Configuración empresarial y administración de directivas
La interacción de administración real entre el dispositivo y el servidor se realiza a través de DMClient. DMClient se comunica con el servidor de administración empresarial a través de la sintaxis syncML dm v1.2. La descripción completa del protocolo OMA DM v1.2 se puede encontrar en el sitio web de OMA.
La configuración de MDM empresarial se expone a través de varios proveedores de servicios de configuración a DMClient. Para obtener la lista de proveedores de servicios de configuración disponibles, consulte Referencia del proveedor de servicios de configuración.
Windows admite actualmente un servidor MDM. El DMClient configurado mediante el proceso de inscripción tiene acceso a la configuración relacionada con la empresa. Durante el proceso de inscripción, el programador de tareas está configurado para invocar a DMClient para sondear periódicamente el servidor MDM.
En el diagrama siguiente se muestra el flujo de trabajo entre el servidor y el cliente.
Flujo de trabajo de administración
Este protocolo define una comunicación de cliente o servidor basada en HTTPS con DM SyncML XML como la carga del paquete que incluye solicitudes de administración y resultados de ejecución. La solicitud de configuración se aborda a través de un objeto administrado (MO). La configuración admitida por el objeto administrado se representa en una estructura de árbol conceptual. Esta vista lógica de la configuración de dispositivo configurable simplifica la forma en que el servidor aborda la configuración del dispositivo mediante el aislamiento de los detalles de implementación de la estructura de árbol conceptual.
Para facilitar la comunicación mejorada de seguridad con el servidor remoto para la administración empresarial, Windows admite la autenticación mutua basada en certificados a través de un canal HTTP TLS/SSL cifrado entre DMClient y el servicio de administración. Los certificados de servidor y cliente se aprovisionan durante el proceso de inscripción.
La configuración DMClient, la aplicación de directivas de empresa, la administración de aplicaciones empresariales y el inventario de dispositivos se exponen o expresan a través de proveedores de servicios de configuración (CSP). Los CSP son el término de Windows para objetos administrados. DMClient se comunica con el servidor y envía la solicitud de configuración a los CSP. El servidor solo necesita conocer los URI locales lógicos definidos por esos nodos csp para poder usar el XML del protocolo DM para administrar el dispositivo.
Este es un resumen de las tareas de DM admitidas para la administración empresarial:
- Administración de directivas de empresa: las directivas de empresa se admiten a través del CSP de directivas, lo que permite a la empresa administrar varias configuraciones. Permite al servicio de administración configurar directivas relacionadas con bloqueos de dispositivo, deshabilitar o habilitar la tarjeta de almacenamiento y consultar el estado de cifrado del dispositivo. El CSP de RemoteWipe permite a los profesionales de TI borrar completamente el almacenamiento de datos de usuario interno de forma remota.
- Administración de aplicaciones empresariales: esta tarea se aborda a través del CSP de Enterprise ModernApp Management y varias directivas relacionadas con ApplicationManagement. Se usa para instalar el token de empresa, consultar los nombres y versiones de aplicaciones empresariales instaladas, etcetera. El servicio empresarial solo puede acceder a este CSP.
- Administración de certificados: csp de CertificateStore, CSP de RootCACertificate y CSP ClientCertificateInstall se usan para instalar certificados.
- Administración básica de recursos e inventario de dispositivos: se puede recuperar información básica del dispositivo a través del CSP de DevInfo, los CSP de DevDetail y el CSP de DeviceStatus. Proporcionan información básica del dispositivo, como el nombre oem, el modelo de dispositivo, la versión de hardware, la versión del sistema operativo, los tipos de procesador etcetera. Esta información es para la administración de recursos y el destino de dispositivos. El CSP de NodeCache permite al dispositivo enviar solo la configuración de inventario delta al servidor para reducir el uso de datos en el aire. El servicio empresarial solo puede acceder al CSP de NodeCache.