DeviceManagement (Referenz zu Windows Configuration Designer)
Wird zum Konfigurieren der Geräteverwaltungseinstellungen verwendet.
Betrifft
| Einstellung | Windows-Client | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|
| Accounts | ✅ | ✅ | ||
| PGList | ✅ | ✅ | ||
| Richtlinien | ✅ | ✅ | ||
| TrustedProvisioningSource | ✅ | ✅ |
Accounts
- Wählen Sie unter Available customizations die Option Accounts, geben Sie einen Anzeigenamen für das Konto ein, und klicken Sie dann auf Add.
- Wählen Sie unter Verfügbare Anpassungen das Konto aus, das Sie erstellt haben. Die folgende Tabelle beschreibt die Einstellungen, die Sie konfigurieren können. Einstellungen in Fettschrift sind erforderlich.
| Einstellung | Beschreibung |
|---|---|
| Adresse | Geben Sie die OMA DM-Serveradresse ein. |
| AddressType | Wählen Sie zwischen IPv4 und URI für den Typ der OMA-DM-Serveradresse. Der Standardwert von URI gibt an, dass die Adresse des OMA-DM-Kontos eine URI-Adresse ist. Der Wert IPv4 gibt an, dass die Adresse des OMA-DM-Kontos eine IP-Adresse ist. |
| AppID | Wählen Sie w7 aus. |
| Anmeldeinformationen für die Authentifizierung > | 1. Wählen Sie eine Anmeldeinformationenebene (CLCRED oder SRVCRED). Der Wert CLCRED gibt an, dass sich der Client auf dem OMA-DM-Server auf der OMA-DM-Protokollebene selbst authentifizieren kann. Der Wert SRVCRED gibt an, dass sich der Server auf dem OMA-DM-Client auf der OMA-DM-Protokollebene selbst authentifizieren kann.
1. Wählen Sie unter Verfügbare Anpassungen die Ebene aus. 1. Geben Sie unter Daten die Authentifizierungs-Nonce als Base64-codierte Zeichenfolge ein. 1. Wählen Sie unter Ebene die Option CLCRED oder SRVCRED aus. 1. Geben Sie unter Name den Authentifizierungsnamen ein. 1. Geben Sie unter Geheimnis das Kennwort oder geheimnis ein, das bzw. das für die Authentifizierung verwendet wird. 1. Wählen Sie unter Typ zwischen Basic, Digest und HMAC aus. Für CLCRED sind die unterstützten Werte BASIC und DIGEST. Für SRVCRED ist der unterstützte Wert DIGEST. |
| AuthenticationPreference | Wählen Sie zwischen Basic, Digest und HMAC. |
| BackCompatRetryDisabled | Geben Sie an, ob das erneute Senden eines Pakets mit einer älteren Protokollversion (z. B. 1.1) in der SyncHdr bei nachfolgenden Versuchen wiederholt werden soll (mit Ausnahme des Ersten). Der Standardwert lautet „FALSE". Er weist darauf hin, dass abwärtskompatible Wiederholungen aktiviert sind. Der Wert lautet „TRUE" zeigt, dass abwärtskompatible Wiederholungen deaktiviert sind. |
| ConnectionRetries | Geben Sie eine Nummer an, um die Zahl an Wiederholungen festzulegen, die der DM-Client ausführt, wenn Verbindungs-Manager- oder Wininet-Ebene-Fehler vorhanden sind. Der Standardwert lautet 3. |
| CRLCheck | Geben Sie an, ob eine CRL-Überprüfung ausgeführt werden soll. Ermöglicht der Verbindung mit dem DM-Server die Überprüfung der CRL (Certificate Revocation List). Legen Sie zum Aktivieren von SSL-Revocation True fest. |
| DefaultEncoding | Wählen Sie, ob der OMA-DM-Client WBXML oder XML für das DM-Paket bei der Kommunikation mit dem Server verwendet. |
| DisableOnRoaming | Geben Sie an, ob der Client beim Roaming eine Verbindung herstellt. |
| InitialBackOffTime | Geben Sie den ersten Zeitraum (in Millisekunden), den der DM-Client wartet, bevor er einen erneuten Verbindungsversuch versucht. |
| InitiateSession | Geben Sie an, ob eine Sitzung mit dem MDM-Server gestartet werden soll, wenn das Konto bereitgestellt wird. |
| MaxBackOffTime | Geben Sie die maximale Anzahl von Millisekunden an, die gewartet werden soll, bevor versucht wird, eine Verbindung erneut zu versuchen. |
| Name | Gibt den Anzeigenamen für den Verwaltungssserver an. |
| Port | Geben Sie den OMA DM-Serverport ein. |
| PrefConRef | Geben Sie eine URI für das NAP-Verwaltungsobjekt oder eine Verbindungs-GUID für den Verbindungs-Manager des Geräts an. |
| ProtocolVersion | Wählen Sie zwischen 1.1 und 1.2 für die OMA-DM-Protokollversion, die der Server unterstützt. |
| Role | Wählen Sie zwischen Enterprise und Mobile Operator für die Rollenmaske, die die DM-Sitzung verwendet, wenn sie mit dem Server kommuniziert. |
| ServerID | Geben Sie die eindeutige Kennung des OMA-DM-Servers für das aktuelle OMA-DM-Konto an. |
| SSLClientCertSearchCriteria | Geben Sie die Suchkriterien für Clientzertifikate nach Antragstellerattributen und Zertifikatspeichern an. Weitere Informationen finden Sie unter DMAcc-Konfigurationsdienstanbieter (CSP). |
| UseHardwareDeviceID | Geben Sie an, ob die Hardware-ID für den Parameter ./DevInfo/DevID im DM-Konto verwendet wird, um das Gerät zu identifizieren. |
| UseNonceResync | Geben Sie an, ob der OMA-DM-Client das Nonce Neusynchronisierungsverfahren verwendet soll, wenn der Server-Authentifizierungsfehlerbenachrichtigung auslöst. |
PGList
- Wählen Sie unter Available customizations die Option PGList aus, geben Sie einen LogicalProxyName ein, und klicken Sie dann auf Add.
- Wählen Sie unter Verfügbare Anpassungen den logicalProxyName aus, den Sie erstellt haben, und wählen Sie dann PhysicalProxies aus.
- Geben Sie einen PhysicalProxyName ein, und klicken Sie dann auf Add. Die folgende Tabelle beschreibt die Einstellungen Sie, für den physischen Proxy und für Trust konfigurieren können.
| Einstellung | Beschreibung |
|---|---|
| Address | Geben Sie die IP-Adresse des physischen Proxys ein. |
| AddressType | Wählen Sie zwischen E164, IPV4 und IPV^ für das Format und das Protokoll des PXADDR-Elements für einen physischen Proxy |
| MatchedNapID | Geben Sie eine Zeichenfolge ein, die SMS-Bearer definiert. Diese Zeichenfolge muss mit der NAPID genau übereinstimmen. Der Wert muss ein MVID-Makro enthalten, wenn es sich um einen IPv4-PXADDRTYPE handelt. |
| PushEnabled | Wählen Sie, ob Push-Vorgänge aktiviert sind |
| Trust | Geben Sie an, ob die physischen Proxys in diesem logischen Proxy berechtigt sind. |
Policies
Die folgende Tabelle beschreibt die Einstellungen, die Sie für Policies konfigurieren können:
| Einstellung | Beschreibung |
|---|---|
| MMS > MMSMessageRoles | Wählen Sie zwischen SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE und SECROLE_KNOWN_PPG_OR_SECROLE_ANY_PUSH_SOURCE. Wenn eine Nachricht mindestens eine der Rollen in der ausgewählten Rollenmaske enthält, wird die Nachricht verarbeitet. |
| OMACP > NetwpinRoles | (Nur Windows 10, Version 1709 und früher) Wählen Sie eine Richtlinienrolle aus, um anzugeben, ob mit der OMA-Netzwerk-PIN signierte Nachrichten akzeptiert werden. Die OMA Client Provisioning Network-PIN-Richtlinie bestimmt, ob die signierte OMA-Netzwerk-PIN-Meldung akzeptiert wird. Die Maskenrolle der Nachricht und die Richtlinienrollenmaske werden mithilfe des Operators AND kombiniert. Wenn das Ergebnis ungleich 0 (null) ist, wird die Nachricht akzeptiert. Verfügbare Rollen sind : SECROLE_OPERATOR_TIPS, SECROLE_KNOWN_PPG, SECROLE_OPERATOR_TPS_OR_SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE, SECROLE_OPERATOR_TPS_OR_SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG_OR_SECROLE_ANY_PUSH_SOURCE und SECROLE_OPERATOR_TPS_OR_SECROLE_KNOWN_PPG_OR_SECROLE_ANY_PUSH_SOURCE. Hinweis IMSI-basiertes NETWPIN und USERNETWPIN funktionieren möglicherweise nicht für Dual-SIM-Telefone. Der OMA-CP-Authentifizierungsanbieter verwendet nur die IMSI aus Excecutor 0 (die aktuell aktive Daten-SIM) beim Hashing dieser Nachrichten. OMA-CP-Nutzlasten für Executor 1 werden vom Telefon zurückgewiesen. Weitere Informationen zu Executoren finden Sie unter „Dual-SIM“. |
| OMACP > UsernetwpinRoles | (Nur Windows 10, Version 1709 und früher) Wählen Sie eine Richtlinienrolle aus, um anzugeben, ob die mit der NETZWERK-PIN signierte Nachricht des OMA-Benutzers akzeptiert wird. Die Maskenrolle der Nachricht und die Richtlinienrollenmaske werden mithilfe des Operators AND kombiniert. Wenn das Ergebnis ungleich 0 (null) ist, wird die Nachricht akzeptiert. Verfügbare Rollen sind : SECROLE_OPERATOR_TIPS, SECROLE_KNOWN_PPG, SECROLE_OPERATOR_TPS_OR_SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE, SECROLE_OPERATOR_TPS_OR_SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG_OR_SECROLE_ANY_PUSH_SOURCE und SECROLE_OPERATOR_TPS_OR_SECROLE_KNOWN_PPG_OR_SECROLE_ANY_PUSH_SOURCE. Hinweis IMSI-basiertes NETWPIN und USERNETWPIN funktionieren möglicherweise nicht für Dual-SIM-Telefone. Der OMA-CP-Authentifizierungsanbieter verwendet nur die IMSI aus Excecutor 0 (die aktuell aktive Daten-SIM) beim Hashing dieser Nachrichten. OMA-CP-Nutzlasten für Executor 1 werden vom Telefon zurückgewiesen. Weitere Informationen zu Executoren finden Sie unter „Dual-SIM“. |
| OMACP > UserpinRoles | (Nur Windows 10, Version 1709 und früher) Wählen Sie eine Richtlinienrolle aus, um anzugeben, ob die OMA-Benutzer-PIN oder die vom Benutzer MAC signierte Nachricht akzeptiert wird. Die OMA Client Provisioning User PIN-Richtlinie bestimmt, ob die signierte OMA-Benutzer PIN oder MAC signierte Meldung akzeptiert wird. Die Maskenrolle der Nachricht und die Richtlinienrollenmaske werden mithilfe des Operators AND kombiniert. Wenn das Ergebnis ungleich 0 (null) ist, wird die Nachricht akzeptiert. Verfügbare Rollen sind : SECROLE_OPERATOR_TIPS, SECROLE_KNOWN_PPG, SECROLE_OPERATOR_TPS_OR_SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE, SECROLE_OPERATOR_TPS_OR_SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG_OR_SECROLE_ANY_PUSH_SOURCE und SECROLE_OPERATOR_TPS_OR_SECROLE_KNOWN_PPG_OR_SECROLE_ANY_PUSH_SOURCE. |
| SISL > ServiceIndicationRoles | Geben Sie Sicherheitsrollen an, die SI-Nachrichten empfangen können. Die SI-Richtlinie (Service Indication) gibt über Sicherheitsrollen, die SI-Nachrichten empfangen können, an, ob SI-Nachrichten akzeptiert werden. Eine SI-Nachricht wird an das Telefon gesendet, um Benutzer über neue Dienste, Dienstupdates und Bereitstellungsdienste zu benachrichtigen. Folgende Rollen sind verfügbar: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE und SECROLE_KNOWN_PPG_OR_SECROLE_ANY_PUSH_SOURCE. |
| SISL > ServiceLoadingRoles | Geben Sie Sicherheitsrollen an, die SL-Nachrichten empfangen können. Die SL-Message-Richtlinie (Service Loading) gibt über Sicherheitsrollen, die SL-Nachrichten empfangen können, an, ob SL-Nachrichten akzeptiert werden. Eine SL-Nachricht lädt neue Dienste oder xml-Bereitstellung auf das Telefon herunter. Folgende Rollen sind verfügbar: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE und SECROLE_KNOWN_PPG_OR_SECROLE_ANY_PUSH_SOURCE. |
| WSP > WSPPushAllowed | Gibt an, ob WSP-Benachrichtigungen (Wireless Session Protocol) vom WAP-Stapel weitergeleitet werden. |
TrustedProvisioningSource
In PROVURL geben Sie die URL für einen TPS (Trusted Provisioning Server) ein.