No se puede inscribir el dispositivo en Azure AD mediante MDM local de terceros

No se puede inscribir el dispositivo en Azure AD mediante MDM local de terceros

Estamos en el proceso de integrar un MDM de terceros (local) con Autopilot en el portal AAD para habilitar Windows 10 OOBE. Queremos lograr esto aprovechando un servidor de aplicaciones empresariales centrales local en Azure. Hemos configurado lo siguiente hasta ahora y no funciona como se esperaba. Tampoco puedo encontrar ningún registro de eventos relevante en "Registro de dispositivo de usuario" o "DeviceManagement-Enterprise-Diagnostics-Provider":

  1. El perfil del dispositivo Autopilot se creó importando el ID en Autpilot.
  2. Grupo de seguridad con usuarios autorizados incl. Autenticación habilitada para MFA
  3. Los URI de redireccionamiento también se configuraron en la aplicación MDM utilizada por Azure AD para unirse a la aplicación web a través del client_id correspondiente que asigna uno de Azure DRS.
  4. También se crearon términos de uso de URL más claves secretas. La URL de DESCUBRIMIENTO de MDM y la URL de los TÉRMINOS DE USO de MDM están configuradas correctamente pero no se ha verificado si son accesibles a través de Internet.

NB: Todo lo anterior y muchos otros requisitos se verificaron y probaron varias veces. El dispositivo puede inscribirse cuando se usa InTune como servidor MDM (agregando la aplicación InTune a mi Azure AD)

Se utilizó un dispositivo de prueba listo para usar para ejecutar los siguientes escenarios de prueba en Azure con un E5 incl. mdm + suscripción de seguridad.

Durante nuestras pruebas obtuvimos el siguiente error:

****> we are not able to enroll Azure AD due to : Redirect UI
> [https://login.microsoftonline.com/WebApp/CloudDomainJoin/10] is not
> formed correctly****

Después de buscar en Google, leí que esto podría deberse a problemas de DNS, problemas de proxy saliente o una variedad de otras razones.

También leí que esto puede suceder si la aplicación no ha sido instalada por el administrador del inquilino ni ha recibido el consentimiento de ningún usuario del inquilino. Es posible que hayamos enviado la solicitud de autenticación al inquilino equivocado, pero hoy lo verificamos con un colega y le otorgamos todos los permisos necesarios según sea necesario. no hice el truco

También leí que esto podría deberse simplemente a una falla de autenticación general que todavía me parece muy genérica.

Alguien tiene alguna pista sobre cómo solucionar este tipo de problemas según el error informado. Los consejos serán muy apreciados.

Respuesta1

Resulta que se trata de un error conocido del proveedor externo de MDM (mobileiron) y existe una solución sencilla. Se trata de una combinación de entradas de expresiones regulares [0-9] adjuntas a los parámetros de URI. Esta solución se aplica solo a las últimas versiones de Windows 10, es decir, desde 1809, 1903 en adelante, que se vieron afectadas. Por lo tanto, cualquiera que se registre con las últimas versiones (es decir, 1809 en adelante) debe ponerse en contacto con su proveedor de mobileiron para obtener esta solución de inmediato.

La solución temporal en mi caso fue volver a 17134 y versiones anteriores de Windows, probarlas y finalmente funcionar como se esperaba. Estoy en contacto con Mobileiron con respecto a estas entradas Regex.

Siga este enlace para más detalles ->https://social.msdn.microsoft.com/Forums/en-US/60c55212-fd6d-4c5c-a415-47ab404b7945/unable-to-enroll-device-into-azure-ad-using-3rd-party-onpremise- mdm?forum=WindowsAzureADpara solución.

En pocas palabras, si desea evitar este mensaje de error en su entorno de prueba mientras espera la solución permanente de Mobileiron, simplemente regrese a la versión anterior de Windows como se indicó anteriormente y siga los pasos de configuración e inscripción una vez más como solución alternativa. Deberia trabajar.

información relacionada