行動裝置註冊
行動裝置註冊是企業管理的第一個階段。 裝置已設定為在註冊程式期間使用安全性預防措施與 MDM 伺服器通訊。 註冊服務會驗證只有經過驗證和授權的裝置是由企業管理。
註冊程式包含下列步驟:
- 探索註冊端點:此步驟提供註冊端點組態設定。
- 憑證安裝:此步驟會處理使用者驗證、憑證產生和憑證安裝。 未來將會使用已安裝的憑證來管理用戶端/伺服器 (TLS/SSL) 相互驗證。
- DM 用戶端布建:此步驟會設定裝置管理 (DM) 用戶端,以在透過 DM SyncML over HTTPS 註冊之後連線到行動裝置管理 (MDM) 伺服器 (也稱為 Open Mobile Alliance Device Management (OMA DM) XML) 。
註冊通訊協定
註冊通訊協定已進行許多變更,以更妥善支援所有平台的各種案例。 如需行動裝置註冊通訊協議的詳細資訊,請參閱:
註冊程式包含下列步驟:
探索要求
探索要求是透過 HTTP 傳回 XML 的簡單 HTTP 後續呼叫。 傳回的 XML 包含驗證 URL、管理服務 URL 和使用者認證類型。
憑證註冊原則
憑證註冊原則設定是 MS-XCEP 通訊協定的實作,如 [MS-XCEP]: X.509 憑證註冊原則通訊協議規格中所述。 規格的第 4 節提供原則要求和回應的範例。 X.509 憑證註冊原則通訊協定是最小的訊息通訊協定,其中包含 getPolicies (getPolicies) 的單一用戶端要求訊息, (GetPoliciesResponse) 。
如需詳細資訊,請 參閱 [MS-XCEP]: X.509 憑證註冊原則通訊協定
憑證註冊
憑證註冊是 MS-WSTEP 通訊協議的實作。
管理組態
伺服器會傳送布建 XML,其中包含 TLS/SSL 伺服器驗證) 的伺服器證書 (、由企業 CA 簽發的用戶端憑證、用戶端用來與管理伺服器) 通訊的 DMClient 啟動載入器資訊 (、使用者安裝企業應用程式) 的企業應用程式令牌 (,以及下載公司中樞應用程式的連結。
下列文章說明使用各種驗證方法的端對端註冊程式:
注意
最佳做法是,不要對下列值使用硬式編碼伺服器端檢查:
- 使用者代理程式字串
- 註冊期間傳遞的任何固定 URI
- 除非另有註明,否則任何值的特定格式設定,例如裝置標識碼的格式。
已加入網域裝置的註冊支援
已加入內部部署 Active Directory 的裝置可以透過>設定存取公司或學校註冊到 MDM。 不過,註冊只能以以使用者特定原則註冊的用戶為目標。 裝置目標原則會繼續以裝置的所有用戶為目標。
不支持的註冊案例
下列案例不允許 MDM 註冊:
- Windows 桌面上的內建系統管理員帳戶無法註冊到 MDM。
- 標準用戶無法在 MDM 中註冊。 只有系統管理員用戶可以註冊。
停用 MDM 註冊
IT 系統管理員可以使用停用 MDM 註冊組策略,針對已加入網域的電腦停用 MDM 註冊 。
組策略路徑:計算機設定>系統管理>範本Windows 元件>MDM>停用 MDM 註冊。
對應的登入機碼: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)
註冊錯誤訊息
註冊伺服器可以使用 SOAP 錯誤格式拒絕註冊訊息。 建立的錯誤可以如下所示傳送:
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
</s:reason>
</s:fault>
</s:body>
</s:envelope>
範例錯誤訊息:
| 命名空間 | 子程序代碼 | 錯誤 | 描述 | HRESULT |
|---|---|---|---|---|
| s: | MessageFormat | MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR | 來自行動裝置管理 (MDM) 伺服器的無效訊息。 | 80180001 |
| s: | Authentication | MENROLL_E_DEVICE_AUTHENTICATION_ERROR | 行動裝置管理 (MDM) 伺服器無法驗證使用者。 請再試一次,或連絡您的系統管理員。 | 80180002 |
| s: | 授權 | MENROLL_E_DEVICE_AUTHORIZATION_ERROR | 用戶未獲授權註冊行動裝置管理 (MDM) 。 請再試一次,或連絡您的系統管理員。 | 80180003 |
| s: | CertificateRequest | MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR | 用戶沒有證書範本的許可權,或無法連線到證書頒發機構單位。 請再試一次,或連絡您的系統管理員。 | 80180004 |
| s: | EnrollmentServer | MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR | 行動裝置管理 (MDM) 伺服器發生錯誤。 請再試一次,或連絡您的系統管理員。 | 80180005 |
| 一個: | InternalServiceFault | MENROLL_E_DEVICE_INTERNALSERVICE_ERROR | 行動裝置管理 (MDM) 伺服器上發生未處理的例外狀況。 請再試一次,或連絡您的系統管理員。 | 80180006 |
| 一個: | InvalidSecurity | MENROLL_E_DEVICE_INVALIDSECURITY_ERROR | 行動裝置管理 (MDM) 伺服器無法驗證您的帳戶。 請再試一次,或連絡您的系統管理員。 | 80180007 |
SOAP 格式也包含 deviceenrollmentserviceerror 專案。 以下是範例:
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">device cap reached</s:text>
</s:reason>
<s:detail>
<deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
<errortype>devicecapreached</errortype>
<message>device cap reached</message>
<traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
</deviceenrollmentserviceerror>
</s:detail>
</s:fault>
</s:body>
</s:envelope>
範例錯誤訊息:
| 子程序代碼 | 錯誤 | 描述 | HRESULT |
|---|---|---|---|
| DeviceCapReached | MENROLL_E_DEVICECAPREACHED | 帳戶有太多裝置註冊到行動裝置管理 (MDM) 。 刪除或取消註冊舊裝置以修正此錯誤。 | 80180013 |
| DeviceNotSupported | MENROLL_E_DEVICENOTSUPPORTED | 行動裝置管理 (MDM) 伺服器不支援此平臺或版本,請考慮升級您的裝置。 | 80180014 |
| NotSupported | MENROLL_E_NOT_SUPPORTED | 此裝置通常不支援行動裝置管理 (MDM) 。 | 80180015 |
| NotEligibleToRenew | MENROLL_E_NOTELIGIBLETORENEW | 裝置嘗試更新行動裝置管理 (MDM) 憑證,但伺服器已拒絕要求。 檢查裝置上的更新排程。 | 80180016 |
| InMaintenance | MENROLL_E_INMAINTENANCE | 行動裝置管理 (MDM) 伺服器表示您的帳戶正在維護中,請稍後再試一次。 | 80180017 |
| UserLicense | MENROLL_E_USER_LICENSE | 您的行動裝置管理 (MDM) 使用者授權發生錯誤。 請連絡您的系統管理員。 | 80180018 |
| InvalidEnrollmentData | MENROLL_E_ENROLLMENTDATAINVALID | 行動裝置管理 (MDM) 伺服器拒絕註冊數據。 伺服器可能未正確設定。 | 80180019 |
TraceID 是記錄的手繪多邊形文字節點。 它應該識別此註冊嘗試的伺服器端狀態。 支持人員可能會使用這項資訊來查閱伺服器拒絕註冊的原因。