Registrazione dispositivi mobili
La registrazione dei dispositivi mobili è la prima fase della gestione aziendale. Il dispositivo è configurato per comunicare con il server MDM usando precauzioni di sicurezza durante il processo di registrazione. Il servizio di registrazione verifica che solo i dispositivi autenticati e autorizzati siano gestiti dall'organizzazione.
Il processo di registrazione include i passaggi seguenti:
- Individuazione dell'endpoint di registrazione: questo passaggio fornisce le impostazioni di configurazione dell'endpoint di registrazione.
- Installazione del certificato: questo passaggio gestisce l'autenticazione utente, la generazione di certificati e l'installazione del certificato. I certificati installati verranno usati in futuro per gestire l'autenticazione reciproca client/server (TLS/SSL).
- Provisioning client Dm: questo passaggio configura il client Gestione dispositivi (DM) per connettersi a un server Mobile Gestione dispositivi (MDM) dopo la registrazione tramite DM SyncML tramite HTTPS (noto anche come XML open mobile alliance Gestione dispositivi (OMA DM).
Protocollo di registrazione
Sono state apportate molte modifiche al protocollo di registrazione per supportare meglio vari scenari in tutte le piattaforme. Per informazioni dettagliate sul protocollo di registrazione dei dispositivi mobili, vedere:
- [MS-MDM]: Mobile Gestione dispositivi Protocol.
- [MS-MDE2]: Protocollo di registrazione dispositivi mobili versione 2.
Il processo di registrazione prevede i passaggi seguenti:
Richiesta di individuazione
La richiesta di individuazione è una semplice postchiamata HTTP che restituisce XML su HTTP. Il codice XML restituito include l'URL di autenticazione, l'URL del servizio di gestione e il tipo di credenziali utente.
Criteri di registrazione certificati
La configurazione dei criteri di registrazione certificati è un'implementazione del protocollo MS-XCEP, descritta in [MS-XCEP]: X.509 Certificate Enrollment Policy Protocol Specification. La sezione 4 della specifica fornisce un esempio della richiesta e della risposta dei criteri. Il protocollo dei criteri di registrazione certificati X.509 è un protocollo di messaggistica minimo che include un singolo messaggio di richiesta client (GetPolicies) con un messaggio di risposta del server corrispondente (GetPoliciesResponse).
Per altre informazioni, vedere [MS-XCEP]: X.509 Certificate Enrollment Policy Protocol
Registrazione del certificato
La registrazione del certificato è un'implementazione del protocollo MS-WSTEP.
Configurazione della gestione
Il server invia il codice XML di provisioning che contiene un certificato server (per l'autenticazione server TLS/SSL), un certificato client emesso dalla CA aziendale, informazioni di bootstrap del client DM (per consentire al client di comunicare con il server di gestione), un token dell'applicazione aziendale (per l'installazione di applicazioni aziendali) e il collegamento per scaricare l'applicazione dell'hub aziendale.
Gli articoli seguenti descrivono il processo di registrazione end-to-end usando vari metodi di autenticazione:
- Registrazione dei dispositivi con l'autenticazione federata
- Registrazione dei dispositivi con l'autenticazione del certificato
- Registrazione dei dispositivi con l'autenticazione locale
Nota
Come procedura consigliata, non usare controlli sul lato server hardcoded su valori come:
- Stringa dell'agente utente
- Eventuali URI fissi passati durante la registrazione
- Formattazione specifica di qualsiasi valore, se non diversamente specificato, ad esempio il formato dell'ID dispositivo.
Supporto della registrazione per i dispositivi aggiunti a un dominio
I dispositivi aggiunti a un Active Directory locale possono registrarsi in MDM tramite Impostazioni>Accesso all'azienda o all'istituto di istruzione. Tuttavia, la registrazione può essere destinata solo all'utente registrato con criteri specifici dell'utente. I criteri di destinazione del dispositivo continuano a essere destinati a tutti gli utenti del dispositivo.
Scenari di registrazione non supportati
Gli scenari seguenti non consentono le registrazioni MDM:
- Gli account amministratore predefiniti in Windows Desktop non possono essere registrati in MDM.
- Gli utenti standard non possono registrarsi in MDM. Solo gli utenti amministratori possono registrarsi.
Disabilitare le registrazioni MDM
L'amministratore IT può disabilitare le registrazioni MDM per i PC aggiunti a un dominio usando i criteri di gruppo Disabilita registrazione MDM .
Criteri di gruppo Percorso: Configurazione> computerModelli amministrativi Componenti>>di WindowsMDM>Disabilita la registrazione MDM.
Chiave del Registro di sistema corrispondente: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)
Messaggi di errore di registrazione
Il server di registrazione può rifiutare i messaggi di registrazione usando il formato errore SOAP. Gli errori creati possono essere inviati come segue:
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
</s:reason>
</s:fault>
</s:body>
</s:envelope>
Messaggi di errore di esempio:
| Spazio dei nomi | Sottocodice | Errore | Descrizione | HRESULT |
|---|---|---|---|---|
| s: | Messageformat | MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR | Messaggio non valido dal server Mobile Gestione dispositivi (MDM). | 80180001 |
| s: | Authentication | MENROLL_E_DEVICE_AUTHENTICATION_ERROR | Il server Mobile Gestione dispositivi (MDM) non è riuscito a autenticare l'utente. Riprovare o contattare l'amministratore di sistema. | 80180002 |
| s: | Autorizzazione | MENROLL_E_DEVICE_AUTHORIZATION_ERROR | L'utente non è autorizzato a registrarsi a Mobile Gestione dispositivi (MDM). Riprovare o contattare l'amministratore di sistema. | 80180003 |
| s: | CertificateRequest | MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR | L'utente non dispone di autorizzazioni per il modello di certificato o l'autorità di certificazione non è raggiungibile. Riprovare o contattare l'amministratore di sistema. | 80180004 |
| s: | EnrollmentServer | MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR | Si è verificato un errore nel server Mobile Gestione dispositivi (MDM). Riprovare o contattare l'amministratore di sistema. | 80180005 |
| Un: | InternalServiceFault | MENROLL_E_DEVICE_INTERNALSERVICE_ERROR | Si è verificata un'eccezione non gestita nel server MDM (Mobile Gestione dispositivi). Riprovare o contattare l'amministratore di sistema. | 80180006 |
| Un: | InvalidSecurity | MENROLL_E_DEVICE_INVALIDSECURITY_ERROR | Il server Mobile Gestione dispositivi (MDM) non è stato in grado di convalidare l'account. Riprovare o contattare l'amministratore di sistema. | 80180007 |
Il formato SOAP include anche l'elemento deviceenrollmentserviceerror . Ecco un esempio:
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">device cap reached</s:text>
</s:reason>
<s:detail>
<deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
<errortype>devicecapreached</errortype>
<message>device cap reached</message>
<traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
</deviceenrollmentserviceerror>
</s:detail>
</s:fault>
</s:body>
</s:envelope>
Messaggi di errore di esempio:
| Sottocodice | Errore | Descrizione | HRESULT |
|---|---|---|---|
| DeviceCapReached | MENROLL_E_DEVICECAPREACHED | L'account ha troppi dispositivi registrati in Mobile Gestione dispositivi (MDM). Eliminare o annullare la registrazione dei dispositivi precedenti per correggere questo errore. | 80180013 |
| DeviceNotSupported | MENROLL_E_DEVICENOTSUPPORTED | Il server Mobile Gestione dispositivi (MDM) non supporta questa piattaforma o versione, è consigliabile aggiornare il dispositivo. | 80180014 |
| Notsupported | MENROLL_E_NOT_SUPPORTED | Mobile Gestione dispositivi (MDM) in genere non è supportato per questo dispositivo. | 80180015 |
| NotEligibleToRenew | MENROLL_E_NOTELIGIBLETORENEW | Il dispositivo sta tentando di rinnovare il certificato MDM (Mobile Gestione dispositivi), ma il server ha rifiutato la richiesta. Controllare la pianificazione del rinnovo nel dispositivo. | 80180016 |
| InMaintenance | MENROLL_E_INMAINTENANCE | Il server Mobile Gestione dispositivi (MDM) indica che l'account è in manutenzione, riprovare più tardi. | 80180017 |
| UserLicense | MENROLL_E_USER_LICENSE | Si è verificato un errore con la licenza utente di Mobile Gestione dispositivi (MDM). Contattare l'amministratore di sistema. | 80180018 |
| InvalidEnrollmentData | MENROLL_E_ENROLLMENTDATAINVALID | Il server Mobile Gestione dispositivi (MDM) ha rifiutato i dati di registrazione. Il server potrebbe non essere configurato correttamente. | 80180019 |
TraceID è un nodo di testo a mano libera registrato. Deve identificare lo stato lato server per questo tentativo di registrazione. Queste informazioni possono essere usate dal supporto tecnico per cercare il motivo per cui il server ha rifiutato la registrazione.
Articoli correlati
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per