次の方法で共有


モバイル デバイスの登録

モバイル デバイス登録は、エンタープライズ管理の最初のフェーズです。 デバイスは、登録プロセス中にセキュリティ上の注意を使用して MDM サーバーと通信するように構成されています。 登録サービスは、認証されたデバイスと承認されたデバイスのみが企業によって管理されていることを確認します。

登録プロセスには、次の手順が含まれます。

  1. 登録エンドポイントの検出: この手順では、登録エンドポイントの構成設定を提供します。
  2. 証明書のインストール: この手順では、ユーザー認証、証明書の生成、および証明書のインストールを処理します。 インストールされた証明書は、今後、クライアント/サーバー (TLS/SSL) 相互認証を管理するために使用されます。
  3. DM クライアント プロビジョニング: この手順では、HTTPS 経由の DM SyncML (Open Mobile Alliance Device Management (OMA DM) XML とも呼ばれます) 経由で登録した後にモバイル デバイス管理 (MDM) サーバーに接続するようにデバイス管理 (DM) クライアントを構成します。

登録プロトコル

すべてのプラットフォームでさまざまなシナリオをより適切にサポートするために、登録プロトコルに多くの変更が加えられています。 モバイル デバイス登録プロトコルの詳細については、次を参照してください。

登録プロセスには、次の手順が含まれます。

検出要求

検出要求は、HTTP 経由で XML を返す単純な HTTP ポスト呼び出しです。 返される XML には、認証 URL、管理サービス URL、およびユーザー資格情報の種類が含まれます。

証明書登録ポリシー

証明書登録ポリシーの構成は、MS-XCEP プロトコルの実装であり、[MS-XCEP]: X.509 証明書登録ポリシー プロトコルの仕様に記載されています。 仕様のセクション 4 では、ポリシーの要求と応答の例を示します。 X.509 証明書登録ポリシー プロトコルは、1 つのクライアント要求メッセージ (GetPolicies) と一致するサーバー応答メッセージ (GetPoliciesResponse) を含む最小限のメッセージング プロトコルです。

詳細については、「[MS-XCEP]: X.509 証明書登録ポリシー プロトコル」を参照してください。

証明書の登録

証明書の登録は、MS-WSTEP プロトコルの実装です。

管理構成

サーバーは、サーバー証明書 (TLS/SSL サーバー認証用)、エンタープライズ CA によって発行されたクライアント証明書、DMClient ブートストラップ情報 (クライアントが管理サーバーと通信するため)、エンタープライズ アプリケーション トークン (ユーザーがエンタープライズ アプリケーションをインストールするための)、および Company Hub アプリケーションをダウンロードするためのリンクを含むプロビジョニング XML を送信します。

次の記事では、さまざまな認証方法を使用したエンドツーエンドの登録プロセスについて説明します。

ベスト プラクティスとして、次のような値にハードコーディングされたサーバー側チェックを使用しないでください。

  • ユーザー エージェント文字列
  • 登録中に渡される固定 URI
  • デバイス ID の形式など、特に明記されていない限り、任意の値の特定の書式設定。

ドメイン参加済みデバイスの登録サポート

オンプレミスの Active Directory に参加しているデバイスは 、設定>職場または学校にアクセスして MDM に登録できます。 ただし、登録は、ユーザー固有のポリシーで登録されたユーザーのみを対象にすることができます。 デバイスを対象とするポリシーは、引き続きデバイスのすべてのユーザーを対象とします。

登録シナリオはサポートされていません

次のシナリオでは、MDM 登録は許可されません。

  • Windows デスクトップ上の組み込みの管理者アカウントを MDM に登録することはできません。
  • 標準ユーザーは MDM に登録できません。 登録できるのは管理者ユーザーだけです。

MDM 登録を無効にする

IT 管理者は、[MDM 登録の無効化] グループ ポリシーを使用して、ドメイン参加済み PC の MDM 登録を無効にすることができます

グループ ポリシー パス: コンピューターの構成>管理用テンプレート>Windows コンポーネント>MDM>Disable MDM 登録。 対応するレジストリ キー: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)

GP エディターで MDM 登録ポリシーを無効にします。

登録エラー メッセージ

登録サーバーは、SOAP Fault 形式を使用して登録メッセージを拒否できます。 作成されたエラーは、次のように送信できます。

<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
    <s:header>
        <a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
        <activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
        <a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
    </s:header>
    <s:body>
        <s:fault>
            <s:code>
                <s:value>s:receiver</s:value>
                <s:subcode>
                    <s:value>s:authorization</s:value>
                </s:subcode>
            </s:code>
            <s:reason>
                <s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
            </s:reason>
        </s:fault>
    </s:body>
</s:envelope>

サンプル エラー メッセージ:

名前空間 サブコード エラー 説明 HRESULT
s: MessageFormat MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR モバイル デバイス管理 (MDM) サーバーからのメッセージが無効です。 80180001
s: 認証 MENROLL_E_DEVICE_AUTHENTICATION_ERROR モバイル デバイス管理 (MDM) サーバーがユーザーの認証に失敗しました。 もう一度やり直すか、システム管理者にお問い合わせください。 80180002
s: Authorization MENROLL_E_DEVICE_AUTHORIZATION_ERROR ユーザーはモバイル デバイス管理 (MDM) に登録する権限がありません。 もう一度やり直すか、システム管理者にお問い合わせください。 80180003
s: CertificateRequest MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR ユーザーが証明書テンプレートに対するアクセス許可を持っていないか、証明機関に到達できません。 もう一度やり直すか、システム管理者にお問い合わせください。 80180004
s: EnrollmentServer MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR モバイル デバイス管理 (MDM) サーバーでエラーが発生しました。 もう一度やり直すか、システム管理者にお問い合わせください。 80180005
ある: InternalServiceFault MENROLL_E_DEVICE_INTERNALSERVICE_ERROR モバイル デバイス管理 (MDM) サーバーで未処理の例外が発生しました。 もう一度やり直すか、システム管理者にお問い合わせください。 80180006
ある: InvalidSecurity MENROLL_E_DEVICE_INVALIDSECURITY_ERROR モバイル デバイス管理 (MDM) サーバーでアカウントを検証できませんでした。 もう一度やり直すか、システム管理者にお問い合わせください。 80180007

SOAP 形式には、 deviceenrollmentserviceerror 要素も含まれています。 以下に例を示します。

<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
    <s:header>
        <a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
        <activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
        <a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
    </s:header>
    <s:body>
        <s:fault>
            <s:code>
                <s:value>s:receiver</s:value>
                <s:subcode>
                    <s:value>s:authorization</s:value>
                </s:subcode>
            </s:code>
            <s:reason>
                <s:text xml:lang="en-us">device cap reached</s:text>
            </s:reason>
            <s:detail>
                <deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
                    <errortype>devicecapreached</errortype>
                    <message>device cap reached</message>
                    <traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
                </deviceenrollmentserviceerror>
            </s:detail>
        </s:fault>
    </s:body>
</s:envelope>

サンプル エラー メッセージ:

サブコード エラー 説明 HRESULT
DeviceCapReached MENROLL_E_DEVICECAPREACHED アカウントにモバイル デバイス管理 (MDM) に登録されているデバイスが多すぎます。 古いデバイスを削除または登録解除して、このエラーを解決します。 80180013
DeviceNotSupported MENROLL_E_DEVICENOTSUPPORTED モバイル デバイス管理 (MDM) サーバーでは、このプラットフォームまたはバージョンがサポートされていません。デバイスのアップグレードを検討してください。 80180014
NotSupported MENROLL_E_NOT_SUPPORTED モバイル デバイス管理 (MDM) は、通常、このデバイスではサポートされていません。 80180015
NotEligibleToRenew MENROLL_E_NOTELIGIBLETORENEW デバイスがモバイル デバイス管理 (MDM) 証明書を更新しようとしていますが、サーバーは要求を拒否しました。 デバイスの更新スケジュールを確認します。 80180016
InMaintenance MENROLL_E_INMAINTENANCE モバイル デバイス管理 (MDM) サーバーは、アカウントがメンテナンス中であることを示し、後でやり直してください。 80180017
UserLicense MENROLL_E_USER_LICENSE モバイル デバイス管理 (MDM) ユーザー ライセンスにエラーが発生しました。 システム管理者に問い合わせてください。 80180018
InvalidEnrollmentData MENROLL_E_ENROLLMENTDATAINVALID モバイル デバイス管理 (MDM) サーバーが登録データを拒否しました。 サーバーが正しく構成されていない可能性があります。 80180019

TraceID は、ログに記録されるフリーフォーム テキスト ノードです。 この登録試行のサーバー側の状態を識別する必要があります。 この情報は、サーバーが登録を拒否した理由を検索するためにサポートによって使用される場合があります。