Impostazioni aziendali e gestione dei criteri

L'interazione di gestione effettiva tra il dispositivo e il server viene eseguita tramite DMClient. DMClient comunica con il server di gestione aziendale tramite la sintassi SyncML dm v1.2. La descrizione completa del protocollo OMA DM v1.2 è disponibile nel sito Web OMA.

Le impostazioni MDM aziendali vengono esposte tramite vari provider di servizi di configurazione a DMClient. Per l'elenco dei provider di servizi di configurazione disponibili, vedere Informazioni di riferimento sui provider di servizi di configurazione.

Windows supporta attualmente un server MDM. Al DMClient configurato tramite il processo di registrazione viene concesso l'accesso alle impostazioni correlate all'organizzazione. Durante il processo di registrazione, l'utilità di pianificazione è configurata per richiamare DMClient per eseguire periodicamente il polling del server MDM.

Il diagramma seguente mostra il flusso di lavoro tra server e client.

diagramma mdm del client windows e del server.

Flusso di lavoro di gestione

Questo protocollo definisce una comunicazione client/server basata su HTTPS con DM SyncML XML come payload del pacchetto che contiene le richieste di gestione e i risultati di esecuzione. La richiesta di configurazione viene indirizzata tramite un oggetto gestito (MO). Le impostazioni supportate dall'oggetto gestito sono rappresentate in una struttura ad albero concettuale. Questa visualizzazione logica delle impostazioni configurabili del dispositivo semplifica il modo in cui il server indirizza le impostazioni del dispositivo isolando i dettagli di implementazione dalla struttura ad albero concettuale.

Per facilitare la comunicazione avanzata con il server remoto per la gestione aziendale, Windows supporta l'autenticazione reciproca basata su certificati su un canale HTTP TLS/SSL crittografato tra DMClient e il servizio di gestione. Il provisioning dei certificati server e client viene eseguito durante il processo di registrazione.

La configurazione DMClient, l'imposizione dei criteri aziendali, la gestione delle applicazioni aziendali e l'inventario dei dispositivi sono tutti esposti o espressi tramite provider di servizi di configurazione (CSP). I CSP sono il termine Windows per gli oggetti gestiti. DMClient comunica con il server e invia la richiesta di configurazione ai CSP. Il server deve conoscere solo gli URI locali logici definiti da tali nodi CSP per usare il codice XML del protocollo DM per gestire il dispositivo.

Ecco un riepilogo delle attività di Gestione del database supportate per la gestione aziendale:

  • Gestione dei criteri aziendali: i criteri aziendali sono supportati tramite il provider di servizi di configurazione criteri consente all'organizzazione di gestire varie impostazioni. Consente al servizio di gestione di configurare i criteri correlati al blocco del dispositivo, disabilitare/abilitare la scheda di archiviazione ed eseguire query sullo stato di crittografia del dispositivo. RemoteWipe CSP consente ai professionisti IT di cancellare completamente l'archiviazione dati interna dell'utente in remoto.
  • Gestione delle applicazioni aziendali: questa attività viene eseguita tramite il CSP Enterprise ModernApp Management e diversi criteri correlati a ApplicationManagement. Viene usato per installare il token aziendale, eseguire query sui nomi e le versioni delle applicazioni aziendali installate e così via. Questo provider di servizi di configurazione è accessibile solo dal servizio aziendale.
  • Gestione dei certificati: per installare i certificati vengono usati CSP CertificateStore, CSP RootCACertificate e ClientCertificateInstall.
  • Inventario dei dispositivi di base e gestione degli asset: alcune informazioni di base sui dispositivi possono essere recuperate tramite CSP DevInfo, CSP DevDetail e CSP DeviceStatus. Forniscono informazioni di base sul dispositivo, ad esempio nome OEM, modello di dispositivo, versione hardware, versione del sistema operativo, tipi di processore e così via. Queste informazioni sono destinate alla gestione degli asset e alla destinazione dei dispositivi. Il provider di servizi di configurazione NodeCache consente al dispositivo di inviare solo le impostazioni di inventario delta al server per ridurre l'utilizzo dei dati over-the-air. Il provider di servizi di configurazione NodeCache è accessibile solo dal servizio aziendale.