Registro do dispositivo móvel
O registro de dispositivo móvel é a primeira fase do gerenciamento empresarial. O dispositivo é configurado para se comunicar com o servidor MDM usando precauções de segurança durante o processo de registro. O serviço de registro verifica se apenas dispositivos autenticados e autorizados são gerenciados pela empresa.
O processo de registro inclui as seguintes etapas:
- Descoberta do ponto de extremidade de registro: esta etapa fornece as configurações de configuração do ponto de extremidade de registro.
- Instalação do certificado: esta etapa manipula a autenticação do usuário, a geração de certificados e a instalação do certificado. Os certificados instalados serão usados no futuro para gerenciar a autenticação mútua TLS/SSL (cliente/servidor).
- Provisionamento do cliente DM: essa etapa configura o cliente Gerenciamento de Dispositivos (DM) para se conectar a um servidor MDM (Mobile Gerenciamento de Dispositivos) após o registro por meio do DM SyncML por HTTPS (também conhecido como XML do Open Mobile Alliance Gerenciamento de Dispositivos (OMA DM).
Protocolo de registro
Há muitas alterações feitas no protocolo de registro para dar melhor suporte a vários cenários em todas as plataformas. Para obter informações detalhadas sobre o protocolo de registro de dispositivo móvel, consulte:
- [MS-MDM]: Protocolo de Gerenciamento de Dispositivos móvel.
- [MS-MDE2]: Protocolo de Registro de Dispositivo Móvel Versão 2.
O processo de registro envolve as seguintes etapas:
Solicitação de descoberta
A solicitação de descoberta é uma simples chamada de postagem HTTP que retorna XML por HTTP. O XML retornado inclui a URL de autenticação, a URL do serviço de gerenciamento e o tipo de credencial de usuário.
Política de registro de certificado
A configuração da política de registro de certificado é uma implementação do protocolo MS-XCEP, descrito em [MS-XCEP]: Especificação do Protocolo de Política de Registro de Certificado X.509. A seção 4 da especificação fornece um exemplo da solicitação e resposta da política. O Protocolo de Política de Registro de Certificado X.509 é um protocolo de mensagens mínimo que inclui uma única mensagem de solicitação de cliente (GetPolicies) com uma mensagem de resposta de servidor correspondente (GetPoliciesResponse).
Para obter mais informações, consulte [MS-XCEP]: Protocolo de Política de Registro de Certificado X.509
Registro de certificado
O registro de certificado é uma implementação do protocolo MS-WSTEP.
Configuração de gerenciamento
O servidor envia o provisionamento de XML que contém um certificado de servidor (para autenticação do servidor TLS/SSL), um certificado de cliente emitido pela AC empresarial, informações de inicialização do cliente DM (para o cliente se comunicar com o servidor de gerenciamento), um token de aplicativo empresarial (para o usuário instalar aplicativos empresariais) e o link para baixar o aplicativo Do Hub da Empresa.
Os artigos a seguir descrevem o processo de registro de ponta a ponta usando vários métodos de autenticação:
- Registro de dispositivos de autenticação federada
- Registro de dispositivo de autenticação de certificado
- Registro de dispositivos de autenticação local
Observação
Como prática recomendada, não use verificações do lado do servidor codificadas em valores como:
- Cadeia de caracteres do agente de usuário
- Todas as URIs fixas que são passadas durante o registro
- Formatação específica de qualquer valor, a menos que seja observado de outra forma, como o formato da ID do dispositivo.
Suporte de registro para dispositivos ingressados no domínio
Os dispositivos que são ingressados em um Active Directory local podem se inscrever no MDM por meio dotrabalho ou da escola de Acessode Configurações>. No entanto, o registro só pode direcionar o usuário registrado com políticas específicas do usuário. As políticas de destino do dispositivo continuam a atingir todos os usuários do dispositivo.
Cenários de registro não compatíveis
Os seguintes cenários não permitem registro de MDM:
- Contas de administrador internas na área de trabalho do Windows não podem se registrar no MDM.
- Os usuários padrão não podem se registrar no MDM. Somente usuários administradores podem se inscrever.
Desabilitar registros de MDM
O administrador de TI pode desabilitar registros de MDM para PCs ingressados no domínio usando a política de grupo Desabilitar o MDM Enrollment .
Política de Grupo Caminho:Modelos administrativos>de configuração> do computadorMDMdesabilitar oregistro de MDM> doscomponentes> do Windows.
Chave de registro correspondente: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)
Mensagens de erro de registro
O servidor de registro pode recusar mensagens de registro usando o formato SOAP Fault. Os erros criados podem ser enviados da seguinte maneira:
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
</s:reason>
</s:fault>
</s:body>
</s:envelope>
Mensagens de erro de exemplo:
Namespace | Subcódigo | Erro | Descrição | HRESULT |
---|---|---|---|---|
s: | Messageformat | MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR | Mensagem inválida do servidor MDM (Mobile Gerenciamento de Dispositivos). | 80180001 |
s: | Authentication | MENROLL_E_DEVICE_AUTHENTICATION_ERROR | O servidor MDM (Mobile Gerenciamento de Dispositivos) não conseguiu autenticar o usuário. Tente novamente ou entre em contato com o administrador do sistema. | 80180002 |
s: | Autorização | MENROLL_E_DEVICE_AUTHORIZATION_ERROR | O usuário não está autorizado a se registrar no MDM (Mobile Gerenciamento de Dispositivos). Tente novamente ou entre em contato com o administrador do sistema. | 80180003 |
s: | CertificateRequest | MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR | O usuário não tem permissão para o modelo de certificado ou a autoridade de certificado é inacessível. Tente novamente ou entre em contato com o administrador do sistema. | 80180004 |
s: | EnrollmentServer | MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR | O servidor MDM (Mobile Gerenciamento de Dispositivos) encontrou um erro. Tente novamente ou entre em contato com o administrador do sistema. | 80180005 |
Um: | InternalServiceFault | MENROLL_E_DEVICE_INTERNALSERVICE_ERROR | Houve uma exceção sem tratamento no servidor MDM (Mobile Gerenciamento de Dispositivos). Tente novamente ou entre em contato com o administrador do sistema. | 80180006 |
Um: | InvalidSecurity | MENROLL_E_DEVICE_INVALIDSECURITY_ERROR | O servidor MDM (Mobile Gerenciamento de Dispositivos) não foi capaz de validar sua conta. Tente novamente ou entre em contato com o administrador do sistema. | 80180007 |
O formato SOAP também inclui elemento deviceenrollmentserviceerror
. Veja um exemplo:
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">device cap reached</s:text>
</s:reason>
<s:detail>
<deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
<errortype>devicecapreached</errortype>
<message>device cap reached</message>
<traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
</deviceenrollmentserviceerror>
</s:detail>
</s:fault>
</s:body>
</s:envelope>
Mensagens de erro de exemplo:
Subcódigo | Erro | Descrição | HRESULT |
---|---|---|---|
DeviceCapReached | MENROLL_E_DEVICECAPREACHED | A conta tem muitos dispositivos registrados no MDM (Mobile Gerenciamento de Dispositivos). Exclua ou cancele o registro de dispositivos antigos para corrigir esse erro. | 80180013 |
DeviceNotSupported | MENROLL_E_DEVICENOTSUPPORTED | O servidor MDM (mobile Gerenciamento de Dispositivos) não dá suporte a essa plataforma ou versão, considere atualizar seu dispositivo. | 80180014 |
Notsupported | MENROLL_E_NOT_SUPPORTED | O MDM (Gerenciamento de Dispositivos móvel) geralmente não tem suporte para este dispositivo. | 80180015 |
NotEligibleToRenew | MENROLL_E_NOTELIGIBLETORENEW | O dispositivo está tentando renovar o certificado MDM (Mobile Gerenciamento de Dispositivos), mas o servidor rejeitou a solicitação. Verifique a agenda de renovação no dispositivo. | 80180016 |
InMaintenance | MENROLL_E_INMAINTENANCE | O servidor MDM (Mobile Gerenciamento de Dispositivos) afirma que sua conta está em manutenção, tente novamente mais tarde. | 80180017 |
UserLicense | MENROLL_E_USER_LICENSE | Houve um erro com sua licença de usuário do MDM (Mobile Gerenciamento de Dispositivos). Entre em contato com o administrador do sistema. | 80180018 |
InvalidEnrollmentData | MENROLL_E_ENROLLMENTDATAINVALID | O servidor MDM (Mobile Gerenciamento de Dispositivos) rejeitou os dados de registro. O servidor pode não ser configurado corretamente. | 80180019 |
TraceID é um nó de texto de forma livre que está registrado. Ele deve identificar o estado do lado do servidor para essa tentativa de registro. Essas informações podem ser usadas por suporte para pesquisar por que o servidor recusou o registro.
Artigos relacionados
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de