移动设备注册

• 适用于:

  ✅ Windows 11, ✅ Windows 10

移动设备注册是企业管理的第一阶段。 设备配置为在注册过程中使用安全预防措施与 MDM 服务器通信。 注册服务验证企业是否仅管理经过身份验证和授权的设备。

注册过程包括以下步骤：

1. 注册终结点的发现：此步骤提供注册终结点配置设置。
2. 证书安装：此步骤处理用户身份验证、证书生成和证书安装。 已安装的证书将来将用于管理客户端/服务器 (TLS/SSL) 相互身份验证。
3. DM 客户端预配：此步骤将 设备管理 (DM) 客户端配置为在通过 HTTPS (也称为 Open Mobile Alliance 设备管理 (OMA DM) XML) 注册后连接到移动设备管理 (MDM) 服务器。

注册协议

对注册协议进行了许多更改，以更好地支持跨所有平台的各种方案。 有关移动设备注册协议的详细信息，请参阅：

• [MS-MDM]：移动设备管理协议。
• [MS-MDE2]：移动设备注册协议版本 2。

注册过程包括以下步骤：

发现请求

发现请求是一个简单的 HTTP 后调用，它通过 HTTP 返回 XML。 返回的 XML 包括身份验证 URL、管理服务 URL 和用户凭据类型。

证书注册策略

证书注册策略配置是 MS-XCEP 协议的实现，如 [MS-XCEP]： X.509 证书注册策略协议规范中所述。 规范的第 4 部分提供了策略请求和响应的示例。 X.509 证书注册策略协议是一种最小消息传送协议，其中包含单个客户端请求消息 (GetPolicies) ，其中包含匹配的服务器响应消息 (GetPoliciesResponse) 。

有关详细信息，请参阅 [MS-XCEP]：X.509 证书注册策略协议

证书注册

证书注册是 MS-WSTEP 协议的实现。

管理配置

服务器发送的预配 XML 包含用于 TLS/SSL 服务器身份验证) 的服务器证书 (、企业 CA 颁发的客户端证书、用于客户端与管理服务器) 通信的 DM 客户端启动信息 (、供用户安装企业应用程序) 的企业应用程序令牌 (，以及用于下载公司中心应用程序的链接。

以下文章介绍了使用各种身份验证方法的端到端注册过程：

• 联合身份验证设备注册
• 证书身份验证设备注册
• 本地身份验证设备注册

注意

最佳做法是，不要对以下值使用硬编码服务器端检查：

• 用户代理字符串
• 注册期间传递的任何固定 URI
• 除非另有说明，否则任何值的特定格式设置，例如设备 ID 的格式。

对已加入域的设备的注册支持

加入本地 Active Directory的设备可以通过设置>访问工作单位或学校注册到 MDM。 但是，注册只能面向使用用户特定策略注册的用户。 面向设备的策略继续面向设备的所有用户。

不支持注册方案

以下方案不允许 MDM 注册：

• Windows 桌面上的内置管理员帐户无法注册到 MDM。
• 标准用户无法注册 MDM。 只有管理员用户可以注册。

禁用 MDM 注册

IT 管理员可以使用禁用 MDM 注册组策略为已加入域的电脑 禁用 MDM 注册 。

组策略路径：计算机配置>管理模板>Windows 组件>MDM>禁用 MDM 注册。 相应的注册表项： HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)

注册错误消息

注册服务器可以使用 SOAP 错误格式拒绝注册消息。 可以按如下所示发送创建的错误：

<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
    <s:header>
        <a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
        <activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
        <a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
    </s:header>
    <s:body>
        <s:fault>
            <s:code>
                <s:value>s:receiver</s:value>
                <s:subcode>
                    <s:value>s:authorization</s:value>
                </s:subcode>
            </s:code>
            <s:reason>
                <s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
            </s:reason>
        </s:fault>
    </s:body>
</s:envelope>

示例错误消息：

命名空间	子代码	错误	描述	HRESULT
s:	MessageFormat	MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR	来自移动设备管理 (MDM) 服务器的消息无效。	80180001
s:	Authentication	MENROLL_E_DEVICE_AUTHENTICATION_ERROR	移动设备管理 (MDM) 服务器无法对用户进行身份验证。 请重试或联系系统管理员。	80180002
s:	授权	MENROLL_E_DEVICE_AUTHORIZATION_ERROR	用户无权注册移动设备管理 (MDM) 。 请重试或联系系统管理员。	80180003
s:	CertificateRequest	MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR	用户对证书模板没有权限，或者无法访问证书颁发机构。 请重试或联系系统管理员。	80180004
s:	EnrollmentServer	MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR	移动设备管理 (MDM) 服务器遇到错误。 请重试或联系系统管理员。	80180005
a:	InternalServiceFault	MENROLL_E_DEVICE_INTERNALSERVICE_ERROR	移动设备管理 (MDM) 服务器上存在未经处理的异常。 请重试或联系系统管理员。	80180006
a:	InvalidSecurity	MENROLL_E_DEVICE_INVALIDSECURITY_ERROR	移动设备管理 (MDM) 服务器无法验证你的帐户。 请重试或联系系统管理员。	80180007

SOAP 格式还包括 deviceenrollmentserviceerror 元素。 下面是一个示例：

<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
    <s:header>
        <a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
        <activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
        <a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
    </s:header>
    <s:body>
        <s:fault>
            <s:code>
                <s:value>s:receiver</s:value>
                <s:subcode>
                    <s:value>s:authorization</s:value>
                </s:subcode>
            </s:code>
            <s:reason>
                <s:text xml:lang="en-us">device cap reached</s:text>
            </s:reason>
            <s:detail>
                <deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
                    <errortype>devicecapreached</errortype>
                    <message>device cap reached</message>
                    <traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
                </deviceenrollmentserviceerror>
            </s:detail>
        </s:fault>
    </s:body>
</s:envelope>

示例错误消息：

子代码	错误	描述	HRESULT
DeviceCapReached	MENROLL_E_DEVICECAPREACHED	该帐户注册到移动设备管理 (MDM) 的设备过多。 删除或取消注册旧设备以修复此错误。	80180013
DeviceNotSupported	MENROLL_E_DEVICENOTSUPPORTED	移动设备管理 (MDM) 服务器不支持此平台或版本，请考虑升级设备。	80180014
NotSupported	MENROLL_E_NOT_SUPPORTED	此设备通常不支持移动设备管理 (MDM) 。	80180015
NotEligibleToRenew	MENROLL_E_NOTELIGIBLETORENEW	设备尝试续订移动设备管理 (MDM) 证书，但服务器拒绝了请求。 检查设备上的续订计划。	80180016
InMaintenance	MENROLL_E_INMAINTENANCE	移动设备管理 (MDM) 服务器指出帐户处于维护状态，请稍后重试。	80180017
UserLicense	MENROLL_E_USER_LICENSE	移动设备管理 (MDM) 用户许可证出错。 请与系统管理员联系。	80180018
InvalidEnrollmentData	MENROLL_E_ENROLLMENTDATAINVALID	移动设备管理 (MDM) 服务器拒绝了注册数据。 服务器可能未正确配置。	80180019

TraceID 是记录的任意格式文本节点。 它应标识此注册尝试的服务器端状态。 支持人员可以使用此信息来查找服务器拒绝注册的原因。

相关文章

• 基于 Windows 的设备 MDM 注册
• 联合身份验证设备注册
• 证书身份验证设备注册
• 本地身份验证设备注册