интеграция Microsoft Entra с MDM

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Microsoft Entra ID является крупнейшей в мире корпоративной облачной службой управления удостоверениями. Он используется организациями для доступа к Microsoft 365 и бизнес-приложениям от корпорации Майкрософт и сторонних поставщиков программного обеспечения как услуги (SaaS). Многие возможности Windows для корпоративных пользователей (например, доступ к хранилищу или перемещение состояния ОС) используют Microsoft Entra ID в качестве базовой инфраструктуры удостоверений. Windows интегрируется с Microsoft Entra ID, позволяя зарегистрировать устройства в Microsoft Entra ID и зарегистрировать в MDM в интегрированном потоке.

После регистрации устройства в MDM:

  • Может обеспечить соответствие политикам организации, добавлять или удалять приложения и т. д.
  • Может сообщать о соответствии устройства в Microsoft Entra ID.
  • Microsoft Entra ID может разрешить доступ к ресурсам организации или приложениям, защищенным Microsoft Entra ID устройствам, которые соответствуют политикам.

Для поддержки этих возможностей с помощью своего продукта MDM поставщики MDM могут интегрироваться с Microsoft Entra ID.

Интеграция регистрации MDM и пользовательского интерфейса

Существует несколько способов подключения устройств к Microsoft Entra ID:

В каждом сценарии Microsoft Entra проверяет подлинность пользователя и устройства. Он предоставляет проверенный уникальный идентификатор устройства, который можно использовать для регистрации MDM. Поток регистрации предоставляет службе MDM возможность отрисовки собственного пользовательского интерфейса с помощью веб-представления. Поставщики MDM должны использовать пользовательский интерфейс для отображения условий использования (TOU), которые могут отличаться для устройств, принадлежащих компании и byOD. Поставщики MDM также могут использовать веб-представление для отображения дополнительных элементов пользовательского интерфейса, таких как запрос одноразового ПИН-кода.

В Windows 10 веб-представление во время стандартного сценария по умолчанию отображается в полноэкранном режиме, предоставляя поставщикам MDM возможность создания простого взаимодействия с пользователем между пограничными устройствами. Однако в Windows 11 веб-представление отображается в iframe. Важно, чтобы поставщики MDM, которые интегрируются с Microsoft Entra ID соблюдали рекомендации по проектированию Windows. Этот шаг включает использование адаптивного веб-дизайна и соблюдение рекомендаций по специальным возможностям Windows. Например, включите кнопки вперед и назад, которые правильно подключены к логике навигации. Дополнительные сведения см. далее в этой статье.

Чтобы регистрация Microsoft Entra работала для учетной записи Microsoft Entra федерации Active Directory (AD FS), необходимо включить проверку подлинности по паролю для интрасети в службе ADFS. Дополнительные сведения см. в статье Настройка Azure MFA в качестве поставщика проверки подлинности с помощью AD FS.

Когда у пользователя есть учетная запись Microsoft Entra, добавленная в Windows и зарегистрированная в MDM, регистрация может управляться с помощью параметров Учетные>>записиДоступ к рабочей или учебной среде. Управление устройствами Microsoft Entra присоединение для сценариев организации или BYOD аналогично.

Примечание.

Пользователи не могут удалить регистрацию устройства с помощью рабочего или учебного пользовательского интерфейса Access, так как управление привязано к Microsoft Entra ID или рабочей учетной записи.

Конечные точки MDM, участвующие в Microsoft Entra интегрированной регистрации

Microsoft Entra регистрация MDM состоит из двух этапов:

  1. Отображение условий использования и получение согласия пользователя. Это согласие является пассивным потоком, в котором пользователь перенаправляется в элементе управления браузера (webview) на URL-адрес условий использования MDM.
  2. Регистрация устройства. Этот шаг является активным потоком, в котором агент Windows OMA DM вызывает службу MDM для регистрации устройства.

Для поддержки Microsoft Entra регистрации поставщики MDM должны размещать и предоставлять конечную точку условий использования и конечную точку регистрации MDM.

  • Конечная точка условий использования. Используйте эту конечную точку для информирования пользователей о способах, которыми их организация может управлять устройством. Страница "Условия использования " отвечает за сбор согласия пользователя до начала фактического этапа регистрации.

    Важно понимать, что поток условий использования является "непрозрачным полем" для Windows и Microsoft Entra ID. Все веб-представление перенаправляется на URL-адрес условий использования. Пользователь должен быть перенаправлен обратно после утверждения или отклонения Условий. Такая конструкция позволяет поставщику MDM настраивать условия использования для различных сценариев. Например, различные уровни управления применяются к устройствам BYOD и устройствам, принадлежащим организации. Или реализуйте нацеливание на основе пользователей или групп, например пользователи в определенных географических регионах могут иметь более строгие политики управления устройствами.

    Конечная точка "Условия использования" позволяет реализовать дополнительную бизнес-логику, например собирать одноразовый ПИН-код, предоставляемый ИТ-службой для управления регистрацией устройств. Однако поставщики MDM не должны использовать поток условий использования для сбора учетных данных пользователя, что может привести к ухудшению взаимодействия с пользователем. Он не требуется, так как часть интеграции MDM гарантирует, что служба MDM может понимать маркеры, выданные Microsoft Entra ID.

  • Конечная точка регистрации MDM. После того как пользователи примут условия использования, устройство регистрируется в Microsoft Entra ID. Начинается автоматическая регистрация MDM.

    На следующей схеме показан поток высокого уровня, участвующий в фактическом процессе регистрации. Устройство сначала регистрируется в Microsoft Entra ID. Этот процесс присваивает устройству уникальный идентификатор и предоставляет устройству возможность проверки подлинности с помощью Microsoft Entra ID (проверка подлинности устройства). Затем устройство регистрируется для управления с помощью MDM. Этот шаг вызывает конечную точку регистрации и запрашивает регистрацию для пользователя и устройства. На этом этапе пользователь прошел проверку подлинности, а устройство было зарегистрировано и прошло проверку подлинности с помощью Microsoft Entra ID. Эти сведения доступны MDM в виде утверждений в маркере доступа, представленном в конечной точке регистрации.

    поток регистрации Microsoft Entra

    Ожидается, что MDM будет использовать эти сведения об устройстве (идентификатор устройства) при отправке отчетов о соответствии устройств обратно в Microsoft Entra ID с помощью API Graph Майкрософт. Пример отчетности о соответствии устройств приведен далее в этой статье.

Сделайте MDM надежной стороной Microsoft Entra ID

Для участия в интегрированном потоке регистрации, описанном в предыдущем разделе, MDM должен использовать маркеры доступа, выданные Microsoft Entra ID. Чтобы сообщить о соответствии Microsoft Entra ID, MDM должна пройти проверку подлинности, чтобы Microsoft Entra ID и получить авторизацию в виде маркера доступа, который позволяет ему вызывать API Graph Майкрософт.

Облачные MDM

Облачный MDM — это приложение SaaS, которое предоставляет возможности управления устройствами в облаке. Это мультитенантное приложение. Это приложение зарегистрировано в Microsoft Entra ID в домашнем клиенте поставщика MDM. Когда ИТ-администратор решает использовать это решение MDM, экземпляр этого приложения становится видимым в клиенте клиента.

Поставщик MDM должен сначала зарегистрировать приложение в своем домашнем клиенте и пометить его как мультитенантное приложение. Дополнительные сведения о добавлении мультитенантных приложений в Microsoft Entra ID см. в статье Интеграция приложения, которое проверяет подлинность пользователей и вызывает Microsoft Graph с помощью шаблона saaS на сайте GitHub.

Примечание.

Если у поставщика MDM нет существующего клиента Microsoft Entra с управляемой подпиской на Microsoft Entra, выполните следующие пошаговые руководства.

Приложение MDM использует ключи для запроса маркеров доступа у Microsoft Entra ID. Эти ключи управляются в клиенте поставщика MDM и не видны отдельным клиентам. Тот же ключ используется мультитенантным приложением MDM для проверки подлинности с помощью Microsoft Entra ID в клиенте клиента, к которому принадлежит управляемое устройство.

Примечание.

Все приложения MDM должны реализовать токены Microsoft Entra версии 2, прежде чем мы сертифицируем, что интеграция работает. Из-за изменений в платформе приложений Microsoft Entra использование маркеров Microsoft Entra версии 2 является жестким требованием. Дополнительные сведения см. в разделе платформа удостоверений Майкрософт маркеров доступа.

Локальное управление мобильными устройствами

Локальное приложение MDM отличается от облачного MDM. Это однотенантное приложение, которое уникально присутствует в клиенте клиента клиента. Клиенты должны добавить приложение непосредственно в свой клиент. Кроме того, каждый экземпляр локального приложения MDM должен быть зарегистрирован отдельно и иметь отдельный ключ для проверки подлинности с помощью Microsoft Entra ID.

Чтобы добавить локальное приложение MDM в клиент, используйте службу Microsoft Entra, в частности в разделе Мобильность (MDM и MAM)>Добавление приложения>Создание собственного приложения. Администраторы могут настроить необходимые URL-адреса для регистрации и условий использования.

Локальный продукт MDM должен предоставлять интерфейс конфигурации, в котором администраторы могут указать идентификатор клиента, идентификатор приложения и ключ, настроенный в каталоге для этого приложения MDM. Этот идентификатор клиента и ключ можно использовать для запроса маркеров у Microsoft Entra ID при отправке отчетов о соответствии устройств.

Дополнительные сведения о регистрации приложений с помощью Microsoft Entra ID см. в статье Основные сведения о регистрации приложения в Microsoft Entra ID.

Рекомендации по управлению ключами и безопасности

Ключи приложений, используемые службой MDM, являются конфиденциальным ресурсом. Для повышения безопасности их следует периодически защищать и переворавывать. Маркеры доступа, полученные службой MDM для вызова API Graph Майкрософт, являются маркерами носителя и должны быть защищены, чтобы избежать несанкционированного раскрытия.

Рекомендации по обеспечению безопасности см. в статье Microsoft Azure Security Essentials.

Для облачных MDM можно переворачивать ключи приложений, не требуя взаимодействия с клиентом. Существует единый набор ключей для всех клиентов клиентов, управляемых поставщиком MDM в их Microsoft Entra клиенте.

Для локального MDM ключи проверки подлинности Microsoft Entra находятся в клиенте клиента, и администратор клиента должен перевернуть ключи. Чтобы повысить безопасность, предоставьте клиентам рекомендации по перемещению и защите ключей.

ИТ-администраторы используют коллекцию приложений Microsoft Entra, чтобы добавить MDM для своей организации. Коллекция приложений — это богатый магазин с более чем 2400 приложениями SaaS, интегрированными с Microsoft Entra ID.

Примечание.

Если ваше приложение MDM основано на облаке и должно быть включено как мультитенантное приложение MDM, обратитесь к группе разработчиков Microsoft Entra.

Чтобы опубликовать приложение, отправьте запрос на публикацию приложения в Microsoft Entra коллекции приложений.

В следующей таблице приведены необходимые сведения для создания записи в коллекции приложений Microsoft Entra.

Элемент Описание
Идентификатор приложения Идентификатор клиента приложения MDM, настроенного в клиенте. Этот идентификатор является уникальным идентификатором мультитенантного приложения.
Издатель Строка, идентифицирующая издателя приложения.
URL-адрес приложения URL-адрес целевой страницы приложения, где администраторы могут получить дополнительные сведения о приложении MDM и содержит ссылку на целевую страницу приложения. Этот URL-адрес не используется для фактической регистрации.
Описание Краткое описание приложения MDM, которое должно содержать не более 255 символов.
Значки Набор значков с логотипами для приложения MDM. Размеры: 45 x 45, 150 x 122, 214 x 215

Особых требований к добавлению локального MDM в коллекцию приложений нет. Администраторы могут добавить приложение в клиент.

Однако управление ключами отличается для локальных MDM. Необходимо получить идентификатор клиента (идентификатор приложения) и ключ, назначенный приложению MDM в клиенте клиента. Идентификатор и ключ получают авторизацию для доступа к API Graph Майкрософт и отчета о соответствии устройств.

Темы

Страницы, отображаемые MDM в процессе интегрированной регистрации, должны использовать шаблоны Windows (скачать шаблоны Windows и CSS-файлы (1.1.4)). Эти шаблоны важны для регистрации во время Microsoft Entra процесса присоединения в OOBE, где все страницы являются html-страницами от края до края. Избегайте копирования шаблонов, так как трудно правильно установить расположение кнопки.

Существует три отдельных сценария:

  1. Регистрация MDM в рамках Microsoft Entra присоединения в windows OOBE.
  2. Регистрация MDM в рамках Microsoft Entra присоединения после запуска windows OOBE из параметров.
  3. Регистрация MDM в рамках добавления рабочей учетной записи Майкрософт на личном устройстве (BYOD).

Эти сценарии поддерживают Windows Pro, Корпоративная и Для образовательных учреждений.

Css-файлы, предоставляемые корпорацией Майкрософт, содержат сведения о версии, и мы рекомендуем использовать последнюю версию. Существуют отдельные CSS-файлы для клиентских устройств Windows, OOBE и интерфейсов после запуска. Скачайте шаблоны Windows и файлы CSS (1.1.4).

  • Для Windows 10 используйте oobe-desktop.css
  • Для Windows 11 используйте oobe-light.css

Использование тем

Страница MDM должна соответствовать предопределенной теме в зависимости от отображаемого сценария. Например, если заголовок CXH-HOSTHTTP является FRX, который является сценарием запуска, то страница должна поддерживать темную тему с синим цветом фона, который использует файл WinJS Ui-dark.css версии 4.0 и oobe-desktop.css версии 1.0.4.

CXH-HOST (ЗАГОЛОВОК HTTP) Сценарий Фоновая тема Winjs CSS сценария
FRX OOBE Темная тема + синий цвет фона Имя файла: Ui-dark.css Имя файла: oobe-dekstop.css
МОСЕТ Параметры/после запуска при первом включении Светлая тема Имя файла: Ui-light.css Имя файла: settings-desktop.css

Семантика протокола условий использования

На сервере MDM размещается конечная точка условий использования . Во время потока протокола Microsoft Entra присоединения Windows выполняет полностраничные перенаправления на эту конечную точку. Это перенаправление позволяет MDM отображать применимые условия. Это позволяет пользователю принять или отклонить условия, связанные с регистрацией. После того как пользователь примет условия, MDM перенаправляется обратно в Windows для продолжения процесса регистрации.

Перенаправление на конечную точку условий использования

Это перенаправление является полностраничной перенаправлением в конечную точку "Условия пользователя", размещенную в MDM. Ниже приведен пример URL-адреса https://fabrikam.contosomdm.com/TermsOfUse.

В строке запроса передаются следующие параметры:

Элемент Описание
redirect_uri После того как пользователь примет или отклонит условия использования, пользователь перенаправляется на этот URL-адрес.
client-request-id GUID, используемый для корреляции журналов в целях диагностики и отладки. Используйте этот параметр для регистрации или трассировки состояния запроса на регистрацию, чтобы помочь найти основную причину сбоев.
версия api Указывает версию протокола, запрошенную клиентом. Это значение предоставляет механизм для поддержки версий протокола.
mode Указывает, что устройство принадлежит организации, если mode=azureadjoin. Этот параметр отсутствует для устройств BYOD.

Маркер доступа

Microsoft Entra ID выдает маркер доступа носителя. Маркер передается в заголовке авторизации HTTP-запроса. Вот типичный формат:

Авторизация: носитель CI6MTQxmCF5xgu6yYcmV9ng6vhQfaJYw...

В маркере доступа, передаваемом Windows в конечную точку Условий использования, ожидаются следующие утверждения:

Элемент Описание
Идентификатор объекта Идентификатор объекта пользователя, соответствующего пользователю, прошедшему проверку подлинности.
UPN Утверждение, содержащее имя участника-пользователя (UPN) пользователя, прошедшего проверку подлинности.
TID Утверждение, представляющее идентификатор клиента. В приведенном выше примере это Fabrikam.
Ресурс Дезинфицируемый URL-адрес, представляющий приложение MDM. Примере: https://fabrikam.contosomdm.com

Примечание.

В маркере доступа нет утверждения идентификатора устройства, так как в настоящее время устройство еще не зарегистрировано.

Чтобы получить список членства в группах для пользователя, можно использовать API Graph Майкрософт.

Ниже приведен пример URL-адреса:

https://fabrikam.contosomdm.com/TermsOfUse?redirect_uri=ms-appx-web://ContosoMdm/ToUResponse&client-request-id=34be581c-6ebd-49d6-a4e1-150eff4b7213&api-version=1.0
Authorization: Bearer eyJ0eXAiOi

Ожидается, что MDM проверит подпись маркера доступа, чтобы убедиться, что он выдан Microsoft Entra ID и что получатель подходит.

Содержимое условий использования

MDM может выполнять другие дополнительные перенаправления по мере необходимости перед отображением содержимого Условий использования для пользователя. Соответствующее содержимое условий использования должно быть возвращено вызывающему объекту (Windows), чтобы его можно было отобразить для конечного пользователя в элементе управления браузера.

Содержимое условий использования должно содержать следующие кнопки:

  • Принять — пользователь принимает условия использования и продолжает регистрацию.
  • Отклонить — пользователь отклоняет и останавливает процесс регистрации.

Содержимое Условий использования должно соответствовать теме, используемой для других страниц, отображаемых в ходе этого процесса.

Логика обработки конечной точки условий использования

На этом этапе пользователь находится на странице Условий использования, отображаемой во время запуска запуска или из интерфейса параметров. У пользователя есть следующие параметры на странице:

  • Пользователь нажимает кнопку Принять . MDM должен перенаправляться на URI, указанный параметром redirect_uri во входящем запросе. Ожидаются следующие параметры строки запроса:
    • IsAccepted — это логическое значение является обязательным и должно иметь значение true.
    • OpaqueBlob — обязательный параметр, если пользователь принимает. MDM может использовать этот большой двоичный объект, чтобы сделать некоторые сведения доступными для конечной точки регистрации. Сохраненное здесь значение становится доступным без изменений в конечной точке регистрации. MDM может использовать этот параметр для корреляции.
    • Ниже приведен пример перенаправления. ms-appx-web://MyApp1/ToUResponse?OpaqueBlob=value&IsAccepted=true
  • Пользователь нажимает кнопку Отклонить . MDM должен перенаправляться на URI, указанный в redirect_uri во входящем запросе. Ожидаются следующие параметры строки запроса:
    • IsAccepted — это логическое значение является обязательным и должно иметь значение false. Этот параметр также применяется, если пользователь пропустил условия использования.
    • OpaqueBlob — этот параметр не будет использоваться. Регистрация останавливается с сообщением об ошибке, отображаемом пользователю.

Пользователи пропускают условия использования при добавлении рабочей учетной записи Майкрософт на свое устройство. Однако они не могут пропустить его во время процесса присоединения Microsoft Entra. Не показывайте кнопку "Отклонить" в процессе присоединения к Microsoft Entra. Пользователь не может отклонить регистрацию MDM, если администратор настроен для Microsoft Entra присоединения.

Мы рекомендуем отправлять параметры client-request-id в строке запроса в рамках этого ответа перенаправления.

Обработка ошибок условий использования

Если во время обработки условий использования возникает ошибка, MDM может вернуть два параметра — параметр error и в error_description своем запросе перенаправления обратно в Windows. URL-адрес должен быть закодирован, а содержимое error_description должно быть в виде обычного текста на английском языке. Этот текст не отображается для конечного пользователя. Таким образом, локализация error_description текста не является проблемой.

Ниже приведен формат URL-адреса:

HTTP/1.1 302
Location:
<redirect_uri>?error=access_denied&error_description=Access%20is%20denied%2E

Example:
HTTP/1.1 302
Location: ms-appx-web://App1/ToUResponse?error=access_denied&error_description=Access%20is%20denied%2E

В следующей таблице показаны коды ошибок.

Причина Состояние HTTP Ошибка Описание
версия api 302 invalid_request неподдерживаемая версия
Данные клиента или пользователя отсутствуют или не выполняются другие необходимые условия для регистрации устройств 302 unauthorized_client несанкционированный пользователь или клиент
Сбой проверки маркера Microsoft Entra 302 unauthorized_client unauthorized_client
внутренняя ошибка службы 302 server_error внутренняя ошибка службы

Протокол регистрации с Microsoft Entra ID

При регистрации, интегрированной в Azure MDM, этап обнаружения не выполняется, и URL-адрес обнаружения передается в систему напрямую из Azure. В следующей таблице показано сравнение традиционных регистраций и регистраций Azure.

Детали Традиционная регистрация MDM Microsoft Entra присоединение (устройство, принадлежающее организации) Microsoft Entra ID добавляет рабочую учетную запись (устройство, принадлежающее пользователю)
Автоматическое обнаружение MDM с помощью адреса электронной почты для получения URL-адреса обнаружения MDM регистрация; Неприменимо
URL-адрес обнаружения, подготовленный в Azure
Использует URL-адрес обнаружения MDM регистрация;
Продление регистрации
РОБО		 регистрация;
Продление регистрации
РОБО		 регистрация;
Продление регистрации
РОБО
Требуется ли регистрация MDM? Да Да Нет
Пользователь может отклонить.
Тип проверки подлинности OnPremise
Федеративного
Сертификат		 Федеративного Федеративного
EnrollmentPolicyServiceURL Необязательно (все проверки подлинности) Необязательно (все проверки подлинности) Необязательно (все проверки подлинности)
EnrollmentServiceURL Обязательный (все проверки подлинности) Используется (все проверки подлинности) Используется (все проверки подлинности)
EnrollmentServiceURL включает версию ОС, платформу ОС и другие атрибуты, предоставляемые URL-адресом обнаружения MDM. Настоятельно рекомендуется Настоятельно рекомендуется Настоятельно рекомендуется
Используется AuthenticationServiceURL Используется (федеративная проверка подлинности) Пропущен Пропущен
BinarySecurityToken Пользовательская на MDM Microsoft Entra ID выданный маркер Microsoft Entra ID выданный маркер
EnrollmentType Полный Устройство Полный
Тип зарегистрированного сертификата Сертификат пользователя Сертификат устройства Сертификат пользователя
Зарегистрированное хранилище сертификатов My/User My/System My/User
Имя субъекта CSR Имя участника-пользователя Идентификатор устройства Имя участника-пользователя
EnrollmentData Terms of Use binary blob as AdditionalContext for EnrollmentServiceURL Не поддерживается. Поддерживается Поддерживается
Поставщики служб конфигурации, доступные во время регистрации поддержка Windows 10:
— DMClient
— CertificateStore
— RootCATrustedCertificates
— ClientCertificateInstall
— EnterpriseModernAppManagement
- PassportForWork
-Политики
— w7 APPLICATION

Протокол управления с Microsoft Entra ID

Существует два разных типа регистрации MDM, которые интегрируются с Microsoft Entra ID и используют Microsoft Entra удостоверения пользователей и устройств. В зависимости от типа регистрации службе MDM может потребоваться управлять одним или несколькими пользователями.

  • Управление несколькими пользователями для устройств, присоединенных к Microsoft Entra

    В этом сценарии регистрация MDM применяется к каждому пользователю Microsoft Entra, который входит в устройство, присоединенное к Microsoft Entra. Этот тип регистрации называется регистрацией устройства или регистрацией с несколькими пользователями. Сервер управления может определить удостоверение пользователя, определить, какие политики предназначены для этого пользователя, и отправить соответствующие политики на устройство. Чтобы разрешить серверу управления идентифицировать текущего пользователя, вошедшего в систему устройства, клиент OMA DM использует маркеры пользователя Microsoft Entra. Каждый сеанс управления содержит дополнительный заголовок HTTP, содержащий Microsoft Entra маркер пользователя. Эти сведения предоставляются в пакете dm, отправляемом на сервер управления. Однако в некоторых случаях Microsoft Entra маркер пользователя не отправляется на сервер управления. Один из таких сценариев происходит сразу после завершения регистрации MDM во время Microsoft Entra процесса присоединения. Пока Microsoft Entra процесс присоединения не будет завершен и Microsoft Entra пользователь не войдет на компьютер, Microsoft Entra маркер пользователя не будет доступен для процесса OMA-DM. Как правило, регистрация MDM завершается до Microsoft Entra входа пользователя на компьютер, а начальный сеанс управления не содержит маркер пользователя Microsoft Entra. Сервер управления должен проверка, если маркер отсутствует, и отправлять политики устройств только в этом случае. Другой возможной причиной отсутствия маркера Microsoft Entra в полезных данных OMA-DM является вход гостя на устройство.

  • Добавление рабочей учетной записи и регистрации MDM на устройство:

    В этом сценарии регистрация MDM применяется к одному пользователю, который изначально добавил свою рабочую учетную запись и зарегистрировал устройство. В этом типе регистрации сервер управления может игнорировать маркеры Microsoft Entra, которые могут быть отправлены во время сеанса управления. Независимо от того, присутствует ли маркер Microsoft Entra или отсутствует, сервер управления отправляет на устройство политики пользователей и устройств.

  • Оценка маркеров пользователей Microsoft Entra:

    Маркер Microsoft Entra находится в заголовке HTTP Authorization в следующем формате:

    Authorization:Bearer <Azure AD User Token Inserted here>

    В маркере Microsoft Entra могут присутствовать другие утверждения, например:

    • Пользователь — пользователь, вошедший в систему
    • Соответствие устройств — для службы MDM задано значение Azure.
    • Идентификатор устройства — идентифицирует устройство, которое выполняется при регистрации.
    • Идентификатор клиента

    Маркеры доступа, выданные Microsoft Entra ID, являются веб-маркерами JSON (JWT). Windows предоставляет допустимый токен JWT конечной точке регистрации MDM, чтобы начать процесс регистрации. Существует несколько вариантов оценки маркеров:

    • Используйте расширение JWT Token Handler для WIF, чтобы проверить содержимое маркера доступа и извлечь утверждения, необходимые для использования. Дополнительные сведения см. в разделе Класс JwtSecurityTokenHandler.
    • Ознакомьтесь с примерами кода проверки подлинности Microsoft Entra, чтобы получить пример для работы с маркерами доступа. Пример см. в разделе NativeClient-DotNet.

Оповещение устройства 1224 для маркера пользователя Microsoft Entra

Оповещение отправляется при запуске сеанса интеллектуального анализа данных и Microsoft Entra пользователя, вошедшего в систему. Оповещение отправляется в пакете OMA DM No1. Вот пример.

Alert Type: com.microsoft/MDM/AADUserToken

Alert sample:
<SyncBody>
 <Alert>
  <CmdID>1</CmdID>
  <Data>1224</Data>
  <Item>
   <Meta>
    <Type xmlns= "syncml:metinf ">com.microsoft/MDM/AADUserToken</Type>
   </Meta>
   <Data>UserToken inserted here</Data>
  </Item>
 </Alert>
 ... other XML tags ...
</SyncBody>

Определение времени входа пользователя с помощью опроса

Оповещение отправляется на сервер MDM в пакете DM 1.

  • Тип оповещения — com.microsoft/MDM/LoginStatus
  • Формат оповещений — chr
  • Данные оповещений — укажите сведения о состоянии входа для текущего активного пользователя, выполнившего вход.
    • Пользователь, вошедший в систему с учетной записью Microsoft Entra— предопределенный текст: user.
    • Вошедшего пользователя без Microsoft Entra учетной записи — предопределенный текст: другие.
    • Нет активного пользователя — предопределенный текст:none

Вот пример.

<SyncBody>
 <Alert>
  <CmdID>1</CmdID>
  <Data>1224</Data>
  <Item>
   <Meta>
    <Type xmlns= "syncml:metinf ">com.microsoft/MDM/LoginStatus</Type>
   </Meta>
   <Data>user</Data>
  </Item>
 </Alert>
 ... other XML tags ...
</SyncBody>

Сообщить о соответствии устройств Microsoft Entra ID

После регистрации устройства в MDM для управления на нем применяются политики организации, настроенные ИТ-администратором. MDM оценивает соответствие устройства настроенным политикам, а затем сообщает об этом Microsoft Entra ID. В этом разделе рассматриваются API Graph вызов, который можно использовать для передачи Microsoft Entra ID сведений о состоянии соответствия устройств.

Пример, демонстрирующий, как MDM может получить маркер доступа с помощью OAuth 2.0 client_credentials типа предоставления, см. в разделе Daemon_CertificateCredential-DotNet.

  • Облачные MDM . Если ваш продукт является облачной мультитенантной службой MDM, для вашей службы в клиенте настроен один ключ. Чтобы получить авторизацию, используйте этот ключ для проверки подлинности службы MDM с помощью Microsoft Entra ID.
  • Локальные MDM. Если ваш продукт является локальным MDM, клиенты должны настроить его с помощью ключа, используемого для проверки подлинности с помощью Microsoft Entra ID. Эта конфигурация ключа связана с тем, что каждый локальный экземпляр вашего продукта MDM имеет отдельный ключ, зависящий от клиента. Таким образом, может потребоваться предоставить в продукте MDM интерфейс конфигурации, позволяющий администраторам указать ключ, используемый для проверки подлинности с помощью Microsoft Entra ID.

Использование Microsoft API Graph

В следующем примере вызова REST API показано, как MDM может использовать API Graph Майкрософт для отчета о состоянии соответствия управляемого устройства.

Примечание.

Этот API применим только для утвержденных приложений MDM на устройствах Windows.

Sample Graph API Request:

PATCH https://graph.windows.net/contoso.com/devices/db7ab579-3759-4492-a03f-655ca7f52ae1?api-version=beta HTTP/1.1
Authorization: Bearer eyJ0eXAiO.........
Accept: application/json
Content-Type: application/json
{  "isManaged":true,
   "isCompliant":true
}

Где:

  • contoso.com — это имя клиента Microsoft Entra, к каталогу которого присоединено устройство.
  • db7ab579-3759-4492-a03f-655ca7f52ae1 — это значение является идентификатором устройства, сведения о соответствии которого передаются Microsoft Entra ID.
  • eyJ0eXAiO......... . Это значение представляет собой маркер доступа носителя, выданный Microsoft Entra ID MDM, который разрешает MDM вызывать API Graph Майкрософт. Маркер доступа помещается в заголовок авторизации HTTP запроса.
  • isManaged и isCompliant — эти логические атрибуты указывают на состояние соответствия.
  • api-version — используйте этот параметр, чтобы указать, какая версия API graph запрашивается.

Ответ:

  • Успешно — HTTP 204 без содержимого.
  • Сбой или ошибка — HTTP 404 не найден. Эта ошибка может быть возвращена, если не удается найти указанное устройство или клиент.

Потеря данных во время отмены регистрации из Microsoft Entra присоединения

Когда пользователь регистрируется в MDM через Microsoft Entra присоединения, а затем отключает регистрацию, нет никаких предупреждений о том, что пользователь потеряет данные windows Information Protection (WIP). Сообщение об отключении не указывает на потерю данных WIP.

отмена регистрации aadj.

Коды ошибок

Код ID Сообщение об ошибке
0x80180001 "idErrorServerConnectivity", // MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR Произошла ошибка при взаимодействии с сервером. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки. {0}
0x80180002 "idErrorAuthenticationFailure", // MENROLL_E_DEVICE_AUTHENTICATION_ERROR Возникла проблема с проверкой подлинности вашей учетной записи или устройства. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки .
0x80180003 "idErrorAuthorizationFailure", // MENROLL_E_DEVICE_AUTHORIZATION_ERROR Этот пользователь не имеет прав на регистрацию. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки .
0x80180004 "idErrorMDMCertificateError", // MENROLL_E_DEVICE_CERTIFCATEREQUEST_ERROR Произошла ошибка сертификата. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки .
0x80180005 "idErrorServerConnectivity", // MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR Произошла ошибка при взаимодействии с сервером. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки. {0}
0x80180006 "idErrorServerConnectivity", // MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR Произошла ошибка при взаимодействии с сервером. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки. {0}
0x80180007 "idErrorAuthenticationFailure", // MENROLL_E_DEVICE_INVALIDSECURITY_ERROR Возникла проблема с проверкой подлинности вашей учетной записи или устройства. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки .
0x80180008 "idErrorServerConnectivity", // MENROLL_E_DEVICE_UNKNOWN_ERROR Произошла ошибка при взаимодействии с сервером. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки. {0}
0x80180009 "idErrorAlreadyInProgress", // MENROLL_E_ENROLLMENT_IN_PROGRESS Выполняется еще одна регистрация. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки .
0x8018000A "idErrorMDMAlreadyEnrolled", // MENROLL_E_DEVICE_ALREADY_ENROLLED Это устройство уже зарегистрировано. Вы можете обратиться к системному администратору с кодом {0}ошибки .
0x8018000D "idErrorMDMCertificateError", // MENROLL_E_DISCOVERY_SEC_CERT_DATE_INVALID Произошла ошибка сертификата. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки .
0x8018000E "idErrorAuthenticationFailure", // MENROLL_E_PASSWORD_NEEDED Возникла проблема с проверкой подлинности вашей учетной записи или устройства. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки .
0x8018000F "idErrorAuthenticationFailure", // MENROLL_E_WAB_ERROR Возникла проблема с проверкой подлинности вашей учетной записи или устройства. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки .
0x80180010 "idErrorServerConnectivity", // MENROLL_E_CONNECTIVITY Произошла ошибка при взаимодействии с сервером. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки. {0}
0x80180012 "idErrorMDMCertificateError", // MENROLL_E_INVALIDSSLCERT Произошла ошибка сертификата. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки .
0x80180013 "idErrorDeviceLimit", // MENROLL_E_DEVICECAPREACHED Похоже, для этой учетной записи слишком много устройств или пользователей. Обратитесь к системному администратору с кодом {0}ошибки .
0x80180014 "idErrorMDMNotSupported", // MENROLL_E_DEVICENOTSUPPORTED Эта функция не поддерживается. Обратитесь к системному администратору с кодом {0}ошибки .
0x80180015 "idErrorMDMNotSupported", // MENROLL_E_NOTSUPPORTED Эта функция не поддерживается. Обратитесь к системному администратору с кодом {0}ошибки .
0x80180016 "idErrorMDMRenewalRejected", // MENROLL_E_NOTELIGIBLETORENEW Сервер не принял запрос. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки .
0x80180017 "idErrorMDMAccountMaintenance", // MENROLL_E_INMAINTENANCE Служба находится в состоянии обслуживания. Вы можете попытаться сделать это позже или обратиться к системному администратору с кодом {0}ошибки .
0x80180018 "idErrorMDMLicenseError", // MENROLL_E_USERLICENSE Произошла ошибка с вашей лицензией. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки .
0x80180019 "idErrorInvalidServerConfig", // MENROLL_E_ENROLLMENTDATAINVALID Похоже, сервер настроен неправильно. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки .
"rejectedTermsOfUse" "idErrorRejectedTermsOfUse" Ваша организация требует, чтобы вы согласились с условиями использования. Повторите попытку или обратитесь к специалисту службы поддержки за дополнительными сведениями.
0x801c0001 "idErrorServerConnectivity", // DSREG_E_DEVICE_MESSAGE_FORMAT_ERROR Произошла ошибка при взаимодействии с сервером. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки. {0}
0x801c0002 "idErrorAuthenticationFailure", // DSREG_E_DEVICE_AUTHENTICATION_ERROR Возникла проблема с проверкой подлинности вашей учетной записи или устройства. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки .
0x801c0003 "idErrorAuthorizationFailure", // DSREG_E_DEVICE_AUTHORIZATION_ERROR Этот пользователь не имеет прав на регистрацию. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки .
0x801c0006 "idErrorServerConnectivity", // DSREG_E_DEVICE_INTERNALSERVICE_ERROR Произошла ошибка при взаимодействии с сервером. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки. {0}
0x801c000B "idErrorUntrustedServer", // DSREG_E_DISCOVERY_REDIRECTION_NOT_TRUSTED Сервер, с которым осуществляется связь, не является доверенным. Обратитесь к системному администратору с кодом {0}ошибки .
0x801c000C "idErrorServerConnectivity", // DSREG_E_DISCOVERY_FAILED Произошла ошибка при взаимодействии с сервером. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки. {0}
0x801c000E "idErrorDeviceLimit", // DSREG_E_DEVICE_REGISTRATION_QUOTA_EXCCEEDED Похоже, для этой учетной записи слишком много устройств или пользователей. Обратитесь к системному администратору с кодом {0}ошибки .
0x801c000F "idErrorDeviceRequiresReboot", // DSREG_E_DEVICE_REQUIRES_REBOOT Для завершения регистрации устройства требуется перезагрузка.
0x801c0010 "idErrorInvalidCertificate", // DSREG_E_DEVICE_AIK_VALIDATION_ERROR Похоже, у вас есть недопустимый сертификат. Обратитесь к системному администратору с кодом {0}ошибки .
0x801c0011 "idErrorAuthenticationFailure", // DSREG_E_DEVICE_ATTESTATION_ERROR Возникла проблема с проверкой подлинности вашей учетной записи или устройства. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки .
0x801c0012 "idErrorServerConnectivity", // DSREG_E_DISCOVERY_BAD_MESSAGE_ERROR Произошла ошибка при взаимодействии с сервером. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки. {0}
0x801c0013 "idErrorAuthenticationFailure", // DSREG_E_TENANTID_NOT_FOUND Возникла проблема с проверкой подлинности вашей учетной записи или устройства. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки .
0x801c0014 "idErrorAuthenticationFailure", // DSREG_E_USERSID_NOT_FOUND Возникла проблема с проверкой подлинности вашей учетной записи или устройства. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом {0}ошибки .