共用方式為


行動裝置註冊

行動裝置註冊是企業管理的第一個階段。 裝置已設定為在註冊程式期間使用安全性預防措施與 MDM 伺服器通訊。 註冊服務會驗證只有經過驗證和授權的裝置是由企業管理。

註冊程式包含下列步驟:

  1. 探索註冊端點:此步驟提供註冊端點組態設定。
  2. 憑證安裝:此步驟會處理使用者驗證、憑證產生和憑證安裝。 未來將會使用已安裝的憑證來管理用戶端/伺服器 (TLS/SSL) 相互驗證。
  3. DM 用戶端布建:此步驟會設定裝置管理 (DM) 用戶端,以在透過 DM SyncML over HTTPS 註冊之後連線到行動裝置管理 (MDM) 伺服器 (也稱為 Open Mobile Alliance Device Management (OMA DM) XML) 。

註冊通訊協定

註冊通訊協定已進行許多變更,以更妥善支援所有平台的各種案例。 如需行動裝置註冊通訊協議的詳細資訊,請參閱:

註冊程式包含下列步驟:

探索要求

探索要求是透過 HTTP 傳回 XML 的簡單 HTTP 後續呼叫。 傳回的 XML 包含驗證 URL、管理服務 URL 和使用者認證類型。

憑證註冊原則

憑證註冊原則設定是 MS-XCEP 通訊協定的實作,如 [MS-XCEP]: X.509 憑證註冊原則通訊協議規格中所述。 規格的第 4 節提供原則要求和回應的範例。 X.509 憑證註冊原則通訊協定是最小的訊息通訊協定,其中包含 getPolicies (getPolicies) 的單一用戶端要求訊息, (GetPoliciesResponse) 。

如需詳細資訊,請 參閱 [MS-XCEP]: X.509 憑證註冊原則通訊協定

憑證註冊

憑證註冊是 MS-WSTEP 通訊協議的實作。

管理組態

伺服器會傳送布建 XML,其中包含 TLS/SSL 伺服器驗證) 的伺服器證書 (、由企業 CA 簽發的用戶端憑證、用戶端用來與管理伺服器) 通訊的 DMClient 啟動載入器資訊 (、使用者安裝企業應用程式) 的企業應用程式令牌 (,以及下載公司中樞應用程式的連結。

下列文章說明使用各種驗證方法的端對端註冊程式:

注意

最佳做法是,不要對下列值使用硬式編碼伺服器端檢查:

  • 使用者代理程式字串
  • 註冊期間傳遞的任何固定 URI
  • 除非另有註明,否則任何值的特定格式設定,例如裝置標識碼的格式。

已加入網域裝置的註冊支援

已加入內部部署 Active Directory 的裝置可以透過>設定存取公司或學校註冊到 MDM。 不過,註冊只能以以使用者特定原則註冊的用戶為目標。 裝置目標原則會繼續以裝置的所有用戶為目標。

不支持的註冊案例

下列案例不允許 MDM 註冊:

  • Windows 桌面上的內建系統管理員帳戶無法註冊到 MDM。
  • 標準用戶無法在 MDM 中註冊。 只有系統管理員用戶可以註冊。

停用 MDM 註冊

IT 系統管理員可以使用停用 MDM 註冊組策略,針對已加入網域的電腦停用 MDM 註冊

組策略路徑:計算機設定>系統管理>範本Windows 元件>MDM>停用 MDM 註冊。 對應的登入機碼: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)

在 GP 編輯器中停用 MDM 註冊原則。

註冊錯誤訊息

註冊伺服器可以使用 SOAP 錯誤格式拒絕註冊訊息。 建立的錯誤可以如下所示傳送:

<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
    <s:header>
        <a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
        <activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
        <a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
    </s:header>
    <s:body>
        <s:fault>
            <s:code>
                <s:value>s:receiver</s:value>
                <s:subcode>
                    <s:value>s:authorization</s:value>
                </s:subcode>
            </s:code>
            <s:reason>
                <s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
            </s:reason>
        </s:fault>
    </s:body>
</s:envelope>

範例錯誤訊息

命名空間 子程序代碼 錯誤 描述 HRESULT
s: MessageFormat MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR 來自行動裝置管理 (MDM) 伺服器的無效訊息。 80180001
s: Authentication MENROLL_E_DEVICE_AUTHENTICATION_ERROR 行動裝置管理 (MDM) 伺服器無法驗證使用者。 請再試一次,或連絡您的系統管理員。 80180002
s: 授權 MENROLL_E_DEVICE_AUTHORIZATION_ERROR 用戶未獲授權註冊行動裝置管理 (MDM) 。 請再試一次,或連絡您的系統管理員。 80180003
s: CertificateRequest MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR 用戶沒有證書範本的許可權,或無法連線到證書頒發機構單位。 請再試一次,或連絡您的系統管理員。 80180004
s: EnrollmentServer MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR 行動裝置管理 (MDM) 伺服器發生錯誤。 請再試一次,或連絡您的系統管理員。 80180005
一個: InternalServiceFault MENROLL_E_DEVICE_INTERNALSERVICE_ERROR 行動裝置管理 (MDM) 伺服器上發生未處理的例外狀況。 請再試一次,或連絡您的系統管理員。 80180006
一個: InvalidSecurity MENROLL_E_DEVICE_INVALIDSECURITY_ERROR 行動裝置管理 (MDM) 伺服器無法驗證您的帳戶。 請再試一次,或連絡您的系統管理員。 80180007

SOAP 格式也包含 deviceenrollmentserviceerror 專案。 以下是範例:

<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
    <s:header>
        <a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
        <activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
        <a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
    </s:header>
    <s:body>
        <s:fault>
            <s:code>
                <s:value>s:receiver</s:value>
                <s:subcode>
                    <s:value>s:authorization</s:value>
                </s:subcode>
            </s:code>
            <s:reason>
                <s:text xml:lang="en-us">device cap reached</s:text>
            </s:reason>
            <s:detail>
                <deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
                    <errortype>devicecapreached</errortype>
                    <message>device cap reached</message>
                    <traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
                </deviceenrollmentserviceerror>
            </s:detail>
        </s:fault>
    </s:body>
</s:envelope>

範例錯誤訊息

子程序代碼 錯誤 描述 HRESULT
DeviceCapReached MENROLL_E_DEVICECAPREACHED 帳戶有太多裝置註冊到行動裝置管理 (MDM) 。 刪除或取消註冊舊裝置以修正此錯誤。 80180013
DeviceNotSupported MENROLL_E_DEVICENOTSUPPORTED 行動裝置管理 (MDM) 伺服器不支援此平臺或版本,請考慮升級您的裝置。 80180014
NotSupported MENROLL_E_NOT_SUPPORTED 此裝置通常不支援行動裝置管理 (MDM) 。 80180015
NotEligibleToRenew MENROLL_E_NOTELIGIBLETORENEW 裝置嘗試更新行動裝置管理 (MDM) 憑證,但伺服器已拒絕要求。 檢查裝置上的更新排程。 80180016
InMaintenance MENROLL_E_INMAINTENANCE 行動裝置管理 (MDM) 伺服器表示您的帳戶正在維護中,請稍後再試一次。 80180017
UserLicense MENROLL_E_USER_LICENSE 您的行動裝置管理 (MDM) 使用者授權發生錯誤。 請連絡您的系統管理員。 80180018
InvalidEnrollmentData MENROLL_E_ENROLLMENTDATAINVALID 行動裝置管理 (MDM) 伺服器拒絕註冊數據。 伺服器可能未正確設定。 80180019

TraceID 是記錄的手繪多邊形文字節點。 它應該識別此註冊嘗試的伺服器端狀態。 支持人員可能會使用這項資訊來查閱伺服器拒絕註冊的原因。