モバイル デバイスの登録

• 適用対象:

  ✅ Windows 11, ✅ Windows 10

モバイル デバイス登録は、エンタープライズ管理の最初のフェーズです。 デバイスは、登録プロセス中にセキュリティ上の注意を使用して MDM サーバーと通信するように構成されています。 登録サービスは、認証されたデバイスと承認されたデバイスのみが企業によって管理されていることを確認します。

登録プロセスには、次の手順が含まれます。

1. 登録エンドポイントの検出: この手順では、登録エンドポイントの構成設定を提供します。
2. 証明書のインストール: この手順では、ユーザー認証、証明書の生成、および証明書のインストールを処理します。 インストールされた証明書は、今後、クライアント/サーバー (TLS/SSL) 相互認証を管理するために使用されます。
3. DM クライアント プロビジョニング: この手順では、HTTPS 経由の DM SyncML (Open Mobile Alliance デバイス管理 (OMA DM) XML とも呼ばれます) 経由で登録した後にモバイル デバイス管理 (MDM) サーバーに接続するように、デバイス管理 (DM) クライアントを構成します。

登録プロトコル

すべてのプラットフォームでさまざまなシナリオをより適切にサポートするために、登録プロトコルに多くの変更が加えられています。 モバイル デバイス登録プロトコルの詳細については、次を参照してください。

• [MS-MDM]: モバイル デバイス管理 プロトコル。
• [MS-MDE2]: モバイル デバイス登録プロトコル バージョン 2。

登録プロセスには、次の手順が含まれます。

検出要求

検出要求は、HTTP 経由で XML を返す単純な HTTP ポスト呼び出しです。 返される XML には、認証 URL、管理サービス URL、およびユーザー資格情報の種類が含まれます。

証明書登録ポリシー

証明書登録ポリシーの構成は、MS-XCEP プロトコルの実装であり、[MS-XCEP]: X.509 証明書登録ポリシー プロトコルの仕様に記載されています。 仕様のセクション 4 では、ポリシーの要求と応答の例を示します。 X.509 証明書登録ポリシー プロトコルは、1 つのクライアント要求メッセージ (GetPolicies) と一致するサーバー応答メッセージ (GetPoliciesResponse) を含む最小限のメッセージング プロトコルです。

詳細については、「[MS-XCEP]: X.509 証明書登録ポリシー プロトコル」を参照してください。

証明書の登録

証明書の登録は、MS-WSTEP プロトコルの実装です。

管理構成

サーバーは、サーバー証明書 (TLS/SSL サーバー認証用)、エンタープライズ CA によって発行されたクライアント証明書、DM クライアント ブートストラップ情報 (クライアントが管理サーバーと通信するため)、エンタープライズ アプリケーション トークン (ユーザーがエンタープライズ アプリケーションをインストールするための)、および Company Hub アプリケーションをダウンロードするためのリンクを含むプロビジョニング XML を送信します。

次の記事では、さまざまな認証方法を使用したエンドツーエンドの登録プロセスについて説明します。

• フェデレーション認証デバイスの登録
• 証明書認証デバイスの登録
• オンプレミス認証デバイスの登録

注

ベスト プラクティスとして、次のような値にハードコーディングされたサーバー側チェックを使用しないでください。

• ユーザー エージェント文字列
• 登録中に渡される固定 URI
• デバイス ID の形式など、特に明記されていない限り、任意の値の特定の書式設定。

ドメイン参加済みデバイスの登録サポート

オンプレミスの Active Directoryに参加しているデバイスは、[設定][職場または学校へのアクセス] > を使用して MDM に登録できます。 ただし、登録は、ユーザー固有のポリシーで登録されたユーザーのみを対象にすることができます。 デバイスを対象とするポリシーは、引き続きデバイスのすべてのユーザーを対象とします。

登録シナリオはサポートされていません

次のシナリオでは、MDM 登録は許可されません。

• Windows デスクトップ上の組み込みの管理者アカウントを MDM に登録することはできません。
• 標準ユーザーは MDM に登録できません。 登録できるのは管理者ユーザーだけです。

MDM 登録を無効にする

IT 管理者は、[MDM 登録の無効化] グループ ポリシーを使用して、ドメイン参加済み PC の MDM 登録を無効にすることができます 。

グループ ポリシー パス: コンピューター構成>管理テンプレート>Windows コンポーネント>MDM MDM>登録を無効にします。 対応するレジストリ キー: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)

登録エラー メッセージ

登録サーバーは、SOAP Fault 形式を使用して登録メッセージを拒否できます。 作成されたエラーは、次のように送信できます。

<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
    <s:header>
        <a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
        <activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
        <a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
    </s:header>
    <s:body>
        <s:fault>
            <s:code>
                <s:value>s:receiver</s:value>
                <s:subcode>
                    <s:value>s:authorization</s:value>
                </s:subcode>
            </s:code>
            <s:reason>
                <s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
            </s:reason>
        </s:fault>
    </s:body>
</s:envelope>

サンプル エラー メッセージ:

名前空間	サブコード	エラー	説明	HRESULT
S：	MessageFormat	MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR	モバイル デバイス管理 (MDM) サーバーからの無効なメッセージ。	80180001
S：	認証	MENROLL_E_DEVICE_AUTHENTICATION_ERROR	Mobile デバイス管理 (MDM) サーバーがユーザーの認証に失敗しました。 もう一度やり直すか、システム管理者にお問い合わせください。	80180002
S：	Authorization	MENROLL_E_DEVICE_AUTHORIZATION_ERROR	ユーザーが Mobile デバイス管理 (MDM) に登録する権限がありません。 もう一度やり直すか、システム管理者にお問い合わせください。	80180003
S：	CertificateRequest	MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR	ユーザーが証明書テンプレートに対するアクセス許可を持っていないか、証明機関に到達できません。 もう一度やり直すか、システム管理者にお問い合わせください。	80180004
S：	EnrollmentServer	MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR	Mobile デバイス管理 (MDM) サーバーでエラーが発生しました。 もう一度やり直すか、システム管理者にお問い合わせください。	80180005
A：	InternalServiceFault	MENROLL_E_DEVICE_INTERNALSERVICE_ERROR	Mobile デバイス管理 (MDM) サーバーで未処理の例外が発生しました。 もう一度やり直すか、システム管理者にお問い合わせください。	80180006
A：	InvalidSecurity	MENROLL_E_DEVICE_INVALIDSECURITY_ERROR	Mobile デバイス管理 (MDM) サーバーでアカウントを検証できませんでした。 もう一度やり直すか、システム管理者にお問い合わせください。	80180007

SOAP 形式には、要素も含まれます deviceenrollmentserviceerror 。 以下に例を示します。

<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
    <s:header>
        <a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
        <activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
        <a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
    </s:header>
    <s:body>
        <s:fault>
            <s:code>
                <s:value>s:receiver</s:value>
                <s:subcode>
                    <s:value>s:authorization</s:value>
                </s:subcode>
            </s:code>
            <s:reason>
                <s:text xml:lang="en-us">device cap reached</s:text>
            </s:reason>
            <s:detail>
                <deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
                    <errortype>devicecapreached</errortype>
                    <message>device cap reached</message>
                    <traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
                </deviceenrollmentserviceerror>
            </s:detail>
        </s:fault>
    </s:body>
</s:envelope>

サンプル エラー メッセージ:

サブコード	エラー	説明	HRESULT
DeviceCapReached	MENROLL_E_DEVICECAPREACHED	アカウントにモバイル デバイス管理 (MDM) に登録されているデバイスが多すぎます。 古いデバイスを削除または登録解除して、このエラーを解決します。	80180013
DeviceNotSupported	MENROLL_E_DEVICENOTSUPPORTED	Mobile デバイス管理 (MDM) サーバーでは、このプラットフォームまたはバージョンがサポートされていません。デバイスのアップグレードを検討してください。	80180014
NotSupported	MENROLL_E_NOT_SUPPORTED	モバイル デバイス管理 (MDM) は一般に、このデバイスではサポートされていません。	80180015
NotEligibleToRenew	MENROLL_E_NOTELIGIBLETORENEW	デバイスが Mobile デバイス管理 (MDM) 証明書を更新しようとしていますが、サーバーは要求を拒否しました。 デバイスの更新スケジュールを確認します。	80180016
InMaintenance	MENROLL_E_INMAINTENANCE	Mobile デバイス管理 (MDM) サーバーは、アカウントがメンテナンス中であることを示し、後でやり直してください。	80180017
UserLicense	MENROLL_E_USER_LICENSE	Mobile デバイス管理 (MDM) ユーザー ライセンスにエラーが発生しました。 システム管理者に問い合わせてください。	80180018
InvalidEnrollmentData	MENROLL_E_ENROLLMENTDATAINVALID	Mobile デバイス管理 (MDM) サーバーは登録データを拒否しました。 サーバーが正しく構成されていない可能性があります。	80180019

TraceID は、ログに記録されるフリーフォーム テキスト ノードです。 この登録試行のサーバー側の状態を識別する必要があります。 この情報は、サーバーが登録を拒否した理由を検索するためにサポートによって使用される場合があります。

関連記事

• Windows ベースのデバイスの MDM 登録
• フェデレーション認証デバイスの登録
• 証明書認証デバイスの登録
• オンプレミス認証デバイスの登録