Registrierung mobiler Geräte
Die Registrierung mobiler Geräte ist die erste Phase der Unternehmensverwaltung. Das Gerät ist für die Kommunikation mit dem MDM-Server unter Verwendung von Sicherheitsvorkehrungen während des Registrierungsprozesses konfiguriert. Der Registrierungsdienst überprüft, ob nur authentifizierte und autorisierte Geräte vom Unternehmen verwaltet werden.
Der Registrierungsprozess umfasst die folgenden Schritte:
- Ermittlung des Registrierungsendpunkts: In diesem Schritt werden die Konfigurationseinstellungen des Registrierungsendpunkts bereitgestellt.
- Zertifikatinstallation: In diesem Schritt werden die Benutzerauthentifizierung, die Zertifikatgenerierung und die Zertifikatinstallation behandelt. Die installierten Zertifikate werden in Zukunft zur Verwaltung der gegenseitigen Client/Server-Authentifizierung (TLS/SSL) verwendet.
- DM-Clientbereitstellung: In diesem Schritt wird der Geräteverwaltung-Client (DM) so konfiguriert, dass er nach der Registrierung über DM SyncML über HTTPS (auch bekannt als Open Mobile Alliance Geräteverwaltung (OMA DM) XML) eine Verbindung mit einem Mobile Geräteverwaltung-Server (MDM) herstellt.
Registrierungsprotokoll
Es wurden viele Änderungen am Registrierungsprotokoll vorgenommen, um verschiedene Szenarien auf allen Plattformen besser zu unterstützen. Ausführliche Informationen zum Registrierungsprotokoll für mobile Geräte finden Sie unter:
Der Registrierungsprozess umfasst die folgenden Schritte:
Ermittlungsanforderung
Die Ermittlungsanforderung ist ein einfacher HTTP-Post-Aufruf, der XML über HTTP zurückgibt. Der zurückgegebene XML-Code enthält die Authentifizierungs-URL, die Verwaltungsdienst-URL und den Benutzeranmeldeinformationstyp.
Zertifikatregistrierungsrichtlinie
Die Konfiguration der Zertifikatregistrierungsrichtlinie ist eine Implementierung des MS-XCEP-Protokolls, die unter [MS-XCEP]: X.509 Certificate Enrollment Policy Protocol Specification (Protokollspezifikation für die Zertifikatregistrierungsrichtlinie) beschrieben wird. Abschnitt 4 der Spezifikation enthält ein Beispiel für die Richtlinienanforderung und -antwort. Das X.509 Certificate Enrollment Policy Protocol ist ein minimales Messagingprotokoll, das eine einzelne Clientanforderungsnachricht (GetPolicies) mit einer übereinstimmenden Serverantwortnachricht (GetPoliciesResponse) enthält.
Weitere Informationen finden Sie unter [MS-XCEP]: X.509 Certificate Enrollment Policy Protocol
Zertifikatregistrierung
Die Zertifikatregistrierung ist eine Implementierung des MS-WSTEP-Protokolls.
Verwaltungskonfiguration
Der Server sendet Bereitstellungs-XML, das ein Serverzertifikat (für die TLS-/SSL-Serverauthentifizierung), ein von der Unternehmenszertifizierungsstelle ausgestelltes Clientzertifikat, DMClient-Bootstrapinformationen (für die Kommunikation des Clients mit dem Verwaltungsserver), ein Unternehmensanwendungstoken (für den Benutzer zum Installieren von Unternehmensanwendungen) und den Link zum Herunterladen der Unternehmenshubanwendung enthält.
In den folgenden Artikeln wird der End-to-End-Registrierungsprozess mit verschiedenen Authentifizierungsmethoden beschrieben:
- Registrierung von Geräten mit Verbundauthentifizierung
- Registrierung von Geräten mit Zertifikatauthentifizierung
- Registrierung von Geräten mit lokaler Authentifizierung
Hinweis
Als bewährte Methode sollten Sie keine hartcodierten serverseitigen Überprüfungen für Werte wie die folgenden verwenden:
- Benutzer-Agent-Zeichenfolge
- Alle festen URIs, die während der Registrierung übergeben werden
- Spezifische Formatierung eines beliebigen Werts, sofern nicht anders angegeben, z. B. das Format der Geräte-ID.
Registrierungsunterstützung für in die Domäne eingebundene Geräte
Geräte, die mit einem lokales Active Directory verknüpft sind, können sich über Einstellungen>auf Geschäfts-, Schul- oder Unikonto bei MDM registrieren. Die Registrierung kann jedoch nur auf den Benutzer abzielen, der mit benutzerspezifischen Richtlinien registriert ist. Geräteorientierte Richtlinien richten sich weiterhin an alle Benutzer des Geräts.
Registrierungsszenarien werden nicht unterstützt
In den folgenden Szenarien sind MDM-Registrierungen nicht zulässig:
- Integrierte Administratorkonten auf dem Windows-Desktop können sich nicht bei MDM registrieren.
- Standard Benutzer können sich nicht bei MDM registrieren. Nur Administratorbenutzer können sich registrieren.
Deaktivieren von MDM-Registrierungen
IT-Administratoren können MDM-Registrierungen für in die Domäne eingebundene PCs mithilfe der Gruppenrichtlinie MDM-Registrierung deaktivieren deaktivieren.
Gruppenrichtlinie Pfad: Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>MDM>Deaktivieren der MDM-Registrierung.
Entsprechender Registrierungsschlüssel: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)
Registrierungsfehlermeldungen
Der Registrierungsserver kann Registrierungsmeldungen mit dem SOAP-Fehlerformat ablehnen. Erstellte Fehler können wie folgt gesendet werden:
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
</s:reason>
</s:fault>
</s:body>
</s:envelope>
Beispielfehlermeldungen:
| Namespace | Subcode | Fehler | Beschreibung | HRESULT |
|---|---|---|---|---|
| s: | MessageFormat | MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR | Ungültige Nachricht vom Mobile Geräteverwaltung-Server (MDM). | 80180001 |
| s: | Authentication | MENROLL_E_DEVICE_AUTHENTICATION_ERROR | Der Mobile Geräteverwaltung-Server (MDM) konnte den Benutzer nicht authentifizieren. Versuchen Sie es erneut, oder wenden Sie sich an Ihren Systemadministrator. | 80180002 |
| s: | Autorisierung | MENROLL_E_DEVICE_AUTHORIZATION_ERROR | Der Benutzer ist nicht berechtigt, sich bei Mobile Geräteverwaltung (MDM) zu registrieren. Versuchen Sie es erneut, oder wenden Sie sich an Ihren Systemadministrator. | 80180003 |
| s: | CertificateRequest | MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR | Der Benutzer hat keine Berechtigung für die Zertifikatvorlage, oder die Zertifizierungsstelle ist nicht erreichbar. Versuchen Sie es erneut, oder wenden Sie sich an Ihren Systemadministrator. | 80180004 |
| s: | EnrollmentServer | MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR | Auf dem Mobile Geräteverwaltung-Server (MDM) ist ein Fehler aufgetreten. Versuchen Sie es erneut, oder wenden Sie sich an Ihren Systemadministrator. | 80180005 |
| ein: | InternalServiceFault | MENROLL_E_DEVICE_INTERNALSERVICE_ERROR | Auf dem Mobile Geräteverwaltung-Server (MDM) wurde eine Ausnahme nicht behandelt. Versuchen Sie es erneut, oder wenden Sie sich an Ihren Systemadministrator. | 80180006 |
| ein: | InvalidSecurity | MENROLL_E_DEVICE_INVALIDSECURITY_ERROR | Der Mobile Geräteverwaltung-Server (MDM) konnte Ihr Konto nicht überprüfen. Versuchen Sie es erneut, oder wenden Sie sich an Ihren Systemadministrator. | 80180007 |
Das SOAP-Format enthält deviceenrollmentserviceerror auch ein -Element. Beispiel:
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">device cap reached</s:text>
</s:reason>
<s:detail>
<deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
<errortype>devicecapreached</errortype>
<message>device cap reached</message>
<traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
</deviceenrollmentserviceerror>
</s:detail>
</s:fault>
</s:body>
</s:envelope>
Beispielfehlermeldungen:
| Subcode | Fehler | Beschreibung | HRESULT |
|---|---|---|---|
| DeviceCapReached | MENROLL_E_DEVICECAPREACHED | Für das Konto sind zu viele Geräte bei Mobile Geräteverwaltung (MDM) registriert. Löschen Sie alte Geräte, oder heben Sie die Registrierung auf, um diesen Fehler zu beheben. | 80180013 |
| DeviceNotSupported | MENROLL_E_DEVICENOTSUPPORTED | Der Mobile Geräteverwaltung-Server (MDM) unterstützt diese Plattform oder Version nicht. Erwägen Sie ein Upgrade Ihres Geräts. | 80180014 |
| Nicht Unterstützt | MENROLL_E_NOT_SUPPORTED | Mobile Geräteverwaltung (MDM) wird für dieses Gerät im Allgemeinen nicht unterstützt. | 80180015 |
| NotEligibleToRenew | MENROLL_E_NOTELIGIBLETORENEW | Das Gerät versucht, das Mobile Geräteverwaltung(MDM)-Zertifikat zu erneuern, aber der Server hat die Anforderung abgelehnt. Überprüfen Sie den Zeitplan für die Verlängerung auf dem Gerät. | 80180016 |
| InMaintenance | MENROLL_E_INMAINTENANCE | Der Mobile Geräteverwaltung-Server (MDM) gibt an, dass Ihr Konto gewartet wird. Versuchen Sie es später erneut. | 80180017 |
| UserLicense | MENROLL_E_USER_LICENSE | Es ist ein Fehler bei Ihrer Mobile Geräteverwaltung-Benutzerlizenz (MDM) aufgetreten. Wenden Sie sich an Ihren Systemadministrator. | 80180018 |
| InvalidEnrollmentData | MENROLL_E_ENROLLMENTDATAINVALID | Der Mobile Geräteverwaltung(MDM)-Server hat die Registrierungsdaten abgelehnt. Der Server ist möglicherweise nicht ordnungsgemäß konfiguriert. | 80180019 |
TraceID ist ein Freihandform-Textknoten, der protokolliert wird. Er sollte den serverseitigen Zustand für diesen Registrierungsversuch identifizieren. Diese Informationen können vom Support verwendet werden, um nachzuschlagen, warum der Server die Registrierung abgelehnt hat.