Интеграция Azure Active Directory с помощью MDMAzure Active Directory integration with MDM

Azure Active Directory — это крупнейшая в мире служба управления идентификационными данными в облаке предприятия.Azure Active Directory is the world largest enterprise cloud identity management service. Она используется миллионами организаций для доступа к Office 365 и тысячам бизнес-приложений из Microsoft и сторонних программного обеспечения в качестве поставщиков услуг (SaaS).It’s used by millions of organizations to access Office 365 and thousands of business applications from Microsoft and third party software as a service (SaaS) vendors. Многие из разнообразных Windows10ных возможностей для пользователей организации (например, для магазина Access или перемещения состояния ОС) используют Azure AD в качестве базовой инфраструктуры идентификации.Many of the rich Windows10 experiences for organizational users (such as store access or OS state roaming) use Azure AD as the underlying identity infrastructure. Windows10 обеспечивает интегрированную конфигурацию для Azure AD, позволяющую регистрировать устройства в Azure AD и регистрироваться в MDM в одноранговой интеграции.Windows10 provides an integrated configuration experience with Azure AD, allowing devices to be registered in Azure AD and enrolled into MDM in a smooth integrated flow.

После регистрации устройства в MDM, MDM может применять соответствие с корпоративными политиками, добавлять и удалять приложения, а также многое другое.Once a device is enrolled in MDM, the MDM can enforce compliance with corporate policies, add or remove apps, and more. Кроме того, MDM может сообщить о соответствии устройства требованиям Azure AD.Additionally, the MDM can report a device’s compliance Azure AD. Это позволяет Azure AD предоставлять доступ к корпоративным ресурсам или приложениям, защищенным с помощью Azure AD, только для тех устройств, которые соответствуют политикам.This enables Azure AD to allow access to corporate resources or applications secured by Azure AD only to devices that comply with policies. Для поддержки такого богатого опыта работы с продуктом MDM поставщики MDM можно интегрировать с Azure AD.To support these rich experiences with their MDM product, MDM vendors can integrate with Azure AD. В этой статье описаны необходимые действия.This topic describes the steps involved.

Подключение к Azure ADConnect to Azure AD

Есть несколько способов подключения устройств.Several ways to connect your devices:

Для устройств, принадлежащих компании:For company-owned devices:

  • Присоединение Windows к обычному домену Active DirectoryJoin Windows to a traditional Active Directory domain
  • Присоединение Windows к Azure ADJoin Windows to Azure AD

Для персональных устройств (BYOD):For personal devices (BYOD):

  • Добавление рабочей учетной записи Майкрософт в WindowsAdd a Microsoft work account to Windows

Присоединение к Azure ADAzure AD Join

Устройства, принадлежащие компании, обычно присоединены к локальному домену Active Directory в Организации.Company owned devices are traditionally joined to the on-premises Active Directory domain of the organization. Эти устройства можно управлять с помощью групповой политики или программного обеспечения управления компьютером, такого как Microsoft Endpoint Configuration Manager.These devices can be managed using Group Policy or computer management software such as Microsoft Endpoint Configuration Manager. В Windows10 также можно управлять подключенными устройствами домена с помощью MDM.In Windows10, it’s also possible to manage domain joined devices with an MDM.

Windows10 предлагает новый способ настройки и развертывания корпоративных устройств с Windows.Windows10 introduces a new way to configure and deploy corporate owned Windows devices. Этот механизм называется присоединением Azure AD.This mechanism is called Azure AD Join. Как и в случае с традиционным подключением к домену, служба Azure AD JOIN позволяет другим устройствам быть известным и управлять ими в Организации.Like traditional domain join, Azure AD Join allows devices to become known and managed by an organization. Однако при использовании Azure AD Join Windows проверяет подлинность Azure AD вместо проверки подлинности на контроллере домена.However, with Azure AD Join, Windows authenticates to Azure AD instead of authenticating to a domain controller.

Azure AD Join также позволяет автоматически регистрировать устройства компании и управлять ими с помощью MDM.Azure AD Join also enables company owned devices to be automatically enrolled in, and managed by an MDM. Кроме того, присоединение к Azure AD можно выполнить на компьютере, приобретенном в магазине, и в диалоговом окне "при первом включении", которое помогает организациям оптимизировать свое развертывание устройств.Furthermore, Azure AD Join can be performed on a store-bought PC, in the out-of-box experience (OOBE), which helps organizations streamline their device deployment. Администратор может потребовать от пользователей, относящихся к одной или нескольким группам, регистрировать устройства для управления с помощью MDM.An administrator can require that users belonging to one or more groups enroll their devices for management with an MDM. Если пользователь настроен на автоматическую регистрацию во время присоединения к Azure AD, эта регистрация становится обязательным шагом для настройки Windows.If a user is configured to require automatic enrollment during Azure AD Join, this enrollment becomes a mandatory step to configure Windows. Если регистрация для MDM завершается сбоем, устройство не будет присоединяться к Azure AD.If the MDM enrollment fails, then the device will not be joined to Azure AD.

Важно!

Каждому пользователю, для которого разрешено автоматическое регистрацию в MDM с помощью присоединения к Azure AD, должна быть назначена действующая лицензия Azure Active Directory Premium .Every user enabled for automatic MDM enrollment with Azure AD Join must be assigned a valid Azure Active Directory Premium license.

Сценарий BYODBYOD scenario

В Windows10 также представлен более простой способ настройки персональных устройств для доступа к рабочим приложениям и ресурсам.Windows10 also introduces a simpler way to configure personal devices to access work apps and resources. Пользователи могут добавить свою рабочую учетную запись Майкрософт в Windows и наслаждаться более простым и безопасным доступом к приложениям и ресурсам Организации.Users can add their Microsoft work account to Windows and enjoy simpler and safer access to the apps and resources of the organization. В ходе этого процесса Azure AD определяет, настроена ли в Организации MDM.During this process, Azure AD detects if the organization has configured an MDM. Если это так, Windows попытается зарегистрировать устройство в MDM в рамках процесса "добавить учетную запись".If that’s the case, Windows attempts to enroll the device in MDM as part of the “add account” flow. Важно отметить, что в случае BYOD пользователи могут отклонять условия использования MDM (в этом случае устройство не зарегистрировано в MDM), а доступ к корпоративным ресурсам обычно ограничен.It’s important to note that in the BYOD case, users can reject the MDM Terms of Use—in which case the device is not enrolled in MDM and access to corporate resources is typically restricted.

Встроенные средства регистрации и UX для MDMIntegrated MDM enrollment and UX

Два сценария регистрации Azure AD MDM:Two Azure AD MDM enrollment scenarios:

  • Присоединение устройства к Azure AD для устройств, принадлежащих компанииJoining a device to Azure AD for company-owned devices
  • Добавление рабочей учетной записи на личное устройство (BYOD)Adding a work account to a personal device (BYOD)

В обоих сценариях Azure AD несет ответственность за проверку подлинности пользователя и устройства, что обеспечивает проверенный уникальный идентификатор устройства, который можно использовать для регистрации в MDM.In both scenarios, Azure AD is responsible for authenticating the user and the device, which provides a verified unique device identifier that can be used for MDM enrollment.

В обоих сценариях поток регистрации предоставляет службе MDM возможность отобразить собственный пользовательский интерфейс с помощью представления веб-сайта.In both scenarios, the enrollment flow provides an opportunity for the MDM service to render it's own UI, using a web view. Поставщики MDM должны использовать этот элемент, чтобы отобразить условия использования (TOU), которые могут отличаться для устройств, принадлежащих компании и BYOD.MDM vendors should use this to render the Terms of Use (TOU), which can be different for company-owned and BYOD devices. Поставщики MDM также могут использовать представление в виде веб-страницы для отображения дополнительных элементов пользовательского интерфейса, например для запроса одноразового ПИН-кода, если он является частью бизнес-процесса Организации.MDM vendors can also use the web view to render additional UI elements, such as asking for a one-time PIN, if this is part of the business process of the organization.

Во встроенном сценарии представление в виде веб-страницы составляет 100% на весь экран, что дает поставщику MDM возможность рисовать впечатление от краев к краям.In the out-of-the-box scenario, the web view is 100% full screen, which gives the MDM vendor the ability to paint an edge-to-edge experience. Благодаря значительным обязанностям электроэнергию!With great power comes great responsibility! Важно, чтобы поставщики MDM, которые выбрали интеграцию с Azure AD, придерживаться рекомендаций по проектированию Windows10 для письма.It is important that MDM vendors who chose to integrate with Azure AD to respect the Windows10 design guidelines to the letter. Сюда входит использование отклика веб-проекта и рекомендации по специальным возможностям для Windows, в том числе кнопки Forward и Back, которые должны правильно подсоединиться к логике навигации.This includes using a responsive web design and respecting the Windows accessibility guidelines, which includes the forward and back buttons that are properly wired to the navigation logic. Дополнительные сведения приведены далее в этом разделе.Additional details are provided later in this topic.

Для того чтобы регистрация Azure AD работала с резервной учетной записью службы Active Directory (AD FS), необходимо включить проверку пароля для интрасети в службе ADFS, как описано в разделе решение \ #2 этой статьи.For Azure AD enrollment to work for an Active Directory Federated Services (AD FS) backed Azure AD account, you must enable password authentication for the intranet on the ADFS service as described in solution #2 in this article.

После того как пользователь применяет учетную запись Azure AD, добавленную в Windows10 и регистрируется в MDM, можно управлять регистрацией с помощью параметров > учетных записей > Work access.Once a user has an Azure AD account added to Windows10 and enrolled in MDM, the enrollment can be manages through Settings > Accounts > Work access. Управление устройствами присоединения Azure AD к корпоративным сценариям или сценарии BYOD схожи.Device management of either Azure AD Join for corporate scenarios or BYOD scenarios are similar.

Примечание

Пользователи не могут удалить регистрацию устройства через пользовательский интерфейс рабочего доступа , так как управление привязано к учетной записи Azure AD или work.Users cannot remove the device enrollment through the Work access user interface because management is tied to the Azure AD or work account.

Конечные точки MDM, задействованные в интегрированной регистрации Azure ADMDM endpoints involved in Azure AD integrated enrollment

Регистрация в службе Azure AD MDM состоит из двух этапов:Azure AD MDM enrollment is a two-step process:

  1. Выводит условия использования и соберите согласие пользователя.Display the Terms of Use and gather user consent.

    Это пассивный поток, в котором пользователь перенаправляется в элементе управления браузера (WebView) в URL-адрес условий использования MDM.This is a passive flow where the user is redirected in a browser control (webview) to the URL of the Terms of Use of the MDM.

  2. Зарегистрируйте устройство.Enroll the device.

    Это активный поток, на котором агент Windows OMA DM вызывает службу MDM для регистрации устройства.This is an active flow where Windows OMA DM agent calls the MDM service to enroll the device.

Для поддержки регистрации Azure AD поставщики MDM должны размещать и предоставлять условия использования конечной точки и конечной точки регистрации для MDM.To support Azure AD enrollment, MDM vendors must host and expose a Terms of Use endpoint and an MDM enrollment endpoint.

Условия использования конечной точки Используйте эту конечную точку для информирования пользователей о том, как их устройства управляются Организацией.Terms of Use endpoint Use this endpoint to inform users of the ways in which their device can be controlled by their organization. Страница Условия использования несет ответственность за сбор согласия пользователя до начала фактического этапа регистрации.The Terms of Use page is responsible for collecting user’s consent before the actual enrollment phase begins.

Важно понимать, что условия использования потока — это "непрозрачная рамка" для Windows и Azure AD.It’s important to understand that the Terms of Use flow is an "opaque box" to Windows and Azure AD. Все представление в виде веб-страницы перенаправлено на условия использования URL-адреса, и пользователь должен перенаправить его обратно после утверждения (в некоторых случаях или отклонения) условий.The whole web view is redirected to the Terms of Use URL, and the user is expected to be redirected back after approving (or in some cases rejecting) the Terms. Эта схема позволяет вендору MDM настраивать условия использования для различных сценариев (например, разные уровни управления применяются на BYOD и на устройствах, принадлежащих компании) или реализации целевых объектов для пользователей и групп (например, пользователи в некоторых географических регионах могут подвергаться более строгим политикам управления устройствами).This design allows the MDM vendor to customize their Terms of Use for different scenarios (e.g., different levels of control are applied on BYOD vs. company-owned devices) or implement user/group based targeting (e.g., users in certain geographies may be subject to stricter device management policies).

Условия использования конечной точки можно использовать для реализации дополнительной бизнес-логики, например для сбора одноразового PIN-кода, предоставленного им, для управления регистрацией устройств.The Terms of Use endpoint can be used to implement additional business logic, such as collecting a one-time PIN provided by IT to control device enrollment. Тем не менее, поставщики MDM не должны использовать условия использования потока для сбора учетных данных пользователя, что может привести к крайне сниженному взаимодействию с пользователем.However, MDM vendors must not use the Terms of Use flow to collect user credentials, which could lead to a highly degraded user experience. Это не требуется, так как в рамках интеграции MDM служба MDM может понять маркеры, выданные Azure AD.It’s not needed, since part of the MDM integration ensures that the MDM service can understand tokens issued by Azure AD.

Конечная точка регистрации для MDM После того как пользователи принимают условия использования, устройство регистрируется в Azure AD и начинается регистрация автоматических MDM.MDM enrollment endpoint After the users accepts the Terms of Use, the device is registered in Azure AD and the automatic MDM enrollment begins.

На приведенной ниже схеме показан поток высокого уровня, вовлеченный в реальный процесс регистрации.The following diagram illustrates the high-level flow involved in the actual enrollment process. Устройство сначала регистрируется в Azure AD.The device is first registered with Azure AD. Этот процесс назначает устройству уникальный идентификатор устройства и предоставляет устройству возможность проверки подлинности с помощью Azure AD (проверка подлинности устройства).This process assigns a unique device identifier to the device and presents the device with the ability to authenticate itself with Azure AD (device authentication). Затем устройство регистрируется для управления с помощью MDM.Subsequently, the device is enrolled for management with the MDM. Это делается путем вызова конечной точки регистрации и запроса регистрации пользователя и устройства.This is done by calling the enrollment endpoint and requesting enrollment for the user and device. На этом этапе пользователь прошел проверку подлинности, а устройство зарегистрировано и проходило проверку подлинности с помощью Azure AD.At this point, the user has been authenticated and device has been registered and authenticated with Azure AD. Эти сведения доступны для MDM в форме утверждений в маркере доступа, который представлен на конечной точке регистрации.This information is made available to the MDM in the form of claims within an access token presented at the enrollment endpoint.

поток регистрации Azure AD

Предполагается, что MDM использует эти сведения о устройстве (ИДЕНТИФИКАТОРе устройства) при обратном сообщении о соответствии устройства с Azure AD с помощью API Azure AD Graph.The MDM is expected to use this information about the device (Device ID) when reporting device compliance back to Azure AD using the Azure AD Graph API. Образец для создания отчетов о соответствии устройства предоставляется далее в этом разделе.A sample for reporting device compliance is provided later in this topic.

Создание надежной стороны для MDM для Azure ADMake the MDM a reliable party of Azure AD

Чтобы принять участие в встроенном потоке регистрации, описанном в предыдущем разделе, необходимо, чтобы MDM мог использовать маркеры доступа, выданные Azure AD.To participate in the integrated enrollment flow outlined in the previous section, the MDM must be able to consume access tokens issued by Azure AD. Чтобы сообщить о соответствии требованиям Azure AD, необходимо, чтобы MDM мог пройти проверку подлинности в Azure AD и получить авторизацию в форме маркера доступа, который позволяет ему вызывать API Azure AD Graph.To report compliance to Azure AD, the MDM must be able to authenticate itself to Azure AD and obtain authorization in the form of an access token that allows it to invoke the Azure AD Graph API.

Добавление MDM на основе облакаAdd a cloud-based MDM

Облачные MDM — это приложение SaaS, которое предоставляет возможности управления устройствами в облаке.A cloud-based MDM is a SaaS application that provides device management capabilities in the cloud. Это приложение с несколькими клиентами.It is a multi-tenant application. Это приложение зарегистрировано в Azure AD в домашнем клиенте поставщика MDM.This application is registered with Azure AD in the home tenant of the MDM vendor. Когда ИТ – администратор решает использовать это решение MDM, экземпляр этого приложения становится видимым в клиенте клиента.When an IT admin decides to use this MDM solution, an instance of this application is made visible in the tenant of the customer.

Поставщик MDM должен сначала зарегистрировать приложение в своем домашнем клиенте и помечать его как приложение с несколькими клиентами.The MDM vendor must first register the application in their home tenant and mark it as a multi-tenant application. Ниже приведен пример кода из GitHub, в котором объясняется, как добавить многоклиентские приложения в Azure AD, WepApp-WebAPI-Multi-OpenIdConnect-DotNet.Here a code sample from GitHub that explains how to add multi-tenant applications to Azure AD, WepApp-WebAPI-MultiTenant-OpenIdConnect-DotNet.

Примечание

Для поставщика MDM, если у вас нет существующего средства Azure AD, которое вы управляете подпиской на Azure AD, следуйте пошаговым инструкциям по добавлению клиента Azure AD и подписки Azure AD , чтобы настроить клиент, добавить подписку и управлять ею с помощью портала Azure.For the MDM provider, if you don't have an existing Azure AD tentant with an Azure AD subscription that you manage, follow the step-by-step guide in Add an Azure AD tenant and Azure AD subscription to set up a tenant, add a subscription, and manage it via the Azure Portal.

Ключи, используемые приложением MDM для запроса маркеров доступа из Azure AD, управляются в клиенте поставщика MDM и не отображаются для отдельных клиентов.The keys used by the MDM application to request access tokens from Azure AD are managed within the tenant of the MDM vendor and not visible to individual customers. Один и тот же ключ используется приложением MDM для нескольких клиентов для проверки подлинности с помощью Azure AD, независимо от того, на какой клиент tenent входит управляемое устройство.The same key is used by the multi-tenant MDM application to authenticate itself with Azure AD, regardless of the customer tenent to which the device being managed belongs.

Чтобы зарегистрировать облачное приложение MDM для Azure AD, выполните указанные ниже действия.Use the following steps to register a cloud-based MDM application with Azure AD. В настоящее время для предоставления этого приложения в коллекции приложений Azure AD вам необходимо работать с группой поддержки Azure AD.At this time, you need to work with the Azure AD engineering team to expose this application through the Azure AD app gallery.

  1. Войдите на портал управления Azure с помощью учетной записи администратора в вашем домашнем клиенте.Login to the Azure Management Portal using an admin account in your home tenant.

  2. На панели навигации слева щелкните в службе каталогов Active Directory.In the left navigation, click on the Active Directory.

  3. Выберите клиента службы каталогов, в котором вы хотите зарегистрировать приложение.Click the directory tenant where you want to register the application.

    Убедитесь в том, что вы вошли в ваш домашний клиент.Ensure that you are logged into your home tenant.

  4. Откройте вкладку приложения .Click the Applications tab.

  5. В ящике нажмите кнопку Добавить.In the drawer, click Add.

  6. Щелкните Добавить приложение, разрабатываемое моей организацией.Click Add an application my organization is developing.

  7. Введите понятное имя приложения, например ContosoMDM, выберите веб-приложение и веб-интерфейс API, а затем нажмите кнопку Далее.Enter a friendly name for the application, such as ContosoMDM, select Web Application and or Web API, then click Next.

  8. Введите URL-адрес для входа в службу MDM.Enter the login URL for your MDM service.

  9. В качестве идентификатора приложения введите https:// < _tenant \ _name>/ContosoMDM, а затем нажмите кнопку ОК.For the App ID, enter https://<your_tenant_name>/ContosoMDM, then click OK.

  10. По-прежнему на портале Azure щелкните вкладку Настройка приложения.While still in the Azure portal, click the Configure tab of your application.

  11. Пометьте свое приложение как многоклиентскую.Mark your application as multi-tenant.

  12. Найдите значение идентификатора клиента и скопируйте его.Find the client ID value and copy it.

    Это необходимо будет делать позже при настройке приложения.You will need this later when configuring your application. Этот идентификатор клиента используется при получении маркеров доступа и добавлении приложений в коллекцию приложений Azure AD.This client ID is used when obtaining access tokens and adding applications to the Azure AD app gallery.

  13. Создайте ключ для вашего приложения и скопируйте его.Generate a key for your application and copy it.

    Это необходимо для вызова API Azure AD Graph, чтобы сообщить о соответствии устройства требованиям.You will need this to call the Azure AD Graph API to report device compliance. Это рассматривается в следующем разделе.This is covered in the subsequent section.

Дополнительные сведения о том, как зарегистрировать образец приложения с помощью Azure AD, можно найти в статье инструкции по регистрации веб-интерфейса API TodoListService в NativeClient-DotNetFor more information about how to register a sample application with Azure AD, see the steps to register the TodoListService Web API in NativeClient-DotNet

Добавление локальной учетной записью MDMAdd an on-premises MDM

Локальное приложение MDM по сути отличается от облака MDM.An on-premises MDM application is inherently different that a cloud MDM. Это приложение для одного клиента, которое присутствует в клиенте уникальным образом.It is a single-tenant application that is present uniquely within the tenant of the customer. Следовательно, пользователи должны добавить приложение прямо в свой клиент.Therefore, customers must add the application directly within their own tenant. Кроме того, для проверки подлинности с помощью Azure AD вы должны регистрироваться отдельно для каждого экземпляра локального приложения MDMAdditionally, each instance of an on-premises MDM application must be registered separately and has a separate key for authentication with Azure AD.

Чтобы добавить локальное приложение MDM в клиент, существует запись в службе Azure AD, особенно в разделе Добавление приложения для мобильных устройств (MDM и MAM) > Add application.To add an on-premises MDM application to the tenant, there is an entry under the Azure AD service, specifically under Mobility (MDM and MAM) > Add application. Администраторы могут настроить необходимые URL-адреса для регистрации и условия использования.Administrators can configure the required URLs for enrollment and Terms of Use.

Локальный продукт MDM должен предоставлять конфигурацию, в которой администраторы могут предоставить идентификатор клиента, идентификатор приложения и ключ, настроенный в их каталоге для этого приложения MDM.Your on-premises MDM product must expose a configuration experience where administrators can provide the client ID, app ID, and the key configured in their directory for that MDM application. Вы можете использовать этот идентификатор клиента и ключ для запроса маркеров из Azure AD при составлении отчетов о соответствии устройства.You can use this client ID and key to request tokens from Azure AD when reporting device compliance.

Дополнительные сведения о регистрации приложений с помощью Azure AD см. в разделе Основные сведения о регистрации приложения в Azure AD.For more information about registering applications with Azure AD, see Basics of Registering an Application in Azure AD.

Рекомендации по управлению ключами и безопасностиKey management and security guidelines

Ключи приложения, используемые службой MDM, — это конфиденциальный ресурс.The application keys used by your MDM service are a sensitive resource. Они должны периодически заключаться в степень безопасности.They should be protected and rolled over periodically for greater security. Маркеры доступа, полученные службой MDM для вызова API Azure AD Graph, являются аудиторными маркерами и должны быть защищены для предотвращения несанкционированного разглашения.Access tokens obtained by your MDM service to call the Azure AD Graph API are bearer tokens and should be protected to avoid unauthorized disclosure.

Рекомендации по обеспечению безопасности можно найти в разделе основы безопасности Windows Azure.For security best practices, see Windows Azure Security Essentials.

Вы можете переключаться между ключами приложения, которые используются в облачной службе MDM, не требуя взаимодействия с пользователем.You can rollover the application keys used by a cloud-based MDM service without requiring a customer interaction. На всех клиентских клиентах, управляемых поставщиком MDM в клиенте Azure AD, есть один набор ключей.There is a single set of keys across all customer tenants that are managed by the MDM vendor in their Azure AD tenant.

Для локальной версии MDM ключи, используемые для проверки подлинности в Azure AD, находятся в клиенте клиента и должны быть возвращены администратором клиента.For the on-premises MDM, the keys used to authenticate with Azure AD are within the tenant of the customer and must be rolled over by the customer's administrator. В этом случае вы должны предоставить рекомендации клиентам о том, как переключиться на разделы и защитить их, чтобы улучшить безопасность.In this case, you should provide guidance to the customers about rolling over and protecting the keys to improved security.

ИТ – администраторы используют коллекцию приложений Azure AD для добавления MDM для своей организации.IT administrators use the Azure AD app gallery to add an MDM for their organization to use. Коллекция приложений — это богатый магазин, в котором более 2400 приложений для SaaS интегрированы с Azure AD.The app gallery is a rich store with over 2400 SaaS applications that are integrated with Azure AD.

На приведенном ниже рисунке показано, как приложения MDM будут отображаться в коллекции приложений Azure в категории, предназначенной для программного обеспечения MDM.The following image illustrates how MDM applications will show up in the Azure app gallery in a category dedicated to MDM software.

Добавление приложения для MDM в Azure AD

Примечание

Если ваше приложение MDM основано на облаке и должно быть включено как приложение MDM для нескольких клиентов, необходимо работать с группой инженерных служб Azure AD.You should work with the Azure AD engineering team if your MDM application is cloud-based and needs to be enabled as a multi-tenant MDM application

В таблице ниже приведены сведения, необходимые для создания записи в коллекции приложений Azure AD.The following table shows the required information to create an entry in the Azure AD app gallery.

ЭлементItem ОписаниеDescription

Application IDApplication ID

Идентификатор клиента приложения MDM, настроенного в вашем клиенте.The client ID of your MDM app that is configured within your tenant. Это уникальный идентификатор вашего приложения с несколькими клиентами.This is the unique identifier for your multi-tenant app.

ИздательPublisher

Строка, определяющая издателя приложения.A string that identifies the publisher of the app.

URL-адрес приложенияApplication URL

URL-адрес начальной страницы приложения, в которой ваши администраторы могут получить дополнительные сведения о приложении MDM и ссылку на страницу начальной страницы вашего приложения.A URL to the landing page of your app where your administrators can get more information about the MDM app and contains a link to the landing page of your app. Этот URL-адрес не используется для фактической регистрации.This URL is not used for the actual enrollment.

ОписаниеDescription

Краткое описание приложения MDM, которое должно содержать 255 символов.A brief description of your MDM app, which must be under 255 characters.

ЗначкиIcons

Набор значков с логотипами для приложения MDM.A set of logo icons for the MDM app. Измерения: 45 X 45, 150 X 122, 214 X 215Dimensions: 45 X 45, 150 X 122, 214 X 215

Никаких особых требований к добавлению локальной службы управления корпоративными устройствами (MDM) в коллекцию приложений не существует. У администратора есть общая запись для добавления приложения в его клиент.There are no special requirements for adding on-premises MDM to the app gallery.There is a generic entry for administrator to add an app to their tenant.

Тем не менее, управление ключами для локальной системы MDM является другим.However, key management is different for on-premises MDM. Необходимо получить идентификатор клиента (идентификатор приложения) и ключ, назначенный приложению MDM в клиенте клиента.You must obtain the client ID (app ID) and key assigned to the MDM app within the customer's tenant. Они используются для получения авторизации для доступа к API Azure AD Graph и для обеспечения соответствия требованиям к устройствам.These are used to obtain authorization to access the Azure AD Graph API and for reporting device compliance.

ТемыThemes

Страницы, обработанные MDM как часть интегрированной процедуры регистрации, должны использовать шаблоны Windows10 (Скачайте файлы шаблонов и CSS-файлов для Windows 10).The pages rendered by the MDM as part of the integrated enrollment process must use Windows10 templates (Download the Windows 10 templates and CSS files). Это важно для регистрации во время работы с присоединением Azure AD в OOBE, где все страницы являются страницами HTML с краевым краем.This is important for enrollment during the Azure AD Join experience in OOBE where all of the pages are edge-to-edge HTML pages. Не пытайтесь скопировать шаблоны, так как вы не будете получать права на размещение кнопок.Don't try to copy the templates because you'll never get the button placement right. Использование общих шаблонов Windows10 гарантирует эффективное взаимодействие с клиентами.Using the shared Windows10 templates ensure a seamless experience for the customers.

Существует 3 отдельных сценариях.There are 3 distinct scenarios:

  1. Регистрация MDM в рамках соединения Azure AD в Windows OOBE.MDM enrollment as part of Azure AD Join in Windows OOBE.
  2. Регистрация MDM в рамках присоединения Azure AD, после настройкиWindows Oobe.MDM enrollment as part of Azure AD Join, after Windows OOBE from Settings.
  3. Регистрация в MDM — это часть добавления рабочей учетной записи Майкрософт на личное устройство (BYOD).MDM enrollment as part of adding a Microsoft work account on a personal device (BYOD).

Сценарии 1, 2 и 3 доступны в Windows10 Pro, Windows10 Enterprise и Windows10 образованиях.Scenarios 1, 2, and 3 are available in Windows10 Pro, Windows10 Enterprise, and Windows10 Education. Сценарии 1 и 3 доступны в Windows10 Mobile.Scenarios 1 and 3 are available in Windows10 Mobile. Поддержка сценария 1 была добавлена в Windows10 Mobile версии 1511.Support for scenario 1 was added in Windows10 Mobile,version 1511.

Файлы CSS, предоставленные корпорацией Майкрософт, содержат сведения о версии, и мы рекомендуем использовать последнюю версию.The CSS files provided by Microsoft contains version information and we recommend that you use the latest version. Существуют отдельные CSS-файлы для настольных и мобильных устройств, OOBE и функций POST-OOBE.There are separate CSS files for desktop and mobile devices, OOBE, and post-OOBE experiences. Скачайте файлы шаблонов и CSS для Windows 10.Download the Windows 10 templates and CSS files.

Использование темUsing themes

Страница MDM должна соответствовать предопределенной теме в зависимости от того, какой сценарий отображается.An MDM page must adhere to a predefined theme depending on the scenario that is displayed. Например, если заголовок CXH-HOSTHTTP FRX, который является сценарием OOBE, страница должна поддерживать темную тему с синим цветом фона, который использует WinJS файл UI-Dark. CSS ver 4,0 и oobe-Desktop. CSS ver 1.0.4.For example, if the CXH-HOSTHTTP header is FRX, which is the OOBE scenario, the page must support a dark theme with blue background color, which uses WinJS file Ui-dark.css ver 4.0 and oobe-desktop.css ver 1.0.4.

CXH-HOST (ЗАГОЛОВОК HTTP)CXH-HOST (HTTP HEADER) СценарийScenario Тема "фон"Background Theme WinJSWinJS Сценарий CSSScenario CSS
FRXFRX OOBEOOBE Темная тема + синий цвет фонаDark theme + blue background color Filename: UI-Dark. CSSFilename: Ui-dark.css Filename: OOBE-Dekstop. CSSFilename: oobe-dekstop.css
MOSETMOSET ПараметровSettings/

Публикация OOBEPost OOBE

Светлая темаLight theme Filename: UI-light. CSSFilename: Ui-light.css Filename: Settings-Desktop. CSSFilename: settings-desktop.css

Условия использования семантик протоколовTerms of Use protocol semantics

Условия использования конечной точки размещаются на сервере MDM.The Terms of Use endpoint is hosted by the MDM server. Во время потока протокола присоединения Azure AD Windows выполняет полную перенаправление на эту конечную точку.During the Azure AD Join protocol flow, Windows performs a full-page redirect to this endpoint. Это позволяет в MDM отображать условия и условия, которые применяются, и позволяет пользователю принять или отклонить условия, связанные с регистрацией.This enables the MDM to display the terms and conditions that apply and allows the user to accept or reject the terms associated with enrollment. После того как пользователь примет условия, для продолжения процесса регистрации MDM перенаправляется в Windows.After the user accepts the terms, the MDM redirects back to Windows for the enrollment process to continue.

Перенаправление на условия использования конечной точкиRedirect to the Terms of Use endpoint

Это полное перенаправление страницы на условия конечных точек пользователей, размещенных в MDM.This is a full page redirect to the Terms of User endpoint hosted by the MDM. Ниже приведен пример URL-адреса, HTTPS: //Fabrikam.contosomdm.com/termsofuse.Here is an example URL, https://fabrikam.contosomdm.com/TermsOfUse.

В строке запроса передаются следующие параметры:The following parameters are passed in the query string:

ЭлементItem ОписаниеDescription

redirect_uriredirect_uri

После того как пользователь примет или отклоняет условия использования, пользователь перенаправляется на этот URL-адрес.After the user accepts or rejects the Terms of Use, the user is redirected to this URL.

Клиент-идентификатор запросаclient-request-id

Идентификатор GUID, который используется для сопоставления журналов в целях диагностики и отладки.A GUID that is used to correlate logs for diagnostic and debugging purposes. Вы можете использовать этот параметр, чтобы записывать или отслеживать состояние запроса на регистрацию, чтобы найти главную причину в случае сбоев.You use this parameter to log or trace the state of the enrollment request to help find the root cause in case of failures.

API-версияapi-version

Указывает версию протокола, запрошенного клиентом.Specifies the version of the protocol requested by the client. Это обеспечивает механизм поддержки версий для протокола.This provides a mechanism to support version revisions of the protocol.

modemode

Указывает, что устройство является корпоративным, если Mode = azureadjoin.Specifies that the device is corporate owned when mode=azureadjoin. Этот параметр отсутствует для устройств BYOD.This parameter is not present for BYOD devices.

Маркер доступаAccess token

Служба Azure AD выдает маркер доступа носителя в заголовке авторизации HTTP-запроса.A bearer access token is issued by Azure AD is passed in the authorization header of the HTTP request. Вот типичный формат:Here is a typical format:

Авторизация: Bearer CI6MTQxmCF5xgu6yYcmV9ng6vhQfaJYw...Authorization: Bearer CI6MTQxmCF5xgu6yYcmV9ng6vhQfaJYw…

В токене доступа, переданном Windows в условия использования конечной точки, ожидается следующее утверждение:The following claims are expected in the access token passed by Windows to the Terms of Use endpoint:

ЭлементItem ОписаниеDescription

Идентификатор объектаObject ID

Идентификатор объекта пользователя, соответствующего пользователе, прошедшего проверку подлинности.Identifier of the user object corresponding to the authenticated user.

ИДЕНТИФИКАЦИОНUPN

Утверждение, содержащее имя участника-пользователя (UPN), прошедшего проверку подлинности.A claim containing the user principal name (UPN) of the authenticated user.

УКАЗАННОГОTID

Утверждение, представляющее собой идентификатор клиента клиента.A claim representing the tenant ID of the tenant. В приведенном выше примере это's Fabrikam.In the example above, it's Fabrikam.

РесурсResource

Исключенный URL-адрес, представляющий приложение MDM.A sanitized URL representing the MDM application. Например, HTTPS: //Fabrikam.contosomdm.com.Example, https://fabrikam.contosomdm.com.

> [!NOTE] > В токене доступа отсутствует утверждение на ИД устройства, так как в настоящее время устройство может быть еще не зарегистрировано.There is no device ID claim in the access token because the device may not yet be enrolled at this time.

Чтобы получить список участников группы для пользователя, можно использовать API Azure AD Graph.To retrieve the list of group memberships for the user, you can use the Azure AD Graph API.

Вот пример URL-адреса.Here's an example URL.

https://fabrikam.contosomdm.com/TermsOfUse?redirect_uri=ms-appx-web://ContosoMdm/ToUResponse&client-request-id=34be581c-6ebd-49d6-a4e1-150eff4b7213&api-version=1.0
Authorization: Bearer eyJ0eXAiOi

Предполагается, что MDM проверяет подпись токена доступа, чтобы убедиться, что он выдан Azure AD, и убедитесь в том, что получатель подходит.The MDM is expected to validate the signature of the access token to ensure it was issued by Azure AD and ensure that recipient is appropriate.

Условия использования содержимогоTerms of Use content

MDM может выполнять другие дополнительные перенаправления, прежде чем отображать условия использования содержимого для пользователя.The MDM may perform other additional redirects as necessary before displaying the Terms of Use content to the user. Соответствующие условия использования содержимого должны возвращаться вызывающему абоненту (Windows), чтобы его можно было отобразить конечному пользователю в элементе управления "браузер".The appropriate Terms of Use content should be returned to the caller (Windows) so it can be displayed to the end user in the browser control.

Условия использования содержимого должны содержать следующие кнопки:The Terms of Use content should contain the following buttons:

  • Принять — пользователь принимает условия использования и переходит к регистрации.Accept - the user accepts the Terms of Use and proceeds with enrollment.
  • Отклонить — пользователь отклоняет и останавливает процесс регистрации.Decline - the user declines and stops the enrollment process.

Условия использования содержимого должны быть согласованы с темой, используемой для других страниц, выводимых в ходе этого процесса.The Terms of Use content must be consistent with the theme used for the other pages rendered during this process.

Условия использования логики обработки конечных точекTerms of Use endpoint processing logic

На этом этапе пользователь находится на странице Условия использования, которая отображается в файле OOBE или в ходе настройки.At this point, the user is on the Terms of Use page shown during the OOBE or from the Setting experiences. На странице пользователя доступны следующие параметры:The user has the following options on the page:

  • Пользователь нажимает кнопку "Сохранить" — MDM должен перенаправляться на URI, указанный в параметре redirect \ _uri во входящем запросе.User clicks on the Accept button - The MDM must redirect to the URI specified by the redirect_uri parameter in the incoming request. Ожидались следующие параметры строки запроса:The following query string parameters are expected:
    • «Примен » — это обязательное логическое значение должно быть установлено в true.IsAccepted - This mandatory Boolean must be set to true.
    • OpaqueBlob — обязательный параметр, если пользователь принимает это значение.OpaqueBlob - Required parameter if the user accepts. Использование MDM может привести к недоступности некоторых данных для конечной точки регистрации.The MDM may use this make some information available to the enrollment endpoint. Значение, сохраненное здесь, становится доступным на конечной точке регистрации в неизменном виде.The value persisted here is made available unchanged at the enrollment endpoint. MDM может использовать этот параметр для целей корреляции.The MDM may use this parameter for correlation purposes.
    • Ниже приведен пример переадресации ms-appx-web://MyApp1/ToUResponse? OpaqueBlob = значение&принимается = истинаHere is an example redirect - ms-appx-web://MyApp1/ToUResponse?OpaqueBlob=value&IsAccepted=true
  • Пользователь нажимает кнопку "отклонить" — MDM должен перенаправляться на URI, указанный в redirect \ _uri во входящем запросе.User clicks on the Decline button - The MDM must redirect to the URI specified in redirect_uri in the incoming request. Ожидались следующие параметры строки запроса:The following query string parameters are expected:
    • «Примен » — это обязательное логическое значение должно быть равно false.IsAccepted - This mandatory Boolean must be set to false. Это также применимо, если пользователь пропустил условия использования.This also applies if the user skipped the Terms of Use.
    • OpaqueBlob — этот параметр не предполагается использовать, так как регистрация останавливается с сообщением об ошибке, которое отображается для пользователя.OpaqueBlob - This parameter is not expected to be used because the enrollment is stopped with an error message displayed to the user.

Пользователи пропускают условия использования при добавлении рабочей учетной записи Майкрософт на свое устройство.Users skip the Terms of Use when they are adding a Microsoft work account to their device. Тем не менее, в процессе присоединения Azure AD невозможно пропустить его.However, then cannot skip it during the Azure AD Join process. Кнопка "отклонить" не должна отображаться в процессе присоединения Azure AD, так как регистрация MDM не может быть отклонена пользователем, если она настроена администратором для Azure AD JOIN.The decline button must not be shown in the Azure AD Join process because MDM enrollment cannot be declined by the user if configured by the administrator for the Azure AD Join.

Мы рекомендуем отправить параметры идентификатора клиентского запроса в строке запроса как часть этого ответа на переадресацию.We recommend that you send the client-request-id parameters in the query string as part of this redirect response.

Условия использования обработки ошибокTerms Of Use Error handling

Если при обработке условий использования возникла ошибка, она может возвращать два параметра — ошибки и ошибки \ _description в ответ на запрос перенаправления в Windows.If an error was encountered during the terms of use processing, the MDM can return two parameters – an error and error_description parameter in its redirect request back to Windows. Обратите внимание, что URL-адрес должен быть закодирован, а его содержимое — _description должно быть в открытом тексте на английском языке.Note that the URL should be encoded and the contents of the error_description should be in English plain text. Этот текст невидим для конечного пользователя, поэтому Локализация описания ошибки не является проблемой.This text is not visible to the end-user and therefore localization of the error description text is not a concern.

Вот формат URL-адреса:Here is the URL format:

HTTP/1.1 302
Location:
<redirect_uri>?error=access_denied&error_description=Access%20is%20denied%2E


Example:
HTTP/1.1 302
Location: ms-appx-web://App1/ToUResponse?error=access_denied&error_description=Access%20is%20denied%2E

В таблице ниже показаны коды ошибок.The following table shows the error codes.

ПричинаCause Состояние HTTPHTTP status ОшибкаError ОписаниеDescription

API-версияapi-version

302302

invalid_requestinvalid_request

Неподдерживаемая версияunsupported version

Данные о клиенте или пользователе отсутствуют либо другие требования, необходимые для регистрации устройства, не выполненыTenant or user data are missing or other required prerequisites for device enrollment are not met

302302

unauthorized_clientunauthorized_client

неавторизованный пользователь или клиентunauthorized user or tenant

Проверка маркера Azure AD не пройденаAzure AD token validation failed

302302

unauthorized_clientunauthorized_client

unauthorized_clientunauthorized_client

Внутренняя ошибка службыinternal service error

302302

server_errorserver_error

Внутренняя ошибка службыinternal service error

Протокол регистрации с Azure ADEnrollment protocol with Azure AD

При регистрации в службе Azure Integrated MDM не существует Фаза обнаружения и URL-адрес обнаружения прямо передается системе из Azure.With Azure integrated MDM enrollment, there is no discovery phase and the discovery URL is directly passed down to the system from Azure. В приведенной ниже таблице показано сравнение традиционных и стандартных регистраций Azure.The following table shows the comparison between the traditional and Azure enrollments.

ПодробнееDetail Традиционная регистрация для MDMTraditional MDM enrollment Присоединение к Azure AD (собственное Корпоративное устройство)Azure AD Join (corporate-owned device) Azure AD добавить рабочую учетную запись (устройство, принадлежащего пользователю)Azure AD add a work account (user-owned device)

Автоматическое обнаружение MDM с использованием адреса электронной почты для получения URL-адреса обнаружения MDMMDM auto-discovery using email address to retrieve MDM discovery URL

регистрация;Enrollment

Не применяютсяNot applicable

URL-адрес обнаружения, предоставленный в AzureDiscovery URL provisioned in Azure

Использует URL-адрес обнаружения MDMUses MDM discovery URL

регистрация;Enrollment

Продление подпискиEnrollment renewal

ROBOROBO

регистрация;Enrollment

Продление подпискиEnrollment renewal

ROBOROBO

регистрация;Enrollment

Продление подпискиEnrollment renewal

ROBOROBO

Требуется ли регистрация для MDM?Is MDM enrollment required?

ДаYes

ДаYes

НетNo

Пользователь может отказаться от него.User can decline.

Тип проверки подлинностиAuthentication type

ЛокальноеOnPremise

ФедеративнаяFederated

СертификатCertificate

ФедеративнаяFederated

ФедеративнаяFederated

EnrollmentPolicyServiceURLEnrollmentPolicyServiceURL

Необязательные (все проверки подлинности)Optional (all auth)

Необязательные (все проверки подлинности)Optional (all auth)

Необязательные (все проверки подлинности)Optional (all auth)

EnrollmentServiceURLEnrollmentServiceURL

Обязательно (все проверки подлинности)Required (all auth)

Используется (все проверки подлинности)Used (all auth)

Используется (все проверки подлинности)Used (all auth)

EnrollmentServiceURL включает версию ОС, платформу операционной системы и другие атрибуты, предоставленные URL-адресом обнаружения MDMEnrollmentServiceURL includes OS Version, OS Platform, and other attributes provided by MDM discovery URL

Настоятельно рекомендуетсяHighly recommended

Настоятельно рекомендуетсяHighly recommended

Настоятельно рекомендуетсяHighly recommended

AuthenticationServiceURL используетсяAuthenticationServiceURL used

Используется (Федеративная проверка подлинности)Used (Federated auth)

ПропущенаSkipped

ПропущенаSkipped

BinarySecurityTokenBinarySecurityToken

Настраиваемый на MDMCustom per MDM

Маркер, выданный Azure ADAzure AD issued token

Маркер, выданный Azure ADAzure AD issued token

EnrollmentTypeEnrollmentType

ПолныйFull

УстройствоDevice

ПолныйFull

Тип сертификата "зарегистрировано"Enrolled certificate type

Сертификат пользователяUser certificate

Сертификат устройстваDevice certificate

Сертификат пользователяUser certificate

Хранилище сертификатов с регистрациейEnrolled certificate store

"Мой/пользователь"My/User

My/системаMy/System

"Мой/пользователь"My/User

Имя субъекта CSRCSR subject name

Имя участника-пользователяUser Principal Name

КОД устройстваDevice ID

Имя участника-пользователяUser Principal Name

EnrollmentData условия использования двоичного объекта BLOB в качестве AdditionalContext для EnrollmentServiceURLEnrollmentData Terms of Use binary blob as AdditionalContext for EnrollmentServiceURL

Не поддерживается.Not supported

ПоддерживаетсяSupported

ПоддерживаетсяSupported

Поставщики, доступные во время регистрацииCSPs accessible during enrollment

Поддержка Windows10:Windows10 support:

  • DMClientDMClient
  • CertificateStoreCertificateStore
  • RootCATrustedCertificatesRootCATrustedCertificates
  • ClientCertificateInstallClientCertificateInstall
  • EnterpriseModernAppManagementEnterpriseModernAppManagement
  • PassportForWorkPassportForWork
  • ПолитикаPolicy
  • ПРИЛОЖЕНИЕ W7w7 APPLICATION

Поддержка старых версий:Legacy support:

  • EnterpriseAppManagement (Windows Phone 8,1)EnterpriseAppManagement (Windows Phone 8.1)

то же, что и традиционная регистрация в MDMsame as traditional MDM enrollment

то же, что и традиционная регистрация в MDMsame as traditional MDM enrollment

Протокол управления с Azure ADManagement protocol with Azure AD

Существует два различных типа регистрации для MDM, которые используют преимущества интеграции с Azure AD и поэтому используют удостоверения пользователей и устройств Azure Active Directory.There are two different MDM enrollment types that take advantage of integration with Azure AD and therefore make use of Azure AD user and device identities. В зависимости от типа регистрации служба MDM может потребоваться для управления одним пользователем или несколькими пользователями.Depending on the enrollment type, the MDM service may need to manage a single user or multiple users.

Управление несколькими пользователями для подключенных устройств Azure AD В этом сценарии регистрация для MDM применяется к каждому пользователю Azure AD, который входит в состав подключенного устройства Azure AD — вызовите этот тип регистрации, чтобы зарегистрировать устройство, или подать заявку на несколько пользователей.Multiple user management for Azure AD joined devices In this scenario the MDM enrollment applies to every Azure AD user who logs on to the Azure AD joined device - call this enrollment type a device enrollment or a multi-user enrollment. Сервер управления может определять удостоверение пользователя, завершать политики, предназначенные для этого пользователя, и отправлять на устройство соответствующие политики.The management server can determine the user identity, conclude what policies are targeted for this user, and send corresponding policies to the device. Чтобы сервер управления мог идентифицировать текущего пользователя, который вошел в систему на устройстве, клиент OMA DM использует маркеры пользователей Azure AD.To allow management server to identify current user that is logged on to the device, the OMA DM client uses the Azure AD user tokens. Каждый сеанс управления включает дополнительный заголовок HTTP, который включает в себя маркер пользователя Azure AD.Each management session contains an additional HTTP header that contains an Azure AD user token. Эти сведения содержатся в пакете DM, отправляемом на сервер управления.This information is provided in the DM package sent to the management server. Тем не менее, в некоторых обстоятельствах маркер пользователя Azure AD не передается на сервер управления.However, in some circumstances Azure AD user token is not sent over to the management server. Один из таких сценариев происходит сразу после завершения регистрации MDM во время процесса присоединения Azure AD.One such scenario happens immediately after MDM enrollments completes during Azure AD join process. Пока процесс присоединения Azure AD завершается, а пользователь Azure AD входит в систему на компьютере, маркер пользователя Azure AD не будет доступен для процесса OMA-DM.Until Azure AD join process is finished and Azure AD user logs on to the machine, Azure AD user token is not available to OMA-DM process. Как правило, регистрация для MDM завершается, прежде чем пользователь Azure AD войдет в систему на компьютере, а начальный сеанс управления не содержит маркер пользователя Azure AD.Typically MDM enrollment completes before Azure AD user logs on to machine and the initial management session does not contain an Azure AD user token. Сервер управления должен проверить, отсутствует ли маркер, и отправлять в нем политики устройства только в этом случае.The management server should check if the token is missing and only send device policies in such case. Другая возможная причина отсутствующих маркеров Azure AD в полезных данных OMA-DM — когда гостевой пользователь входит в систему на устройстве.Another possible reason for a missing Azure AD token in the OMA-DM payload is when a guest user is logged on to the device.

Добавление рабочей учетной записи и регистрации MDM на устройстве В этом сценарии регистрация для MDM действует для одного пользователя, который первоначально добавил свою рабочую учетную запись и зарегистрировал это устройство.Adding a work account and MDM enrollment to a device In this scenario, the MDM enrollment applies to a single user who initially added his work account and enrolled the device. В этом типе регистрации сервер управления может игнорировать маркеры Azure AD, которые могут быть отправлены во время сеанса управления.In this enrollment type the management server can ignore Azure AD tokens that may be sent over during management session. Если маркер Azure Active Directory присутствует или отсутствует, сервер управления отправляет на устройство как политику пользователя, так и на устройство.Whether Azure AD token is present or missing, the management server sends both user and device policies to the device.

Оценка маркеров пользователей Azure AD Маркер Azure AD находится в заголовке авторизации HTTP в следующем формате:Evaluating Azure AD user tokens The Azure AD token is in the HTTP Authorization header in the following format:

Authorization:Bearer <Azure AD User Token Inserted here>

Дополнительные утверждения могут присутствовать в токене Azure AD, например:Additional claims may be present in the Azure AD token, such as:

  • Пользователь, который в данный момент вошел в системуUser - user currently logged in
  • Соответствие устройства — значение Установка службы MDM в AzureDevice compliance - value set the MDM service into Azure
  • Device ID (идентификатор устройства) — определяет устройство для возвратаDevice ID - identifies the device that is checking in
  • Идентификатор клиентаTenant ID

Маркер доступа, выданный Azure AD, — это веб-токены JSON (JWTs).Access token issued by Azure AD are JSON web tokens (JWTs). Допустимый маркер JWT представлен Windows на конечной точке регистрации MDM, чтобы начать процесс регистрации.A valid JWT token is presented by Windows at the MDM enrollment endpoint to initiate the enrollment process. Для оценки маркеров есть несколько вариантов:There are a couple of options to evaluate the tokens:

  • Используйте расширение обработчика маркеров JWT для WIF, чтобы проверить содержимое токена доступа и извлечь требования, необходимые для использования.Use the JWT Token Handler extension for WIF to validate the contents of the access token and extract claims required for use. Дополнительные сведения об этом можно найти в разделе обработчик маркеров JSON Web.For more information, see JSON Web Token Handler.
  • Ознакомьтесь с примерами кода проверки подлинности Azure AD, чтобы получить пример для работы с маркерами доступа.Refer to the Azure AD authentication code samples to get a sample for working with access tokens. Пример приведен в разделе NativeClient-DotNet.For an example, see NativeClient-DotNet.

Оповещение устройства 1224 для маркера пользователя Azure ADDevice Alert 1224 for Azure AD user token

При запуске сеанса интеллектуального анализа данных будет отправлено оповещение о том, что пользователь Azure Active Directory вошел в систему.An alert is sent when the DM session starts and there is an Azure AD user logged in. Оповещение отправляется в OMA DM pkg \ #1.The alert is sent in OMA DM pkg#1. Вот пример.Here's an example:

Alert Type: com.microsoft/MDM/AADUserToken

Alert sample:
<SyncBody>
 <Alert>
  <CmdID>1</CmdID>
  <Data>1224</Data>
  <Item>
   <Meta>
    <Type xmlns=”syncml:metinf”>com.microsoft/MDM/AADUserToken</Type>
   </Meta>
   <Data>UserToken inserted here</Data>
  </Item>
 </Alert>
 … other XML tags …
</SyncBody>

Определение времени входа пользователя в систему с помощью опросаDetermine when a user is logged in through polling

Оповещение отправляется на сервер MDM в пакете DM #1.An alert is send to the MDM server in DM package#1.

  • Тип оповещения-com. Microsoft/MDM/LoginStatusAlert type - com.microsoft/MDM/LoginStatus
  • Формат оповещения — ChrAlert format - chr
  • Data Alerts (данные оповещения) — введите сведения о состоянии входа для текущего пользователя, выполнившего вход.Alert data - provide login status information for the current active logged in user.
    • Пользователь, выполнивший вход в учетную запись Azure AD — предопределенный текст: пользователь.Logged in user who has an Azure AD account - predefined text: user.
    • Пользователь вошел в систему без учетной записи Azure AD — предопределенный текст: другие.Logged in user without an Azure AD account- predefined text: others.
    • Ни один из активных пользователей не является стандартным текстом: нетNo active user - predefined text:none

Вот пример.Here's an example.

<SyncBody>
 <Alert>
  <CmdID>1</CmdID>
  <Data>1224</Data>
  <Item>
   <Meta>
    <Type xmlns=”syncml:metinf”>com.microsoft/MDM/LoginStatus</Type>
   </Meta>
   <Data>user</Data>
  </Item>
 </Alert>
 … other XML tags …
</SyncBody>

Отчет о соответствии устройства и Azure ADReport device compliance to Azure AD

После регистрации устройства в службах MDM для управления на устройстве принудительно устанавливаются корпоративные политики, настроенные ИТ-администратором.Once a device is enrolled with the MDM for management, corporate policies configured by the IT administrator are enforced on the device. Соответствие устройства и настроенные политики оценивается службой MDM, а затем передается в Azure AD.The device compliance with configured policies is evaluated by the MDM and then reported to Azure AD. В этом разделе описывается вызов API Graph, который можно использовать для отправки отчета о состоянии соответствия требованиям устройства в Azure AD.This section covers the Graph API call you can use to report a device compliance status to Azure AD.

Пример, в котором показано, как MDM может получить маркер доступа с помощью клиента OAuth 2,0 _credentials Grant Type, можно найти в разделе демон \ _CertificateCredential-DotNet.For a sample that illustrates how an MDM can obtain an access token using OAuth 2.0 client_credentials grant type, see Daemon_CertificateCredential-DotNet.

  • Облачные MDM — если ваш продукт является многоклиентской службой MDM на основе облака, у вас есть один ключ, настроенный для службы в вашем клиенте.Cloud-based MDM - If your product is a cloud-based multi-tenant MDM service, you have a single key configured for your service within your tenant. Используйте этот ключ для проверки подлинности службы MDM с помощью Azure AD, чтобы получить авторизацию.Use this key to authenticate the MDM service with Azure AD, in order to obtain authorization.
  • Локальная служба MDM — если вы используете локальную версию MDM, пользователи должны настроить свой продукт с помощью ключа, используемого для проверки подлинности в Azure AD.On-premises MDM - If your product is an on-premises MDM, customers must configure your product with the key used to authenticate with Azure AD. Это связано с тем, что каждый локальный экземпляр вашего продукта MDM имеет другой ключ для клиента.This is because each on-premises instance of your MDM product has a different tenant-specific key. Для этого вам может потребоваться предоставить возможность настройки в вашем продукте MDM, которая позволяет администраторам указать ключ, который будет использоваться для проверки подлинности в Azure AD.For this purpose, you may need to expose a configuration experience in your MDM product that enables administrators to specify the key to be used to authenticate with Azure AD.

Использование API Azure AD GraphUse Azure AD Graph API

Следующий пример вызова API для оставшейся части показывает, как MDM может использовать API Azure AD Graph, чтобы сообщить о состоянии соответствия требованиям устройства, которое в настоящее время управляется этим устройством.The following sample REST API call illustrates how an MDM can use the Azure AD Graph API to report compliance status of a device currently being managed by it.

Примечание

Это применимо только для утвержденных приложений MDM на устройствах с Windows 10.This is only applicable for approved MDM apps on Windows 10 devices.

Sample Graph API Request:

PATCH https://graph.windows.net/contoso.com/devices/db7ab579-3759-4492-a03f-655ca7f52ae1?api-version=beta HTTP/1.1
Authorization: Bearer eyJ0eXAiO………
Accept: application/json
Content-Type: application/json
{  "isManaged":true,
   "isCompliant":true
}

Где:Where:

  • contoso.com — это имя клиента Azure AD, к каталогу которого подключено устройство.contoso.com – This is the name of the Azure AD tenant to whose directory the device has been joined.
  • db7ab579-3759-4492-A03F-655ca7f52ae1 — это идентификатор устройства для устройства, сведения о соответствии с которым выводятся в Azure AD.db7ab579-3759-4492-a03f-655ca7f52ae1 – This is the device identifier for the device whose compliance information is being reported to Azure AD.
  • eyJ0eXAiO..............eyJ0eXAiO……… — Это маркер доступа Bearer, выданный Azure AD в MDM, который авторизует MDM для вызова API Azure AD Graph.– This is the bearer access token issued by Azure AD to the MDM that authorizes the MDM to call the Azure AD Graph API. Маркер доступа размещается в заголовке HTTP-авторизации запроса.The access token is placed in the HTTP authorization header of the request.
  • manageed и- совместимые — эти атрибуты логических атрибутов указывают на состояние соответствия требованиям.isManaged and isCompliant - These Boolean attributes indicates compliance status.
  • API-Version — этот параметр используется для указания версии запрашиваемого API Graph.api-version - Use this parameter to specify which version of the graph API is being requested.

ОтветResponse:

  • Успешно — HTTP 204 без содержимого.Success - HTTP 204 with No Content.
  • Сбой/ошибка — HTTP 404 не найдена.Failure/Error - HTTP 404 Not Found. Это сообщение об ошибке может быть возвращено, если не удается найти указанное устройство или клиент.This error may be returned if the specified device or tenant cannot be found.

Потеря данных во время отмены регистрации из Azure Active Directory JoinData loss during unenrollment from Azure Active Directory Join

Когда пользователь регистрируется в MDM через Azure Active Directory JOIN, а затем отключает ее, предупреждение о том, что пользователь потеряет данные Windows Information Protection (НЗП), не будет.When a user is enrolled into MDM through Azure Active Directory Join and then disconnects the enrollment, there is no warning that the user will lose Windows Information Protection (WIP) data. Сообщение о разрыве связи не указывает на потерю данных НЗП.The disconnection message does not indicate the loss of WIP data.

Отмена регистрации aadj

Коды ошибокError codes

КодCode IDID Сообщение об ошибкеError message
0x801800010x80180001 "idErrorServerConnectivity " ,///MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR"idErrorServerConnectivity", // MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR

Произошла ошибка при взаимодействии с сервером.There was an error communicating with the server. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0}You can try to do this again or contact your system administrator with the error code {0}

0x801800020x80180002 "idErrorAuthenticationFailure " ,///MENROLL_E_DEVICE_AUTHENTICATION_ERROR"idErrorAuthenticationFailure", // MENROLL_E_DEVICE_AUTHENTICATION_ERROR

Возникла проблема при проверке подлинности учетной записи или устройства.There was a problem authenticating your account or device. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0} .You can try to do this again or contact your system administrator with the error code {0}.

0x801800030x80180003 "idErrorAuthorizationFailure " ,///MENROLL_E_DEVICE_AUTHORIZATION_ERROR"idErrorAuthorizationFailure", // MENROLL_E_DEVICE_AUTHORIZATION_ERROR

У этого пользователя нет прав на регистрацию.This user is not authorized to enroll. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0} .You can try to do this again or contact your system administrator with the error code {0}.

0x801800040x80180004 "idErrorMDMCertificateError " ,///MENROLL_E_DEVICE_CERTIFCATEREQUEST_ERROR"idErrorMDMCertificateError", // MENROLL_E_DEVICE_CERTIFCATEREQUEST_ERROR

Произошла ошибка сертификата.There was a certificate error. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0} .You can try to do this again or contact your system administrator with the error code {0}.

0x801800050x80180005 "idErrorServerConnectivity " ,///MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR"idErrorServerConnectivity", // MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR

Произошла ошибка при взаимодействии с сервером.There was an error communicating with the server. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0}You can try to do this again or contact your system administrator with the error code {0}

0x801800060x80180006 "idErrorServerConnectivity " ,///MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR"idErrorServerConnectivity", // MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR

Произошла ошибка при взаимодействии с сервером.There was an error communicating with the server. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0}You can try to do this again or contact your system administrator with the error code {0}

0x801800070x80180007 "idErrorAuthenticationFailure " ,///MENROLL_E_DEVICE_INVALIDSECURITY_ERROR"idErrorAuthenticationFailure", // MENROLL_E_DEVICE_INVALIDSECURITY_ERROR

Возникла проблема при проверке подлинности учетной записи или устройства.There was a problem authenticating your account or device. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0} .You can try to do this again or contact your system administrator with the error code {0}.

0x801800080x80180008 "idErrorServerConnectivity " ,///MENROLL_E_DEVICE_UNKNOWN_ERROR"idErrorServerConnectivity", // MENROLL_E_DEVICE_UNKNOWN_ERROR

Произошла ошибка при взаимодействии с сервером.There was an error communicating with the server. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0}You can try to do this again or contact your system administrator with the error code {0}

0x801800090x80180009 "idErrorAlreadyInProgress " ,///MENROLL_E_ENROLLMENT_IN_PROGRESS"idErrorAlreadyInProgress", // MENROLL_E_ENROLLMENT_IN_PROGRESS

Выполняется другая регистрация.Another enrollment is in progress. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0} .You can try to do this again or contact your system administrator with the error code {0}.

0x8018000A0x8018000A "idErrorMDMAlreadyEnrolled " ,///MENROLL_E_DEVICE_ALREADY_ENROLLED"idErrorMDMAlreadyEnrolled", // MENROLL_E_DEVICE_ALREADY_ENROLLED

Это устройство уже зарегистрировано.This device is already enrolled. Вы можете обратиться к системному администратору, указав код ошибки {0} .You can contact your system administrator with the error code {0}.

0x8018000D0x8018000D "idErrorMDMCertificateError " ,///MENROLL_E_DISCOVERY_SEC_CERT_DATE_INVALID"idErrorMDMCertificateError", // MENROLL_E_DISCOVERY_SEC_CERT_DATE_INVALID

Произошла ошибка сертификата.There was a certificate error. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0} .You can try to do this again or contact your system administrator with the error code {0}.

0x8018000E0x8018000E "idErrorAuthenticationFailure " ,///MENROLL_E_PASSWORD_NEEDED"idErrorAuthenticationFailure", // MENROLL_E_PASSWORD_NEEDED

Возникла проблема при проверке подлинности учетной записи или устройства.There was a problem authenticating your account or device. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0} .You can try to do this again or contact your system administrator with the error code {0}.

0x8018000F0x8018000F "idErrorAuthenticationFailure " ,///MENROLL_E_WAB_ERROR"idErrorAuthenticationFailure", // MENROLL_E_WAB_ERROR

Возникла проблема при проверке подлинности учетной записи или устройства.There was a problem authenticating your account or device. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0} .You can try to do this again or contact your system administrator with the error code {0}.

0x801800100x80180010 "idErrorServerConnectivity " ,///MENROLL_E_CONNECTIVITY"idErrorServerConnectivity", // MENROLL_E_CONNECTIVITY

Произошла ошибка при взаимодействии с сервером.There was an error communicating with the server. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0}You can try to do this again or contact your system administrator with the error code {0}

0x801800120x80180012 "idErrorMDMCertificateError " ,///MENROLL_E_INVALIDSSLCERT"idErrorMDMCertificateError", // MENROLL_E_INVALIDSSLCERT

Произошла ошибка сертификата.There was a certificate error. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0} .You can try to do this again or contact your system administrator with the error code {0}.

0x801800130x80180013 "idErrorDeviceLimit " ,///MENROLL_E_DEVICECAPREACHED"idErrorDeviceLimit", // MENROLL_E_DEVICECAPREACHED

Похоже, для этой учетной записи слишком много устройств или пользователей.Looks like there are too many devices or users for this account. Обратитесь к системному администратору с кодом ошибки {0} .Contact your system administrator with the error code {0}.

0x801800140x80180014 "idErrorMDMNotSupported " ,///MENROLL_E_DEVICENOTSUPPORTED"idErrorMDMNotSupported", // MENROLL_E_DEVICENOTSUPPORTED

Эта функция не поддерживается.This feature is not supported. Обратитесь к системному администратору с кодом ошибки {0} .Contact your system administrator with the error code {0}.

0x801800150x80180015 "idErrorMDMNotSupported " ,///MENROLL_E_NOTSUPPORTED"idErrorMDMNotSupported", // MENROLL_E_NOTSUPPORTED

Эта функция не поддерживается.This feature is not supported. Обратитесь к системному администратору с кодом ошибки {0} .Contact your system administrator with the error code {0}.

0x801800160x80180016 "idErrorMDMRenewalRejected " ,///MENROLL_E_NOTELIGIBLETORENEW"idErrorMDMRenewalRejected", // MENROLL_E_NOTELIGIBLETORENEW

Сервер не принимал запрос.The server did not accept the request. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0} .You can try to do this again or contact your system administrator with the error code {0}.

0x801800170x80180017 "idErrorMDMAccountMaintenance " ,///MENROLL_E_INMAINTENANCE"idErrorMDMAccountMaintenance", // MENROLL_E_INMAINTENANCE

Служба находится в состоянии обслуживания.The service is in maintenance. Вы можете повторить попытку позже или обратиться к системному администратору с кодом ошибки {0} .You can try to do this again later or contact your system administrator with the error code {0}.

0x801800180x80180018 "idErrorMDMLicenseError " ,///MENROLL_E_USERLICENSE"idErrorMDMLicenseError", // MENROLL_E_USERLICENSE

Произошла ошибка с лицензией.There was an error with your license. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0} .You can try to do this again or contact your system administrator with the error code {0}.

0x801800190x80180019 "idErrorInvalidServerConfig " ,///MENROLL_E_ENROLLMENTDATAINVALID"idErrorInvalidServerConfig", // MENROLL_E_ENROLLMENTDATAINVALID

Похоже, сервер настроен неправильно.Looks like the server is not correctly configured. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0} .You can try to do this again or contact your system administrator with the error code {0}.

"rejectedTermsOfUse""rejectedTermsOfUse" "idErrorRejectedTermsOfUse""idErrorRejectedTermsOfUse"

Для вашей организации необходимо принять условия использования.Your organization requires that you agree to the Terms of Use. Повторите попытку или обратитесь к специалисту службы поддержки за дополнительными сведениями.Please try again or ask your support person for more information.

0x801c00010x801c0001 "idErrorServerConnectivity " ,///DSREG_E_DEVICE_MESSAGE_FORMAT_ERROR"idErrorServerConnectivity", // DSREG_E_DEVICE_MESSAGE_FORMAT_ERROR

Произошла ошибка при взаимодействии с сервером.There was an error communicating with the server. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0}You can try to do this again or contact your system administrator with the error code {0}

0x801c00020x801c0002 "idErrorAuthenticationFailure " ,///DSREG_E_DEVICE_AUTHENTICATION_ERROR"idErrorAuthenticationFailure", // DSREG_E_DEVICE_AUTHENTICATION_ERROR

Возникла проблема при проверке подлинности учетной записи или устройства.There was a problem authenticating your account or device. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0} .You can try to do this again or contact your system administrator with the error code {0}.

0x801c00030x801c0003 "idErrorAuthorizationFailure " ,///DSREG_E_DEVICE_AUTHORIZATION_ERROR"idErrorAuthorizationFailure", // DSREG_E_DEVICE_AUTHORIZATION_ERROR

У этого пользователя нет прав на регистрацию.This user is not authorized to enroll. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0} .You can try to do this again or contact your system administrator with the error code {0}.

0x801c00060x801c0006 "idErrorServerConnectivity " ,///DSREG_E_DEVICE_INTERNALSERVICE_ERROR"idErrorServerConnectivity", // DSREG_E_DEVICE_INTERNALSERVICE_ERROR

Произошла ошибка при взаимодействии с сервером.There was an error communicating with the server. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0}You can try to do this again or contact your system administrator with the error code {0}

0x801c000B0x801c000B "idErrorUntrustedServer " ,///DSREG_E_DISCOVERY_REDIRECTION_NOT_TRUSTED"idErrorUntrustedServer", // DSREG_E_DISCOVERY_REDIRECTION_NOT_TRUSTED Сервер, к которому вы подключены, не является надежным.The server being contacted is not trusted. Обратитесь к системному администратору с кодом ошибки {0} .Contact your system administrator with the error code {0}.
0x801c000C0x801c000C "idErrorServerConnectivity " ,///DSREG_E_DISCOVERY_FAILED"idErrorServerConnectivity", // DSREG_E_DISCOVERY_FAILED

Произошла ошибка при взаимодействии с сервером.There was an error communicating with the server. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0}You can try to do this again or contact your system administrator with the error code {0}

0x801c000E0x801c000E "idErrorDeviceLimit " ,///DSREG_E_DEVICE_REGISTRATION_QUOTA_EXCCEEDED"idErrorDeviceLimit", // DSREG_E_DEVICE_REGISTRATION_QUOTA_EXCCEEDED

Похоже, для этой учетной записи слишком много устройств или пользователей.Looks like there are too many devices or users for this account. Обратитесь к системному администратору с кодом ошибки {0} .Contact your system administrator with the error code {0}.

0x801c000F0x801c000F "idErrorDeviceRequiresReboot " ,///DSREG_E_DEVICE_REQUIRES_REBOOT"idErrorDeviceRequiresReboot", // DSREG_E_DEVICE_REQUIRES_REBOOT

Для завершения регистрации устройства требуется перезагрузка.A reboot is required to complete device registration.

0x801c00100x801c0010 "idErrorInvalidCertificate " ,///DSREG_E_DEVICE_AIK_VALIDATION_ERROR"idErrorInvalidCertificate", // DSREG_E_DEVICE_AIK_VALIDATION_ERROR

Похоже, что у вас есть недопустимый сертификат.Looks like you have an invalid certificate. Обратитесь к системному администратору с кодом ошибки {0} .Contact your system administrator with the error code {0}.

0x801c00110x801c0011 "idErrorAuthenticationFailure " ,///DSREG_E_DEVICE_ATTESTATION_ERROR"idErrorAuthenticationFailure", // DSREG_E_DEVICE_ATTESTATION_ERROR

Возникла проблема при проверке подлинности учетной записи или устройства.There was a problem authenticating your account or device. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0} .You can try to do this again or contact your system administrator with the error code {0}.

0x801c00120x801c0012 "idErrorServerConnectivity " ,///DSREG_E_DISCOVERY_BAD_MESSAGE_ERROR"idErrorServerConnectivity", // DSREG_E_DISCOVERY_BAD_MESSAGE_ERROR

Произошла ошибка при взаимодействии с сервером.There was an error communicating with the server. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0}You can try to do this again or contact your system administrator with the error code {0}

0x801c00130x801c0013 "idErrorAuthenticationFailure " ,///DSREG_E_TENANTID_NOT_FOUND"idErrorAuthenticationFailure", // DSREG_E_TENANTID_NOT_FOUND

Возникла проблема при проверке подлинности учетной записи или устройства.There was a problem authenticating your account or device. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0} .You can try to do this again or contact your system administrator with the error code {0}.

0x801c00140x801c0014 "idErrorAuthenticationFailure " ,///DSREG_E_USERSID_NOT_FOUND"idErrorAuthenticationFailure", // DSREG_E_USERSID_NOT_FOUND

Возникла проблема при проверке подлинности учетной записи или устройства.There was a problem authenticating your account or device. Вы можете повторить попытку или обратиться к системному администратору с кодом ошибки {0} .You can try to do this again or contact your system administrator with the error code {0}.