Registrazione dispositivi mobili
La registrazione dei dispositivi mobili è la prima fase della gestione aziendale. Il dispositivo è configurato per comunicare con il server MDM usando precauzioni di sicurezza durante il processo di registrazione. Il servizio di registrazione verifica che solo i dispositivi autenticati e autorizzati siano gestiti dall'organizzazione.
Il processo di registrazione include i passaggi seguenti:
- Individuazione dell'endpoint di registrazione: questo passaggio fornisce le impostazioni di configurazione dell'endpoint di registrazione.
- Installazione del certificato: questo passaggio gestisce l'autenticazione utente, la generazione di certificati e l'installazione del certificato. I certificati installati verranno usati in futuro per gestire l'autenticazione reciproca client/server (TLS/SSL).
- Provisioning client Dm: questo passaggio configura il client gestione dispositivi (DM) per connettersi a un server di gestione dei dispositivi mobili (MDM) dopo la registrazione tramite DM SyncML tramite HTTPS (noto anche come XML open Mobile Alliance Device Management (OMA DM).
Protocollo di registrazione
Sono state apportate molte modifiche al protocollo di registrazione per supportare meglio vari scenari in tutte le piattaforme. Per informazioni dettagliate sul protocollo di registrazione dei dispositivi mobili, vedere:
- [MS-MDM]: Protocollo di gestione dei dispositivi mobili.
- [MS-MDE2]: Protocollo di registrazione dispositivi mobili versione 2.
Il processo di registrazione prevede i passaggi seguenti:
Richiesta di individuazione
La richiesta di individuazione è una semplice postchiamata HTTP che restituisce XML su HTTP. Il codice XML restituito include l'URL di autenticazione, l'URL del servizio di gestione e il tipo di credenziali utente.
Criteri di registrazione certificati
La configurazione dei criteri di registrazione certificati è un'implementazione del protocollo MS-XCEP, descritta in [MS-XCEP]: X.509 Certificate Enrollment Policy Protocol Specification. La sezione 4 della specifica fornisce un esempio della richiesta e della risposta dei criteri. Il protocollo dei criteri di registrazione certificati X.509 è un protocollo di messaggistica minimo che include un singolo messaggio di richiesta client (GetPolicies) con un messaggio di risposta del server corrispondente (GetPoliciesResponse).
Per altre informazioni, vedere [MS-XCEP]: X.509 Certificate Enrollment Policy Protocol
Registrazione del certificato
La registrazione del certificato è un'implementazione del protocollo MS-WSTEP.
Configurazione della gestione
Il server invia il codice XML di provisioning che contiene un certificato server (per l'autenticazione server TLS/SSL), un certificato client emesso dalla CA aziendale, informazioni di bootstrap DMClient (per consentire al client di comunicare con il server di gestione), un token dell'applicazione aziendale (per l'installazione di applicazioni aziendali) e il collegamento per scaricare l'applicazione dell'hub aziendale.
Gli articoli seguenti descrivono il processo di registrazione end-to-end usando vari metodi di autenticazione:
- Registrazione dei dispositivi con l'autenticazione federata
- Registrazione dei dispositivi con l'autenticazione del certificato
- Registrazione dei dispositivi di autenticazione locale
Nota
Come procedura consigliata, non usare controlli sul lato server hardcoded su valori come:
- Stringa dell'agente utente
- Eventuali URI fissi passati durante la registrazione
- Formattazione specifica di qualsiasi valore, se non diversamente specificato, ad esempio il formato dell'ID dispositivo.
Supporto della registrazione per i dispositivi aggiunti a un dominio
I dispositivi aggiunti a un'istanza locale di Active Directory possono registrarsi in MDM tramite Impostazioni>Accesso all'azienda o all'istituto di istruzione. Tuttavia, la registrazione può essere destinata solo all'utente registrato con criteri specifici dell'utente. I criteri di destinazione del dispositivo continuano a essere destinati a tutti gli utenti del dispositivo.
Scenari di registrazione non supportati
Gli scenari seguenti non consentono le registrazioni MDM:
- Gli account amministratore predefiniti in Windows Desktop non possono essere registrati in MDM.
- Gli utenti standard non possono registrarsi in MDM. Solo gli utenti amministratori possono registrarsi.
Disabilitare le registrazioni MDM
L'amministratore IT può disabilitare le registrazioni MDM per i PC aggiunti a un dominio usando i criteri di gruppo Disabilita registrazione MDM .
Percorso criteri di gruppo: Configurazione> computerModelli> amministrativiComponenti> di WindowsMDM>Disabilita la registrazione MDM.
Chiave del Registro di sistema corrispondente: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)
Messaggi di errore di registrazione
Il server di registrazione può rifiutare i messaggi di registrazione usando il formato errore SOAP. Gli errori creati possono essere inviati come segue:
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
</s:reason>
</s:fault>
</s:body>
</s:envelope>
Messaggi di errore di esempio:
| Spazio dei nomi | Sottocodice | Errore | Descrizione | HRESULT |
|---|---|---|---|---|
| s: | MessageFormat | MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR | Messaggio non valido dal server Gestione dispositivi mobili (MDM). | 80180001 |
| s: | Authentication | MENROLL_E_DEVICE_AUTHENTICATION_ERROR | Il server Gestione dispositivi mobili (MDM) non è riuscito a autenticare l'utente. Riprovare o contattare l'amministratore di sistema. | 80180002 |
| s: | Autorizzazione | MENROLL_E_DEVICE_AUTHORIZATION_ERROR | L'utente non è autorizzato a registrarsi a Mobile Device Management (MDM). Riprovare o contattare l'amministratore di sistema. | 80180003 |
| s: | CertificateRequest | MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR | L'utente non dispone di autorizzazioni per il modello di certificato o l'autorità di certificazione non è raggiungibile. Riprovare o contattare l'amministratore di sistema. | 80180004 |
| s: | EnrollmentServer | MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR | Si è verificato un errore nel server Gestione dispositivi mobili (MDM). Riprovare o contattare l'amministratore di sistema. | 80180005 |
| un: | InternalServiceFault | MENROLL_E_DEVICE_INTERNALSERVICE_ERROR | Si è verificata un'eccezione non gestita nel server MDM (Mobile Device Management). Riprovare o contattare l'amministratore di sistema. | 80180006 |
| un: | InvalidSecurity | MENROLL_E_DEVICE_INVALIDSECURITY_ERROR | Il server Gestione dispositivi mobili (MDM) non è stato in grado di convalidare l'account. Riprovare o contattare l'amministratore di sistema. | 80180007 |
Il formato SOAP include anche l'elemento deviceenrollmentserviceerror . Ecco un esempio:
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">device cap reached</s:text>
</s:reason>
<s:detail>
<deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
<errortype>devicecapreached</errortype>
<message>device cap reached</message>
<traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
</deviceenrollmentserviceerror>
</s:detail>
</s:fault>
</s:body>
</s:envelope>
Messaggi di errore di esempio:
| Sottocodice | Errore | Descrizione | HRESULT |
|---|---|---|---|
| DeviceCapReached | MENROLL_E_DEVICECAPREACHED | L'account ha troppi dispositivi registrati in Gestione dispositivi mobili (MDM). Eliminare o annullare la registrazione dei dispositivi precedenti per correggere questo errore. | 80180013 |
| DeviceNotSupported | MENROLL_E_DEVICENOTSUPPORTED | Il server di gestione dei dispositivi mobili (MDM) non supporta questa piattaforma o versione. Prendere in considerazione l'aggiornamento del dispositivo. | 80180014 |
| NotSupported | MENROLL_E_NOT_SUPPORTED | Gestione dei dispositivi mobili (MDM) in genere non è supportata per questo dispositivo. | 80180015 |
| NotEligibleToRenew | MENROLL_E_NOTELIGIBLETORENEW | Il dispositivo sta tentando di rinnovare il certificato MDM (Mobile Device Management), ma il server ha rifiutato la richiesta. Controllare la pianificazione del rinnovo nel dispositivo. | 80180016 |
| InMaintenance | MENROLL_E_INMAINTENANCE | Il server Gestione dispositivi mobili (MDM) indica che l'account è in manutenzione, riprovare più tardi. | 80180017 |
| UserLicense | MENROLL_E_USER_LICENSE | Si è verificato un errore con la licenza utente MDM (Mobile Device Management). Contattare l'amministratore di sistema. | 80180018 |
| InvalidEnrollmentData | MENROLL_E_ENROLLMENTDATAINVALID | Il server Gestione dispositivi mobili (MDM) ha rifiutato i dati di registrazione. Il server potrebbe non essere configurato correttamente. | 80180019 |
TraceID è un nodo di testo a mano libera registrato. Deve identificare lo stato lato server per questo tentativo di registrazione. Queste informazioni possono essere usate dal supporto tecnico per cercare il motivo per cui il server ha rifiutato la registrazione.