Configurações corporativas e gerenciamento de políticas

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

A interação de gerenciamento real entre o dispositivo e o servidor é feita por meio do cliente DM. O cliente DM se comunica com o servidor de gerenciamento empresarial por meio da sintaxe SyncML da DM v1.2. A descrição completa do protocolo OMA DM v1.2 pode ser encontrada no site do OMA.

As configurações do MDM da Empresa são expostas por meio de vários provedores de serviços de configuração para o cliente DM. Para obter a lista de provedores de serviços de configuração disponíveis, consulte Referência do provedor de serviços de configuração.

Atualmente, o Windows dá suporte a um servidor MDM. O cliente DM configurado por meio do processo de registro tem acesso às configurações relacionadas à empresa. Durante o processo de registro, o agendador de tarefas é configurado para invocar o cliente DM para sondar periodicamente o servidor MDM.

O diagrama a seguir mostra o fluxo de trabalho entre o servidor e o cliente.

Fluxo de trabalho de gerenciamento

Este protocolo define uma comunicação cliente/servidor baseada em HTTPS com DM SyncML XML como a carga de pacote que carrega solicitações de gerenciamento e resultados de execução. A solicitação de configuração é endereçada por meio de um MO (objeto gerenciado). As configurações compatíveis com o objeto gerenciado são representadas em uma estrutura de árvore conceitual. Essa exibição lógica das configurações configuráveis do dispositivo simplifica a maneira como o servidor aborda as configurações do dispositivo isolando os detalhes de implementação da estrutura de árvore conceitual.

Para facilitar a comunicação aprimorada pela segurança com o servidor remoto para gerenciamento empresarial, o Windows dá suporte à autenticação mútua baseada em certificado em um canal HTTP TLS/SSL criptografado entre o cliente DM e o serviço de gerenciamento. Os certificados de servidor e cliente são provisionados durante o processo de registro.

A configuração do cliente DM, a aplicação da política da empresa, o gerenciamento de aplicativos empresariais e o inventário de dispositivos são todos expostos ou expressos por meio de CSPs (provedores de serviços de configuração). CSPs são o termo Windows para objetos gerenciados. O cliente DM se comunica com o servidor e envia solicitação de configuração para CSPs. O servidor só precisa saber as URIs locais lógicas definidas por esses nós CSP para usar o protocolo DM XML para gerenciar o dispositivo.

Aqui está um resumo das tarefas de DM com suporte para o gerenciamento empresarial:

• Gerenciamento de políticas da empresa: as políticas da empresa são suportadas por meio do CSP de política permite que a empresa gerencie várias configurações. Ele permite que o serviço de gerenciamento configure políticas relacionadas ao bloqueio de dispositivo, desabilite/habilite o cartão de armazenamento e consulte o status de criptografia do dispositivo. O CSP RemoteWipe permite que os profissionais de TI limpem remotamente o armazenamento interno de dados do usuário.
• Gerenciamento de aplicativos corporativos: essa tarefa é abordada por meio do CSP do Enterprise ModernApp Management e de várias políticas relacionadas ao ApplicationManagement. Ele é usado para instalar o token corporativo, consultar nomes e versões de aplicativos empresariais instalados, etc. Esse CSP só é acessível pelo serviço corporativo.
• Gerenciamento de certificados: CertificateStore CSP, RootCACertificate CSP e ClientCertificateInstall CSP são usados para instalar certificados.
• Inventário básico de dispositivos e gerenciamento de ativos: algumas informações básicas do dispositivo podem ser recuperadas por meio do CSP de DevInfo, CSPs DevDetail e do DeviceStatus CSP. Estes fornecem informações básicas do dispositivo, como nome do OEM, modelo de dispositivo, versão de hardware, versão do sistema operacional, tipos de processador etc. Essas informações são para gerenciamento de ativos e direcionamento de dispositivo. O CSP do NodeCache permite que o dispositivo envie apenas configurações de inventário delta para o servidor para reduzir o uso de dados over-the-air. O CSP do NodeCache só é acessível pelo serviço corporativo.