Невозможно зарегистрировать устройство в Azure AD с помощью стороннего локального MDM

Невозможно зарегистрировать устройство в Azure AD с помощью стороннего локального MDM

Мы находимся в процессе интеграции стороннего MDM (локального) с Autopilot в портале AAD для включения Windows 10 OOBE. Мы хотим добиться этого, используя локальный сервер Core Enterprise Application в Azure. На данный момент мы настроили следующее, что не работает так, как ожидалось. Также не удалось найти соответствующие журналы событий в «User Device Registration» или «DeviceManagement-Enterprise-Diagnostics-Provider»:

  1. Профиль устройства Autopilot был создан путем импорта идентификатора в Authpilot.
  2. Группа безопасности с авторизованными пользователями, включая аутентификацию с поддержкой MFA
  3. URI перенаправления также были настроены в приложении MDM, используемом Azure AD для присоединения к веб-приложению через соответствующий client_id, который сопоставляет один из Azure DRS.
  4. Также были созданы URL-адреса условий использования и секретные ключи. URL-адреса обнаружения MDM и URL-адреса условий использования MDM установлены правильно, но не проверялось, доступны ли они через Интернет

NB: Все вышеперечисленное и множество других требований были дважды проверены и протестированы несколько раз. Устройство может регистрироваться, когда InTune используется как сервер MDM (путем добавления приложения InTune в мой Azure AD)

Для запуска следующих тестовых сценариев в Azure использовалось готовое к использованию тестовое устройство с подпиской E5, включающей mdm + security.

В ходе наших тестов мы получили следующую ошибку:

****> we are not able to enroll Azure AD due to : Redirect UI
> [https://login.microsoftonline.com/WebApp/CloudDomainJoin/10] is not
> formed correctly****

Погуглив, я понял, что это может быть вызвано проблемами DNS, проблемами исходящего прокси-сервера или рядом других причин.

Я также читал, что это может произойти, если приложение не было установлено администратором арендатора или не было получено согласие любого пользователя в арендаторе. Мы могли отправить запрос аутентификации не тому арендатору, но проверили это с коллегой сегодня и предоставили все необходимые разрешения, как требовалось. Не сработало

Я также читал, что это может быть просто из-за общей ошибки аутентификации, которая, на мой взгляд, все еще выглядит очень типичной.

У кого-нибудь есть какие-либо подсказки о том, как устранить эти проблемы на основе сообщенной ошибки. Советы будут очень признательны.

решение1

Оказывается, это известная ошибка стороннего поставщика MDM (mobileiron), и для нее есть простое исправление. Это комбинация записей регулярных выражений [0-9], добавленных к параметрам URI. Это исправление применимо только к последним сборкам Windows 10, т. е. от 1809, 1903 и выше, которые были затронуты. Поэтому любой, кто регистрируется с последними сборками (т. е. от 1809 и выше), должен немедленно связаться со своим поставщиком mobileiron для этого исправления.

Временным решением в моем случае был откат к 17134 и более ранним сборкам Windows, протестировано и, наконец, работает так, как и ожидалось. Я связываюсь с Mobileiron по поводу этих записей Regex.

Для получения более подробной информации перейдите по этой ссылке ->https://social.msdn.microsoft.com/Forums/en-US/60c55212-fd6d-4c5c-a415-47ab404b7945/unable-to-enroll-device-into-azure-ad-using-3rd-party-onpremise-mdm?forum=WindowsAzureADдля решения.

в двух словах, если вы хотите избежать этого сообщения об ошибке в вашей тестовой среде, ожидая постоянного исправления от Mobileiron, просто откатитесь к более ранней версии Windows, как указано выше, и пройдите шаги настройки и регистрации еще раз в качестве обходного пути. Должно сработать.

Связанный контент