Compartilhar via

Deteção de configuração declarada

A deteção da configuração Declarada do Windows (WinDC) utiliza um esquema JSON dedicado para consultar os detalhes de inscrição do ponto final de serviço de deteção (DS). Este processo envolve o envio de pedidos HTTP com cabeçalhos específicos e um corpo JSON que contém detalhes como o domínio do utilizador, o ID do inquilino e a versão do SO. O DS responde com os URLs do serviço de inscrição necessários e as políticas de autenticação com base no tipo de inscrição (Microsoft Entra dispositivos associados ou registados).

Este artigo descreve a estrutura de esquema dos corpos de pedidos e respostas HTTP e fornece exemplos para orientar a implementação.

Estrutura de esquema

Cabeçalhos de pedido HTTP

Cabeçalho Obrigatório Descrição
MS-CV: %s Não Vetor de correlação para inscrição
client-request-id: %s Não ID do Pedido
Content-Type: application/json Sim Tipo de Conteúdo HTTP

Corpo do pedido HTTP (JSON)

Campo Obrigatório Descrição
userDomain Não Nome de domínio da conta inscrita
upn Não Nome Principal de Utilizador (UPN) da conta inscrita
tenantId Não ID do inquilino da conta inscrita
emmDeviceId Não ID do dispositivo da gestão de mobilidade empresarial (EMM) da conta inscrita
enrollmentType Entra juntou-se: Não
Entra registada: Sim		 Tipo de inscrição da conta inscrita.

Valores Suportados:
- Device: indica que o tipo de inscrição principal está associado a Entra (a resposta DS deve especificar "AuthPolicy": "Federated").
- User: indica que o tipo de inscrição principal é Entra registado (a resposta DS deve especificar "AuthPolicy": "Certificado").
- Caso legado (apenas associado a Entra): se o enrollmentType parâmetro não estiver incluído no corpo do pedido, o dispositivo deve ser tratado como associado a Entra.
osVersion Sim Versão do SO no dispositivo. O DS pode utilizar o osVersion para determinar se a plataforma cliente suporta a inscrição WinDC. Veja as plataformas suportadas para obter detalhes.

Corpo de resposta de HTTP DS (JSON)

Campo Obrigatório Descrição
EnrollmentServiceUrl Sim URL do serviço de inscrição WinDC
EnrollmentVersion Não Versão de inscrição
EnrollmentPolicyServiceUrl Sim URL do Serviço de Política de Inscrição
AuthenticationServiceUrl Sim URL do Serviço de Autenticação
ManagementResource Não Recurso de Gestão
TouUrl Não URL dos termos de utilização
AuthPolicy Sim Política de autenticação. Valores com suporte:
- Federated (necessário para a associação a Entra)
- Certificate (necessário para Entra registado)
errorCode Não Código de erro
message Não Mensagem de estado

Exemplos

Pedido de deteção

Cabeçalhos

Content-Type: application/json

Body

  1. Abordagem de modelo único: o cliente envia o valor UPN no pedido inicial, juntamente com o parâmetro tenantId .

    1. Microsoft Entra aderido:

      {
    "userDomain" : "contoso.com",
    "upn" : "johndoe@contoso.com",
    "tenantId" : "00000000-0000-0000-0000-000000000000",
    "emmDeviceId" : "00000000-0000-0000-0000-000000000000",
    "enrollmentType" : "Device",
    "osVersion" : "10.0.00000.0"
}

    2. Microsoft Entra registado:

      {

    "userDomain" : "contoso.com",
    "upn" : "johndoe@contoso.com",
    "tenantId" : "00000000-0000-0000-0000-000000000000",
    "emmDeviceId" : "00000000-0000-0000-0000-000000000000",
    "enrollmentType" : "Device",
    "osVersion" : "10.0.00000.0"
}

  2. Sem UPN (legado)

    1. Microsoft Entra aderido:

      {
    "userDomain" : "contoso.com",
    "emmDeviceId" : "00000000-0000-0000-0000-000000000000",
    "enrollmentType" : "Device",
    "osVersion" : "10.0.00000.0"
}

    2. Microsoft Entra registado:

      {
    "userDomain" : "contoso.com",
    "emmDeviceId" : "00000000-0000-0000-0000-000000000000",
    "enrollmentType" : "User",
    "osVersion" : "10.0.00000.0"
}

  3. UPN pedido pelo servidor (formato legado). Veja o processamento de erros para obter detalhes sobre como o servidor pode pedir dados UPN se não forem fornecidos no pedido inicial.

    1. Microsoft Entra aderido:

      {
    "upn" : "johndoe@contoso.com",
    "emmDeviceId" : "00000000-0000-0000-0000-000000000000",
    "enrollmentType" : "Device",
    "osVersion" : "10.0.00000.0"
}

    2. Microsoft Entra registado:

      {
    "upn" : "johndoe@contoso.com",
    "emmDeviceId" : "00000000-0000-0000-0000-000000000000",
    "enrollmentType" : "User",
    "osVersion" : "10.0.00000.0"
}

Resposta de deteção

Cabeçalhos

Content-Type: application/json

Body

  1. Microsoft Entra associados (requer "AuthPolicy": "Federated"):

    {
    "EnrollmentServiceUrl" : "https://manage.contoso.com/Enrollment/Discovery",
    "EnrollmentPolicyServiceUrl" : "https://manage.contoso.com/Enrollment/GetPolicies",
    "AuthenticationServiceUrl" : "https://manage.contoso.com/Enrollment/AuthService",
    "AuthPolicy" : "Federated",
    "ManagementResource":"https://manage.contoso.com",
    "TouUrl" : "https://manage.contoso.com/Enrollment/tou.aspx"
}

  2. Microsoft Entra registado (requer "AuthPolicy": "Certificate"):

    {
    "EnrollmentServiceUrl" : "https://manage.contoso.com/Enrollment/Discovery",
    "EnrollmentPolicyServiceUrl" : "https://manage.contoso.com/Enrollment/GetPolicies",
    "AuthenticationServiceUrl" : "https://manage.contoso.com/Enrollment/AuthService",
    "AuthPolicy" : "Certificate",
    "ManagementResource":"https://manage.contoso.com",
    "TouUrl" : "https://manage.contoso.com/Enrollment/tou.aspx"
}

Authentication

A inscrição WinDC requer diferentes mecanismos de autenticação para Microsoft Entra dispositivos associados e registados. O WinDC DS tem de se integrar com o modelo de autenticação ao especificar o valor adequado AuthPolicy na resposta de deteção, com base na enrollmentType propriedade do pedido.

  • Microsoft Entra dispositivos associados utilizam a autenticação Federada (token de dispositivo Entra).
  • Microsoft Entra dispositivos registados utilizam a Autenticação de certificados (certificado MDM aprovisionado para a inscrição principal).

Regras

  • Para Microsoft Entra dispositivos associados:

    • Pedido de deteção: "enrollmentType": "Device"
    • Resposta de deteção: "AuthPolicy": "Federated"
    • Autenticação: o cliente utiliza o token do dispositivo Entra para autenticar com o servidor de inscrição WinDC.

  • Para casos legados (em enrollmentType que o valor está vazio):

    • Pedido de deteção: "enrollmentType": ""
    • Resposta de deteção: "AuthPolicy": "Federated"
    • Autenticação: o cliente utiliza o token do dispositivo Entra para autenticar com o servidor de inscrição WinDC.

  • Para Microsoft Entra dispositivos registados:

    • Pedido de deteção: "enrollmentType": "User"
    • Resposta de deteção: "AuthPolicy": "Certificate"
    • Autenticação: o cliente utiliza o certificado MDM da inscrição principal para autenticar com o servidor de inscrição WinDC.

Tratamento de erros

  • UPNRequired: se não for fornecido nenhum valor UPN no pedido de deteção, o DS pode definir o errorCode como UPNRequired na resposta para acionar o cliente para repetir o pedido com um valor UPN, se disponível.
  • WINHTTP_QUERY_RETRY_AFTER: o servidor pode definir este sinalizador para configurar o pedido de cliente para tentar novamente após um atraso especificado. Este sinalizador é útil para processar cenários de tempo limite ou limitação.