共用方式為

宣告的組態探索

Windows 宣告設定 (WinDC) 探索會使用專用 JSON 架構,從探索 服務端點查詢註冊詳細數據, (DS) 。 此程式牽涉到傳送具有特定標頭的 HTTP 要求,以及包含使用者網域、租使用者標識碼和 OS 版本等詳細數據的 JSON 主體。 DS 會根據已加入或註冊的裝置) Microsoft Entra 註冊類型 (,以必要的註冊服務 URL 和驗證原則回應。

本文概述 HTTP 要求和響應主體的架構結構,並提供範例來引導實作。

架構結構

HTTP 要求標頭

標頭 必要 描述
MS-CV: %s 註冊的相互關聯向量
client-request-id: %s 要求標識碼
Content-Type: application/json HTTP Content-Type

JSON) (HTTP 要求本文

欄位 必要 描述
userDomain 已註冊帳戶的功能變數名稱
upn 註冊帳戶的 UPN) (用戶主體名稱
tenantId 已註冊帳戶的租用戶標識碼
emmDeviceId 已註冊帳戶的企業行動管理 (EMM) 裝置標識碼
enrollmentType 加入 Entra:否
已註冊的 Entra:是		 已註冊帳戶的註冊類型。

支援的值:
- Device:指出父註冊類型已加入 Entra (DS 回應應指定 “AuthPolicy”: “Federated”) 。
- User:指出父註冊類型已註冊 Entra (DS 回應應指定 “AuthPolicy”: “Certificate”) 。
- (加入 Entra 的舊版案例僅) :如果 enrollmentType 參數未包含在要求本文中,則應將裝置視為已加入 Entra。
osVersion 裝置上的操作系統版本。 DS 可以使用 osVersion 來判斷用戶端平臺是否支援 WinDC 註冊。 如需詳細資訊,請檢閱 支援的平臺

JSON) (HTTP DS 回應本文

欄位 必要 描述
EnrollmentServiceUrl WinDC 註冊服務的 URL
EnrollmentVersion 註冊版本
EnrollmentPolicyServiceUrl 註冊原則服務 URL
AuthenticationServiceUrl 驗證服務 URL
ManagementResource 管理資源
TouUrl 使用規定 URL
AuthPolicy 驗證原則。 支援的值:
- Federated 已加入 Entra) 需要 (
- Certificate (註冊的)
errorCode 錯誤碼
message 狀態消息

範例

探索要求

標頭

Content-Type: application/json

Body

  1. 單一範本方法:用戶端會在初始要求中傳送 UPN 值,以及 tenantId 參數。

    1. Microsoft Entra 聯結:

      {
    "userDomain" : "contoso.com",
    "upn" : "johndoe@contoso.com",
    "tenantId" : "00000000-0000-0000-0000-000000000000",
    "emmDeviceId" : "00000000-0000-0000-0000-000000000000",
    "enrollmentType" : "Device",
    "osVersion" : "10.0.00000.0"
}

    2. Microsoft Entra 註冊:

      {

    "userDomain" : "contoso.com",
    "upn" : "johndoe@contoso.com",
    "tenantId" : "00000000-0000-0000-0000-000000000000",
    "emmDeviceId" : "00000000-0000-0000-0000-000000000000",
    "enrollmentType" : "Device",
    "osVersion" : "10.0.00000.0"
}

  2. 沒有舊版的 UPN ()

    1. Microsoft Entra 聯結:

      {
    "userDomain" : "contoso.com",
    "emmDeviceId" : "00000000-0000-0000-0000-000000000000",
    "enrollmentType" : "Device",
    "osVersion" : "10.0.00000.0"
}

    2. Microsoft Entra 註冊:

      {
    "userDomain" : "contoso.com",
    "emmDeviceId" : "00000000-0000-0000-0000-000000000000",
    "enrollmentType" : "User",
    "osVersion" : "10.0.00000.0"
}

  3. 伺服器所要求的 UPN (舊格式) 。 如需伺服器在初始要求中未提供UPN資料的詳細資訊,請檢閱 錯誤處理

    1. Microsoft Entra 聯結:

      {
    "upn" : "johndoe@contoso.com",
    "emmDeviceId" : "00000000-0000-0000-0000-000000000000",
    "enrollmentType" : "Device",
    "osVersion" : "10.0.00000.0"
}

    2. Microsoft Entra 註冊:

      {
    "upn" : "johndoe@contoso.com",
    "emmDeviceId" : "00000000-0000-0000-0000-000000000000",
    "enrollmentType" : "User",
    "osVersion" : "10.0.00000.0"
}

探索回應

標頭

Content-Type: application/json

Body

  1. Microsoft Entra 聯結 (需要 "AuthPolicy": "Federated") :

    {
    "EnrollmentServiceUrl" : "https://manage.contoso.com/Enrollment/Discovery",
    "EnrollmentPolicyServiceUrl" : "https://manage.contoso.com/Enrollment/GetPolicies",
    "AuthenticationServiceUrl" : "https://manage.contoso.com/Enrollment/AuthService",
    "AuthPolicy" : "Federated",
    "ManagementResource":"https://manage.contoso.com",
    "TouUrl" : "https://manage.contoso.com/Enrollment/tou.aspx"
}

  2. Microsoft Entra 已註冊 (需要 "AuthPolicy": "Certificate") :

    {
    "EnrollmentServiceUrl" : "https://manage.contoso.com/Enrollment/Discovery",
    "EnrollmentPolicyServiceUrl" : "https://manage.contoso.com/Enrollment/GetPolicies",
    "AuthenticationServiceUrl" : "https://manage.contoso.com/Enrollment/AuthService",
    "AuthPolicy" : "Certificate",
    "ManagementResource":"https://manage.contoso.com",
    "TouUrl" : "https://manage.contoso.com/Enrollment/tou.aspx"
}

Authentication

WinDC 註冊需要不同的驗證機制,才能 Microsoft Entra 加入和註冊的裝置。 WinDC DS 必須根據enrollmentType要求的 屬性,在探索回應中指定適當的AuthPolicy值,以與驗證模型整合。

  • Microsoft Entra 加入的裝置會使用同盟驗證 (Entra 裝置令牌) 。
  • Microsoft Entra 註冊的裝置使用憑證驗證 (為父註冊) 布建的 MDM 憑證。

規則

  • 針對已加入 Microsoft Entra 裝置

    • 探索要求"enrollmentType": "Device"
    • 探索回應"AuthPolicy": "Federated"
    • 驗證:用戶端會使用 Entra 裝置令牌向 WinDC 註冊伺服器進行驗證。

  • 針對 (值為空白) enrollmentType 的舊版案例

    • 探索要求"enrollmentType": ""
    • 探索回應"AuthPolicy": "Federated"
    • 驗證:用戶端會使用 Entra 裝置令牌向 WinDC 註冊伺服器進行驗證。

  • 針對已註冊 Microsoft Entra 裝置

    • 探索要求"enrollmentType": "User"
    • 探索回應"AuthPolicy": "Certificate"
    • 驗證:用戶端會使用來自父註冊的 MDM 憑證,向 WinDC 註冊伺服器進行驗證。

錯誤處理

  • UPNRequired:如果探索要求中未提供UPN值,DS可以在回應中將 設定 errorCodeUPNRequired ,以觸發用戶端在可用時使用UPN值重試要求。
  • WINHTTP_QUERY_RETRY_AFTER:伺服器可以設定此旗標,以將用戶端要求設定為在指定的延遲之後重試。 此旗標適用於處理逾時或節流案例。