Registro do dispositivo móvel
A inscrição de dispositivos móveis é a primeira fase da gestão empresarial. O dispositivo está configurado para comunicar com o servidor MDM através de precauções de segurança durante o processo de inscrição. O serviço de inscrição verifica se apenas os dispositivos autenticados e autorizados são geridos pela empresa.
O processo de inscrição inclui os seguintes passos:
- Deteção do ponto final de inscrição: este passo fornece as definições de configuração do ponto final de inscrição.
- Instalação de certificados: este passo processa a autenticação do utilizador, a geração de certificados e a instalação de certificados. Os certificados instalados serão utilizados no futuro para gerir a autenticação mútua cliente/servidor (TLS/SSL).
- Aprovisionamento do Cliente DM: este passo configura o cliente de Gestão de Dispositivos (DM) para ligar a um servidor de Gestão de Dispositivos Móveis (MDM) após a inscrição através do DM SyncML através de HTTPS (também conhecido como Open Mobile Alliance Device Management (OMA DM) XML).
Protocolo de inscrição
Existem muitas alterações efetuadas ao protocolo de inscrição para suportar melhor vários cenários em todas as plataformas. Para obter informações detalhadas sobre o protocolo de inscrição de dispositivos móveis, consulte:
- [MS-MDM]: Protocolo de Gestão de Dispositivos Móveis.
- [MS-MDE2]: Mobile Device Enrollment Protocol Versão 2.
O processo de inscrição envolve os seguintes passos:
Pedido de deteção
O pedido de deteção é uma simples chamada http post que devolve XML através de HTTP. O XML devolvido inclui o URL de autenticação, o URL do serviço de gestão e o tipo de credencial de utilizador.
Política de inscrição de certificados
A configuração da política de inscrição de certificados é uma implementação do protocolo MS-XCEP, que está descrito em [MS-XCEP]: Especificação do Protocolo de Política de Inscrição de Certificados X.509. A secção 4 da especificação fornece um exemplo do pedido de política e da resposta. O Protocolo de Política de Inscrição de Certificados X.509 é um protocolo de mensagens mínimo que inclui uma única mensagem de pedido de cliente (GetPolicies) com uma mensagem de resposta do servidor correspondente (GetPoliciesResponse).
Para obter mais informações, veja [MS-XCEP]: X.509 Certificate Enrollment Policy Protocol
Inscrição de certificados
A inscrição de certificados é uma implementação do protocolo MS-WSTEP.
Configuração de gestão
O servidor envia um XML de aprovisionamento que contém um certificado de servidor (para autenticação do servidor TLS/SSL), um certificado de cliente emitido pela AC empresarial, informações de bootstrap DMClient (para o cliente comunicar com o servidor de gestão), um token de aplicação empresarial (para o utilizador instalar aplicações empresariais) e a ligação para transferir a aplicação Hub da Empresa.
Os seguintes artigos descrevem o processo de inscrição ponto a ponto com vários métodos de autenticação:
- Registro de dispositivos de autenticação federada
- Registro de dispositivo de autenticação de certificado
- Registro de dispositivo de autenticação local
Observação
Como melhor prática, não utilize verificações codificadas do lado do servidor em valores como:
- Cadeia de agente do utilizador
- Quaisquer URIs fixos transmitidos durante a inscrição
- Formatação específica de qualquer valor, salvo indicação em contrário, como o formato do ID do dispositivo.
Suporte de inscrição para dispositivos associados a um domínio
Os dispositivos que estão associados a um Active Directory no local podem inscrever-se na MDM através de Definições>Acesso profissional ou escolar. No entanto, a inscrição só pode visar o utilizador inscrito com políticas específicas do utilizador. As políticas direcionadas para dispositivos continuam a visar todos os utilizadores do dispositivo.
Cenários de inscrição não suportados
Os seguintes cenários não permitem inscrições mdm:
- As contas de administrador incorporadas no ambiente de trabalho do Windows não podem ser inscritas na MDM.
- Os utilizadores padrão não podem inscrever-se na MDM. Apenas os utilizadores administradores podem inscrever-se.
Desativar inscrições mdm
O administrador de TI pode desativar as inscrições mdm para PCs associados a um domínio através da política Desativar grupo de Inscrição MDM .
Caminho da Política de Grupo: Configuração>do computador Modelos Administrativos Componentes> do WindowsMdm>Desativar>Inscrição MDM.
Chave de registo correspondente: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)
Mensagens de erro de inscrição
O servidor de inscrição pode recusar mensagens de inscrição com o formato de Falha SOAP. Os erros criados podem ser enviados da seguinte forma:
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
</s:reason>
</s:fault>
</s:body>
</s:envelope>
Mensagens de erro de exemplo:
| Namespace | Subcódigo | Erro | Descrição | HRESULT |
|---|---|---|---|---|
| s: | Formatação de Mensagens | MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR | Mensagem inválida do servidor de Gestão de Dispositivos Móveis (MDM). | 80180001 |
| s: | Authentication | MENROLL_E_DEVICE_AUTHENTICATION_ERROR | O servidor de Gestão de Dispositivos Móveis (MDM) não conseguiu autenticar o utilizador. Tente novamente ou contacte o administrador de sistema. | 80180002 |
| s: | Autorização | MENROLL_E_DEVICE_AUTHORIZATION_ERROR | O utilizador não está autorizado a inscrever-se na Gestão de Dispositivos Móveis (MDM). Tente novamente ou contacte o administrador de sistema. | 80180003 |
| s: | CertificateRequest | MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR | O utilizador não tem permissão para o modelo de certificado ou a autoridade de certificação está inacessível. Tente novamente ou contacte o administrador de sistema. | 80180004 |
| s: | EnrollmentServer | MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR | O servidor de Gestão de Dispositivos Móveis (MDM) encontrou um erro. Tente novamente ou contacte o administrador de sistema. | 80180005 |
| um: | InternalServiceFault | MENROLL_E_DEVICE_INTERNALSERVICE_ERROR | Ocorreu uma exceção não processada no servidor de Gestão de Dispositivos Móveis (MDM). Tente novamente ou contacte o administrador de sistema. | 80180006 |
| um: | Segurança Inválida | MENROLL_E_DEVICE_INVALIDSECURITY_ERROR | O servidor de Gestão de Dispositivos Móveis (MDM) não conseguiu validar a sua conta. Tente novamente ou contacte o administrador de sistema. | 80180007 |
O formato SOAP também inclui deviceenrollmentserviceerror o elemento . Veja um exemplo:
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">device cap reached</s:text>
</s:reason>
<s:detail>
<deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
<errortype>devicecapreached</errortype>
<message>device cap reached</message>
<traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
</deviceenrollmentserviceerror>
</s:detail>
</s:fault>
</s:body>
</s:envelope>
Mensagens de erro de exemplo:
| Subcódigo | Erro | Descrição | HRESULT |
|---|---|---|---|
| DeviceCapReached | MENROLL_E_DEVICECAPREACHED | A conta tem demasiados dispositivos inscritos na Gestão de Dispositivos Móveis (MDM). Eliminar ou anular a inscrição de dispositivos antigos para corrigir este erro. | 80180013 |
| DeviceNotSupported | MENROLL_E_DEVICENOTSUPPORTED | O servidor de Gestão de Dispositivos Móveis (MDM) não suporta esta plataforma ou versão, considere atualizar o seu dispositivo. | 80180014 |
| Não Suportado | MENROLL_E_NOT_SUPPORTED | Geralmente, a Gestão de Dispositivos Móveis (MDM) não é suportada para este dispositivo. | 80180015 |
| NotEligibleToRenew | MENROLL_E_NOTELIGIBLETORENEW | O dispositivo está a tentar renovar o certificado de Gestão de Dispositivos Móveis (MDM), mas o servidor rejeitou o pedido. Verifique a agenda de renovação no dispositivo. | 80180016 |
| InMaintenance | MENROLL_E_INMAINTENANCE | O servidor de Gestão de Dispositivos Móveis (MDM) indica que a sua conta está em manutenção e tente novamente mais tarde. | 80180017 |
| UserLicense | MENROLL_E_USER_LICENSE | Ocorreu um erro com a licença de utilizador da Gestão de Dispositivos Móveis (MDM). Contacte o administrador de sistema. | 80180018 |
| InvalidEnrollmentData | MENROLL_E_ENROLLMENTDATAINVALID | O servidor de Gestão de Dispositivos Móveis (MDM) rejeitou os dados de inscrição. O servidor pode não estar configurado corretamente. | 80180019 |
TraceID é um nó de texto de forma livre que é registado. Deve identificar o estado do lado do servidor para esta tentativa de inscrição. Estas informações podem ser utilizadas pelo suporte para procurar o motivo pelo qual o servidor recusou a inscrição.