Jak to funguje: Registrace zařízení
Registrace zařízení je předpokladem cloudového ověřování. Zařízení jsou obvykle Microsoft Entra ID nebo Hybridní připojení Microsoft Entra k dokončení registrace zařízení. Tento článek obsahuje podrobnosti o tom, jak funguje hybridní připojení Microsoft Entra a Microsoft Entra ve spravovaných a federovaných prostředích. Další informace o fungování ověřování Microsoft Entra na těchto zařízeních najdete v článku Primární obnovovací tokeny.
Microsoft Entra připojený ve spravovaných prostředích
| Fáze | Popis |
|---|---|
| A | Nejběžnější způsob, jakým se zařízení připojená k Microsoft Entra zaregistrují, je během předem používaného prostředí (OOBE), kde načítá webovou aplikaci Microsoft Entra join webovou aplikaci do aplikace CXH (Cloud Experience Host). Aplikace odešle požadavek GET do koncového bodu konfigurace Microsoft Entra OpenID za účelem zjištění koncových bodů autorizace. Id Microsoft Entra vrátí konfiguraci OpenID, která zahrnuje koncové body autorizace, do aplikace jako dokument JSON. |
| T | Aplikace vytvoří žádost o přihlášení pro koncový bod autorizace a shromáždí přihlašovací údaje uživatele. |
| C | Jakmile uživatel zadá své uživatelské jméno (ve formátu UPN), aplikace odešle požadavek GET na ID Microsoft Entra, aby zjistil odpovídající informace o sférách pro uživatele. Tyto informace určují, jestli je prostředí spravované nebo federované. Id Microsoft Entra vrátí informace v objektu JSON. Aplikace určuje, že prostředí je spravované (nefederované). Poslední krok v této fázi obsahuje aplikaci, která vytvoří vyrovnávací paměť ověřování a pokud je v prostředí OOBE, dočasně ji uloží do mezipaměti pro automatické přihlášení na konci OOBE. Aplikace poST přihlašovací údaje k Microsoft Entra ID, kde jsou ověřeny. Id Microsoft Entra vrátí token ID s deklaracemi identity. |
| D | Aplikace hledá podmínky použití MDM (deklarace identity mdm_tou_url). Pokud je k dispozici, aplikace načte podmínky použití z hodnoty deklarace identity, zobrazí obsah uživateli a počká, až uživatel přijme podmínky použití. Tento krok je nepovinný a přeskočen, pokud deklarace identity není k dispozici nebo pokud je hodnota deklarace prázdná. |
| E | Aplikace odešle žádost o zjišťování registrace zařízení do služby Azure Device Registration Service (ADRS). Azure DRS vrátí dokument s daty zjišťování, který vrací identifikátory URI specifické pro tenanta k dokončení registrace zařízení. |
| F | Aplikace vytvoří 2048bitovou dvojici klíčů RSA vázanou na čip TPM (preferovaný) označovaný jako klíč zařízení (dkpub/dkpriv). Aplikace vytvoří žádost o certifikát pomocí dkpub a veřejného klíče a podepíše žádost o certifikát pomocí dkpriv. Dále aplikace odvozuje druhou dvojici klíčů z kořenového klíče úložiště TPM. Tento klíč je transportní klíč (tkpub/tkpriv). |
| G | Aplikace odešle žádost o registraci zařízení do Azure DRS, která zahrnuje token ID, žádost o certifikát, tkpub a data ověření identity. Azure DRS ověří token ID, vytvoří ID zařízení a vytvoří certifikát na základě zahrnuté žádosti o certifikát. Azure DRS pak zapíše objekt zařízení do Microsoft Entra ID a odešle ID zařízení a certifikát zařízení klientovi. |
| H | Registrace zařízení se dokončí přijetím ID zařízení a certifikátu zařízení z Azure DRS. ID zařízení se uloží pro budoucí referenci (zobrazitelné z dsregcmd.exe /status) a certifikát zařízení se nainstaluje do osobního úložiště počítače. Po dokončení registrace zařízení proces pokračuje v registraci MDM. |
Microsoft Entra připojen v federovaných prostředích
| Fáze | Popis |
|---|---|
| A | Nejběžnější způsob, jakým se zařízení připojená k Microsoft Entra zaregistrují, je během předem používaného prostředí (OOBE), kde načítá webovou aplikaci Microsoft Entra join webovou aplikaci do aplikace CXH (Cloud Experience Host). Aplikace odešle požadavek GET do koncového bodu konfigurace Microsoft Entra OpenID za účelem zjištění koncových bodů autorizace. Id Microsoft Entra vrátí konfiguraci OpenID, která zahrnuje koncové body autorizace, do aplikace jako dokument JSON. |
| T | Aplikace vytvoří žádost o přihlášení pro koncový bod autorizace a shromáždí přihlašovací údaje uživatele. |
| C | Jakmile uživatel zadá své uživatelské jméno (ve formátu UPN), aplikace odešle požadavek GET na ID Microsoft Entra, aby zjistil odpovídající informace o sférách pro uživatele. Tyto informace určují, jestli je prostředí spravované nebo federované. Id Microsoft Entra vrátí informace v objektu JSON. Aplikace určuje, že prostředí je federované. Aplikace přesměruje na hodnotu AuthURL (místní přihlašovací stránku služby STS) ve vráceném objektu sféry JSON. Aplikace shromažďuje přihlašovací údaje prostřednictvím webové stránky služby STS. |
| D | Aplikace POST přihlašovací údaje do místní služby tokenů zabezpečení, což může vyžadovat další faktory ověřování. Místní služba tokenů zabezpečení ověřuje uživatele a vrací token. Aplikace poST token pro ověření do Microsoft Entra ID. Microsoft Entra ID ověří token a vrátí token ID s deklaracemi identity. |
| E | Aplikace hledá podmínky použití MDM (deklarace identity mdm_tou_url). Pokud je k dispozici, aplikace načte podmínky použití z hodnoty deklarace identity, zobrazí obsah uživateli a počká, až uživatel přijme podmínky použití. Tento krok je nepovinný a přeskočen, pokud deklarace identity není k dispozici nebo pokud je hodnota deklarace prázdná. |
| F | Aplikace odešle žádost o zjišťování registrace zařízení do služby Azure Device Registration Service (ADRS). Azure DRS vrátí dokument s daty zjišťování, který vrací identifikátory URI specifické pro tenanta k dokončení registrace zařízení. |
| G | Aplikace vytvoří 2048bitovou dvojici klíčů RSA vázanou na čip TPM (preferovaný) označovaný jako klíč zařízení (dkpub/dkpriv). Aplikace vytvoří žádost o certifikát pomocí dkpub a veřejného klíče a podepíše žádost o certifikát pomocí dkpriv. Dále aplikace odvozuje druhou dvojici klíčů z kořenového klíče úložiště TPM. Tento klíč je transportní klíč (tkpub/tkpriv). |
| H | Aplikace odešle žádost o registraci zařízení do Azure DRS, která zahrnuje token ID, žádost o certifikát, tkpub a data ověření identity. Azure DRS ověří token ID, vytvoří ID zařízení a vytvoří certifikát na základě zahrnuté žádosti o certifikát. Azure DRS pak zapíše objekt zařízení do Microsoft Entra ID a odešle ID zařízení a certifikát zařízení klientovi. |
| I | Registrace zařízení se dokončí přijetím ID zařízení a certifikátu zařízení z Azure DRS. ID zařízení se uloží pro budoucí referenci (zobrazitelné z dsregcmd.exe /status) a certifikát zařízení se nainstaluje do osobního úložiště počítače. Po dokončení registrace zařízení proces pokračuje v registraci MDM. |
Hybridní připojení Microsoft Entra ve spravovaných prostředích
| Fáze | Popis |
|---|---|
| A | Uživatel se přihlásí k počítači s Windows 10 připojeným k doméně nebo novějšímu pomocí přihlašovacích údajů domény. Tyto přihlašovací údaje můžou být uživatelské jméno a heslo nebo ověřování pomocí čipové karty. Přihlášení uživatele aktivuje úlohu automatického připojení zařízení. Úlohy automatického připojení zařízení se aktivují při připojení k doméně a každou hodinu se opakují. Nezávisí jenom na přihlášení uživatele. |
| T | Úloha se dotazuje služby Active Directory pomocí protokolu LDAP pro atribut klíčových slov v spojovacím bodu služby uloženém v konfiguračním oddílu ve službě Active Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). Hodnota vrácená v atributu klíčových slov určuje, jestli se registrace zařízení směruje do služby Azure Device Registration Service (ADRS) nebo do podnikové služby registrace zařízení hostované místně. |
| C | U spravovaného prostředí úloha vytvoří počáteční přihlašovací údaje ověřování ve formě certifikátu podepsaného svým držitelem. Úloha zapíše certifikát do atributu userCertificate v objektu počítače ve službě Active Directory pomocí protokolu LDAP. |
| D | Počítač se nemůže ověřit v Azure DRS, dokud se v Microsoft Entra ID nevytvořil objekt zařízení představující počítač, který obsahuje certifikát v atributu userCertificate. Microsoft Entra Připojení detekuje změnu atributu. V dalším synchronizačním cyklu microsoft Entra Připojení odešle identifikátor SID uživateleCertificate, identifikátor GUID objektu a identifikátor SID počítače do Azure DRS. Azure DRS používá informace o atributu k vytvoření objektu zařízení v Microsoft Entra ID. |
| E | Úloha Automatické připojení zařízení se aktivuje při každém přihlášení uživatele nebo každou hodinu a pokusí se ověřit počítač v Microsoft Entra ID pomocí odpovídajícího privátního klíče veřejného klíče v atributu userCertificate. Microsoft Entra ověří počítač a vydá token ID pro počítač. |
| F | Úloha vytvoří 2048bitovou dvojici klíčů vázaných na TPM (upřednostňovaný) pár klíčů TPM označovaný jako klíč zařízení (dkpub/dkpriv). Aplikace vytvoří žádost o certifikát pomocí dkpub a veřejného klíče a podepíše žádost o certifikát pomocí dkpriv. Dále aplikace odvozuje druhou dvojici klíčů z kořenového klíče úložiště TPM. Tento klíč je transportní klíč (tkpub/tkpriv). |
| G | Úloha odešle žádost o registraci zařízení do Azure DRS, která zahrnuje token ID, žádost o certifikát, tkpub a data ověření identity. Azure DRS ověří token ID, vytvoří ID zařízení a vytvoří certifikát na základě zahrnuté žádosti o certifikát. Azure DRS pak aktualizuje objekt zařízení v Microsoft Entra ID a odešle ID zařízení a certifikát zařízení klientovi. |
| H | Registrace zařízení se dokončí přijetím ID zařízení a certifikátu zařízení z Azure DRS. ID zařízení se uloží pro budoucí referenci (zobrazitelné z dsregcmd.exe /status) a certifikát zařízení se nainstaluje do osobního úložiště počítače. Po dokončení registrace zařízení se úloha ukončí. |
Hybridní připojení Microsoft Entra v federovaných prostředích
| Fáze | Popis |
|---|---|
| A | Uživatel se přihlásí k počítači s Windows 10 připojeným k doméně nebo novějšímu pomocí přihlašovacích údajů domény. Tyto přihlašovací údaje můžou být uživatelské jméno a heslo nebo ověřování pomocí čipové karty. Přihlášení uživatele aktivuje úlohu automatického připojení zařízení. Úlohy automatického připojení zařízení se aktivují při připojení k doméně a každou hodinu se opakují. Nezávisí jenom na přihlášení uživatele. |
| T | Úloha se dotazuje služby Active Directory pomocí protokolu LDAP pro atribut klíčových slov v spojovacím bodu služby uloženém v konfiguračním oddílu ve službě Active Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). Hodnota vrácená v atributu klíčových slov určuje, jestli se registrace zařízení směruje do služby Azure Device Registration Service (ADRS) nebo do podnikové služby registrace zařízení hostované místně. |
| C | V případě federovaných prostředí počítač ověřuje koncový bod registrace podnikového zařízení pomocí integrovaného ověřování systému Windows. Služba registrace podnikového zařízení vytvoří a vrátí token, který obsahuje deklarace identity pro identifikátor GUID objektu, identifikátor SID počítače a stav připojení k doméně. Úkol odešle token a deklarace identity do ID Microsoft Entra, kde jsou ověřeny. Id Microsoft Entra vrátí token ID spuštěné úloze. |
| D | Aplikace vytvoří 2048bitovou dvojici klíčů RSA vázanou na čip TPM (preferovaný) označovaný jako klíč zařízení (dkpub/dkpriv). Aplikace vytvoří žádost o certifikát pomocí dkpub a veřejného klíče a podepíše žádost o certifikát pomocí dkpriv. Dále aplikace odvozuje druhou dvojici klíčů z kořenového klíče úložiště TPM. Tento klíč je transportní klíč (tkpub/tkpriv). |
| E | Aby bylo potřeba zajistit jednotné přihlašování pro místní federovanou aplikaci, úloha požádá podnikovou žádost o přijetí změn z místní služby STS. Windows Server 2016, na kterém běží role Active Directory Federation Services (AD FS), ověří požadavek a vrátí ji spuštěnou úlohu. |
| F | Úloha odešle žádost o registraci zařízení do Azure DRS, která zahrnuje token ID, žádost o certifikát, tkpub a data ověření identity. Azure DRS ověří token ID, vytvoří ID zařízení a vytvoří certifikát na základě zahrnuté žádosti o certifikát. Azure DRS pak zapíše objekt zařízení do Microsoft Entra ID a odešle ID zařízení a certifikát zařízení klientovi. Registrace zařízení se dokončí přijetím ID zařízení a certifikátu zařízení z Azure DRS. ID zařízení se uloží pro budoucí referenci (zobrazitelné z dsregcmd.exe /status) a certifikát zařízení se nainstaluje do osobního úložiště počítače. Po dokončení registrace zařízení se úloha ukončí. |
| G | Pokud je povolený zpětný zápis zařízení Microsoft Entra Připojení, Microsoft Entra Připojení vyžádá aktualizace z ID Microsoft Entra v dalším synchronizačním cyklu (zpětný zápis zařízení se vyžaduje pro hybridní nasazení pomocí vztahu důvěryhodnosti certifikátu). Microsoft Entra ID koreluje objekt zařízení s odpovídajícím synchronizovaným počítačovým objektem. Microsoft Entra Připojení obdrží objekt zařízení, který obsahuje identifikátor GUID objektu a identifikátor SID počítače a zapisuje objekt zařízení do služby Active Directory. |