모바일 장치 등록
모바일 디바이스 등록은 엔터프라이즈 관리의 첫 번째 단계입니다. 디바이스는 등록 프로세스 중에 보안 예방 조치를 사용하여 MDM 서버와 통신하도록 구성됩니다. 등록 서비스는 인증된 디바이스와 권한 있는 디바이스만 엔터프라이즈에서 관리되는지 확인합니다.
등록 프로세스에는 다음 단계가 포함됩니다.
- 등록 엔드포인트 검색: 이 단계에서는 등록 엔드포인트 구성 설정을 제공합니다.
- 인증서 설치: 이 단계에서는 사용자 인증, 인증서 생성 및 인증서 설치를 처리합니다. 설치된 인증서는 나중에 클라이언트/서버(TLS/SSL) 상호 인증을 관리하는 데 사용됩니다.
- DM 클라이언트 프로비저닝: 이 단계에서는 DM SyncML을 통해 HTTPS(OMA DM(Open Mobile Alliance Device Management) XML이라고도 함)를 통해 등록한 후 MDM(모바일 디바이스 관리) 서버에 연결하도록 DM(디바이스 관리) 클라이언트를 구성합니다.
등록 프로토콜
모든 플랫폼에서 다양한 시나리오를 더 잘 지원하기 위해 등록 프로토콜을 여러 번 변경했습니다. 모바일 디바이스 등록 프로토콜에 대한 자세한 내용은 다음을 참조하세요.
등록 프로세스에는 다음 단계가 포함됩니다.
검색 요청
검색 요청은 HTTP를 통해 XML을 반환하는 간단한 HTTP 사후 호출입니다. 반환된 XML에는 인증 URL, 관리 서비스 URL 및 사용자 자격 증명 유형이 포함됩니다.
인증서 등록 정책
인증서 등록 정책 구성은 [MS-XCEP]: X.509 인증서 등록 정책 프로토콜 사양에 설명된 MS-XCEP 프로토콜의 구현입니다. 사양의 섹션 4는 정책 요청 및 응답의 예를 제공합니다. X.509 인증서 등록 정책 프로토콜은 일치하는 서버 응답 메시지(GetPoliciesResponse)가 있는 단일 클라이언트 요청 메시지(GetPolicies)를 포함하는 최소 메시징 프로토콜입니다.
자세한 내용은 [MS-XCEP]: X.509 인증서 등록 정책 프로토콜을 참조하세요.
인증서 등록
인증서 등록은 MS-WSTEP 프로토콜의 구현입니다.
관리 구성
서버는 서버 인증서(TLS/SSL 서버 인증의 경우), 엔터프라이즈 CA에서 발급한 클라이언트 인증서, DMClient 부트스트랩 정보(클라이언트가 관리 서버와 통신하는 경우), 엔터프라이즈 애플리케이션 토큰(사용자가 엔터프라이즈 애플리케이션을 설치할 수 있음) 및 회사 허브 애플리케이션을 다운로드하는 링크가 포함된 프로비저닝 XML을 보냅니다.
다음 문서에서는 다양한 인증 방법을 사용하는 엔드 투 엔드 등록 프로세스에 대해 설명합니다.
참고
모범 사례로 다음과 같은 값에 대해 하드 코딩된 서버 쪽 검사를 사용하지 마세요.
- 사용자 에이전트 문자열
- 등록 중에 전달되는 고정 URI
- 디바이스 ID의 형식과 같이 달리 명시되지 않는 한 모든 값의 특정 서식입니다.
도메인에 가입된 디바이스에 대한 등록 지원
온-프레미스 Active Directory에 조인된 디바이스는 설정>액세스 회사 또는 학교를 통해 MDM에 등록할 수 있습니다. 그러나 등록은 사용자별 정책을 사용하여 등록된 사용자만 대상으로 지정할 수 있습니다. 디바이스 대상 정책은 디바이스의 모든 사용자를 계속 대상으로 합니다.
등록 시나리오가 지원되지 않음
다음 시나리오에서는 MDM 등록을 허용하지 않습니다.
- Windows 데스크톱의 기본 제공 관리자 계정은 MDM에 등록할 수 없습니다.
- 표준 사용자는 MDM에 등록할 수 없습니다. 관리자 사용자만 등록할 수 있습니다.
MDM 등록 사용 안 함
IT 관리자는 MDM 등록 그룹 사용 안 함 정책을 사용하여 도메인에 가입된 PC에 대해 MDM 등록을 사용하지 않도록 설정할 수 있습니다.
그룹 정책 경로: 컴퓨터 구성>관리 템플릿>Windows 구성 요소>MDM MDM>등록을 사용하지 않도록 설정합니다.
해당 레지스트리 키: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)
등록 오류 메시지
등록 서버는 SOAP 오류 형식을 사용하여 등록 메시지를 거부할 수 있습니다. 생성된 오류는 다음과 같이 보낼 수 있습니다.
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
</s:reason>
</s:fault>
</s:body>
</s:envelope>
샘플 오류 메시지:
| 네임스페이스 | 하위 | 오류 | 설명 | HRESULT |
|---|---|---|---|---|
| s: | MessageFormat | MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR | MDM(모바일 디바이스 관리) 서버의 잘못된 메시지입니다. | 80180001 |
| s: | Authentication | MENROLL_E_DEVICE_AUTHENTICATION_ERROR | MDM(모바일 디바이스 관리) 서버가 사용자를 인증하지 못했습니다. 다시 시도하거나 시스템 관리자에게 문의하세요. | 80180002 |
| s: | 권한 부여 | MENROLL_E_DEVICE_AUTHORIZATION_ERROR | 사용자에게 MDM(모바일 디바이스 관리)에 등록할 권한이 없습니다. 다시 시도하거나 시스템 관리자에게 문의하세요. | 80180003 |
| s: | CertificateRequest | MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR | 사용자에게 인증서 템플릿에 대한 권한이 없거나 인증 기관에 연결할 수 없습니다. 다시 시도하거나 시스템 관리자에게 문의하세요. | 80180004 |
| s: | EnrollmentServer | MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR | MDM(모바일 디바이스 관리) 서버에 오류가 발생했습니다. 다시 시도하거나 시스템 관리자에게 문의하세요. | 80180005 |
| a: | InternalServiceFault | MENROLL_E_DEVICE_INTERNALSERVICE_ERROR | MDM(모바일 디바이스 관리) 서버에 처리되지 않은 예외가 발생했습니다. 다시 시도하거나 시스템 관리자에게 문의하세요. | 80180006 |
| a: | InvalidSecurity | MENROLL_E_DEVICE_INVALIDSECURITY_ERROR | MDM(모바일 디바이스 관리) 서버에서 계정의 유효성을 검사할 수 없습니다. 다시 시도하거나 시스템 관리자에게 문의하세요. | 80180007 |
SOAP 형식에는 요소도 포함됩니다 deviceenrollmentserviceerror . 예를 들면 다음과 같습니다.
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">device cap reached</s:text>
</s:reason>
<s:detail>
<deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
<errortype>devicecapreached</errortype>
<message>device cap reached</message>
<traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
</deviceenrollmentserviceerror>
</s:detail>
</s:fault>
</s:body>
</s:envelope>
샘플 오류 메시지:
| 하위 | 오류 | 설명 | HRESULT |
|---|---|---|---|
| DeviceCapReached | MENROLL_E_DEVICECAPREACHED | 계정에 MDM(모바일 디바이스 관리)에 등록된 디바이스가 너무 많습니다. 이 오류를 해결하려면 이전 디바이스를 삭제하거나 등록 취소합니다. | 80180013 |
| DeviceNotSupported | MENROLL_E_DEVICENOTSUPPORTED | MDM(모바일 디바이스 관리) 서버는 이 플랫폼 또는 버전을 지원하지 않습니다. 디바이스를 업그레이드하는 것이 좋습니다. | 80180014 |
| NotSupported | MENROLL_E_NOT_SUPPORTED | MDM(모바일 디바이스 관리)은 일반적으로 이 디바이스에 대해 지원되지 않습니다. | 80180015 |
| NotEligibleToRenew | MENROLL_E_NOTELIGIBLETORENEW | 디바이스가 MDM(모바일 디바이스 관리) 인증서를 갱신하려고 했지만 서버에서 요청을 거부했습니다. 디바이스에서 갱신 일정을 확인합니다. | 80180016 |
| InMaintenance | MENROLL_E_INMAINTENANCE | MDM(모바일 디바이스 관리) 서버는 계정이 유지 관리 중이라고 표시하고 나중에 다시 시도합니다. | 80180017 |
| UserLicense | MENROLL_E_USER_LICENSE | MDM(모바일 디바이스 관리) 사용자 라이선스에 오류가 발생했습니다. 시스템 관리자에게 문의하세요. | 80180018 |
| InvalidEnrollmentData | MENROLL_E_ENROLLMENTDATAINVALID | MDM(모바일 디바이스 관리) 서버가 등록 데이터를 거부했습니다. 서버를 올바르게 구성하지 못할 수 있습니다. | 80180019 |
TraceID는 기록되는 자유형 텍스트 노드입니다. 이 등록 시도의 서버 쪽 상태를 식별해야 합니다. 이 정보는 지원에서 서버가 등록을 거부한 이유를 조회하는 데 사용할 수 있습니다.