Deklarierte Konfigurationsermittlung

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

Die Windows-Ermittlung für deklarierte Konfiguration (Windows Declared Configuration, WinDC) verwendet ein dediziertes JSON-Schema, um Registrierungsdetails vom Ermittlungsdienstendpunkt (DS) abzufragen. Dieser Prozess umfasst das Senden von HTTP-Anforderungen mit bestimmten Headern und einem JSON-Text, der Details wie Benutzerdomäne, Mandanten-ID und Betriebssystemversion enthält. Der DS antwortet mit den erforderlichen Registrierungsdienst-URLs und Authentifizierungsrichtlinien basierend auf dem Registrierungstyp (Microsoft Entra eingebundenen oder registrierten Geräten).

Dieser Artikel beschreibt die Schemastruktur für die HTTP-Anforderungs- und Antworttexte und enthält Beispiele für die Implementierung.

Schemastruktur

HTTP-Anforderungsheader

Kopfzeile	Erforderlich	Beschreibung
MS-CV: %s	Nein	Korrelationsvektor für die Registrierung
client-request-id: %s	Nein	Anforderungs-ID
Content-Type: application/json	Ja	HTTP-Inhaltstyp

HTTP-Anforderungstext (JSON)

Feld	Erforderlich	Beschreibung
userDomain	Nein	Domänenname des registrierten Kontos
upn	Nein	Benutzerprinzipalname (UPN) des registrierten Kontos
tenantId	Nein	Mandanten-ID des registrierten Kontos
emmDeviceId	Nein	EMM-Geräte-ID (Enterprise Mobility Management) des registrierten Kontos
enrollmentType	Entra join: Nein Entra registriert: Ja	Registrierungstyp des registrierten Kontos. Unterstützte Werte: - Device: Gibt an, dass der übergeordnete Registrierungstyp In Entra eingebunden ist (DS-Antwort sollte "AuthPolicy": "Verbund") angeben). - User: Gibt an, dass der übergeordnete Registrierungstyp Von Entra registriert ist (DS-Antwort sollte "AuthPolicy": "Certificate") angeben). - Legacyfall (nur entra join): Wenn der enrollmentType Parameter nicht im Anforderungstext enthalten ist, sollte das Gerät als mit Entra verknüpft behandelt werden.
osVersion	Ja	Betriebssystemversion auf dem Gerät. Der DS kann verwenden osVersion , um zu bestimmen, ob die Clientplattform die WinDC-Registrierung unterstützt. Weitere Informationen finden Sie unter Unterstützte Plattformen .

HTTP DS-Antworttext (JSON)

Feld	Erforderlich	Beschreibung
EnrollmentServiceUrl	Ja	URL des WinDC-Registrierungsdiensts
EnrollmentVersion	Nein	Registrierungsversion
EnrollmentPolicyServiceUrl	Ja	URL des Registrierungsrichtliniendiensts
AuthenticationServiceUrl	Ja	Authentifizierungsdienst-URL
ManagementResource	Nein	Verwaltungsressource
TouUrl	Nein	URL der Nutzungsbedingungen
AuthPolicy	Ja	Authentifizierungsrichtlinie. Unterstützte Werte: - Federated (erforderlich für entra join) - Certificate (erforderlich für Entra registriert)
errorCode	Nein	Fehlercode
message	Nein	Statusmeldung

Beispiele

Ermittlungsanforderung

Header

Content-Type: application/json

Textkörper

1. Einzelner Vorlagenansatz: Der Client sendet den UPN-Wert in der ersten Anforderung zusammen mit dem TenantId-Parameter .

   1. Microsoft Entra eingebunden:

      {
          "userDomain" : "contoso.com",
          "upn" : "johndoe@contoso.com",
          "tenantId" : "00000000-0000-0000-0000-000000000000",
          "emmDeviceId" : "00000000-0000-0000-0000-000000000000",
          "enrollmentType" : "Device",
          "osVersion" : "10.0.00000.0"
      }
      

   2. Microsoft Entra registriert:

      {
      
          "userDomain" : "contoso.com",
          "upn" : "johndoe@contoso.com",
          "tenantId" : "00000000-0000-0000-0000-000000000000",
          "emmDeviceId" : "00000000-0000-0000-0000-000000000000",
          "enrollmentType" : "Device",
          "osVersion" : "10.0.00000.0"
      }
      

2. Kein UPN (Legacy)

   1. Microsoft Entra eingebunden:

      {
          "userDomain" : "contoso.com",
          "emmDeviceId" : "00000000-0000-0000-0000-000000000000",
          "enrollmentType" : "Device",
          "osVersion" : "10.0.00000.0"
      }
      

   2. Microsoft Entra registriert:

      {
          "userDomain" : "contoso.com",
          "emmDeviceId" : "00000000-0000-0000-0000-000000000000",
          "enrollmentType" : "User",
          "osVersion" : "10.0.00000.0"
      }
      

3. Vom Server angeforderter UPN (Legacyformat). Informationen dazu, wie der Server UPN-Daten anfordern kann, wenn sie nicht in der ursprünglichen Anforderung angegeben werden, finden Sie unter Fehlerbehandlung .

   1. Microsoft Entra eingebunden:

      {
          "upn" : "johndoe@contoso.com",
          "emmDeviceId" : "00000000-0000-0000-0000-000000000000",
          "enrollmentType" : "Device",
          "osVersion" : "10.0.00000.0"
      }
      

   2. Microsoft Entra registriert:

      {
          "upn" : "johndoe@contoso.com",
          "emmDeviceId" : "00000000-0000-0000-0000-000000000000",
          "enrollmentType" : "User",
          "osVersion" : "10.0.00000.0"
      }
      

Ermittlungsantwort

Header

Content-Type: application/json

Textkörper

1. Microsoft Entra verknüpft (erfordert "AuthPolicy": "Federated"):

   {
       "EnrollmentServiceUrl" : "https://manage.contoso.com/Enrollment/Discovery",
       "EnrollmentPolicyServiceUrl" : "https://manage.contoso.com/Enrollment/GetPolicies",
       "AuthenticationServiceUrl" : "https://manage.contoso.com/Enrollment/AuthService",
       "AuthPolicy" : "Federated",
       "ManagementResource":"https://manage.contoso.com",
       "TouUrl" : "https://manage.contoso.com/Enrollment/tou.aspx"
   }
   

2. Microsoft Entra registriert (erfordert "AuthPolicy": "Certificate"):

   {
       "EnrollmentServiceUrl" : "https://manage.contoso.com/Enrollment/Discovery",
       "EnrollmentPolicyServiceUrl" : "https://manage.contoso.com/Enrollment/GetPolicies",
       "AuthenticationServiceUrl" : "https://manage.contoso.com/Enrollment/AuthService",
       "AuthPolicy" : "Certificate",
       "ManagementResource":"https://manage.contoso.com",
       "TouUrl" : "https://manage.contoso.com/Enrollment/tou.aspx"
   }
   

Authentication

Die WinDC-Registrierung erfordert verschiedene Authentifizierungsmechanismen für Microsoft Entra eingebundene und registrierte Geräte. WinDC DS muss in das Authentifizierungsmodell integriert werden, indem der entsprechende AuthPolicy Wert in der Ermittlungsantwort basierend auf der enrollmentType -Eigenschaft der Anforderung angegeben wird.

• Microsoft Entra eingebundene Geräte verwenden die Verbundauthentifizierung (Entra-Gerätetoken).
• Microsoft Entra registrierten Geräte verwenden die Zertifikatauthentifizierung (MDM-Zertifikat, bereitgestellt für die übergeordnete Registrierung).

Regeln

• Für Microsoft Entra verbundene Geräte:

  • Ermittlungsanforderung: "enrollmentType": "Device"
  • Ermittlungsantwort: "AuthPolicy": "Federated"
  • Authentifizierung: Der Client verwendet das Entra-Gerätetoken für die Authentifizierung beim WinDC-Registrierungsserver.

• Bei Legacyfällen (in denen der enrollmentType Wert leer ist) gilt Folgendes:

  • Ermittlungsanforderung: "enrollmentType": ""
  • Ermittlungsantwort: "AuthPolicy": "Federated"
  • Authentifizierung: Der Client verwendet das Entra-Gerätetoken für die Authentifizierung beim WinDC-Registrierungsserver.

• Für Microsoft Entra registrierte Geräte:

  • Ermittlungsanforderung: "enrollmentType": "User"
  • Ermittlungsantwort: "AuthPolicy": "Certificate"
  • Authentifizierung: Der Client verwendet das MDM-Zertifikat aus der übergeordneten Registrierung, um sich beim WinDC-Registrierungsserver zu authentifizieren.

Fehlerbehandlung

• UPNRequired: Wenn in der Ermittlungsanforderung kein UPN-Wert angegeben wird, kann der DS in der Antwort auf UPNRequired festlegenerrorCode, um den Client zu veranlassen, die Anforderung mit einem UPN-Wert zu wiederholen, falls verfügbar.
• WINHTTP_QUERY_RETRY_AFTER: Der Server kann dieses Flag festlegen, um die Clientanforderung so zu konfigurieren, dass sie nach einer angegebenen Verzögerung erneut versucht wird. Dieses Flag ist nützlich für die Behandlung von Timeout- oder Drosselungsszenarien.