Não é possível registrar o dispositivo no Azure AD usando MDM local de terceiros

Não é possível registrar o dispositivo no Azure AD usando MDM local de terceiros

Estamos no processo de integração de um MDM de terceiros (local) com o Autopilot no portal AAD para habilitar o Windows 10 OOBE. Queremos conseguir isso aproveitando um servidor Core Enterprise Application local no Azure. Configuramos o seguinte até agora, que não está funcionando conforme o esperado. Também não é possível encontrar nenhum log de eventos relevante em "User Device Registration" ou "DeviceManagement-Enterprise-Diagnostics-Provider":

  1. O perfil do dispositivo Autopilot foi criado importando o ID para o Autopilot.
  2. Grupo de segurança com usuários autorizados incl. Autenticação habilitada para MFA
  3. Os URIs de redirecionamento também foram configurados no aplicativo MDM usado pelo Azure AD para ingressar no aplicativo Web por meio do client_id correspondente, que mapeia um dos Azure DRS.
  4. URLs de termos de uso e chaves secretas também foram criados. O URL de descoberta do MDM e o URL dos TERMOS DE USO do MDM estão definidos corretamente, mas não foram verificados se podem ser acessados ​​pela Internet

NB: Todos os itens acima e uma série de outros requisitos foram verificados e testados várias vezes. O dispositivo é capaz de se inscrever quando o InTune é usado como servidor MDM (adicionando o aplicativo InTune ao meu Azure AD)

Um dispositivo de teste pronto para uso foi usado para executar os seguintes cenários de teste no Azure com um E5 incl. mdm + assinatura de segurança.

Durante nossos testes, obtivemos o seguinte erro:

****> we are not able to enroll Azure AD due to : Redirect UI
> [https://login.microsoftonline.com/WebApp/CloudDomainJoin/10] is not
> formed correctly****

Depois de pesquisar no Google, li que isso pode ser causado por problemas de DNS, problemas de proxy de saída ou vários outros motivos.

Também li que isso pode acontecer se o aplicativo não tiver sido instalado pelo administrador do locatário ou consentido por qualquer usuário do locatário. Podemos ter enviado a solicitação de autenticação para o locatário errado, mas verificamos isso com um colega hoje e concedemos todas as permissões necessárias, conforme exigido. Não fiz o truque

Eu também li que isso pode ser simplesmente devido a uma falha geral de autenticação que ainda parece muito genérica para mim.

Alguém tem alguma pista sobre como solucionar esses tipos de problemas com base no erro relatado. Dicas serão muito apreciadas.

Responder1

Acontece que este é um bug conhecido pelo provedor de MDM terceirizado (mobileiron) e há uma solução simples para ele. Estas são uma combinação de entradas regex[0-9] anexadas aos parâmetros URI. Esta correção se aplica apenas às versões mais recentes do Windows 10, ou seja, de 1809, 1903 em diante, que foram afetadas. Portanto, qualquer pessoa que se inscreva nas versões mais recentes (ou seja, 1809 ou superior) deve entrar em contato com seu provedor de mobileiron para obter essa correção imediatamente.

A solução temporária no meu caso foi reverter para 17134 e versões anteriores do Windows, testadas e finalmente funcionando conforme o esperado. Estou em contato com a Mobileiron a respeito dessas entradas Regex.

Siga este link para mais detalhes ->https://social.msdn.microsoft.com/Forums/en-US/60c55212-fd6d-4c5c-a415-47ab404b7945/unable-to-enroll-device-into-azure-ad-using-3rd-party-onpremise- mdm?forum=WindowsAzureADpara solução.

em poucas palavras, se você quiser evitar essa mensagem de erro em seu ambiente de teste enquanto espera pela correção permanente do Mobileiron, basta reverter para a versão anterior do Windows conforme declarado acima e seguir as etapas de configuração e registro mais uma vez como solução alternativa. Deveria trabalhar.

informação relacionada