Registro do dispositivo móvel

O registro de dispositivo móvel é a primeira fase do gerenciamento empresarial. O dispositivo é configurado para se comunicar com o servidor MDM usando precauções de segurança durante o processo de registro. O serviço de registro verifica se apenas dispositivos autenticados e autorizados são gerenciados pela empresa.

O processo de registro inclui as seguintes etapas:

  1. Descoberta do ponto de extremidade de registro: esta etapa fornece as configurações de configuração do ponto de extremidade de registro.
  2. Instalação do certificado: esta etapa manipula a autenticação do usuário, a geração de certificados e a instalação do certificado. Os certificados instalados serão usados no futuro para gerenciar a autenticação mútua TLS/SSL (cliente/servidor).
  3. Provisionamento do cliente DM: essa etapa configura o cliente Gerenciamento de Dispositivos (DM) para se conectar a um servidor MDM (Mobile Gerenciamento de Dispositivos) após o registro por meio do DM SyncML por HTTPS (também conhecido como XML do Open Mobile Alliance Gerenciamento de Dispositivos (OMA DM).

Protocolo de registro

Há muitas alterações feitas no protocolo de registro para dar melhor suporte a vários cenários em todas as plataformas. Para obter informações detalhadas sobre o protocolo de registro de dispositivo móvel, consulte:

O processo de registro envolve as seguintes etapas:

Solicitação de descoberta

A solicitação de descoberta é uma simples chamada de postagem HTTP que retorna XML por HTTP. O XML retornado inclui a URL de autenticação, a URL do serviço de gerenciamento e o tipo de credencial de usuário.

Política de registro de certificado

A configuração da política de registro de certificado é uma implementação do protocolo MS-XCEP, descrito em [MS-XCEP]: Especificação do Protocolo de Política de Registro de Certificado X.509. A seção 4 da especificação fornece um exemplo da solicitação e resposta da política. O Protocolo de Política de Registro de Certificado X.509 é um protocolo de mensagens mínimo que inclui uma única mensagem de solicitação de cliente (GetPolicies) com uma mensagem de resposta de servidor correspondente (GetPoliciesResponse).

Para obter mais informações, consulte [MS-XCEP]: Protocolo de Política de Registro de Certificado X.509

Registro de certificado

O registro de certificado é uma implementação do protocolo MS-WSTEP.

Configuração de gerenciamento

O servidor envia o provisionamento de XML que contém um certificado de servidor (para autenticação do servidor TLS/SSL), um certificado de cliente emitido pela AC empresarial, informações de inicialização do cliente DM (para o cliente se comunicar com o servidor de gerenciamento), um token de aplicativo empresarial (para o usuário instalar aplicativos empresariais) e o link para baixar o aplicativo Do Hub da Empresa.

Os artigos a seguir descrevem o processo de registro de ponta a ponta usando vários métodos de autenticação:

Observação

Como prática recomendada, não use verificações do lado do servidor codificadas em valores como:

  • Cadeia de caracteres do agente de usuário
  • Todas as URIs fixas que são passadas durante o registro
  • Formatação específica de qualquer valor, a menos que seja observado de outra forma, como o formato da ID do dispositivo.

Suporte de registro para dispositivos ingressados no domínio

Os dispositivos que são ingressados em um Active Directory local podem se inscrever no MDM por meio dotrabalho ou da escola de Acessode Configurações>. No entanto, o registro só pode direcionar o usuário registrado com políticas específicas do usuário. As políticas de destino do dispositivo continuam a atingir todos os usuários do dispositivo.

Cenários de registro não compatíveis

Os seguintes cenários não permitem registro de MDM:

  • Contas de administrador internas na área de trabalho do Windows não podem se registrar no MDM.
  • Os usuários padrão não podem se registrar no MDM. Somente usuários administradores podem se inscrever.

Desabilitar registros de MDM

O administrador de TI pode desabilitar registros de MDM para PCs ingressados no domínio usando a política de grupo Desabilitar o MDM Enrollment .

Política de Grupo Caminho:Modelos administrativos>de configuração> do computadorMDMdesabilitar oregistro de MDM> doscomponentes> do Windows. Chave de registro correspondente: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)

Desabilitar a política de registro de MDM no GP Editor.

Mensagens de erro de registro

O servidor de registro pode recusar mensagens de registro usando o formato SOAP Fault. Os erros criados podem ser enviados da seguinte maneira:

<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
    <s:header>
        <a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
        <activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
        <a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
    </s:header>
    <s:body>
        <s:fault>
            <s:code>
                <s:value>s:receiver</s:value>
                <s:subcode>
                    <s:value>s:authorization</s:value>
                </s:subcode>
            </s:code>
            <s:reason>
                <s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
            </s:reason>
        </s:fault>
    </s:body>
</s:envelope>

Mensagens de erro de exemplo:

Namespace Subcódigo Erro Descrição HRESULT
s: Messageformat MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR Mensagem inválida do servidor MDM (Mobile Gerenciamento de Dispositivos). 80180001
s: Authentication MENROLL_E_DEVICE_AUTHENTICATION_ERROR O servidor MDM (Mobile Gerenciamento de Dispositivos) não conseguiu autenticar o usuário. Tente novamente ou entre em contato com o administrador do sistema. 80180002
s: Autorização MENROLL_E_DEVICE_AUTHORIZATION_ERROR O usuário não está autorizado a se registrar no MDM (Mobile Gerenciamento de Dispositivos). Tente novamente ou entre em contato com o administrador do sistema. 80180003
s: CertificateRequest MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR O usuário não tem permissão para o modelo de certificado ou a autoridade de certificado é inacessível. Tente novamente ou entre em contato com o administrador do sistema. 80180004
s: EnrollmentServer MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR O servidor MDM (Mobile Gerenciamento de Dispositivos) encontrou um erro. Tente novamente ou entre em contato com o administrador do sistema. 80180005
Um: InternalServiceFault MENROLL_E_DEVICE_INTERNALSERVICE_ERROR Houve uma exceção sem tratamento no servidor MDM (Mobile Gerenciamento de Dispositivos). Tente novamente ou entre em contato com o administrador do sistema. 80180006
Um: InvalidSecurity MENROLL_E_DEVICE_INVALIDSECURITY_ERROR O servidor MDM (Mobile Gerenciamento de Dispositivos) não foi capaz de validar sua conta. Tente novamente ou entre em contato com o administrador do sistema. 80180007

O formato SOAP também inclui elemento deviceenrollmentserviceerror . Veja um exemplo:

<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
    <s:header>
        <a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
        <activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
        <a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
    </s:header>
    <s:body>
        <s:fault>
            <s:code>
                <s:value>s:receiver</s:value>
                <s:subcode>
                    <s:value>s:authorization</s:value>
                </s:subcode>
            </s:code>
            <s:reason>
                <s:text xml:lang="en-us">device cap reached</s:text>
            </s:reason>
            <s:detail>
                <deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
                    <errortype>devicecapreached</errortype>
                    <message>device cap reached</message>
                    <traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
                </deviceenrollmentserviceerror>
            </s:detail>
        </s:fault>
    </s:body>
</s:envelope>

Mensagens de erro de exemplo:

Subcódigo Erro Descrição HRESULT
DeviceCapReached MENROLL_E_DEVICECAPREACHED A conta tem muitos dispositivos registrados no MDM (Mobile Gerenciamento de Dispositivos). Exclua ou cancele o registro de dispositivos antigos para corrigir esse erro. 80180013
DeviceNotSupported MENROLL_E_DEVICENOTSUPPORTED O servidor MDM (mobile Gerenciamento de Dispositivos) não dá suporte a essa plataforma ou versão, considere atualizar seu dispositivo. 80180014
Notsupported MENROLL_E_NOT_SUPPORTED O MDM (Gerenciamento de Dispositivos móvel) geralmente não tem suporte para este dispositivo. 80180015
NotEligibleToRenew MENROLL_E_NOTELIGIBLETORENEW O dispositivo está tentando renovar o certificado MDM (Mobile Gerenciamento de Dispositivos), mas o servidor rejeitou a solicitação. Verifique a agenda de renovação no dispositivo. 80180016
InMaintenance MENROLL_E_INMAINTENANCE O servidor MDM (Mobile Gerenciamento de Dispositivos) afirma que sua conta está em manutenção, tente novamente mais tarde. 80180017
UserLicense MENROLL_E_USER_LICENSE Houve um erro com sua licença de usuário do MDM (Mobile Gerenciamento de Dispositivos). Entre em contato com o administrador do sistema. 80180018
InvalidEnrollmentData MENROLL_E_ENROLLMENTDATAINVALID O servidor MDM (Mobile Gerenciamento de Dispositivos) rejeitou os dados de registro. O servidor pode não ser configurado corretamente. 80180019

TraceID é um nó de texto de forma livre que está registrado. Ele deve identificar o estado do lado do servidor para essa tentativa de registro. Essas informações podem ser usadas por suporte para pesquisar por que o servidor recusou o registro.