アトミック コマンド内のコマンドの取得はサポートされていません
アトミック コマンド内の Get コマンドはサポートされていません。
WMI クラスを使用してインストールされたアプリは削除されません
WMI クラスを使用してインストールされたアプリケーションは、MDM アカウントをデバイスから削除しても削除されません。
SyncML での CDATA の渡しが機能しない
SyncML のデータ内の CDATA を ConfigManager と CSP に渡しても機能しません。
SCEP の IIS サーバーの SSL 設定を "無視" に設定する必要があります
SCEP 用 IIS サーバーの [SSL 設定] の下の証明書の設定を "無視" に設定する必要があります。
トラフィックがプロキシ経由で行われると、Windows デバイスでの MDM 登録が失敗する
認証を必要とするプロキシを使用するように Windows デバイスが構成されている場合、登録は失敗します。 この問題を回避するには、認証を必要としないプロキシを使用するか、接続されたネットワークからプロキシ設定を削除します。
サーバーによって開始された登録解除エラー
職場アカウントを追加して登録されたデバイスのサーバーによって開始された登録解除は、MDM アカウントをアクティブのままにできません。 MDM ポリシーとリソースはまだ配置されており、クライアントは引き続きサーバーと同期できます。
Microsoft Entra参加を介して登録されたモバイル デバイスでは、リモート サーバーの登録解除が無効になります。 サーバーにエラー メッセージが返されます。 参加Microsoft Entraモバイル デバイスの登録を削除する唯一の方法は、デバイスをリモートでワイプすることです。
Wi-Fi と VPN に関する問題の原因となっている証明書
ClientCertificateInstall を使用してデバイス ストアに証明書をインストールし、ユーザー ストアと両方の証明書が同じ MDM ペイロード内のデバイスに送信される場合、デバイス ストア用の証明書もユーザー ストアにインストールされます。 このデュアル インストールでは、接続を確立するために正しい証明書を選択するときに、Wi-Fi または VPN に問題が発生する可能性があります。 この問題の解決に取り組んでいます。
Windows 11のバージョン情報
DevDetail/Ext/Microsoft/OSPlatform のソフトウェア バージョン情報が、[システム/バージョン情報] の [設定] のバージョンと一致しません。
複数の証明書によって Wi-Fi 接続が不安定になる可能性がある
展開で、デバイスに複数の証明書がプロビジョニングされていて、プロビジョニングされた Wi-Fi プロファイルに厳密なフィルター条件がない場合、Wi-Fi に接続するときに接続エラーが発生する可能性があります。 解決策は、プロビジョニングされた Wi-Fi プロファイルが厳密なフィルター条件を持ち、1 つの証明書にのみ一致するようにすることです。
VPN/Wi-Fi 用の証明書ベースの EAP 認証を展開する企業では、認証の既定の条件を満たす証明書が複数存在する状況に直面する可能性があります。 このような状況では、次のような問題が発生する可能性があります。
- ユーザーに証明書の選択を求めるメッセージが表示される場合があります。
- 間違った証明書が自動選択され、認証エラーが発生する可能性があります。
運用環境に対応したデプロイには、展開するプロファイルの一部として適切な証明書の詳細が必要です。 次の情報では、不要な証明書が除外され、認証に適切な証明書を使用できるように EAP 構成 XML を作成または更新する方法について説明します。
EAP XML は、環境に関連する情報で更新する必要があります。 このタスクは、以下の XML サンプルを編集するか、ステップ バイ ステップ UI ガイドを使用して手動で実行できます。 EAP XML が更新されたら、MDM の手順を参照して、更新された構成を次のように展開します。
- Wi-Fi については、現在の WLAN プロファイル XML の <EAPConfig> セクションを探します (この詳細は、Wi-Fi CSP の WLanXml ノードに指定するものです)。 これらのタグ内には、完全な EAP 構成があります。 <EAPConfig> のセクションを更新した XML に置き換え、Wi-Fi プロファイルを更新します。 新しい Wi-Fi プロファイルを展開する方法に関する MDM のガイダンスを参照する必要がある場合があります。
- VPN の場合、EAP 構成は MDM 構成の別のフィールドです。 MDM プロバイダーと連携して、適切なフィールドを特定して更新します。
EAP 設定の詳細については、「 ネットワーク アクセス用の拡張認証プロトコル (EAP)」を参照してください。
EAP XML の生成については、「 EAP 構成」を参照してください。
拡張キーの使用方法の詳細については、「 https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.12」を参照してください。
拡張キー使用法 (EKU) を証明書に追加する方法については、「 https://technet.microsoft.com/library/cc731792.aspx」を参照してください。
次の一覧では、EAP で使用する証明書の前提条件について説明します。
- 証明書には、次の EKU (拡張キー使用法) プロパティの少なくとも 1 つが必要です。
- クライアント認証。
- RFC 5280 で定義されているように、このプロパティは、値 1.3.6.1.5.5.7.3.2 を持つ適切に定義された OID です。
- 任意の目的。
- Microsoft によって定義および公開された EKU は、値 1.3.6.1.4.1.311.10.12.12.1 の適切に定義された OID です。 この OID を含めることは、証明書を任意の目的で使用できることを意味します。 この EKU が All Purpose EKU よりも優れている利点は、有効なフィルター処理のために、他の重要でない EKU またはカスタム EKU を証明書に追加できることです。
- すべての目的。
- RFC 5280 で定義されているように、CA に一部のアプリケーション ニーズを満たすために拡張キー使用法が含まれているが、キーの使用を制限したくない場合、CA は拡張キー使用量値 0 を追加できます。 このような EKU を持つ証明書は、あらゆる目的で使用できます。
- クライアント上のユーザーまたはコンピューター証明書は、信頼されたルート CA にチェーンされます。
- ユーザーまたはコンピューター証明書は、CryptoAPI 証明書ストアによって実行されるいずれかのチェックに失敗せず、証明書はリモート アクセス ポリシーの要件を満たしています。
- ユーザーまたはコンピューター証明書は、インターネット認証サービス (IAS)/Radius Server で指定されている証明書オブジェクト識別子チェックのいずれにも失敗しません。
- 証明書のサブジェクト代替名 (SubjectAltName) 拡張機能には、ユーザーのユーザー プリンシパル名 (UPN) が含まれています。
次の XML サンプルでは、証明書のフィルター処理を含む EAP TLS XML のプロパティについて説明します。
注
PEAP または TTLS プロファイルの場合、EAP TLS XML は一部の PEAP または TTLS 固有の要素に埋め込まれています。
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
<!--The above property defines the Method type for EAP, 13 means EAP TLS -->
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
<!--The 3 properties above define the method publishers, this is seen primarily in 3rd party Vendor methods.-->
<!-- For Microsoft EAP TLS the value of the above fields will always be 0 -->
</EapMethod>
<!-- Now that the EAP Method is Defined we will go into the Configuration -->
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>13</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
<CredentialsSource>
<!-- Credential Source can be either CertificateStore or SmartCard -->
<CertificateStore>
<SimpleCertSelection>true</SimpleCertSelection>
<!--SimpleCertSelection automatically selects a cert if there are mutiple identical (Same UPN, Issuer, etc.) certs.-->
<!--It uses a combination of rules to select the right cert-->
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<!-- ServerValidation fields allow for checks on whether the server being connected to and the server cert being used are trusted -->
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
<ServerNames/>
</ServerValidation>
<DifferentUsername>false</DifferentUsername>
<PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
<AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
<TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
<!-- For filtering the relevant information is below -->
<FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
<CAHashList Enabled="true">
<!-- The above implies that you want to filter by Issuer Hash -->
<IssuerHash>ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff
<!-- Issuing certs thumbprint goes here-->
</IssuerHash>
<!-- You can add multiple entries and it will find the list of certs that have at least one of these certs in its chain-->
</CAHashList>
<EKUMapping>
<!-- This section defines Custom EKUs that you may be adding-->
<!-- You do not need this section if you do not have custom EKUs -->
<!-- You can have multiple EKUs defined here and then referenced below as shown -->
<EKUMap>
<EKUName>
<!--Add a friendly Name for an EKU here for example -->ContostoITEKU</EKUName>
<EKUOID>
<!--Add the OID Value your CA adds to the certificate here, for example -->1.3.6.1.4.1.311.42.1.15</EKUOID>
</EKUMap>
<!-- All the EKU Names referenced in the example below must first be defined here
<EKUMap>
<EKUName>Example1</EKUName>
<EKUOID>2.23.133.8.3</EKUOID>
</EKUMap>
<EKUMap>
<EKUName>Example2</EKUName>
<EKUOID>1.3.6.1.4.1.311.20.2.1</EKUOID>
</EKUMap>
-->
</EKUMapping>
<ClientAuthEKUList Enabled="true">
<!-- The above implies that you want certs with Client Authentication EKU to be used for authentication -->
<EKUMapInList>
<!-- This section implies that the certificate should have the following custom EKUs in addition to the Client Authentication EKU -->
<EKUName>
<!--Use the name from the EKUMap Field above-->ContostoITEKU</EKUName>
</EKUMapInList>
<!-- You can have multiple Custom EKUs mapped here, Each additional EKU will be processed with an AND operand -->
<!-- For example, Client Auth EKU AND ContosoITEKU AND Example1 etc. -->
<EKUMapInList>
<EKUName>Example1</EKUName>
</EKUMapInList>
</ClientAuthEKUList>
<AllPurposeEnabled>true</AllPurposeEnabled>
<!-- Implies that a certificate with the EKU field = 0 will be selected -->
<AnyPurposeEKUList Enabled="true"/>
<!-- Implies that a certificate with the EKU oid Value of 1.3.6.1.4.1.311.10.12.1 will be selected -->
<!-- Like for Client Auth you can also add Custom EKU properties with AnyPurposeEKUList (but not with AllPurposeEnabled) -->
<!-- So here is what the above policy implies.
The certificate selected will have
Issuer Thumbprint = ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff
AND
((Client Authentication EKU AND ContosoITEKU) OR (AnyPurposeEKU) OR AllPurpose Certificate)
Any certificate(s) that match these criteria will be utilised for authentication
-->
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>
注
EAP TLS XSD は %systemdrive%\Windows\schemas\EAPMethods\eaptlsconnectionpropertiesv3.xsd にあります
または、次の手順を使用して EAP 構成 XML を作成することもできます。
EAP 構成の手順 1 から 7 に従います。
[Microsoft VPN SelfHost のプロパティ] ダイアログ ボックスで、ドロップダウン メニューから [ Microsoft: スマート カード] またはその他の [証明書 ] を選択します (このドロップダウン メニューでは EAP TLS を選択します)。
注
PEAP または TTLS の場合は、適切な方法を選択し、この手順に従います。
ドロップダウン メニューの下にある [ プロパティ ] ボタンを選択します。
[ スマート カード] またはその他の [証明書のプロパティ ] メニューで、[ 詳細設定 ] ボタンを選択します。
[ 証明書の選択の構成 ] メニューで、必要に応じてフィルターを調整します。
[OK] を選択してウィンドウを閉じ、[メイン
rasphone.exe] ダイアログ ボックスに戻ります。rasphone ダイアログ ボックスを閉じます。
手順 9 の EAP 構成 の手順に従って、適切なフィルター処理を使用して EAP TLS プロファイルを取得します。
注
また、この UI を使用して、他のすべての該当する EAP プロパティを設定することもできます。 これらのプロパティの意味については、「 ネットワーク アクセス用の拡張認証プロトコル (EAP)」を参照してください。
MDM クライアントは、クライアントが WNS チャネル URI を更新した後、MDM サーバーとすぐにチェックします
MDM クライアントが WNS チャネル URI を自動的に更新すると、MDM クライアントはすぐに MDM サーバーと共にチェックされます。 そのため、MDM クライアント チェックごとに、MDM サーバーは"ProviderID/Push/ChannelURI" の GET 要求を送信して最新のチャネル URI を取得し、既存のチャネル URI と比較し、必要に応じてチャネル URI を更新する必要があります。
参加済みデバイスでのユーザー プロビジョニングエラー Microsoft Entra
Microsoft Entra参加済みデバイスの場合、ユーザーがMicrosoft Entra ユーザーとしてログインしていない場合、.\Userリソースのプロビジョニングは失敗します。
設定>System>About ユーザー インターフェイスからMicrosoft Entra IDに参加しようとすると、MDM サーバーから組織の構成を取得するために、Microsoft Entra資格情報でサインアウトしてサインインするようにしてください。 この動作は仕様です。
Kerberos 認証にも使用される VPN 証明書に関する注意事項
VPN 認証にも使用する証明書を Kerberos 認証に使用する場合 (NTLM または Kerberos を使用してオンプレミス リソースにアクセスする必要がある場合は必須)、ユーザーの証明書がスマート カード証明書の要件を満たしている必要があります。サブジェクト フィールドには DN に DNS ドメイン名が含まれている必要があります。SAN には完全修飾 UPN が含まれている必要があります。DC を DNS 登録から見つけられます。 これらの要件を満たしていない証明書を VPN に使用すると、ユーザーは Kerberos 認証を必要とするリソースにアクセスできない可能性があります。
プッシュ ボタン リセットのデバイス管理エージェントが機能しない
プッシュ ボタン リセット用の DM エージェントは、OMA DM セッションのレジストリ設定を保持しますが、タスク スケジュールを削除します。 クライアント登録は保持されますが、MDM サービスと同期されることはありません。