Azure

無法使用 3rd Party On-Premise MDM 將設備註冊到 Azure AD

  • June 27, 2020

我們正在將第三方 MDM(本地)與 AAD 門戶中的 Autopilot 集成以啟用 Windows 10 OOBE。我們希望通過利用 Azure 中的本地核心企業應用程序伺服器來實現這一目標。到目前為止,我們已經配置了以下內容,但沒有按預期工作。在“使用者設備註冊”或“DeviceManagement-Enterprise-Diagnostics-Provider”中也找不到任何相關的事件日誌:

Autopilot 設備配置文件是通過將 ID 導入 Autopilot 來創建的。具有授權使用者的安全組,包括。在 Azure AD 使用的 MDM 應用程序中還配置了啟用 MFA 的身份驗證重定向 URI,以通過映射 Azure DRS 之一的相應 client_id 加入 Web 應用程序。還創建了使用條款 URL 和密鑰。MDM DISCOVERY URL 和 MDM 使用條款 URL 已正確設置,但尚未檢查它們是否可通過 Internet 訪問 注意:上述所有要求和許多其他要求都經過多次檢查和測試。當 InTune 用作 MDM 伺服器時,設備能夠註冊(通過將 InTune 應用程序添加到我的 Azure AD)

開箱即用的測試設備用於在 Azure 中執行以下測試場景,其中包含 E5。mdm + 安全訂閱。

在我們的測試中,我們收到以下錯誤:

****> 由於以下原因,我們無法註冊 Azure AD:重定向 UI

[ https://login.microsoftonline.com/WebApp/CloudDomainJoin/10]格式不正確**** 經過一番Google搜尋後,我讀到這可能是由 DNS 問題、出站代理問題或各種其他原因引起的。

我還讀到,如果租戶管理員未安裝應用程序或租戶中的任何使用者未同意該應用程序,則可能會發生這種情況。我們可能將身份驗證請求發送給了錯誤的租戶,但今天與一位同事核對了這一點,並根據需要授予了所有必要的權限。沒有做到這一點

我還讀到這可能只是由於一般的身份驗證失敗,這對我來說仍然很普通。

任何人都知道如何根據報告的錯誤解決這些類型的問題。小費將不勝感激。

有一種簡單的方法可以通過更改關聯的屬性文件 (mifs.properties) 來解決此問題。在這裡你會發現 - 正如你正確推斷的那樣 - 目前的正則表達式固定在

$$ 0,9 $$. 在正式修復之前,可以相應地修改這個作為一種解決方法。假設您與 MobileIron 簽訂了支持契約,請聯繫以實施建議的 WA(需要重新啟動 tomcat)。 目前的:

msft.aad.redirect.url.pattern=^https://login.microsoftonline.com/WebApp/CloudDomainJoin/0-9?$

解決方法:

msft.aad.redirect.url.pattern=^https://login.microsoftonline.com/WebApp/CloudDomainJoin/

$$ 0-9 $${1,10}(/)?$ 參考 https://social.msdn.microsoft.com/Forums/en-US/60c55212-fd6d-4c5c-a415-47ab404b7945/unable-to-enroll-device-into-azure-ad-using-3rd-party-onpremise -mdm?forum=WindowsAzureAD#c41a355a-260a-41db-84dd-78895059a645

引用自:https://serverfault.com/questions/980210