Inscription de périphérique mobile
L’inscription des appareils mobiles est la première phase de la gestion d’entreprise. L’appareil est configuré pour communiquer avec le serveur MDM en utilisant des précautions de sécurité pendant le processus d’inscription. Le service d’inscription vérifie que seuls les appareils authentifiés et autorisés sont gérés par l’entreprise.
Le processus d’inscription comprend les étapes suivantes :
- Découverte du point de terminaison d’inscription : cette étape fournit les paramètres de configuration du point de terminaison d’inscription.
- Installation du certificat : cette étape gère l’authentification utilisateur, la génération de certificat et l’installation des certificats. Les certificats installés seront utilisés à l’avenir pour gérer l’authentification mutuelle client/serveur (TLS/SSL).
- Provisionnement du client DM : cette étape configure le client Gestion des appareils (DM) pour qu’il se connecte à un serveur de gestion des appareils mobiles (GPM) après l’inscription via DM SyncML sur HTTPS (également appelé XML OMA DM (Open Mobile Alliance Device Management).
Protocole d’inscription
De nombreuses modifications ont été apportées au protocole d’inscription pour mieux prendre en charge différents scénarios sur toutes les plateformes. Pour plus d’informations sur le protocole d’inscription des appareils mobiles, consultez :
- [MS-MDM] : protocole de gestion des appareils mobiles.
- [MS-MDE2] : protocole d’inscription d’appareil mobile version 2.
Le processus d’inscription implique les étapes suivantes :
Demande de découverte
La demande de découverte est un simple appel http post qui retourne du code XML sur HTTP. Le code XML retourné inclut l’URL d’authentification, l’URL du service de gestion et le type d’informations d’identification de l’utilisateur.
Stratégie d’inscription de certificat
La configuration de la stratégie d’inscription de certificat est une implémentation du protocole MS-XCEP, qui est décrit dans [MS-XCEP] : X.509 Certificate Enrollment Policy Protocol Specification. La section 4 de la spécification fournit un exemple de demande et de réponse de stratégie. Le protocole de stratégie d’inscription de certificat X.509 est un protocole de messagerie minimal qui inclut un message de demande client unique (GetPolicies) avec un message de réponse de serveur correspondant (GetPoliciesResponse).
Pour plus d’informations, consultez [MS-XCEP] : Protocole de stratégie d’inscription de certificats X.509
Inscription de certificat
L’inscription de certificat est une implémentation du protocole MS-WSTEP.
Configuration de la gestion
Le serveur envoie le code XML d’approvisionnement qui contient un certificat de serveur (pour l’authentification serveur TLS/SSL), un certificat client émis par l’autorité de certification d’entreprise, des informations de démarrage DMClient (pour que le client communique avec le serveur d’administration), un jeton d’application d’entreprise (pour que l’utilisateur installe des applications d’entreprise) et le lien pour télécharger l’application Hub d’entreprise.
Les articles suivants décrivent le processus d’inscription de bout en bout à l’aide de différentes méthodes d’authentification :
- Inscription de périphériques de l'authentification fédérée
- Inscription d'appareils à l'authentification par certificat
- Inscription d'appareils à l'authentification sur site
Remarque
Il est recommandé de ne pas utiliser de vérifications côté serveur codées en dur sur des valeurs telles que :
- Chaîne de l’agent utilisateur
- Tous les URI fixes passés lors de l’inscription
- Mise en forme spécifique d’une valeur, sauf indication contraire, telle que le format de l’ID d’appareil.
Prise en charge de l’inscription pour les appareils joints à un domaine
Les appareils joints à un annuaire Active Directory local peuvent s’inscrire à GPM via Paramètres>Accès professionnel ou scolaire. Toutefois, l’inscription peut uniquement cibler l’utilisateur inscrit avec des stratégies spécifiques à l’utilisateur. Les stratégies ciblées sur l’appareil continuent de cibler tous les utilisateurs de l’appareil.
Scénarios d’inscription non pris en charge
Les scénarios suivants n’autorisent pas les inscriptions GPM :
- Les comptes d’administrateur intégrés sur le bureau Windows ne peuvent pas s’inscrire à GPM.
- Les utilisateurs standard ne peuvent pas s’inscrire à GPM. Seuls les utilisateurs administrateurs peuvent s’inscrire.
Désactiver les inscriptions MDM
L’administrateur informatique peut désactiver les inscriptions MDM pour les PC joints à un domaine à l’aide de la stratégie de groupe Désactiver l’inscription MDM .
Chemin de la stratégie de groupe : Configuration> ordinateurModèles d’administration>Composants> WindowsGPM>Désactiver l’inscription MDM.
Clé de Registre correspondante : HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)
Messages d’erreur d’inscription
Le serveur d’inscription peut refuser les messages d’inscription en utilisant le format d’erreur SOAP. Les erreurs créées peuvent être envoyées comme suit :
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
</s:reason>
</s:fault>
</s:body>
</s:envelope>
Exemples de messages d’erreur :
| Espace de noms | Sous-code | Erreur | Description | HRESULT |
|---|---|---|---|---|
| s: | MessageFormat | MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR | Message non valide provenant du serveur de gestion des appareils mobiles (GPM). | 80180001 |
| s: | Authentication | MENROLL_E_DEVICE_AUTHENTICATION_ERROR | Le serveur de gestion des appareils mobiles (MDM) n’a pas pu authentifier l’utilisateur. Réessayez ou contactez votre administrateur système. | 80180002 |
| s: | Authorization | MENROLL_E_DEVICE_AUTHORIZATION_ERROR | L’utilisateur n’est pas autorisé à s’inscrire à la gestion des appareils mobiles (GPM). Réessayez ou contactez votre administrateur système. | 80180003 |
| s: | CertificateRequest | MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR | L’utilisateur n’a aucune autorisation pour le modèle de certificat ou l’autorité de certification est inaccessible. Réessayez ou contactez votre administrateur système. | 80180004 |
| s: | EnrollmentServer | MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR | Le serveur de gestion des appareils mobiles (GPM) a rencontré une erreur. Réessayez ou contactez votre administrateur système. | 80180005 |
| un: | InternalServiceFault | MENROLL_E_DEVICE_INTERNALSERVICE_ERROR | Il y avait une exception non prise en charge sur le serveur de gestion des appareils mobiles (GPM). Réessayez ou contactez votre administrateur système. | 80180006 |
| un: | InvalidSecurity | MENROLL_E_DEVICE_INVALIDSECURITY_ERROR | Le serveur gestion des appareils mobiles (MDM) n’a pas pu valider votre compte. Réessayez ou contactez votre administrateur système. | 80180007 |
Le format SOAP inclut également un deviceenrollmentserviceerror élément. Voici un exemple :
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">device cap reached</s:text>
</s:reason>
<s:detail>
<deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
<errortype>devicecapreached</errortype>
<message>device cap reached</message>
<traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
</deviceenrollmentserviceerror>
</s:detail>
</s:fault>
</s:body>
</s:envelope>
Exemples de messages d’erreur :
| Sous-code | Erreur | Description | HRESULT |
|---|---|---|---|
| DeviceCapReached | MENROLL_E_DEVICECAPREACHED | Le compte a trop d’appareils inscrits à la gestion des appareils mobiles (GPM). Supprimez ou désinscrivez les anciens appareils pour corriger cette erreur. | 80180013 |
| DeviceNotSupported | MENROLL_E_DEVICENOTSUPPORTED | Le serveur gestion des appareils mobiles (GPM) ne prend pas en charge cette plateforme ou cette version. Envisagez de mettre à niveau votre appareil. | 80180014 |
| Non pris en charge | MENROLL_E_NOT_SUPPORTED | La gestion des appareils mobiles (GPM) n’est généralement pas prise en charge pour cet appareil. | 80180015 |
| Not EligibleToRenew | MENROLL_E_NOTELIGIBLETORENEW | L’appareil tente de renouveler le certificat de gestion des appareils mobiles (MDM), mais le serveur a rejeté la demande. Vérifiez la planification du renouvellement sur l’appareil. | 80180016 |
| InMaintenance | MENROLL_E_INMAINTENANCE | Le serveur gestion des appareils mobiles (MDM) indique que votre compte est en maintenance, réessayez ultérieurement. | 80180017 |
| UserLicense | MENROLL_E_USER_LICENSE | Une erreur s’est produite avec votre licence utilisateur gestion des appareils mobiles (GPM). Contactez votre administrateur système. | 80180018 |
| InvalidEnrollmentData | MENROLL_E_ENROLLMENTDATAINVALID | Le serveur gestion des appareils mobiles (MDM) a rejeté les données d’inscription. Le serveur n’est peut-être pas configuré correctement. | 80180019 |
TraceID est un nœud de texte de forme libre qui est journalisé. Il doit identifier l’état côté serveur pour cette tentative d’inscription. Ces informations peuvent être utilisées par le support technique pour rechercher la raison pour laquelle le serveur a refusé l’inscription.