Регистрация мобильного устройства
Регистрация мобильных устройств — это первый этап управления предприятием. Устройство настроено для взаимодействия с сервером MDM, используя меры безопасности во время процесса регистрации. Служба регистрации проверяет, что предприятие управляет только прошедшими проверку подлинности и авторизованными устройствами.
Процесс регистрации включает в себя следующие шаги.
- Обнаружение конечной точки регистрации. Этот шаг предоставляет параметры конфигурации конечной точки регистрации.
- Установка сертификата. Этот шаг обрабатывает проверку подлинности пользователя, создание сертификата и установку сертификата. Установленные сертификаты будут использоваться в будущем для управления взаимной проверкой подлинности клиента и сервера (TLS/SSL).
- Подготовка клиента DM. На этом шаге клиент управления устройствами настраивает подключение клиента управления мобильными устройствами (DM) к серверу управления мобильными устройствами (MDM) после регистрации через DM SyncML по протоколу HTTPS (также известный как XML-файл open Mobile Alliance Device Management (OMA DM).
Протокол регистрации
В протокол регистрации внесено много изменений для лучшей поддержки различных сценариев на всех платформах. Подробные сведения о протоколе регистрации мобильных устройств см. в следующих разделах:
- [MS-MDM]: протокол управления мобильными устройствами.
- [MS-MDE2]: протокол регистрации мобильных устройств версии 2.
Процесс регистрации состоит из следующих этапов:
Запрос на обнаружение
Запрос обнаружения — это простой вызов HTTP, который возвращает XML по протоколу HTTP. Возвращаемый XML-код включает URL-адрес проверки подлинности, URL-адрес службы управления и тип учетных данных пользователя.
Политика регистрации сертификатов
Конфигурация политики регистрации сертификатов представляет собой реализацию протокола MS-XCEP, который описан в разделе [MS-XCEP]: Спецификация протокола политики регистрации сертификатов X.509. В разделе 4 спецификации приведен пример запроса и ответа политики. Протокол политики регистрации сертификатов X.509 — это протокол минимального обмена сообщениями, включающий одно сообщение запроса клиента (GetPolicies) с соответствующим ответным сообщением сервера (GetPoliciesResponse).
Дополнительные сведения см. в разделе [MS-XCEP]: протокол политики регистрации сертификатов X.509.
Регистрация сертификата
Регистрация сертификата представляет собой реализацию протокола MS-WSTEP.
Конфигурация управления
Сервер отправляет XML-код подготовки, содержащий сертификат сервера (для проверки подлинности TLS/SSL-сервера), сертификат клиента, выданный корпоративным ЦС, сведения о начальной загрузке DMClient (чтобы клиент взаимодействовал с сервером управления), маркер корпоративного приложения (для установки корпоративных приложений пользователем) и ссылку для скачивания приложения Корпоративного центра.
В следующих статьях описывается комплексный процесс регистрации с использованием различных методов проверки подлинности.
- Регистрация устройств с помощью федеративной проверки подлинности
- Регистрация устройств с помощью проверки подлинности на основе сертификатов
- Регистрация устройств с помощью локальной проверки подлинности
Примечание.
Рекомендуется не использовать жестко заданные проверки на стороне сервера для таких значений, как:
- Строка агента пользователя
- Все фиксированные URI, передаваемые во время регистрации
- Определенное форматирование любого значения, если не указано иное, например формат идентификатора устройства.
Поддержка регистрации для устройств, присоединенных к домену
Устройства, присоединенные к локальной службе Active Directory, могут регистрироваться в MDM с помощью параметров Доступ>к рабочей или учебной среде. Однако регистрация может быть ориентирована только на пользователя, зарегистрированного с помощью политик для конкретных пользователей. Политики, предназначенные для устройств, по-прежнему предназначены для всех пользователей устройства.
Сценарии регистрации не поддерживаются
В следующих сценариях регистрация MDM не разрешена.
- Встроенные учетные записи администратора на рабочем столе Windows не могут регистрироваться в MDM.
- Обычные пользователи не могут зарегистрироваться в MDM. Регистрироваться могут только администраторы.
Отключение регистрации MDM
ИТ-администратор может отключить регистрацию MDM для компьютеров, присоединенных к домену, с помощью групповой политики Отключить регистрацию MDM .
Путь к групповой политике: конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsMDM>Отключить регистрацию MDM.
Соответствующий раздел реестра: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration (REG_DWORD)
Сообщения об ошибках регистрации
Сервер регистрации может отклонять сообщения о регистрации с помощью формата SOAP Fault. Созданные ошибки можно отправить следующим образом:
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
</s:reason>
</s:fault>
</s:body>
</s:envelope>
Примеры сообщений об ошибках:
| Пространство имен | Подкод | Ошибка | Описание | HRESULT |
|---|---|---|---|---|
| s: | Формат сообщения | MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR | Недопустимое сообщение с сервера управления мобильными устройствами (MDM). | 80180001 |
| s: | Authentication | MENROLL_E_DEVICE_AUTHENTICATION_ERROR | Серверу управления мобильными устройствами (MDM) не удалось проверить подлинность пользователя. Повторите попытку или обратитесь к системному администратору. | 80180002 |
| s: | Authorization | MENROLL_E_DEVICE_AUTHORIZATION_ERROR | Пользователь не имеет прав на регистрацию в службе управления мобильными устройствами (MDM). Повторите попытку или обратитесь к системному администратору. | 80180003 |
| s: | CertificateRequest | MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR | У пользователя нет разрешения на шаблон сертификата или центр сертификации недоступен. Повторите попытку или обратитесь к системному администратору. | 80180004 |
| s: | EnrollmentServer | MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR | На сервере управления мобильными устройствами (MDM) произошла ошибка. Повторите попытку или обратитесь к системному администратору. | 80180005 |
| a: | InternalServiceFault | MENROLL_E_DEVICE_INTERNALSERVICE_ERROR | На сервере управления мобильными устройствами (MDM) возникло необработанное исключение. Повторите попытку или обратитесь к системному администратору. | 80180006 |
| a: | InvalidSecurity | MENROLL_E_DEVICE_INVALIDSECURITY_ERROR | Серверу управления мобильными устройствами (MDM) не удалось проверить вашу учетную запись. Повторите попытку или обратитесь к системному администратору. | 80180007 |
Формат SOAP также включает deviceenrollmentserviceerror элемент . Вот пример.
<s:envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing">
<s:header>
<a:action s:mustunderstand="1">http://schemas.microsoft.com/windows/pki/2009/01/enrollment/rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645" xmlns="http://schemas.microsoft.com/2004/09/servicemodel/diagnostics">2493ee37-beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">device cap reached</s:text>
</s:reason>
<s:detail>
<deviceenrollmentserviceerror xmlns="http://schemas.microsoft.com/windows/pki/2009/01/enrollment">
<errortype>devicecapreached</errortype>
<message>device cap reached</message>
<traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
</deviceenrollmentserviceerror>
</s:detail>
</s:fault>
</s:body>
</s:envelope>
Примеры сообщений об ошибках:
| Подкод | Ошибка | Описание | HRESULT |
|---|---|---|---|
| DeviceCapReached | MENROLL_E_DEVICECAPREACHED | В учетной записи слишком много устройств, зарегистрированных в службе управления мобильными устройствами (MDM). Удалите или отмените регистрацию старых устройств, чтобы устранить эту ошибку. | 80180013 |
| DeviceNotSupported | MENROLL_E_DEVICENOTSUPPORTED | Сервер управления мобильными устройствами (MDM) не поддерживает эту платформу или версию. Рассмотрите возможность обновления устройства. | 80180014 |
| NotSupported | MENROLL_E_NOT_SUPPORTED | Управление мобильными устройствами (MDM) обычно не поддерживается для этого устройства. | 80180015 |
| NotEligibleToRenew | MENROLL_E_NOTELIGIBLETORENEW | Устройство пытается обновить сертификат управления мобильными устройствами (MDM), но сервер отклонил запрос. Проверьте расписание продления на устройстве. | 80180016 |
| InMaintenance | MENROLL_E_INMAINTENANCE | На сервере управления мобильными устройствами (MDM) указано, что ваша учетная запись находится в состоянии обслуживания, повторите попытку позже. | 80180017 |
| UserLicense | MENROLL_E_USER_LICENSE | Произошла ошибка с пользовательской лицензией управления мобильными устройствами (MDM). Обратитесь к системному администратору. | 80180018 |
| InvalidEnrollmentData | MENROLL_E_ENROLLMENTDATAINVALID | Сервер управления мобильными устройствами (MDM) отклонил данные регистрации. Сервер может быть настроен неправильно. | 80180019 |
TraceID — это текстовый узел свободной формы, который регистрируется в журнале. Он должен определить состояние на стороне сервера для этой попытки регистрации. Эта информация может использоваться службой поддержки для поиска причин, по которым сервер отклонил регистрацию.