行動裝置註冊

• 適用於:

  ✅ Windows 11, ✅ Windows 10

行動裝置註冊是企業管理的第一個階段。 裝置已設定為在註冊程式期間使用安全性預防措施與 MDM 伺服器通訊。 註冊服務會驗證只有經過驗證和授權的裝置是由企業管理。

註冊程式包含下列步驟：

1. 探索註冊端點：此步驟提供註冊端點組態設定。
2. 憑證安裝：此步驟會處理使用者驗證、憑證產生和憑證安裝。 未來將會使用已安裝的憑證來管理用戶端/伺服器 (TLS/SSL) 相互驗證。
3. DM 用戶端布建：此步驟會設定 裝置管理 (DM) 用戶端，以在透過 HTTPS 註冊 DM SyncML 之後連線到行動 裝置管理 (MDM) 伺服器 (也稱為開放式行動聯盟 裝置管理 (OMA DM) XML) 。

註冊通訊協定

註冊通訊協定已進行許多變更，以更妥善支援所有平台的各種案例。 如需行動裝置註冊通訊協議的詳細資訊，請參閱：

• [MS-MDM]：行動 裝置管理 通訊協定。
• [MS-MDE2]： 行動裝置註冊通訊協定第 2 版。

註冊程式包含下列步驟：

探索要求

探索要求是透過 HTTP 傳回 XML 的簡單 HTTP 後續呼叫。 傳回的 XML 包含驗證 URL、管理服務 URL 和使用者認證類型。

憑證註冊原則

憑證註冊原則設定是 MS-XCEP 通訊協定的實作，如 [MS-XCEP]： X.509 憑證註冊原則通訊協議規格中所述。 規格的第 4 節提供原則要求和回應的範例。 X.509 憑證註冊原則通訊協定是最小的訊息通訊協定，其中包含 getPolicies (getPolicies) 的單一用戶端要求訊息， (GetPoliciesResponse) 。

如需詳細資訊，請 參閱 [MS-XCEP]： X.509 憑證註冊原則通訊協定

憑證註冊

憑證註冊是 MS-WSTEP 通訊協議的實作。

管理組態

伺服器會傳送布建 XML，其中包含適用於 TLS/SSL 伺服器驗證) 的伺服器證書 (、由企業 CA 發出的用戶端憑證、用戶端啟動載入資訊 (，供用戶端與管理伺服器) 通訊、企業應用程式令牌 (供使用者安裝企業應用程式) ，以及下載公司中樞應用程式的連結。

下列文章說明使用各種驗證方法的端對端註冊程式：

• 同盟驗證裝置註冊
• 憑證驗證裝置註冊
• 內部部署驗證裝置註冊

注意

最佳做法是，不要對下列值使用硬式編碼伺服器端檢查：

• 使用者代理程式字串
• 註冊期間傳遞的任何固定 URI
• 除非另有註明，否則任何值的特定格式設定，例如裝置標識碼的格式。

已加入網域裝置的註冊支援

已加入 內部部署的 Active Directory的裝置可以透過>設定存取公司或學校來註冊 MDM。 不過，註冊只能以以使用者特定原則註冊的用戶為目標。 裝置目標原則會繼續以裝置的所有用戶為目標。

不支持的註冊案例

下列案例不允許 MDM 註冊：

• Windows 桌面上的內建系統管理員帳戶無法註冊到 MDM。
• 標準用戶無法在 MDM 中註冊。 只有系統管理員用戶可以註冊。

停用 MDM 註冊

IT 系統管理員可以使用停用 MDM 註冊組策略，針對已加入網域的電腦停用 MDM 註冊 。

群組原則 路徑：計算機設定>系統管理>範本Windows 元件>MDM>停用 MDM 註冊。 對應的登入機碼： HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)

註冊錯誤訊息

註冊伺服器可以使用 SOAP 錯誤格式拒絕註冊訊息。 建立的錯誤可以如下所示傳送：

<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
    <s:header>
        <a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
        <activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
        <a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
    </s:header>
    <s:body>
        <s:fault>
            <s:code>
                <s:value>s:receiver</s:value>
                <s:subcode>
                    <s:value>s:authorization</s:value>
                </s:subcode>
            </s:code>
            <s:reason>
                <s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
            </s:reason>
        </s:fault>
    </s:body>
</s:envelope>

範例錯誤訊息：

命名空間	子程序代碼	錯誤	描述	HRESULT
s:	MessageFormat	MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR	來自行動裝置 裝置管理 (MDM) 伺服器的無效訊息。	80180001
s:	Authentication	MENROLL_E_DEVICE_AUTHENTICATION_ERROR	行動 裝置管理 (MDM) 伺服器無法驗證使用者。 請再試一次，或連絡您的系統管理員。	80180002
s:	授權	MENROLL_E_DEVICE_AUTHORIZATION_ERROR	用戶未獲授權註冊行動 裝置管理 (MDM) 。 請再試一次，或連絡您的系統管理員。	80180003
s:	CertificateRequest	MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR	用戶沒有證書範本的許可權，或無法連線到證書頒發機構單位。 請再試一次，或連絡您的系統管理員。	80180004
s:	EnrollmentServer	MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR	行動 裝置管理 (MDM) 伺服器發生錯誤。 請再試一次，或連絡您的系統管理員。	80180005
a:	InternalServiceFault	MENROLL_E_DEVICE_INTERNALSERVICE_ERROR	行動裝置 裝置管理 (MDM) 伺服器上發生未處理的例外狀況。 請再試一次，或連絡您的系統管理員。	80180006
a:	InvalidSecurity	MENROLL_E_DEVICE_INVALIDSECURITY_ERROR	行動 裝置管理 (MDM) 伺服器無法驗證您的帳戶。 請再試一次，或連絡您的系統管理員。	80180007

SOAP 格式也包含 deviceenrollmentserviceerror 專案。 以下是範例：

<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
    <s:header>
        <a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
        <activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
        <a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
    </s:header>
    <s:body>
        <s:fault>
            <s:code>
                <s:value>s:receiver</s:value>
                <s:subcode>
                    <s:value>s:authorization</s:value>
                </s:subcode>
            </s:code>
            <s:reason>
                <s:text xml:lang="en-us">device cap reached</s:text>
            </s:reason>
            <s:detail>
                <deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
                    <errortype>devicecapreached</errortype>
                    <message>device cap reached</message>
                    <traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
                </deviceenrollmentserviceerror>
            </s:detail>
        </s:fault>
    </s:body>
</s:envelope>

範例錯誤訊息：

子程序代碼	錯誤	描述	HRESULT
DeviceCapReached	MENROLL_E_DEVICECAPREACHED	帳戶有太多裝置註冊到行動裝置 裝置管理 (MDM) 。 刪除或取消註冊舊裝置以修正此錯誤。	80180013
DeviceNotSupported	MENROLL_E_DEVICENOTSUPPORTED	行動 裝置管理 (MDM) 伺服器不支援此平臺或版本，請考慮升級您的裝置。	80180014
NotSupported	MENROLL_E_NOT_SUPPORTED	此裝置通常不支援行動 裝置管理 (MDM) 。	80180015
NotEligibleToRenew	MENROLL_E_NOTELIGIBLETORENEW	裝置嘗試更新行動裝置 裝置管理 (MDM) 憑證，但伺服器已拒絕要求。 檢查裝置上的更新排程。	80180016
InMaintenance	MENROLL_E_INMAINTENANCE	Mobile 裝置管理 (MDM) 伺服器指出您的帳戶正在進行維護，請稍後再試一次。	80180017
UserLicense	MENROLL_E_USER_LICENSE	您的行動裝置 裝置管理 (MDM) 使用者授權發生錯誤。 請連絡您的系統管理員。	80180018
InvalidEnrollmentData	MENROLL_E_ENROLLMENTDATAINVALID	行動 裝置管理 (MDM) 伺服器拒絕註冊數據。 伺服器可能未正確設定。	80180019

TraceID 是記錄的手繪多邊形文字節點。 它應該識別此註冊嘗試的伺服器端狀態。 支持人員可能會使用這項資訊來查閱伺服器拒絕註冊的原因。

相關文章

• Windows 型裝置的 MDM 註冊
• 同盟驗證裝置註冊
• 憑證驗證裝置註冊
• 內部部署驗證裝置註冊