Benutzerdefinierte Konfiguration

Einleitung

Die MDM-Schnittstelle nutzt für die Verwaltung von Windows Geräten Richtlinien des Konfigurationsdienstanbieters (Configuration Service Provider, CSP). Diese werden mit dem SyncML Protokoll, ein spezielles XML-Format, auf dem Gerät angewendet, gelöscht und abgefragt. Die Liste mit verfügbaren CSP Richtlinien ist in der offiziellen Microsoft MDM Dokumentation enthalten.

Mit der neuen benutzerdefinierten Konfiguration können beliebige CSP Richtlinien in einer einzigen oder in mehreren “Custom CSP” Konfigurationen zusammengefügt und auf Windows Geräten angewendet werden. Dadurch sind die anwendbaren Funktionalitäten über die MDM Schnittstelle nur noch durch die angebotenen CSP Richtlinien beschränkt. Microsoft fügt laufend neue CSP Richtlinien hinzu. Eine Übersicht darüber ist unter diesem Link in der offiziellen Microsoft Dokumentation verfügbar.

Wichtige Anmerkungen

Wenn sie mit der Custom CSP Konfiguration arbeiten, wird die Konfiguration nicht von Relution implementiert, daher übernehmen wir keine Garantie für eventuelle Schäden. Bitte prüfen Sie die CSPs sorgfältig, bevor Sie sie auf einem Gerät anwenden, siehe Best practices.

Es besteht die Möglichkeit, dass die von Ihnen verwendeten CSPs von Relution selbst verwendet werden. In diesem Fall kann es zu Interaktionen kommen, welche von Relution bereitgestellte Konfigurationen beschädigen.

Funtkionsweise

Generell

Nicht jede der CSP Richtlinien lässt sich auf jedem Gerät anwenden. Sie sind abhängig von der Betriebssystem-Version und der Edition. Die entsprechende Informationen sind den jeweiligen CSP Richtlinien zu entnehmen. Sollte ein Gerät nicht untersützt sein, wird die Anwendung dieser CSP Richtlinie fehlschlagen.

Die CSP Richtlinien können im Geräte- oder Benutzer-Kontext angewendet werden. Hier gilt es zu beachten, dass der Benutzerkontext nur für den Benutzer gilt, mit dem die Einschreibung durchgeführt wurde. Deshalb wird empfohlen CSP Richtlinien nur im Gerätekontext zu verwenden.

Die CSP Richtlinien unterstützen nicht alle SyncML Befehle. Es kann sein, dass manche CSP Richtlinien z.B. nur für die Abfrage (Get Befehl) verwendet werden können.

Beispiel: Um Cortana auf einem Gerät zu erlauben oder zu blockieren (in der Relution Konfiguration Restriktionen bereits enthalten), kann der folgende CSP verwendet werden. Richtlinien CSP/Benutzerfreundlichkeit/AllowCortana

  • Dieser CSP kann für alle Editionen und ab der Version 1507 verwendet werden.
  • Es wird lediglich der Gerätekontext unterstützt.
  • Es sind diese SyncML Abfragen erlaubt: Hinzufügen (Add), Löschen (Delete), Abrufen (Get), Ersetzen (Replace)

SyncML Besonderheiten

Add und Replace

Das SyncML enthält verschiedene Besonderheiten, die für die Anwendung der Konfiguration berücksichtigt werden müssen.

Manche CSP Richtlinien müssen bei erstmaliger Anwendung mit dem Add Befehl hinzugefügt werden. Bei allen weiteren Anwendungen der Richtlinie (Aktualisierungen) kann dieser Add Befehl dann fehlschlagen. Es muss stattdessen ein Replace gesendet werden, siehe auch Best Practices.

Delete

Das Löschen einer CSP Richtlinie kann entweder direkt auf der jeweiligen CSP Richtlinie gemacht werden. In manchen Fällen ist ein Delete Befehl auch auf dem übergeordneteten oder auch Root-Knoten möglich. In diesen Fällen werden alle CSP Richtlinien unterhalb des gelöschten Knotens gelöscht.

Sollte das Löschen fehlschlagen, sind die enthaltenen CSP Richtlinien auf dem Gerät weiterhin aktiv. Eine Anpassung des Delete SyncML ist erforderlich, sowie ein erneutes Anwenden und daraufhin Entfernen der Richtlinie.

Atomic und Sequence

Mit dem Sequence-Befehls, können die einzelnen CSP Richtlinien gruppiert und darin sequentiell ausgeführt werden. Sollte jedoch eine einzelne CSP Richtlinie darin fehlschlagen, werden dennoch alle anderen CSP Richtlinie angewendet. Dies kann zu ungewünschten Verhalten führen und ggf. muss die fehlgeschlagene CSP Richtlinie explicit wieder entfernt werden.

Wird das SyncML innerhalb eines Atomic-Befehls ausgeführt, wird der gesamte Befehl, bei einem Fehler einer einzelnen CSP Richtlinie, zurückgerollt. Es wird somit entweder die gesamte Konfiguration angewendet oder nichts davon. Der Atomic-Befehl ist daher zu bevorzugen und vorerst als Einziges unterstützt.

In Relution

In Relution muss die neue Konfiguration erstellt und einer Gerätegruppe hinzugefügt werden, damit diese auf einem Windows Gerät angewendet werden kann.

Die Konfiguration benötigt zwei SyncML Befehle. Je einer zum Installieren oder Aktualisieren der Konfiguration und einer zum Löschen der Konfiguration. Stellen sie beim wiederholten veröffentlichen der Konfiguration sicher, dass die Werte des Installations-Befehls entsprechend angepasst wurden.

Die benutzerdefinierte Konfiguration enthält folgende Eigenschaften:

EigenschaftInformation
NameLegt einen Namen für die Konfiguration fest
Install SyncMLDas auszuführende SyncML, wenn die Konfiguration auf dem Gerät angewendet wird
Delete SyncMLDas auszuführende SyncML, wenn die Konfiguration von dem Gerät entfernt wird

Benutzerdefinierte Konfiguration

Relution muss das angegebene SyncML erweitern, um die Konfiguration auf dem Gerät anwenden, danach auswerten und einen Status in Relution anzeigen zu können.

  • Enthält das angegebene SyncML <Format> oder <Type> werden diese um einen benötigten Namespace erweitert. Dies passiert automatisch nach dem Speichern der Konfiguration.
  • Es wird ein Atomic um das angebene SyncML gepackt. Dies ist notwendig, um zu erkennen zu welcher Konfiguration die Antwort des Geräts gehört. Dies geschieht erst bei Auslieferung der Konfiguration. Zukünftig wird es eine Möglichkeit geben anstelle des Atomic eine Sequence um das angebene SyncML zu packen. Dies kann für die Verwendung von speziellen CSPs notwendig sein, da diese ggf. nicht in einem Atomic verwendet werden dürfen.
  • Das SyncML wird um SyncBody, SyncHdr und SyncML erweitert, sodass das SyncML konform an das Gerät gesendet werden kann. Dies geschieht erst bei Auslieferung der Konfiguration.

Beispiele

Richtlinien CSP/Benutzerfreundlichkeit/AllowCortana

  • Cortana zulassen

Install SyncML:

<Replace>
  <CmdID>1</CmdID>
  <Item>
    <Target>
      <LocURI>./Device/Vendor/MSFT/Policy/Config/Experience/AllowCortana</LocURI>
    </Target>
    <Meta>
      <Format>int</Format>
    </Meta>
    <Data>1</Data>
  </Item>
</Replace>
  • Cortana blockieren

Install SyncML:

<Replace>
  <CmdID>1</CmdID>
  <Item>
    <Target>
      <LocURI>./Device/Vendor/MSFT/Policy/Config/Experience/AllowCortana</LocURI>
    </Target>
    <Meta>
      <Format>int</Format>
    </Meta>
    <Data>0</Data>
  </Item>
</Replace>
  • CSP Richtlinie AllowCortana von Gerät entfernen

Delete SyncML:

<Delete>
  <CmdID>1</CmdID>
  <Item>
    <Target>
      <LocURI>./Device/Vendor/MSFT/Policy/Config/Experience/AllowCortana</LocURI>
    </Target>
  </Item>
</Delete>

Best practices

  • Eine Aktualisierung der Konfiguration kann über eine neue Richtlinie-Version (ggf. mit angepasstem Install SyncML) angewendet werden
  • Sollte das Löschen fehlschlagen, sind die enthaltenen CSP Richtlinie auf dem Gerät weiterhin aktiv. Eine Anpassung des Delete SyncML ist erforderlich, sowie ein erneutes Anwenden und daraufhin Entfernen der Richtlinie.
  • Es wird empfohlen Replace anstelle von Add zu verwenden. Außer es wird für die entsprechende CSP Richtlinie nicht unterstützt.
  • Ist ein Replace Befehl bei der erstmaligen Anwendung einer CSP Richtlinie nicht erlaubt, wird empfohlen diese Konfiguration über einen Add Befehl erstmalig anzuwenden. Daraufhin das Install SyncML der Konfiguration zu aktualisieren (Replace anstelle von Add verwenden) und mittels neuer Richtlinien-Version auf dem Gerät anzuwenden.
  • Es wird empfohlen das gewünschte Verhalten ausgiebig auf entspechenden Testgeräten zu testen. Mindestens das folgende Verhalten sollte getestet worden sein:
    • Das erstmalige Anwenden der Konfiguration
    • Die Aktualisierung der Konfiguration
    • Das Löschen der Konfiguration