Estamos no processo de integração de um MDM de terceiros (no local) com piloto automático no portal AAD para habilitar o Windows 10 OOBE. Queremos conseguir isso aproveitando um servidor de aplicativos corporativos centrais no local no Azure. Até agora, configuramos o seguinte, que não está funcionando conforme o esperado. Também não é possível encontrar nenhum log de evento relevante em "User Device Registration" ou "DeviceManagement-Enterprise-Diagnostics-Provider":
- O perfil do dispositivo do piloto automático foi criado importando o ID para o piloto automático.
- Grupo de segurança com usuários autorizados incl. Autenticação habilitada para MFA
- Os URIs de redirecionamento também foram configurados no aplicativo MDM usado pelo Azure AD para ingressar no aplicativo Web por meio do client_id correspondente, que mapeia um dos DRS do Azure.
- URLs de termos de uso e chaves secretas também foram criados. O URL de DESCOBERTA do MDM e o URL dos TERMOS DE USO do MDM estão definidos corretamente, mas não foram verificados se podem ser acessados pela Internet
NB: Todos os itens acima e uma série de outros requisitos foram verificados e testados várias vezes. O dispositivo pode se registrar quando o InTune é usado como o servidor MDM (adicionando o aplicativo InTune ao meu Azure AD)
Um dispositivo de teste pronto para uso foi usado para executar os seguintes cenários de teste no Azure com um E5 incl. mdm + assinatura de segurança.
Durante nossos testes, obtivemos o seguinte erro:
****> we are not able to enroll Azure AD due to : Redirect UI
> [https://login.microsoftonline.com/WebApp/CloudDomainJoin/10] is not
> formed correctly****
Depois de pesquisar no Google, li que isso pode ser causado por problemas de DNS, problemas de proxy de saída ou vários outros motivos.
Também li que isso pode acontecer se o aplicativo não tiver sido instalado pelo administrador do locatário ou consentido por qualquer usuário no locatário. Podemos ter enviado a solicitação de autenticação para o locatário errado, mas verificamos isso com um colega hoje e concedemos todas as permissões necessárias conforme exigido. não deu certo
Também li que isso pode ser simplesmente devido a uma falha geral de autenticação, que ainda parece muito genérica para mim.
Alguém tem alguma pista sobre como solucionar esses tipos de problemas com base no erro relatado. Dicas serão muito apreciadas.
Acontece que este é um bug conhecido pelo provedor de MDM de terceiros (mobileiron) e há uma correção simples para isso. Estas são uma combinação de entradas regex[0-9] anexadas aos parâmetros URI. Essa correção se aplica apenas às compilações mais recentes do Windows 10, ou seja, de 1809, 1903 para cima que foram afetadas. Portanto, qualquer pessoa que se inscrever com as compilações mais recentes (ou seja, 1809 para cima) deve entrar em contato com seu provedor de mobileiron para obter essa correção imediatamente.
A solução temporária no meu caso foi reverter para 17134 e as janelas anteriores foram compiladas, testadas e finalmente funcionaram conforme o esperado. Estou em contato com a Mobileiron sobre essas entradas Regex.
Siga este link para mais detalhes -> https://social.msdn.microsoft.com/Forums/en-US/60c55212-fd6d-4c5c-a415-47ab404b7945/unable-to-enroll-device-into-azure-ad- using-3rd-party-onpremise-mdm?forum=WindowsAzureAD para solução.
em poucas palavras, se você quiser evitar esta mensagem de erro em seu ambiente de teste enquanto espera pela correção permanente do Mobileiron, basta reverter para a versão anterior do Windows conforme indicado acima e passar pelas etapas de configuração e inscrição novamente como uma solução alternativa. Deveria trabalhar.