Microsoft Entra integração com a MDM
Microsoft Entra ID é o maior serviço de gestão de identidades da cloud empresarial do mundo. É utilizado por organizações para aceder ao Microsoft 365 e aplicações empresariais a partir da Microsoft e de fornecedores de software como serviço (SaaS) de terceiros. Muitas das experiências avançadas do Windows para utilizadores organizacionais (como o acesso ao arquivo ou o roaming de estado do SO) utilizam Microsoft Entra ID como a infraestrutura de identidade subjacente. O Windows integra-se com Microsoft Entra ID, permitindo que os dispositivos sejam registados no Microsoft Entra ID e inscritos no Mobile Gerenciamento de Dispositivos (MDM) num fluxo integrado.
Depois de um dispositivo ser inscrito na MDM, a MDM:
- Pode impor a conformidade com as políticas da organização, adicionar ou remover aplicações e muito mais.
- Pode comunicar a conformidade de um dispositivo no Microsoft Entra ID.
- Pode permitir o acesso a recursos da organização ou aplicações protegidas por Microsoft Entra ID a dispositivos que estejam em conformidade com as políticas.
Para suportar estas experiências avançadas com o respetivo produto MDM, os fornecedores de MDM podem integrar-se com Microsoft Entra ID.
Inscrição mdm integrada e UX
Existem várias formas de ligar os seus dispositivos a Microsoft Entra ID:
- Associar o dispositivo ao Microsoft Entra ID
- Associar o dispositivo ao AD no local e ao Microsoft Entra ID
- Adicionar uma conta profissional da Microsoft ao Windows
Em cada cenário, Microsoft Entra autentica o utilizador e o dispositivo. Fornece um identificador de dispositivo exclusivo verificado que pode ser utilizado para a inscrição mdm. O fluxo de inscrição proporciona uma oportunidade para o serviço MDM compor a sua própria IU através de uma vista Web. Os fornecedores de MDM devem utilizar a IU para compor os Termos de Utilização (TOU), que podem ser diferentes para dispositivos BYOD (bring your own device) pertencentes à empresa. Os fornecedores de MDM também podem utilizar a vista Web para compor mais elementos de IU, como pedir um PIN único.
No Windows 10, a vista Web durante o cenário inicial é apresentada como ecrã inteiro por predefinição, fornecendo aos fornecedores de MDM a capacidade de criar uma experiência de utilizador de ponta a ponta totalmente integrada. No entanto, no Windows 11 a vista Web é composta num iframe. É importante que os fornecedores de MDM que se integram com Microsoft Entra ID respeitem as diretrizes de design do Windows. Este passo inclui a utilização de um design Web reativo e o respeito pelas diretrizes de acessibilidade do Windows. Por exemplo, inclua os botões para a frente e para trás que estão corretamente ligados à lógica de navegação. Mais detalhes são fornecidos mais adiante neste artigo.
Para que Microsoft Entra inscrição funcione para uma conta de Microsoft Entra suportada pelos Serviços Federados do Active Directory (AD FS), tem de ativar a autenticação por palavra-passe para a intranet no serviço ADFS. Para obter mais informações, veja Configure Microsoft Entra multifactor authentication as authentication provider with AD FS (Configurar Microsoft Entra autenticação multifator como fornecedor de autenticação com o AD FS).
Assim que um utilizador tiver uma conta Microsoft Entra adicionada ao Windows e inscrita na MDM, a inscrição pode ser gerida através de Definições>Contas>de Acesso profissional ou escolar. A gestão de dispositivos de Microsoft Entra associação para cenários organizacionais ou cenários BYOD é semelhante.
Observação
Os utilizadores não podem remover a inscrição de dispositivos através da interface de utilizador escolar ou profissional do Access porque a gestão está associada ao Microsoft Entra ID ou à conta profissional.
Pontos finais mdm envolvidos na inscrição integrada Microsoft Entra
Microsoft Entra inscrição mdm é um processo de dois passos:
- Apresentar os Termos de Utilização e recolher o consentimento do utilizador: este consentimento é um fluxo passivo em que o utilizador é redirecionado num controlo do browser (webview) para o URL dos Termos de Utilização da MDM.
- Inscrever o dispositivo: este passo é um fluxo ativo em que o agente OMA DM do Windows chama o serviço MDM para inscrever o dispositivo.
Para suportar Microsoft Entra inscrição, os fornecedores de MDM têm de alojar e expor um ponto final dos Termos de Utilização e um ponto final de inscrição MDM.
Ponto final dos Termos de Utilização: utilize este ponto final para informar os utilizadores sobre as formas como a organização pode controlar os respetivos dispositivos. A página Termos de Utilização é responsável por recolher o consentimento do utilizador antes do início da fase de inscrição real.
É importante compreender que o fluxo dos Termos de Utilização é uma "caixa opaca" para o Windows e Microsoft Entra ID. Toda a vista Web é redirecionada para o URL dos Termos de Utilização. O utilizador deve ser redirecionado novamente após aprovar ou rejeitar os Termos. Esta estrutura permite ao fornecedor de MDM personalizar os Respetivos Termos de Utilização para diferentes cenários. Por exemplo, são aplicados diferentes níveis de controlo em dispositivos BYOD vs. pertencentes à organização. Em alternativa, implemente a segmentação baseada em utilizadores/grupos, como os utilizadores em determinadas geografias podem ter políticas de gestão de dispositivos mais rigorosas.
O ponto final dos Termos de Utilização pode implementar mais lógica de negócio, como recolher um PIN único fornecido pelas TI para controlar a inscrição de dispositivos. No entanto, os fornecedores de MDM não podem utilizar o fluxo de Termos de Utilização para recolher credenciais de utilizador, o que pode ser uma experiência de utilizador degradada. Não é necessário, uma vez que parte da integração de MDM garante que o serviço MDM consegue compreender os tokens emitidos pelo Microsoft Entra ID.
Ponto final de inscrição MDM: depois de os utilizadores aceitarem os Termos de Utilização, o dispositivo é registado no Microsoft Entra ID. Inicia-se a inscrição mdm automática.
O diagrama seguinte ilustra o fluxo de alto nível envolvido no processo de inscrição real. O dispositivo é registado pela primeira vez com Microsoft Entra ID. Este processo atribui um identificador de dispositivo exclusivo ao dispositivo e apresenta ao dispositivo a capacidade de se autenticar com Microsoft Entra ID (autenticação do dispositivo). Em seguida, o dispositivo é inscrito para gestão com a MDM. Este passo chama o ponto final de inscrição e pede a inscrição para o utilizador e o dispositivo. Neste momento, o utilizador foi autenticado e o dispositivo foi registado e autenticado com Microsoft Entra ID. Estas informações estão disponíveis para a MDM sob a forma de afirmações num token de acesso apresentado no ponto final de inscrição.
Espera-se que a MDM utilize estas informações sobre o dispositivo (ID do Dispositivo) ao comunicar a conformidade do dispositivo ao Microsoft Entra ID através do Microsoft API do Graph. Mais adiante neste artigo, é fornecido um exemplo para comunicar a conformidade do dispositivo.
Tornar a MDM uma parte fiável do Microsoft Entra ID
Para participar no fluxo de inscrição integrado descrito na secção anterior, a MDM tem de consumir tokens de acesso emitidos por Microsoft Entra ID. Para comunicar a conformidade com Microsoft Entra ID, a MDM tem de se autenticar para Microsoft Entra ID e obter autorização sob a forma de um token de acesso que lhe permita invocar o API do Graph da Microsoft.
MDM baseada na cloud
Uma MDM baseada na cloud é uma aplicação SaaS que fornece capacidades de gestão de dispositivos na cloud. É uma aplicação multi-inquilino. Esta aplicação está registada com Microsoft Entra ID no inquilino principal do fornecedor de MDM. Quando um administrador de TI decide utilizar esta solução de MDM, é visível uma instância desta aplicação no inquilino do cliente.
O fornecedor de MDM tem primeiro de registar a aplicação no respetivo inquilino raiz e marcá-la como uma aplicação multi-inquilino. Para obter mais informações sobre como adicionar aplicações multi-inquilino a Microsoft Entra ID, consulte o artigo Integrar uma aplicação que autentica utilizadores e chama o Microsoft Graph com o exemplo de código saaS (multi-inquilino integration pattern) no GitHub.
Observação
Para o fornecedor de MDM, se não tiver um inquilino Microsoft Entra existente com uma subscrição Microsoft Entra que gere, siga estes guias passo a passo:
- Início Rápido: crie um novo inquilino no Microsoft Entra ID para configurar um inquilino.
- Associe ou adicione uma subscrição do Azure ao seu inquilino Microsoft Entra para adicionar uma subscrição e geri-la através do Portal do Azure.
A aplicação MDM utiliza chaves para pedir tokens de acesso de Microsoft Entra ID. Estas chaves são geridas no inquilino do fornecedor de MDM e não são visíveis para clientes individuais. A mesma chave é utilizada pela aplicação MDM multi-inquilino para se autenticar com Microsoft Entra ID, no inquilino do cliente ao qual pertence o dispositivo gerido.
Observação
Todas as aplicações MDM têm de implementar tokens Microsoft Entra v2 antes de certificarmos que a integração funciona. Devido a alterações na plataforma de aplicações Microsoft Entra, a utilização de tokens Microsoft Entra v2 é um requisito difícil. Para obter mais informações, veja plataforma de identidade da Microsoft tokens de acesso.
MDM no local
Uma aplicação MDM no local é diferente de uma MDM na cloud. É uma aplicação de inquilino único que está presente exclusivamente no inquilino do cliente. Os clientes têm de adicionar a aplicação diretamente no seu próprio inquilino. Além disso, cada instância de uma aplicação MDM no local tem de ser registada separadamente e ter uma chave separada para autenticação com Microsoft Entra ID.
Para adicionar uma aplicação MDM no local ao inquilino, utilize o serviço Microsoft Entra, especificamente em Mobilidade (MDM e MAM)>Adicionar aplicação>Criar a sua própria aplicação. Os administradores podem configurar os URLs necessários para inscrição e Termos de Utilização.
O produto MDM no local tem de expor uma experiência de configuração na qual os administradores podem fornecer o ID de cliente, o ID da aplicação e a chave configurada no respetivo diretório para essa aplicação MDM. Pode utilizar este ID de cliente e chave para pedir tokens de Microsoft Entra ID ao comunicar a conformidade do dispositivo.
Para obter mais informações sobre como registar aplicações com Microsoft Entra ID, veja Noções básicas sobre o Registo de uma Aplicação no Microsoft Entra ID.
Diretrizes de gestão e segurança de chaves
As chaves de aplicação utilizadas pelo serviço MDM são um recurso confidencial. Devem ser protegidos e revertidos periodicamente para maior segurança. Os tokens de acesso obtidos pelo serviço MDM para chamar o Microsoft API do Graph são tokens de portador e devem ser protegidos para evitar a divulgação não autorizada.
Para obter as melhores práticas de segurança, veja Essentials de Segurança do Microsoft Azure.
Para a MDM baseada na cloud, pode reverter as chaves da aplicação sem exigir uma interação do cliente. Existe um único conjunto de chaves em todos os inquilinos do cliente geridos pelo fornecedor de MDM no respetivo inquilino Microsoft Entra.
Para a MDM no local, as chaves de autenticação Microsoft Entra estão no inquilino do cliente e o administrador do cliente tem de passar por cima das chaves. Para melhorar a segurança, forneça orientações aos clientes sobre como implementar e proteger as chaves.
Publicar a sua aplicação MDM na galeria de aplicações Microsoft Entra
Os administradores de TI utilizam a galeria de aplicações Microsoft Entra para adicionar uma MDM para a sua organização utilizar. A galeria de aplicações é uma loja avançada com mais de 2400 aplicações SaaS integradas com Microsoft Entra ID.
Adicionar MDM com base na cloud à galeria de aplicações
Observação
Deve trabalhar com a equipa de engenharia do Microsoft Entra se a sua aplicação MDM for baseada na cloud e precisar de ser ativada como uma aplicação MDM multi-inquilino
Para publicar a sua aplicação, submeta um pedido para publicar a sua aplicação na galeria de aplicações Microsoft Entra
A tabela seguinte mostra as informações necessárias para criar uma entrada na galeria de aplicações Microsoft Entra.
| Item | Descrição |
|---|---|
| ID da Aplicação | O ID de cliente da sua aplicação MDM que está configurado no seu inquilino. Este ID é o identificador exclusivo da sua aplicação multi-inquilino. |
| Editor | Uma cadeia que identifica o publicador da aplicação. |
| URL da Aplicação | Um URL para a página de destino da sua aplicação onde os administradores podem obter mais informações sobre a aplicação MDM e contém uma ligação para a página de destino da sua aplicação. Este URL não é utilizado para a inscrição real. |
| Descrição | Uma breve descrição da sua aplicação MDM, que tem de ter menos de 255 carateres. |
| Ícones | Um conjunto de ícones de logótipo para a aplicação MDM. Dimensões: 45 X 45, 150 X 122, 214 X 215 |
Adicionar MDM no local à galeria de aplicações
Não existem requisitos especiais para adicionar MDM no local à galeria de aplicações. Existe uma entrada genérica para os administradores adicionarem uma aplicação ao respetivo inquilino.
No entanto, a gestão de chaves é diferente para a MDM no local. Tem de obter o ID de cliente (ID da aplicação) e a chave atribuída à aplicação MDM no inquilino do cliente. O ID e a chave obtêm autorização para aceder ao Microsoft API do Graph e comunicar a conformidade do dispositivo.
Temas
As páginas compostas pela MDM no processo de inscrição integrada têm de utilizar modelos do Windows (Transfira os modelos do Windows e os ficheiros CSS (1.1.4)). Estes modelos são importantes para a inscrição durante a experiência de associação Microsoft Entra no OOBE, onde todas as páginas são páginas HTML de ponta a ponta. Evite copiar os modelos porque é difícil acertar o posicionamento do botão.
Existem três cenários distintos:
- A inscrição MDM como parte da associação Microsoft Entra no Windows OOBE.
- A inscrição MDM como parte da associação Microsoft Entra, após o Windows OOBE a partir das Definições.
- Inscrição MDM como parte da adição de uma conta profissional da Microsoft num dispositivo pessoal (BYOD).
Estes cenários suportam o Windows Pro, Enterprise e Education.
Os ficheiros CSS fornecidos pela Microsoft contêm informações de versão e recomendamos que utilize a versão mais recente. Existem ficheiros CSS separados para dispositivos cliente Windows, experiências OOBE e pós-OOBE. Transfira os modelos do Windows e os ficheiros CSS (1.1.4).
- Para Windows 10, utilize oobe-desktop.css
- Para Windows 11, utilize oobe-light.css
Utilizar temas
Uma página MDM tem de cumprir um tema predefinido consoante o cenário apresentado. Por exemplo, se o cabeçalho CXH-HOSTHTTP for FRX, que é o cenário OOBE, a página tem de suportar um tema escuro com cor de fundo azul, que utiliza o ficheiro WinJS Ui-dark.css ver 4.0 e oobe-desktop.css ver 1.0.4.
| CXH-HOST (CABEÇALHO HTTP) | Cenário | Tema de Fundo | WinJS | Cenário CSS |
|---|---|---|---|---|
| FRX | OOBE | Tema escuro + cor de fundo azul | Nome do ficheiro: Ui-dark.css | Nome do ficheiro: oobe-dekstop.css |
| MOSET | Definições/Publicar OOBE | Tema claro | Nome do ficheiro: Ui-light.css | Nome do ficheiro: settings-desktop.css |
Semântica de protocolo dos Termos de Utilização
O servidor MDM aloja o ponto final dos Termos de Utilização . Durante o fluxo de protocolo de associação Microsoft Entra, o Windows faz um redirecionamento de página inteira para este ponto final. Este redirecionamento permite que a MDM apresente os termos e condições aplicáveis. Permite que o utilizador aceite ou rejeite os termos associados à inscrição. Depois de o utilizador aceitar os termos, o MDM redireciona novamente para o Windows para que o processo de inscrição continue.
Redirecionar para o ponto final dos Termos de Utilização
Este redirecionamento é um redirecionamento de página inteira para o ponto final dos Termos de Utilizador alojado pela MDM. Eis um URL de exemplo, https://fabrikam.contosomdm.com/TermsOfUse.
Os seguintes parâmetros são transmitidos na cadeia de consulta:
| Item | Descrição |
|---|---|
| redirect_uri | Depois de o utilizador aceitar ou rejeitar os Termos de Utilização, o utilizador é redirecionado para este URL. |
| client-request-id | Um GUID que é utilizado para correlacionar registos para fins de diagnóstico e depuração. Utilize este parâmetro para registar ou rastrear o estado do pedido de inscrição para ajudar a encontrar a causa principal das falhas. |
| versão da API | Especifica a versão do protocolo pedido pelo cliente. Este valor fornece um mecanismo para suportar revisões de versões do protocolo. |
| modo | Especifica que o dispositivo é propriedade da organização quando mode=azureadjoin. Este parâmetro não está presente para dispositivos BYOD. |
Token de acesso
Microsoft Entra ID emite um token de acesso de portador. O token é transmitido no cabeçalho de autorização do pedido HTTP. Eis um formato típico:
Autorização: Portador CI6MTQxmCF5xgu6yYcmV9ng6vhQfaJYw...
As afirmações seguintes são esperadas no token de acesso transmitido pelo Windows para o ponto final dos Termos de Utilização:
| Item | Descrição |
|---|---|
| ID do Objeto | Identificador do objeto de utilizador correspondente ao utilizador autenticado. |
| UPN | Uma afirmação que contém o nome principal de utilizador (UPN) do utilizador autenticado. |
| TID | Uma afirmação que representa o ID de inquilino do inquilino. No exemplo anterior, é Fabrikam. |
| Recurso | Um URL limpa que representa a aplicação MDM. Exemplo: https://fabrikam.contosomdm.com |
Observação
Não existe nenhuma afirmação de ID de dispositivo no token de acesso porque o dispositivo pode ainda não estar inscrito neste momento.
Para obter a lista de associações a grupos para o utilizador, pode utilizar o microsoft API do Graph.
Eis um URL de exemplo:
https://fabrikam.contosomdm.com/TermsOfUse?redirect_uri=ms-appx-web://ContosoMdm/ToUResponse&client-request-id=34be581c-6ebd-49d6-a4e1-150eff4b7213&api-version=1.0
Authorization: Bearer eyJ0eXAiOi
Espera-se que a MDM valide a assinatura do token de acesso para garantir que é emitida por Microsoft Entra ID e que o destinatário é adequado.
Conteúdo dos Termos de Utilização
A MDM pode efetuar outros redirecionamentos, conforme necessário, antes de apresentar o conteúdo dos Termos de Utilização ao utilizador. O conteúdo dos Termos de Utilização adequado deve ser devolvido ao autor da chamada (Windows) para que possa ser apresentado ao utilizador final no controlo do browser.
O conteúdo dos Termos de Utilização deve conter os seguintes botões:
- Aceitar – o utilizador aceita os Termos de Utilização e prossegue com a inscrição.
- Recusar – o utilizador recusa e interrompe o processo de inscrição.
O conteúdo dos Termos de Utilização tem de ser consistente com o tema utilizado para as outras páginas compostas durante este processo.
Lógica de processamento de pontos finais dos Termos de Utilização
Neste momento, o utilizador está na página Termos de Utilização apresentada durante o OOBE ou a partir das experiências de Definição. O utilizador tem as seguintes opções na página:
-
O utilizador clica no botão Aceitar – a MDM tem de redirecionar para o URI especificado pelo parâmetro redirect_uri no pedido de entrada. São esperados os seguintes parâmetros de cadeia de consulta:
- IsAccepted – este valor booleano é obrigatório e tem de ser definido como verdadeiro.
- OpaqueBlob – parâmetro necessário se o utilizador aceitar. A MDM pode utilizar este blob para disponibilizar algumas informações ao ponto final de inscrição. O valor persistente aqui é disponibilizado inalterado no ponto final de inscrição. A MDM pode utilizar este parâmetro para fins de correlação.
- Eis um redirecionamento de exemplo -
ms-appx-web://MyApp1/ToUResponse?OpaqueBlob=value&IsAccepted=true
-
O utilizador clica no botão Recusar – a MDM tem de redirecionar para o URI especificado no redirect_uri no pedido recebido. São esperados os seguintes parâmetros de cadeia de consulta:
- IsAccepted – este valor booleano é obrigatório e tem de ser definido como falso. Esta opção também se aplica se o utilizador tiver ignorado os Termos de Utilização.
- OpaqueBlob – não se espera que este parâmetro seja utilizado. A inscrição é interrompida com uma mensagem de erro apresentada ao utilizador.
Os utilizadores ignoram os Termos de Utilização quando estão a adicionar uma conta profissional da Microsoft ao respetivo dispositivo. No entanto, não podem ignorá-lo durante o processo de associação Microsoft Entra. Não mostre o botão recusar no processo de associação Microsoft Entra. O utilizador não pode recusar a inscrição MDM se for configurada pelo administrador para a associação Microsoft Entra.
Recomendamos que envie os parâmetros client-request-id na cadeia de consulta como parte desta resposta de redirecionamento.
Processamento de Erros de Termos de Utilização
Se ocorrer um erro durante o processamento dos termos de utilização, a MDM pode devolver dois parâmetros : um error e error_description no respetivo pedido de redirecionamento para o Windows. O URL deve ser codificado e o conteúdo do error_description deve estar em texto simples em inglês. Este texto não está visível para o utilizador final. Portanto, a localização do error_description texto não é uma preocupação.
Eis o formato de URL:
HTTP/1.1 302
Location:
<redirect_uri>?error=access_denied&error_description=Access%20is%20denied%2E
Example:
HTTP/1.1 302
Location: ms-appx-web://App1/ToUResponse?error=access_denied&error_description=Access%20is%20denied%2E
A tabela seguinte mostra os códigos de erro.
| Causa | HTTP status | Erro | Descrição |
|---|---|---|---|
| versão da API | 302 | invalid_request | versão não suportada |
| Os dados do inquilino ou do utilizador estão em falta ou outros pré-requisitos necessários para a inscrição de dispositivos não são cumpridos | 302 | unauthorized_client | utilizador ou inquilino não autorizado |
| Microsoft Entra a validação do token falhou | 302 | unauthorized_client | unauthorized_client |
| erro de serviço interno | 302 | server_error | erro de serviço interno |
Protocolo de inscrição com Microsoft Entra ID
Com a inscrição mdm integrada do Azure, não existe nenhuma fase de deteção e o URL de deteção é transmitido diretamente para o sistema a partir do Azure. A tabela seguinte mostra a comparação entre as inscrições tradicionais e do Azure.
| Detalhe | Inscrição mdm tradicional | Microsoft Entra aderir (dispositivo pertencente à organização) | Microsoft Entra ID adiciona uma conta profissional (dispositivo propriedade do utilizador) |
|---|---|---|---|
| Deteção automática de MDM com o endereço de e-mail para obter o URL de deteção de MDM | Inscrição | Não aplicável URL de deteção aprovisionado no Azure |
|
| Utiliza o URL de deteção de MDM | Inscrição Renovação da inscrição ROBO |
Inscrição Renovação da inscrição ROBO |
Inscrição Renovação da inscrição ROBO |
| A inscrição mdm é necessária? | Sim | Sim | Não O utilizador pode recusar. |
| Tipo de autenticação | OnPremise Federado Certificado |
Federado | Federado |
| EnrollmentPolicyServiceURL | Opcional (toda a autenticação) | Opcional (toda a autenticação) | Opcional (toda a autenticação) |
| EnrollmentServiceURL | Necessário (toda a autenticação) | Utilizado (toda a autenticação) | Utilizado (toda a autenticação) |
| EnrollmentServiceURL inclui a Versão do SO, a Plataforma do SO e outros atributos fornecidos pelo URL de deteção de MDM | Altamente recomendado | Altamente recomendado | Altamente recomendado |
| AuthenticationServiceURL utilizado | Utilizado (Autenticação Federada) | Ignorado | Ignorado |
| BinarySecurityToken | Personalizado por MDM | token emitido Microsoft Entra ID | token emitido Microsoft Entra ID |
| EnrollmentType | Completo | Dispositivo | Completo |
| Tipo de certificado inscrito | Certificado de utilizador | Certificado de dispositivo | Certificado de utilizador |
| Arquivo de certificados inscrito | O Meu/Utilizador | O Meu/Sistema | O Meu/Utilizador |
| Nome do requerente do CSR | UPN | ID do Dispositivo | UPN |
| EnrollmentData Termos de Utilização do blob binário como AdditionalContext para EnrollmentServiceURL | Sem suporte | Com suporte | Com suporte |
| CSPs acessíveis durante a inscrição | Windows 10 suporte: - DMClient - CertificateStore - RootCATrustedCertificates - ClientCertificateInstall - EnterpriseModernAppManagement - PassportForWork - Política - w7 APPLICATION |
Protocolo de gestão com Microsoft Entra ID
Existem dois tipos de inscrição MDM diferentes que se integram com Microsoft Entra ID e utilizam Microsoft Entra identidades de utilizador e de dispositivo. Consoante o tipo de inscrição, o serviço MDM poderá ter de gerir um único utilizador ou vários utilizadores.
Gestão de vários utilizadores para dispositivos associados Microsoft Entra
Neste cenário, a inscrição MDM aplica-se a todos os Microsoft Entra utilizadores que iniciem sessão no dispositivo associado Microsoft Entra - chame a este tipo de inscrição uma inscrição de dispositivos ou uma inscrição de vários utilizadores. O servidor de gestão pode determinar a identidade do utilizador, determinar que políticas são direcionadas para este utilizador e enviar políticas correspondentes para o dispositivo. Para permitir que o servidor de gestão identifique o utilizador atual com sessão iniciada no dispositivo, o cliente do DM OMA utiliza os tokens de utilizador Microsoft Entra. Cada sessão de gestão contém um cabeçalho HTTP adicional que contém um token de utilizador Microsoft Entra. Estas informações são fornecidas no pacote DM enviado para o servidor de gestão. No entanto, em algumas circunstâncias, Microsoft Entra token de utilizador não é enviado para o servidor de gestão. Um desses cenários ocorre imediatamente após a conclusão das inscrições mdm durante Microsoft Entra processo de associação. Até Microsoft Entra processo de associação estar concluído e Microsoft Entra utilizador iniciar sessão no computador, Microsoft Entra token de utilizador não está disponível para o processo OMA-DM. Normalmente, a inscrição MDM é concluída antes de Microsoft Entra utilizador iniciar sessão no computador e a sessão de gestão inicial não contém um token de utilizador Microsoft Entra. O servidor de gestão deve marcar se o token estiver em falta e apenas enviar políticas de dispositivo nesse caso. Outro motivo possível para um token de Microsoft Entra em falta no payload OMA-DM é quando um convidado tem sessão iniciada no dispositivo.
Adicionar uma conta profissional e a inscrição MDM a um dispositivo:
Neste cenário, a inscrição MDM aplica-se a um único utilizador que inicialmente adicionou a conta profissional e inscreveu o dispositivo. Neste tipo de inscrição, o servidor de gestão pode ignorar Microsoft Entra tokens que podem ser enviados durante a sessão de gestão. Quer Microsoft Entra token esteja presente ou em falta, o servidor de gestão envia políticas de utilizador e de dispositivo para o dispositivo.
Avaliar Microsoft Entra tokens de utilizador:
O token de Microsoft Entra está no cabeçalho Autorização HTTP no seguinte formato:
Authorization:Bearer <Azure AD User Token Inserted here>Podem estar presentes mais afirmações no token de Microsoft Entra, tais como:
- Utilizador – utilizador com sessão iniciada atualmente
- Conformidade do dispositivo – valor definido para o serviço MDM no Azure
- ID do Dispositivo – identifica o dispositivo que está a dar entrada
- ID do locatário
Os tokens de acesso emitidos por Microsoft Entra ID são tokens Web JSON (JWTs). O Windows apresenta um token JWT válido para o ponto final de inscrição MDM para iniciar o processo de inscrição. Existem algumas opções para avaliar os tokens:
- Utilize a extensão processador de tokens JWT para WIF para validar o conteúdo do token de acesso e extrair as afirmações necessárias para utilização. Para obter mais informações, veja Classe JwtSecurityTokenHandler.
- Veja os Microsoft Entra exemplos de código de autenticação para obter um exemplo para trabalhar com tokens de acesso. Por exemplo, veja NativeClient-DotNet.
Alerta de Dispositivo 1224 para Microsoft Entra token de utilizador
É enviado um alerta quando a sessão de DM é iniciada e existe um Microsoft Entra utilizador com sessão iniciada. O alerta é enviado no pacote OMA DM n.º 1. Veja um exemplo:
Alert Type: com.microsoft/MDM/AADUserToken
Alert sample:
<SyncBody>
<Alert>
<CmdID>1</CmdID>
<Data>1224</Data>
<Item>
<Meta>
<Type xmlns= "syncml:metinf ">com.microsoft/MDM/AADUserToken</Type>
</Meta>
<Data>UserToken inserted here</Data>
</Item>
</Alert>
... other XML tags ...
</SyncBody>
Determinar quando um utilizador tem sessão iniciada através de consultas
É enviado um alerta para o servidor MDM no pacote DM n.º 1.
- Tipo de alerta -
com.microsoft/MDM/LoginStatus - Formato do alerta -
chr - Dados de alerta – forneça informações de início de sessão status para o utilizador com sessão iniciada ativa atual.
- Utilizador com sessão iniciada que tem uma conta Microsoft Entra – texto predefinido: utilizador.
- Utilizador com sessão iniciada sem Microsoft Entra texto predefinido da conta: outros.
- Nenhum utilizador ativo - texto predefinido:nenhum
Veja um exemplo.
<SyncBody>
<Alert>
<CmdID>1</CmdID>
<Data>1224</Data>
<Item>
<Meta>
<Type xmlns= "syncml:metinf ">com.microsoft/MDM/LoginStatus</Type>
</Meta>
<Data>user</Data>
</Item>
</Alert>
... other XML tags ...
</SyncBody>
Comunicar a conformidade do dispositivo ao Microsoft Entra ID
Assim que um dispositivo é inscrito na MDM para gestão, as políticas de organização configuradas pelo administrador de TI são impostas no dispositivo. A MDM avalia a conformidade do dispositivo com as políticas configuradas e, em seguida, comunica-o para Microsoft Entra ID. Esta secção abrange a chamada de API do Graph que pode utilizar para comunicar um status de conformidade do dispositivo a Microsoft Entra ID.
Para obter um exemplo que ilustra como um MDM pode obter um token de acesso com o tipo de concessão de client_credentials OAuth 2.0, veja Daemon_CertificateCredential-DotNet.
- MDM com base na cloud – se o seu produto for um serviço mdm multi-inquilino baseado na cloud, tem uma única chave configurada para o seu serviço no seu inquilino. Para obter autorização, utilize esta chave para autenticar o serviço MDM com Microsoft Entra ID.
- MDM no local – se o seu produto for uma MDM no local, os clientes têm de configurar o seu produto com a chave utilizada para autenticar com Microsoft Entra ID. Esta configuração de chave deve-se ao facto de cada instância no local do seu produto MDM ter uma chave específica do inquilino diferente. Por isso, poderá ter de expor uma experiência de configuração no seu produto MDM que permita aos administradores especificar a chave a ser utilizada para autenticar com Microsoft Entra ID.
Utilizar o Microsoft API do Graph
A seguinte chamada à API REST de exemplo ilustra como uma MDM pode utilizar o Microsoft API do Graph para comunicar status de conformidade de um dispositivo gerido.
Observação
Esta API só é aplicável a aplicações MDM aprovadas em dispositivos Windows.
Sample Graph API Request:
PATCH https://graph.windows.net/contoso.com/devices/db7ab579-3759-4492-a03f-655ca7f52ae1?api-version=beta HTTP/1.1
Authorization: Bearer eyJ0eXAiO.........
Accept: application/json
Content-Type: application/json
{ "isManaged":true,
"isCompliant":true
}
Onde:
- contoso.com – este valor é o nome do inquilino Microsoft Entra a cujo diretório o dispositivo foi associado.
- db7ab579-3759-4492-a03f-655ca7f52ae1 – este valor é o identificador do dispositivo cujas informações de conformidade estão a ser comunicadas à Microsoft Entra ID.
- eyJ0eXAiO......... – este valor é o token de acesso de portador emitido por Microsoft Entra ID para a MDM que autoriza a MDM a chamar o microsoft API do Graph. O token de acesso é colocado no cabeçalho de autorização HTTP do pedido.
- isManaged e isCompliant - Estes atributos Booleanos indicam status de compatibilidade.
- api-version - utilize este parâmetro para especificar a versão da graph API que está a ser pedida.
Resposta:
- Êxito – HTTP 204 sem Conteúdo.
- Falha/Erro – HTTP 404 Não Encontrado. Este erro poderá ser devolvido se não for possível localizar o dispositivo ou inquilino especificado.
Perda de dados durante a anulação da inscrição da associação Microsoft Entra
Quando um utilizador é inscrito na MDM através da associação Microsoft Entra e, em seguida, desliga a inscrição, não existe nenhum aviso de que o utilizador perderá os dados do Windows Proteção de Informações (WIP). A mensagem de desconexão não indica a perda de dados wip.
Códigos de erro
| Código | ID | Mensagem de erro |
|---|---|---|
| 0x80180001 | "idErrorServerConnectivity", // MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR | Ocorreu um erro ao comunicar com o servidor. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código de erro {0} |
| 0x80180002 | "idErrorAuthenticationFailure", // MENROLL_E_DEVICE_AUTHENTICATION_ERROR | Ocorreu um problema ao autenticar a sua conta ou dispositivo. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código {0}de erro . |
| 0x80180003 | "idErrorAuthorizationFailure", // MENROLL_E_DEVICE_AUTHORIZATION_ERROR | Este utilizador não está autorizado a inscrever-se. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código {0}de erro . |
| 0x80180004 | "idErrorMDMCertificateError", // MENROLL_E_DEVICE_CERTIFCATEREQUEST_ERROR | Ocorreu um erro de certificado. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código {0}de erro . |
| 0x80180005 | "idErrorServerConnectivity", // MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR | Ocorreu um erro ao comunicar com o servidor. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código de erro {0} |
| 0x80180006 | "idErrorServerConnectivity", // MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR | Ocorreu um erro ao comunicar com o servidor. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código de erro {0} |
| 0x80180007 | "idErrorAuthenticationFailure", // MENROLL_E_DEVICE_INVALIDSECURITY_ERROR | Ocorreu um problema ao autenticar a sua conta ou dispositivo. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código {0}de erro . |
| 0x80180008 | "idErrorServerConnectivity", // MENROLL_E_DEVICE_UNKNOWN_ERROR | Ocorreu um erro ao comunicar com o servidor. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código de erro {0} |
| 0x80180009 | "idErrorAlreadyInProgress", // MENROLL_E_ENROLLMENT_IN_PROGRESS | Está em curso outra inscrição. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código {0}de erro . |
| 0x8018000A | "idErrorMDMAlreadyEnrolled", // MENROLL_E_DEVICE_ALREADY_ENROLLED | Este dispositivo já está inscrito. Pode contactar o administrador de sistema com o código {0}de erro . |
| 0x8018000D | "idErrorMDMCertificateError", // MENROLL_E_DISCOVERY_SEC_CERT_DATE_INVALID | Ocorreu um erro de certificado. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código {0}de erro . |
| 0x8018000E | "idErrorAuthenticationFailure", // MENROLL_E_PASSWORD_NEEDED | Ocorreu um problema ao autenticar a sua conta ou dispositivo. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código {0}de erro . |
| 0x8018000F | "idErrorAuthenticationFailure", // MENROLL_E_WAB_ERROR | Ocorreu um problema ao autenticar a sua conta ou dispositivo. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código {0}de erro . |
| 0x80180010 | "idErrorServerConnectivity", // MENROLL_E_CONNECTIVITY | Ocorreu um erro ao comunicar com o servidor. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código de erro {0} |
| 0x80180012 | "idErrorMDMCertificateError", // MENROLL_E_INVALIDSSLCERT | Ocorreu um erro de certificado. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código {0}de erro . |
| 0x80180013 | "idErrorDeviceLimit", // MENROLL_E_DEVICECAPREACHED | Parece que existem demasiados dispositivos ou utilizadores para esta conta. Contacte o administrador de sistema com o código {0}de erro . |
| 0x80180014 | "idErrorMDMNotSupported", // MENROLL_E_DEVICENOTSUPPORTED | Esta funcionalidade não é suportada. Contacte o administrador de sistema com o código {0}de erro . |
| 0x80180015 | "idErrorMDMNotSupported", // MENROLL_E_NOTSUPPORTED | Esta funcionalidade não é suportada. Contacte o administrador de sistema com o código {0}de erro . |
| 0x80180016 | "idErrorMDMRenewalR ejectado", // MENROLL_E_NOTELIGIBLETORENEW | O servidor não aceitou o pedido. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código {0}de erro . |
| 0x80180017 | "idErrorMDMAccountMaintenance", // MENROLL_E_INMAINTENANCE | O serviço está em manutenção. Pode tentar fazê-lo novamente mais tarde ou contactar o administrador de sistema com o código {0}de erro . |
| 0x80180018 | "idErrorMDMLicenseError", // MENROLL_E_USERLICENSE | Ocorreu um erro com a sua licença. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código {0}de erro . |
| 0x80180019 | "idErrorInvalidServerConfig", // MENROLL_E_ENROLLMENTDATAINVALID | Parece que o servidor não está configurado corretamente. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código {0}de erro . |
| "rejectedTermsOfUse" | "idErrorRejectedTermsOfUse" | A sua organização requer que aceite os Termos de Utilização. Tente novamente ou peça mais informações ao seu técnico de suporte. |
| 0x801c0001 | "idErrorServerConnectivity", // DSREG_E_DEVICE_MESSAGE_FORMAT_ERROR | Ocorreu um erro ao comunicar com o servidor. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código de erro {0} |
| 0x801c0002 | "idErrorAuthenticationFailure", // DSREG_E_DEVICE_AUTHENTICATION_ERROR | Ocorreu um problema ao autenticar a sua conta ou dispositivo. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código {0}de erro . |
| 0x801c0003 | "idErrorAuthorizationFailure", // DSREG_E_DEVICE_AUTHORIZATION_ERROR | Este utilizador não está autorizado a inscrever-se. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código {0}de erro . |
| 0x801c0006 | "idErrorServerConnectivity", // DSREG_E_DEVICE_INTERNALSERVICE_ERROR | Ocorreu um erro ao comunicar com o servidor. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código de erro {0} |
| 0x801c000B | "idErrorUntrustedServer", // DSREG_E_DISCOVERY_REDIRECTION_NOT_TRUSTED | O servidor que está a ser contactado não é fidedigno. Contacte o administrador de sistema com o código {0}de erro . |
| 0x801c000C | "idErrorServerConnectivity", // DSREG_E_DISCOVERY_FAILED | Ocorreu um erro ao comunicar com o servidor. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código de erro {0} |
| 0x801c000E | "idErrorDeviceLimit", // DSREG_E_DEVICE_REGISTRATION_QUOTA_EXCCEEDED | Parece que existem demasiados dispositivos ou utilizadores para esta conta. Contacte o administrador de sistema com o código {0}de erro . |
| 0x801c000F | "idErrorDeviceRequiresReboot", // DSREG_E_DEVICE_REQUIRES_REBOOT | É necessário reiniciar para concluir o registo do dispositivo. |
| 0x801c0010 | "idErrorInvalidCertificate", // DSREG_E_DEVICE_AIK_VALIDATION_ERROR | Parece que tem um certificado inválido. Contacte o administrador de sistema com o código {0}de erro . |
| 0x801c0011 | "idErrorAuthenticationFailure", // DSREG_E_DEVICE_ATTESTATION_ERROR | Ocorreu um problema ao autenticar a sua conta ou dispositivo. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código {0}de erro . |
| 0x801c0012 | "idErrorServerConnectivity", // DSREG_E_DISCOVERY_BAD_MESSAGE_ERROR | Ocorreu um erro ao comunicar com o servidor. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código de erro {0} |
| 0x801c0013 | "idErrorAuthenticationFailure", // DSREG_E_TENANTID_NOT_FOUND | Ocorreu um problema ao autenticar a sua conta ou dispositivo. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código {0}de erro . |
| 0x801c0014 | "idErrorAuthenticationFailure", // DSREG_E_USERSID_NOT_FOUND | Ocorreu um problema ao autenticar a sua conta ou dispositivo. Pode tentar fazê-lo novamente ou contactar o administrador de sistema com o código {0}de erro . |