizzo di posta elettronica per recuperare l'URL di individuazione MDM | Registrazione | Non applicabile URL di individuazione di cui è stato effettuato il provisioning in Azure |
|
| Usa l'URL di individuazione MDM | Registrazione Rinnovo della registrazione ROBO |
Registrazione Rinnovo della registrazione ROBO |
Registrazione Rinnovo della registrazione ROBO |
| È necessaria la registrazione MDM? | Sì | Sì | No L'utente può rifiutare. |
| Tipo di autenticazione | OnPremise Federati Certificato |
Federati | Federati |
| EnrollmentPolicyServiceURL | Facoltativo (tutte le autenticazione) | Facoltativo (tutte le autenticazione) | Facoltativo (tutte le autenticazione) |
| EnrollmentServiceURL | Obbligatorio (tutte le autorizzazioni) | Usato (tutte le autenticazione) | Usato (tutte le autenticazione) |
| EnrollmentServiceURL include la versione del sistema operativo, la piattaforma del sistema operativo e altri attributi forniti dall'URL di individuazione MDM | Scelta consigliata | Scelta consigliata | Scelta consigliata |
| AuthenticationServiceURL usato | Usato (autenticazione federata) | Saltato | Saltato |
| BinarySecurityToken | Personalizzato per MDM | Microsoft Entra ID token emesso | Microsoft Entra ID token emesso |
| EnrollmentType | Completo | Dispositivo | Completo |
| Tipo di certificato registrato | Certificato utente | Certificato del dispositivo | Certificato utente |
| Archivio certificati registrato | Utente/utente | My/System | Utente/utente |
| Nome soggetto CSR | Nome entità utente | ID dispositivo | Nome entità utente |
| EnrollmentData Condizioni per l'utilizzo del BLOB binario come AdditionalContext per EnrollmentServiceURL | Non supportato | Supportato | Supportato |
| CSP accessibili durante la registrazione | Windows 10 supporto: - DMClient - CertificateStore - RootCATrustedCertificates - ClientCertificateInstall - EnterpriseModernAppManagement - PassportForWork -Politica - w7 APPLICATION |
Protocollo di gestione con Microsoft Entra ID
Esistono due diversi tipi di registrazione MDM che si integrano con Microsoft Entra ID e usano Microsoft Entra identità utente e dispositivo. A seconda del tipo di registrazione, il servizio MDM potrebbe dover gestire un singolo utente o più utenti.
Gestione di più utenti per Microsoft Entra dispositivi aggiunti
In questo scenario, la registrazione MDM si applica a ogni utente Microsoft Entra che accede al dispositivo aggiunto Microsoft Entra: chiamare questo tipo di registrazione una registrazione del dispositivo o una registrazione multiutenti. Il server di gestione può determinare l'identità dell'utente, determinare quali criteri sono destinati a questo utente e inviare i criteri corrispondenti al dispositivo. Per consentire al server di gestione di identificare l'utente corrente connesso al dispositivo, il client OMA DM usa i token utente Microsoft Entra. Ogni sessione di gestione contiene un'intestazione HTTP aggiuntiva che contiene un token utente Microsoft Entra. Queste informazioni vengono fornite nel pacchetto dm inviato al server di gestione. In alcuni casi, tuttavia, Microsoft Entra token utente non viene inviato al server di gestione. Uno di questi scenari si verifica immediatamente dopo il completamento delle registrazioni MDM durante Microsoft Entra processo di join. Finché Microsoft Entra processo di join non viene completato e Microsoft Entra'utente accede al computer, Microsoft Entra token utente non è disponibile per il processo OMA-DM. In genere, la registrazione MDM viene completata prima di Microsoft Entra'accesso dell'utente al computer e la sessione di gestione iniziale non contiene un token utente Microsoft Entra. Il server di gestione deve verificare se il token è mancante e inviare solo i criteri del dispositivo in questo caso. Un altro possibile motivo per un token di Microsoft Entra mancante nel payload OMA-DM è quando un guest viene connesso al dispositivo.
Aggiunta di un account aziendale e della registrazione MDM a un dispositivo:
In questo scenario, la registrazione MDM si applica a un singolo utente che ha inizialmente aggiunto l'account aziendale e registrato il dispositivo. In questo tipo di registrazione, il server di gestione può ignorare Microsoft Entra token che possono essere inviati durante la sessione di gestione. Se Microsoft Entra token è presente o mancante, il server di gestione invia criteri utente e dispositivo al dispositivo.
Valutazione dei token utente Microsoft Entra:
Il token Microsoft Entra si trova nell'intestazione autorizzazione HTTP nel formato seguente:
Authorization:Bearer <Azure AD User Token Inserted here>Nel token Microsoft Entra potrebbero essere presenti altre attestazioni, ad esempio:
- Utente : utente attualmente connesso
- Conformità del dispositivo: il valore imposta il servizio MDM in Azure
- ID dispositivo: identifica il dispositivo che esegue l'archiviazione
- ID tenant
I token di accesso emessi da Microsoft Entra ID sono token Web JSON (JWT). Windows presenta un token JWT valido all'endpoint di registrazione MDM per avviare il processo di registrazione. Sono disponibili due opzioni per valutare i token:
- Usare l'estensione gestore token JWT per WIF per convalidare il contenuto del token di accesso ed estrarre le attestazioni necessarie per l'uso. Per altre informazioni, vedere Classe JwtSecurityTokenHandler.
- Fare riferimento agli esempi di codice di autenticazione Microsoft Entra per ottenere un esempio per l'uso dei token di accesso. Per un esempio, vedere NativeClient-DotNet.
Avviso dispositivo 1224 per Microsoft Entra token utente
Viene inviato un avviso all'avvio della sessione di Gestione del database e viene eseguito l'accesso di un utente Microsoft Entra. L'avviso viene inviato nel pacchetto OMA DM n. 1. Ecco un esempio:
Alert Type: com.microsoft/MDM/AADUserToken
Alert sample:
<SyncBody>
<Alert>
<CmdID>1</CmdID>
<Data>1224</Data>
<Item>
<Meta>
<Type xmlns= "syncml:metinf ">com.microsoft/MDM/AADUserToken</Type>
</Meta>
<Data>UserToken inserted here</Data>
</Item>
</Alert>
... other XML tags ...
</SyncBody>
Determinare quando un utente è connesso tramite polling
Viene inviato un avviso al server MDM nel pacchetto DM n. 1.
- Tipo di avviso -
com.microsoft/MDM/LoginStatus - Formato avviso -
chr - Dati di avviso: specificare le informazioni sullo stato di accesso per l'utente connesso attivo corrente.
- Utente connesso con un account Microsoft Entra: testo predefinito: utente.
- Utente connesso senza un account Microsoft Entra: testo predefinito: altri.
- Nessun utente attivo - testo predefinito:none
Ecco un esempio.
<SyncBody>
<Alert>
<CmdID>1</CmdID>
<Data>1224</Data>
<Item>
<Meta>
<Type xmlns= "syncml:metinf ">com.microsoft/MDM/LoginStatus</Type>
</Meta>
<Data>user</Data>
</Item>
</Alert>
... other XML tags ...
</SyncBody>
Segnalare la conformità del dispositivo a Microsoft Entra ID
Dopo la registrazione di un dispositivo con MDM per la gestione, i criteri dell'organizzazione configurati dall'amministratore IT vengono applicati al dispositivo. MDM valuta la conformità del dispositivo con i criteri configurati e quindi la segnala a Microsoft Entra ID. Questa sezione illustra la chiamata API Graph che è possibile usare per segnalare uno stato di conformità del dispositivo a Microsoft Entra ID.
Per un esempio che illustra come un MDM può ottenere un token di accesso usando OAuth 2.0 client_credentials tipo di concessione, vedere Daemon_CertificateCredential-DotNet.
- MDM basato sul cloud : se il prodotto è un servizio MDM multi-tenant basato sul cloud, è configurata una singola chiave per il servizio all'interno del tenant. Per ottenere l'autorizzazione, usare questa chiave per autenticare il servizio MDM con Microsoft Entra ID.
- MDM locale: se il prodotto è un MDM locale, i clienti devono configurare il prodotto con la chiave usata per l'autenticazione con Microsoft Entra ID. Questa configurazione della chiave è dovuta al fatto che ogni istanza locale del prodotto MDM ha una chiave specifica del tenant diversa. Potrebbe quindi essere necessario esporre un'esperienza di configurazione nel prodotto MDM che consenta agli amministratori di specificare la chiave da usare per l'autenticazione con Microsoft Entra ID.
Usare Microsoft API Graph
La chiamata API REST di esempio seguente illustra come un MDM può usare microsoft API Graph per segnalare lo stato di conformità di un dispositivo gestito.
Nota
Questa API è applicabile solo alle app MDM approvate nei dispositivi Windows.
Sample Graph API Request:
PATCH https://graph.windows.net/contoso.com/devices/db7ab579-3759-4492-a03f-655ca7f52ae1?api-version=beta HTTP/1.1
Authorization: Bearer eyJ0eXAiO.........
Accept: application/json
Content-Type: application/json
{ "isManaged":true,
"isCompliant":true
}
Dove:
- contoso.com: questo valore è il nome del tenant Microsoft Entra alla cui directory è stato aggiunto il dispositivo.
- db7ab579-3759-4492-a03f-655ca7f52ae1 - Questo valore è l'identificatore del dispositivo le cui informazioni di conformità vengono segnalate a Microsoft Entra ID.
- eyJ0eXAiO.........: questo valore è il token di accesso bearer emesso da Microsoft Entra ID al MDM che autorizza il MDM a chiamare microsoft API Graph. Il token di accesso viene inserito nell'intestazione di autorizzazione HTTP della richiesta.
- isManaged e isCompliant : questi attributi booleani indicano lo stato di conformità.
- api-version : usare questo parametro per specificare la versione dell'API Graph richiesta.
Risposta:
- Operazione riuscita: HTTP 204 senza contenuto.
- Errore/errore - HTTP 404 non trovato. Questo errore può essere restituito se non è possibile trovare il dispositivo o il tenant specificato.
Perdita di dati durante l'annullamento della registrazione da Microsoft Entra join
Quando un utente viene registrato in MDM tramite Microsoft Entra join e quindi disconnette la registrazione, non viene visualizzato alcun avviso che informa che l'utente perderà i dati di Windows Information Protection (WIP). Il messaggio di disconnessione non indica la perdita di dati WIP.
Codici di errore
| Codice | ID | Messaggio di errore |
|---|---|---|
| 0x80180001 | "idErrorServerConnectivity", // MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR | Errore durante la comunicazione con il server. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice di errore {0} |
| 0x80180002 | "idErrorAuthenticationFailure", // MENROLL_E_DEVICE_AUTHENTICATION_ERROR | Si è verificato un problema durante l'autenticazione dell'account o del dispositivo. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x80180003 | "idErrorAuthorizationFailure", // MENROLL_E_DEVICE_AUTHORIZATION_ERROR | Questo utente non è autorizzato a registrarsi. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x80180004 | "idErrorMDMCertificateError", // MENROLL_E_DEVICE_CERTIFCATEREQUEST_ERROR | Errore del certificato. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x80180005 | "idErrorServerConnectivity", // MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR | Errore durante la comunicazione con il server. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice di errore {0} |
| 0x80180006 | "idErrorServerConnectivity", // MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR | Errore durante la comunicazione con il server. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice di errore {0} |
| 0x80180007 | "idErrorAuthenticationFailure", // MENROLL_E_DEVICE_INVALIDSECURITY_ERROR | Si è verificato un problema durante l'autenticazione dell'account o del dispositivo. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x80180008 | "idErrorServerConnectivity", // MENROLL_E_DEVICE_UNKNOWN_ERROR | Errore durante la comunicazione con il server. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice di errore {0} |
| 0x80180009 | "idErrorAlreadyInProgress", // MENROLL_E_ENROLLMENT_IN_PROGRESS | È in corso un'altra registrazione. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x8018000A | "idErrorMDMAlreadyEnrolled", // MENROLL_E_DEVICE_ALREADY_ENROLLED | Questo dispositivo è già registrato. È possibile contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x8018000D | "idErrorMDMCertificateError", // MENROLL_E_DISCOVERY_SEC_CERT_DATE_INVALID | Errore del certificato. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x8018000E | "idErrorAuthenticationFailure", // MENROLL_E_PASSWORD_NEEDED | Si è verificato un problema durante l'autenticazione dell'account o del dispositivo. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x8018000F | "idErrorAuthenticationFailure", // MENROLL_E_WAB_ERROR | Si è verificato un problema durante l'autenticazione dell'account o del dispositivo. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x80180010 | "idErrorServerConnectivity", // MENROLL_E_CONNECTIVITY | Errore durante la comunicazione con il server. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice di errore {0} |
| 0x80180012 | "idErrorMDMCertificateError", // MENROLL_E_INVALIDSSLCERT | Errore del certificato. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x80180013 | "idErrorDeviceLimit", // MENROLL_E_DEVICECAPREACHED | Sembra che siano presenti troppi dispositivi o utenti per questo account. Contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x80180014 | "idErrorMDMNotSupported", // MENROLL_E_DEVICENOTSUPPORTED | Questa funzionalità non è supportata. Contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x80180015 | "idErrorMDMNotSupported", // MENROLL_E_NOTSUPPORTED | Questa funzionalità non è supportata. Contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x80180016 | "idErrorMDMRenewalRejected", // MENROLL_E_NOTELIGIBLETORENEW | Il server non ha accettato la richiesta. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x80180017 | "idErrorMDMAccountMaintenance", // MENROLL_E_INMAINTENANCE | Il servizio è in manutenzione. È possibile provare a eseguire di nuovo questa operazione in un secondo momento o contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x80180018 | "idErrorMDMLicenseError", // MENROLL_E_USERLICENSE | Si è verificato un errore con la licenza. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x80180019 | "idErrorInvalidServerConfig", // MENROLL_E_ENROLLMENTDATAINVALID | Sembra che il server non sia configurato correttamente. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice {0}di errore . |
| "rejectedTermsOfUse" | "idErrorRejectedTermsOfUse" | L'organizzazione richiede l'accettazione delle Condizioni per l'utilizzo. Riprovare o chiedere altre informazioni al supporto tecnico. |
| 0x801c0001 | "idErrorServerConnectivity", // DSREG_E_DEVICE_MESSAGE_FORMAT_ERROR | Errore durante la comunicazione con il server. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice di errore {0} |
| 0x801c0002 | "idErrorAuthenticationFailure", // DSREG_E_DEVICE_AUTHENTICATION_ERROR | Si è verificato un problema durante l'autenticazione dell'account o del dispositivo. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x801c0003 | "idErrorAuthorizationFailure", // DSREG_E_DEVICE_AUTHORIZATION_ERROR | Questo utente non è autorizzato a registrarsi. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x801c0006 | "idErrorServerConnectivity", // DSREG_E_DEVICE_INTERNALSERVICE_ERROR | Errore durante la comunicazione con il server. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice di errore {0} |
| 0x801c000B | "idErrorUntrustedServer", // DSREG_E_DISCOVERY_REDIRECTION_NOT_TRUSTED | Il server contattato non è attendibile. Contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x801c000C | "idErrorServerConnectivity", // DSREG_E_DISCOVERY_FAILED | Errore durante la comunicazione con il server. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice di errore {0} |
| 0x801c000E | "idErrorDeviceLimit", // DSREG_E_DEVICE_REGISTRATION_QUOTA_EXCCEEDED | Sembra che siano presenti troppi dispositivi o utenti per questo account. Contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x801c000F | "idErrorDeviceRequiresReboot", // DSREG_E_DEVICE_REQUIRES_REBOOT | Per completare la registrazione del dispositivo è necessario un riavvio. |
| 0x801c0010 | "idErrorInvalidCertificate", // DSREG_E_DEVICE_AIK_VALIDATION_ERROR | Sembra che si disponga di un certificato non valido. Contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x801c0011 | "idErrorAuthenticationFailure", // DSREG_E_DEVICE_ATTESTATION_ERROR | Si è verificato un problema durante l'autenticazione dell'account o del dispositivo. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x801c0012 | "idErrorServerConnectivity", // DSREG_E_DISCOVERY_BAD_MESSAGE_ERROR | Errore durante la comunicazione con il server. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice di errore {0} |
| 0x801c0013 | "idErrorAuthenticationFailure", // DSREG_E_TENANTID_NOT_FOUND | Si è verificato un problema durante l'autenticazione dell'account o del dispositivo. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice {0}di errore . |
| 0x801c0014 | "idErrorAuthenticationFailure", // DSREG_E_USERSID_NOT_FOUND | Si è verificato un problema durante l'autenticazione dell'account o del dispositivo. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice {0}di errore . |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per