Microsoft Entra 与 MDM 的集成

Microsoft Entra ID 是世界上最大的企业云标识管理服务。 组织使用它来访问来自Microsoft和第三方软件即服务Microsoft 365 业务应用程序, (SaaS) 供应商。 许多适用于组织用户的丰富 Windows 体验 ((例如存储访问或 OS 状态漫游)) 使用 Microsoft Entra ID 作为基础标识基础结构。 Windows 与 Microsoft Entra ID 集成,允许设备在Microsoft Entra ID 中注册,并在集成流中注册到移动设备管理 (MDM) 。

在 MDM 中注册设备后,MDM:

  • 可以强制遵守组织策略、添加或删除应用等。
  • 可以在 entra ID Microsoft中报告设备的符合性。
  • 允许对符合策略的设备Microsoft Entra ID 保护的组织资源或应用程序的访问权限。

为了支持其 MDM 产品的这些丰富体验,MDM 供应商可以与 Microsoft Entra ID 集成。

集成的 MDM 注册和 UX

可通过多种方式将设备连接到Microsoft Entra ID:

在每个方案中,Microsoft Entra 对用户和设备进行身份验证。 它提供可用于 MDM 注册的已验证的唯一设备标识符。 注册流为 MDM 服务提供了使用 Web 视图呈现其自己的 UI 的机会。 MDM 供应商应使用 UI 来呈现使用条款 (TOU) ,对于公司拥有的设备和自带设备 (BYOD) 设备,这些使用条款可能有所不同。 MDM 供应商还可以使用 Web 视图来呈现更多 UI 元素,例如请求一次性 PIN。

在 Windows 10 中,现成方案期间的 Web 视图默认显示为全屏,这为 MDM 供应商提供了创建无缝边缘到边缘用户体验的功能。 但是,在 Windows 11 中,Web 视图在 iframe 中呈现。 与 Microsoft Entra ID 集成的 MDM 供应商必须遵守 Windows 设计准则。 此步骤包括使用响应式 Web 设计和遵循 Windows 辅助功能准则。 例如,包括正确连接到导航逻辑的前进和后退按钮。 本文稍后会提供更多详细信息。

若要Microsoft Entra 注册适用于 Active Directory 联合服务 (AD FS) 支持的 Microsoft Entra 帐户,必须在 ADFS 服务上为 Intranet 启用密码身份验证。 有关详细信息,请参阅 使用 AD FS 将 Microsoft Entra 多重身份验证配置为身份验证提供程序

将 Microsoft Entra 帐户添加到 Windows 并在 MDM 中注册后,可以通过 设置>帐户>访问工作或学校来管理注册。 对于组织方案或 BYOD 方案,Microsoft Entra 联接的设备管理是类似的。

注意

用户无法通过 Access 工作或学校 用户界面删除设备注册,因为管理绑定到Microsoft Entra ID 或工作帐户。

Microsoft Entra 集成注册中涉及的 MDM 终结点

Microsoft Entra MDM 注册是一个两步过程:

  1. 显示使用条款并收集用户同意:此同意是一种被动流程,在该流程中,用户被重定向到浏览器控件 (webview) MDM 使用条款的 URL。
  2. 注册设备:此步骤是 Windows OMA DM 代理调用 MDM 服务来注册设备的活动流。

若要支持Microsoft Entra 注册,MDM 供应商必须托管并公开 使用条款终结点MDM 注册终结点

  • 使用条款终结点:使用此终结点可告知用户组织可以控制其设备的方式。 “ 使用条款 ”页负责在实际注册阶段开始之前收集用户的同意。

    请务必了解使用条款流是 Windows 的“不透明框”,Microsoft Entra ID。 整个 Web 视图将重定向到使用条款 URL。 在批准或拒绝条款后,用户应重定向回。 此设计允许 MDM 供应商针对不同的方案自定义其使用条款。 例如,对 BYOD 与组织拥有的设备应用不同级别的控制。 或者,实现基于用户/组的目标,例如某些地理位置的用户可能具有更严格的设备管理策略。

    使用条款终结点可以实现更多业务逻辑,例如收集 IT 提供的一次性 PIN 来控制设备注册。 但是,MDM 供应商不得使用使用条款流来收集用户凭据,这可能会降低用户体验。 不需要,因为 MDM 集成的一部分可确保 MDM 服务能够理解Microsoft Entra ID 颁发的令牌。

  • MDM 注册终结点:用户接受使用条款后,设备将Microsoft Entra ID 进行注册。 自动 MDM 注册开始。

    下图演示了实际注册过程中涉及的高级流。 首先向 Microsoft Entra ID 注册设备。 此过程向设备分配唯一的设备标识符,并使设备能够Microsoft Entra ID (设备身份验证) 进行身份验证。 然后,向 MDM 注册设备进行管理。 此步骤调用注册终结点并请求用户和设备注册。 此时,用户已经过身份验证,并且设备已注册并使用 entra ID Microsoft 进行身份验证。 此信息以注册终结点上提供的访问令牌中的声明形式提供给 MDM。

    Microsoft Entra 注册流

    当使用 Microsoft 图形 API 将设备符合性报告回 Microsoft Entra) ID 时,MDM 应使用有关设备 (设备 ID 的信息。 本文稍后提供了报告设备符合性的示例。

使 MDM 成为Microsoft Entra ID 的可靠方

若要参与上一部分中概述的集成注册流,MDM 必须使用Microsoft Entra ID 颁发的访问令牌。 若要报告Microsoft Entra ID 的符合性,MDM 必须对自身进行身份验证以Microsoft Entra ID,并获取允许其调用 Microsoft Graph API 的访问令牌形式的授权。

基于云的 MDM

基于云的 MDM 是在云中提供设备管理功能的 SaaS 应用程序。 它是多租户应用程序。 此应用程序在 MDM 供应商的主租户中注册Microsoft Entra ID。 当 IT 管理员决定使用此 MDM 解决方案时,此应用程序的实例在客户的租户中可见。

MDM 供应商必须先在其主租户中注册应用程序,并将其标记为多租户应用程序。 有关如何将多租户应用程序添加到 Microsoft Entra ID 的详细信息,请参阅 GitHub 上的 集成应用,该应用使用多租户集成模式Microsoft Graph (SaaS) 代码示例。

注意

对于 MDM 提供程序,如果没有现有的 Microsoft Entra 租户,其中包含你管理的 Microsoft Entra 订阅,请按照以下分步指南操作:

MDM 应用程序使用密钥从Microsoft Entra ID 请求访问令牌。 这些密钥在 MDM 提供程序的租户中管理,对单个客户不可见。 多租户 MDM 应用程序使用同一密钥在托管设备所属的客户租户中Microsoft Entra ID 对自身进行身份验证。

注意

所有 MDM 应用都必须实现 Microsoft Entra v2 令牌,然后才能证明集成有效。 由于 Microsoft Entra 应用平台的更改,因此使用 Microsoft Entra v2 令牌是一项硬性要求。 有关详细信息,请参阅 Microsoft标识平台访问令牌

本地 MDM

本地 MDM 应用程序不同于云 MDM。 它是在客户租户中唯一存在的单租户应用程序。 客户必须直接在自己的租户中添加应用程序。 此外,必须单独注册本地 MDM 应用程序的每个实例,并具有单独的密钥,以便使用 Microsoft Entra ID 进行身份验证。

若要将本地 MDM 应用程序添加到租户,请使用 Microsoft Entra 服务,特别是在 移动性 (MDM 和 MAM) >添加应用程序>创建自己的应用程序下。 管理员可以为注册和使用条款配置所需的 URL。

本地 MDM 产品必须公开配置体验,管理员可以提供客户端 ID、应用 ID 和目录中为该 MDM 应用程序配置的密钥。 报告设备符合性时,可以使用此客户端 ID 和密钥从Microsoft Entra ID 请求令牌。

有关使用 Microsoft Entra ID 注册应用程序的详细信息,请参阅 在 Microsoft Entra ID 中注册应用程序的基础知识

密钥管理和安全准则

MDM 服务使用的应用程序密钥是敏感资源。 为了提高安全性,应定期保护并滚动更新它们。 MDM 服务为调用 Microsoft Graph API 而获取的访问令牌是持有者令牌,应受到保护,以避免未经授权的泄露。

有关安全最佳做法,请参阅 Microsoft Azure Security Essentials

对于基于云的 MDM,无需客户交互即可滚动更新应用程序密钥。 在其Microsoft Entra 租户中,MDM 供应商管理的所有客户租户都有一组密钥。

对于本地 MDM,Microsoft Entra 身份验证密钥位于客户租户中,并且客户的管理员必须滚动更新密钥。 若要提高安全性,请为客户提供有关滚动更新和保护密钥的指导。

IT 管理员使用 Microsoft Entra 应用库添加 MDM 供其组织使用。 应用库是一个丰富的存储,包含超过 2400 个 SaaS 应用程序,这些应用程序与 Microsoft Entra ID 集成。

注意

如果 MDM 应用程序是基于云的,并且需要作为多租户 MDM 应用程序启用,则应与 Microsoft Entra 工程团队合作

若要发布应用程序, 请在 Entra 应用程序库Microsoft提交发布应用程序的请求

下表显示了在 Microsoft Entra 应用库中创建条目所需的信息。

项目 描述
应用程序 ID 在租户中配置的 MDM 应用的客户端 ID。 此 ID 是多租户应用的唯一标识符。
发布者 标识应用的发布者的字符串。
应用程序 URL 应用登陆页的 URL,管理员可在其中获取有关 MDM 应用的详细信息,并包含指向应用登陆页面的链接。 此 URL 不用于实际注册。
Description MDM 应用的简要说明,其长度必须低于 255 个字符。
图标 MDM 应用的一组徽标图标。 尺寸:45 X 45、150 X 122、214 X 215

将本地 MDM 添加到应用库没有特殊要求。 管理员可通过一个通用条目将应用添加到其租户。

但是,本地 MDM 的密钥管理有所不同。 必须获取客户端 ID (应用 ID) ,以及分配给客户租户中的 MDM 应用的密钥。 ID 和密钥获取访问Microsoft图形 API 和报告设备符合性的授权。

主题

MDM 在集成注册过程中呈现的页面必须使用 Windows 模板 (下载 Windows 模板和 CSS 文件 (1.1.4) ) 。 在 OOBE 中所有页面都是边缘到边缘 HTML 页面的 Microsoft Entra 加入体验期间,这些模板对于注册非常重要。 避免复制模板,因为很难正确放置按钮。

有三种不同的方案:

  1. MDM 注册是 Windows OOBE 中Microsoft Entra 联接的一部分。
  2. 在 Windows OOBE 从 “设置”之后,将 MDM 注册作为Microsoft Entra 加入的一部分。
  3. 在个人设备上添加Microsoft工作帐户时,MDM 注册 (BYOD) 。

这些方案支持 Windows 专业版、企业版和教育版。

Microsoft提供的 CSS 文件包含版本信息,建议使用最新版本。 Windows 客户端设备、OOBE 和 OOBE 后体验有单独的 CSS 文件。 (1.1.4) 下载 Windows 模板和 CSS 文件

  • 对于 Windows 10,请使用 oobe-desktop.css
  • 对于 Windows 11,请使用 oobe-light.css

使用主题

MDM 页面必须遵循预定义的主题,具体取决于显示的方案。 例如,如果 CXH-HOSTHTTP 标头是 FRX(这是 OOBE 方案),则页面必须支持具有蓝色背景色的深色主题,该主题使用 WinJS 文件Ui-dark.css版本 4.0 和 oobe-desktop.css 1.0.4 版。

CXH-HOST (HTTP 标头) 方案 背景主题 WinJS 方案 CSS
FRX OOBE 深色主题 + 蓝色背景色 文件名:Ui-dark.css 文件名:oobe-dekstop.css
MOSET 设置/发布 OOBE 浅色主题 文件名:Ui-light.css 文件名:settings-desktop.css

使用条款协议语义

MDM 服务器托管 使用条款 终结点。 在Microsoft Entra 联接协议流期间,Windows 会执行整页重定向到此终结点。 此重定向使 MDM 能够显示适用的条款和条件。 它允许用户接受或拒绝与注册关联的条款。 用户接受条款后,MDM 会重定向回 Windows,以便注册过程继续。

重定向到使用条款终结点

此重定向是重定向到 MDM 托管的“用户条款”终结点的整页重定向。 下面是一个示例 URL https://fabrikam.contosomdm.com/TermsOfUse

以下参数在查询字符串中传递:

项目 描述
redirect_uri 用户接受或拒绝使用条款后,用户将被重定向到此 URL。
client-request-id 用于关联日志以进行诊断和调试的 GUID。 使用此参数可记录或跟踪注册请求的状态,以帮助查找失败的根本原因。
api-version 指定客户端请求的协议版本。 此值提供一种机制来支持协议的版本修订。
mode 指定当 mode=azureadjoin 时,设备是组织拥有的。 BYOD 设备不存在此参数。

访问令牌

Microsoft Entra ID 颁发持有者访问令牌。 令牌在 HTTP 请求的授权标头中传递。 下面是一种典型格式:

授权:持有者 CI6MTQxmCF5xgu6yYcmV9ng6vhQfaJYw...

Windows 传递到使用条款终结点的访问令牌中应存在以下声明:

项目 描述
对象 ID 与经过身份验证的用户对应的用户对象的标识符。
UPN 一个声明,其中包含经过身份验证的用户 (UPN) 的用户主体名称。
TID 表示租户的租户 ID 的声明。 在前面的示例中,它是 Fabrikam。
资源 表示 MDM 应用程序的净化 URL。 示例:https://fabrikam.contosomdm.com

注意

访问令牌中没有设备 ID 声明,因为目前可能尚未注册设备。

若要检索用户的组成员身份列表,可以使用 Microsoft 图形 API

下面是一个示例 URL:

https://fabrikam.contosomdm.com/TermsOfUse?redirect_uri=ms-appx-web://ContosoMdm/ToUResponse&client-request-id=34be581c-6ebd-49d6-a4e1-150eff4b7213&api-version=1.0
Authorization: Bearer eyJ0eXAiOi

MDM 应验证访问令牌的签名,以确保它由Microsoft Entra ID 颁发,并且接收方是合适的。

使用条款内容

在向用户显示使用条款内容之前,MDM 可能会根据需要执行其他更多重定向。 相应的使用条款内容应返回到调用方 (Windows) ,以便可以在浏览器控件中向最终用户显示。

使用条款内容应包含以下按钮:

  • 接受 - 用户接受使用条款并继续注册。
  • 拒绝 - 用户拒绝并停止注册过程。

使用条款内容必须与在此过程中呈现的其他页面所用的主题一致。

使用条款终结点处理逻辑

此时,用户位于 OOBE 期间或设置体验中显示的“使用条款”页上。 用户在页面上具有以下选项:

  • 用户单击“接受”按钮 - MDM 必须重定向到传入请求中redirect_uri参数指定的 URI。 应使用以下查询字符串参数:
    • IsAccepted - 此布尔值是必需的,并且必须设置为 true。
    • OpaqueBlob - 如果用户接受,则为必需参数。 MDM 可能会使用此 Blob 向注册终结点提供一些信息。 此处保留的值在注册终结点上保持不变。 MDM 可以使用此参数进行关联。
    • 下面是重定向示例 - ms-appx-web://MyApp1/ToUResponse?OpaqueBlob=value&IsAccepted=true
  • 用户单击“拒绝”按钮 - MDM 必须重定向到传入请求中redirect_uri中指定的 URI。 应使用以下查询字符串参数:
    • IsAccepted - 此布尔值是必需的,并且必须设置为 false。 如果用户跳过了使用条款,则此选项也适用。
    • OpaqueBlob - 不应使用此参数。 注册已停止,并向用户显示错误消息。

用户在将Microsoft工作帐户添加到其设备时会跳过使用条款。 但是,在Microsoft Entra 加入过程中,他们无法跳过它。 不要在Microsoft Entra 加入过程中显示拒绝按钮。 如果管理员配置了 Microsoft Entra 联接,则用户无法拒绝 MDM 注册。

建议将此重定向响应的一部分发送到查询字符串中的 client-request-id 参数。

使用条款错误处理

如果在使用条款处理过程中发生错误,MDM 可以返回两个errorerror_description参数 -- 和 参数在其重定向请求中返回 Windows。 应对 URL 进行编码,并且 的内容 error_description 应为英文纯文本。 此文本对最终用户不可见。 因此,文本本地化 error_description 不是问题。

URL 格式如下:

HTTP/1.1 302
Location:
<redirect_uri>?error=access_denied&error_description=Access%20is%20denied%2E

Example:
HTTP/1.1 302
Location: ms-appx-web://App1/ToUResponse?error=access_denied&error_description=Access%20is%20denied%2E

下表显示了错误代码。

原因 HTTP 状态 错误 描述
api-version 302 invalid_request 不支持的版本
缺少租户或用户数据,或者不符合设备注册的其他必需先决条件 302 unauthorized_client 未经授权的用户或租户
Microsoft Entra 令牌验证失败 302 unauthorized_client unauthorized_client
内部服务错误 302 server_error 内部服务错误

具有 Microsoft Entra ID 的注册协议

使用 Azure 集成 MDM 注册,没有发现阶段,发现 URL 直接从 Azure 传递到系统。 下表显示了传统注册与 Azure 注册之间的比较。

详情 传统 MDM 注册 Microsoft Entra 加入 (组织拥有的设备) Microsoft Entra ID (用户拥有的设备添加工作帐户)
使用电子邮件地址检索 MDM 发现 URL 的 MDM 自动发现 注册 不适用
Azure 中预配的发现 URL
使用 MDM 发现 URL 注册
注册续订
ROBO
注册
注册续订
ROBO
注册
注册续订
ROBO
是否需要 MDM 注册?
用户可以拒绝。
身份验证类型 OnPremise
联邦
证书
联邦 联邦
EnrollmentPolicyServiceURL 可选 (所有身份验证) 可选 (所有身份验证) 可选 (所有身份验证)
EnrollmentServiceURL 需要 (所有身份验证) 使用 (所有身份验证) 使用 (所有身份验证)
EnrollmentServiceURL 包括 OS 版本、OS 平台和 MDM 发现 URL 提供的其他属性 强烈建议 强烈建议 强烈建议
使用的 AuthenticationServiceURL 已 (联合身份验证)
BinarySecurityToken 每个 MDM 自定义 Microsoft Entra ID 颁发的令牌 Microsoft Entra ID 颁发的令牌
EnrollmentType 完整 设备 完整
已注册的证书类型 用户证书 设备证书 用户证书
已注册的证书存储 我的/用户 My/System 我的/用户
CSR 使用者名称 用户主体名称 设备 ID 用户主体名称
EnrollmentData 使用条款二进制 Blob 作为 EnrollmentServiceURL 的 AdditionalContext 不支持 支持 支持
注册期间可访问的 CSP Windows 10 支持:
- DMClient
- CertificateStore
- RootCATrustedCertificates
- ClientCertificateInstall
- EnterpriseModernAppManagement
- PassportForWork
-政策
- w7 APPLICATION

具有 Microsoft Entra ID 的管理协议

有两种不同的 MDM 注册类型与 Microsoft Entra ID 集成,并使用 Microsoft Entra 用户和设备标识。 根据注册类型,MDM 服务可能需要管理单个用户或多个用户。

  • Microsoft Entra 联接设备的多个用户管理

    在此方案中,MDM 注册适用于登录到已加入 Microsoft Entra 设备的每个 Microsoft Entra 用户 - 将此注册类型称为设备注册或多用户注册。 管理服务器可以确定用户标识,确定针对此用户的策略,并向设备发送相应的策略。 为了允许管理服务器识别登录到设备的当前用户,OMA DM 客户端使用 Microsoft Entra 用户令牌。 每个管理会话都包含一个额外的 HTTP 标头,其中包含一个Microsoft Entra 用户令牌。 此信息在发送到管理服务器的 DM 包中提供。 但是,在某些情况下,Microsoft Entra 用户令牌不会发送到管理服务器。 在Microsoft Entra 加入过程中,MDM 注册完成后立即发生此类情况。 在Microsoft Entra 加入过程完成并Microsoft Entra 用户登录到计算机之前,Microsoft Entra 用户令牌不适用于 OMA-DM 进程。 通常,MDM 注册在Microsoft Entra 用户登录到计算机之前完成,初始管理会话不包含Microsoft Entra 用户令牌。 管理服务器应检查令牌是否缺失,并且在这种情况下仅发送设备策略。 OMA-DM 有效负载中缺少 Microsoft Entra 令牌的另一个可能原因是来宾登录到设备。

  • 将工作帐户和 MDM 注册添加到设备

    在此方案中,MDM 注册适用于最初添加其工作帐户并注册了设备的单个用户。 在此注册类型中,管理服务器可以忽略在管理会话期间可能发送Microsoft Entra 令牌。 无论Microsoft Entra 令牌是否存在还是缺失,管理服务器都向设备发送用户和设备策略。

  • 评估Microsoft Entra 用户令牌

    Microsoft Entra 令牌采用以下格式位于 HTTP 授权标头中:

    Authorization:Bearer <Azure AD User Token Inserted here>
    

    Microsoft Entra 令牌中可能存在更多声明,例如:

    • 用户 - 用户当前已登录
    • 设备符合性 - 将 MDM 服务设置为 Azure 的值
    • 设备 ID - 标识正在签入的设备
    • 租户 ID

    Microsoft Entra ID 颁发的访问令牌是 JWT) (JSON Web 令牌。 Windows 向 MDM 注册终结点提供有效的 JWT 令牌以启动注册过程。 有两个选项可用于评估令牌:

    • 使用 WIF 的 JWT 令牌处理程序扩展来验证访问令牌的内容并提取使用所需的声明。 有关详细信息,请参阅 JwtSecurityTokenHandler 类
    • 请参阅 Microsoft Entra 身份验证代码示例,获取使用访问令牌的示例。 有关示例,请参阅 NativeClient-DotNet

Microsoft Entra 用户令牌的设备警报 1224

DM 会话启动时,并且有Microsoft Entra 用户登录时,将发送警报。 警报在 OMA DM 包 #1 中发送。 下面是一个示例:

Alert Type: com.microsoft/MDM/AADUserToken

Alert sample:
<SyncBody>
 <Alert>
  <CmdID>1</CmdID>
  <Data>1224</Data>
  <Item>
   <Meta>
    <Type xmlns= "syncml:metinf ">com.microsoft/MDM/AADUserToken</Type>
   </Meta>
   <Data>UserToken inserted here</Data>
  </Item>
 </Alert>
 ... other XML tags ...
</SyncBody>

确定用户何时通过轮询登录

警报将发送到 DM 包 #1 中的 MDM 服务器。

  • 警报类型 - com.microsoft/MDM/LoginStatus
  • 警报格式 - chr
  • 警报数据 - 提供当前活动登录用户的登录状态信息。
    • 具有 Microsoft Entra 帐户的已登录用户 - 预定义文本:用户。
    • 没有 Microsoft Entra 帐户的已登录用户- 预定义文本:其他用户。
    • 无活动用户 - 预定义文本:无

下面提供了一个示例。

<SyncBody>
 <Alert>
  <CmdID>1</CmdID>
  <Data>1224</Data>
  <Item>
   <Meta>
    <Type xmlns= "syncml:metinf ">com.microsoft/MDM/LoginStatus</Type>
   </Meta>
   <Data>user</Data>
  </Item>
 </Alert>
 ... other XML tags ...
</SyncBody>

将设备符合性报告Microsoft Entra ID

将设备注册到 MDM 进行管理后,IT 管理员配置的组织策略就会在设备上强制实施。 MDM 使用配置的策略评估设备符合性,然后将其报告给Microsoft Entra ID。 本部分介绍可用于向 Entra ID Microsoft报告设备符合性状态的图形 API 调用。

有关演示 MDM 如何使用 OAuth 2.0 client_credentials授权类型获取访问令牌的示例,请参阅 Daemon_CertificateCredential-DotNet

  • 基于云的 MDM - 如果你的产品是基于云的多租户 MDM 服务,则你在租户中为服务配置了单个密钥。 若要获取授权,请使用此密钥对 MDM 服务进行身份验证,Microsoft Entra ID。
  • 本地 MDM - 如果产品是本地 MDM,则客户必须使用用于使用 entra ID Microsoft 进行身份验证的密钥来配置产品。 此密钥配置是因为 MDM 产品的每个本地实例具有不同的特定于租户的密钥。 因此,可能需要在 MDM 产品中公开配置体验,使管理员能够指定要用于使用 entra ID Microsoft进行身份验证的密钥。

使用 Microsoft 图形 API

以下示例 REST API 调用演示了 MDM 如何使用 Microsoft 图形 API 来报告托管设备的符合性状态。

注意

此 API 仅适用于 Windows 设备上的已批准的 MDM 应用。

Sample Graph API Request:

PATCH https://graph.windows.net/contoso.com/devices/db7ab579-3759-4492-a03f-655ca7f52ae1?api-version=beta HTTP/1.1
Authorization: Bearer eyJ0eXAiO.........
Accept: application/json
Content-Type: application/json
{  "isManaged":true,
   "isCompliant":true
}

其中:

  • contoso.com - 此值是已加入设备目录Microsoft Entra 租户的名称。
  • db7ab579-3759-4492-a03f-655ca7f52ae1 - 此值是将符合性信息报告给 Entra ID Microsoft的设备的设备标识符。
  • eyJ0eXAiO......... - 此值是由Microsoft Entra ID 颁发给 MDM 的持有者访问令牌,该 ID 授权 MDM 调用 Microsoft Graph API。 访问令牌放置在请求的 HTTP 授权标头中。
  • isManagedisCompliant - 这些布尔属性指示符合性状态。
  • api-version - 使用此参数可指定要请求的图形 API 版本。

响应:

  • 成功 - 无内容的 HTTP 204。
  • 失败/错误 - 找不到 HTTP 404。 如果找不到指定的设备或租户,可能会返回此错误。

从 entra 联接取消注册期间丢失Microsoft数据丢失

如果用户通过Microsoft Entra 联接注册到 MDM,然后断开注册连接,则不会警告用户将丢失 Windows 信息保护 (WIP) 数据。 断开连接消息不指示 WIP 数据丢失。

aadj 取消注册。

错误代码

代码 ID 错误消息
0x80180001 “idErrorServerConnectivity”, // MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR 与服务器通信时出错。 可以尝试再次执行此操作,或者通过错误代码联系系统管理员 {0}
0x80180002 “idErrorAuthenticationFailure”, // MENROLL_E_DEVICE_AUTHENTICATION_ERROR 对帐户或设备进行身份验证时出现问题。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。
0x80180003 “idErrorAuthorizationFailure”, // MENROLL_E_DEVICE_AUTHORIZATION_ERROR 此用户无权注册。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。
0x80180004 “idErrorMDMCertificateError”, // MENROLL_E_DEVICE_CERTIFCATEREQUEST_ERROR 出现证书错误。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。
0x80180005 “idErrorServerConnectivity”, // MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR 与服务器通信时出错。 可以尝试再次执行此操作,或者通过错误代码联系系统管理员 {0}
0x80180006 “idErrorServerConnectivity”, // MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR 与服务器通信时出错。 可以尝试再次执行此操作,或者通过错误代码联系系统管理员 {0}
0x80180007 “idErrorAuthenticationFailure”, // MENROLL_E_DEVICE_INVALIDSECURITY_ERROR 对帐户或设备进行身份验证时出现问题。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。
0x80180008 “idErrorServerConnectivity”, // MENROLL_E_DEVICE_UNKNOWN_ERROR 与服务器通信时出错。 可以尝试再次执行此操作,或者通过错误代码联系系统管理员 {0}
0x80180009 “idErrorAlreadyInProgress”, // MENROLL_E_ENROLLMENT_IN_PROGRESS 另一个注册正在进行中。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。
0x8018000A “idErrorMDMAlreadyEnrolled”, // MENROLL_E_DEVICE_ALREADY_ENROLLED 此设备已注册。 可以使用错误代码 {0}联系系统管理员。
0x8018000D “idErrorMDMCertificateError”, // MENROLL_E_DISCOVERY_SEC_CERT_DATE_INVALID 出现证书错误。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。
0x8018000E “idErrorAuthenticationFailure”, // MENROLL_E_PASSWORD_NEEDED 对帐户或设备进行身份验证时出现问题。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。
0x8018000F “idErrorAuthenticationFailure”, // MENROLL_E_WAB_ERROR 对帐户或设备进行身份验证时出现问题。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。
0x80180010 “idErrorServerConnectivity”, // MENROLL_E_CONNECTIVITY 与服务器通信时出错。 可以尝试再次执行此操作,或者通过错误代码联系系统管理员 {0}
0x80180012 “idErrorMDMCertificateError”, // MENROLL_E_INVALIDSSLCERT 出现证书错误。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。
0x80180013 “idErrorDeviceLimit”, // MENROLL_E_DEVICECAPREACHED 此帐户的设备或用户似乎太多。 请与系统管理员联系,并显示错误代码 {0}。
0x80180014 “idErrorMDMNotSupported”, // MENROLL_E_DEVICENOTSUPPORTED 不支持此功能。 请与系统管理员联系,并显示错误代码 {0}。
0x80180015 “idErrorMDMNotSupported”, // MENROLL_E_NOTSUPPORTED 不支持此功能。 请与系统管理员联系,并显示错误代码 {0}。
0x80180016 “idErrorMDMRenewalRejected”, // MENROLL_E_NOTELIGIBLETORENEW 服务器未接受请求。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。
0x80180017 “idErrorMDMAccountMaintenance”, // MENROLL_E_INMAINTENANCE 该服务正在维护中。 可以稍后尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。
0x80180018 “idErrorMDMLicenseError”, // MENROLL_E_USERLICENSE 许可证出错。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。
0x80180019 “idErrorInvalidServerConfig”, // MENROLL_E_ENROLLMENTDATAINVALID 服务器似乎未正确配置。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。
“rejectedTermsOfUse” “idErrorRejectedTermsOfUse” 你的组织要求你同意使用条款。 请重试或咨询支持人员以获取详细信息。
0x801c0001 “idErrorServerConnectivity”, // DSREG_E_DEVICE_MESSAGE_FORMAT_ERROR 与服务器通信时出错。 可以尝试再次执行此操作,或者通过错误代码联系系统管理员 {0}
0x801c0002 “idErrorAuthenticationFailure”, // DSREG_E_DEVICE_AUTHENTICATION_ERROR 对帐户或设备进行身份验证时出现问题。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。
0x801c0003 “idErrorAuthorizationFailure”, // DSREG_E_DEVICE_AUTHORIZATION_ERROR 此用户无权注册。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。
0x801c0006 “idErrorServerConnectivity”, // DSREG_E_DEVICE_INTERNALSERVICE_ERROR 与服务器通信时出错。 可以尝试再次执行此操作,或者通过错误代码联系系统管理员 {0}
0x801c000B “idErrorUntrustedServer”, // DSREG_E_DISCOVERY_REDIRECTION_NOT_TRUSTED 所联系的服务器不受信任。 请与系统管理员联系,并显示错误代码 {0}。
0x801c000C “idErrorServerConnectivity”, // DSREG_E_DISCOVERY_FAILED 与服务器通信时出错。 可以尝试再次执行此操作,或者通过错误代码联系系统管理员 {0}
0x801c000E “idErrorDeviceLimit”, // DSREG_E_DEVICE_REGISTRATION_QUOTA_EXCCEEDED 此帐户的设备或用户似乎太多。 请与系统管理员联系,并显示错误代码 {0}。
0x801c000F “idErrorDeviceRequiresReboot”, // DSREG_E_DEVICE_REQUIRES_REBOOT 需要重新启动才能完成设备注册。
0x801c0010 “idErrorInvalidCertificate”, // DSREG_E_DEVICE_AIK_VALIDATION_ERROR 证书似乎无效。 请与系统管理员联系,并显示错误代码 {0}。
0x801c0011 “idErrorAuthenticationFailure”, // DSREG_E_DEVICE_ATTESTATION_ERROR 对帐户或设备进行身份验证时出现问题。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。
0x801c0012 “idErrorServerConnectivity”, // DSREG_E_DISCOVERY_BAD_MESSAGE_ERROR 与服务器通信时出错。 可以尝试再次执行此操作,或者通过错误代码联系系统管理员 {0}
0x801c0013 “idErrorAuthenticationFailure”, // DSREG_E_TENANTID_NOT_FOUND 对帐户或设备进行身份验证时出现问题。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。
0x801c0014 “idErrorAuthenticationFailure”, // DSREG_E_USERSID_NOT_FOUND 对帐户或设备进行身份验证时出现问题。 可以尝试再次执行此操作,或者通过错误代码 {0}联系系统管理员。