Principy primárního obnovovacího tokenu (PRT)

Primární obnovovací token (PRT) je klíčovým artefaktem ověřování Microsoft Entra v podporovaných verzích Windows, iOS/macOS, Android a Linux. Primární obnovovací token (PRT) je zabezpečený artefakt speciálně vydávaný zprostředkovatelům tokenů první strany od Microsoftu, který umožňuje jednotné přihlášení (SSO) napříč aplikacemi na těchto zařízeních. Tento článek vysvětluje, jak se vydává, používá a chrání PRT, vylepšuje zabezpečení a umožňuje jednotné přihlašování (SSO) napříč aplikacemi.

Tento článek předpokládá, že už rozumíte různým stavům zařízení dostupným v Microsoft Entra ID a jak jednotné přihlašování funguje ve Windows. Další informace o zařízeních v Microsoft Entra ID naleznete v tématu Co je správa zařízení v Microsoft Entra ID?.

Klíčová terminologie a komponenty

Hlavní roli při vyžádání a použití primárního obnovovacího tokenu (PRT) hrají následující součásti Windows:

Termín	Description
makléř	Zprostředkovatel identity je služba, která funguje jako zprostředkovatel mezi zprostředkovateli identity (ZSP) a zprostředkovateli služeb (SPS), což zjednodušuje ověřování a autorizaci . Správce webových účtů je příkladem zprostředkovatele identity.
Cloud Authentication Provider (CloudAP)	CloudAP je moderní zprostředkovatel ověřování pro přihlášení k Windows, který ověřuje, že se uživatelé přihlašují k zařízení s Windows 10 nebo novějším. CloudAP poskytuje rámec modulu plug-in, na kterém mohou zprostředkovatelé identit stavět pro umožnění ověřování ve Windows s využitím přihlašovacích údajů tohoto zprostředkovatele identit.
Správce webových účtů (WAM)	WAM je výchozí zprostředkovatel tokenů na zařízeních s Windows 10 nebo novějších. WAM také poskytuje architekturu modulu plug-in, na které můžou zprostředkovatelé identity stavět, a umožňuje jednotné přihlašování k aplikacím, které se spoléhají na daného zprostředkovatele identity.
Plugin Microsoft Entra CloudAP	Modul plug-in Specifický pro Microsoft Entra založený na rozhraní CloudAP, který ověřuje přihlašovací údaje uživatele pomocí Microsoft Entra ID během přihlášení k Windows.
Modul plug-in Microsoft Entra WAM	Specifický plugin pro Microsoft Entra založený na rozhraní WAM, který umožňuje jednotné přihlašování k aplikacím, jež spoléhají na Microsoft Entra ID pro ověřování.
Dsreg	Součást specifická pro Microsoft Entra ve Windows 10 nebo novější, která zpracovává proces registrace zařízení pro všechny stavy zařízení.
čipu TPM (Trusted Platform Module)	TPM je hardwarová komponenta integrovaná do zařízení, která poskytuje hardwarové bezpečnostní funkce pro uživatelská a zařízení tajemství. Další podrobnosti najdete v článku Přehled technologie Trusted Platform Module.

K čemu se používá PRT?

• Jedno Sign-On (SSO) – Jakmile se uživatel přihlásí ke svému zařízení, PRT umožní mu přístup k Microsoft 365, Azure, a dalším cloudovým aplikacím, aniž by uživatel musel znovu zadat své přihlašovací údaje. Aplikace, jako jsou Office, Microsoft Edge a Teams, používají PRT prostřednictvím zprostředkovatele k tichému ověřování uživatelů, zlepšení uživatelského prostředí, snížení potřeby více přihlášení a zvýšení produktivity.
• Získání tokenů – PRT se používá k vyžádání přístupových tokenů a obnovovacích tokenů pro různé služby (jako jsou Outlook, Teams, SharePoint atd.) prostřednictvím Správce webových účtů Windows (WAM) nebo modulů plug-in Broker na jiných platformách.
• Dodržování předpisů podmíněného přístupu – nese nároky zařízení a uživatelů, které vyhodnocuje ID Microsoft Entra, aby vynucuje zásady podmíněného přístupu (například vyžadování souladu zařízení, vícefaktorové ověřování atd.).

Jaké jsou typy PRT?

Na vysoké úrovni existují dva různé typy artefaktů PRT.

• Registrované PRTs zařízení jsou vázané na zařízení, které má přidruženou identitu Microsoft Entra.
• Neregistrované zařízení PRTs jsou vázané na zařízení, které nemá identitu Microsoft Entra, jež je spojená s kryptografickým párem klíčů generovaných klientem.

Klienti se vždy pokoušejí používat "registrované PRT zařízení" kdykoli je to možné. Primární aktualizační tokeny splní zásady registrace zařízení jen tehdy, jsou-li vydány pro registrovaná zařízení. Neregistrované PRTs zařízení se používají ve scénářích, kdy zařízení nemá identitu Microsoft Entra, například když se uživatel přihlásí do prohlížeče na osobním zařízení nebo když se uživatel přihlásí do aplikace, která nepodporuje registraci zařízení.

Mohu se podívat, co je v PRT?

PRT je neprůhledný objekt blob odeslaný z Microsoft Entra, jehož obsah není známý žádným klientským komponentám. Nevidíte, co je uvnitř PRT.

Jak se vydává PRT?

U registrovaných zařízení PRT se PRT vydává uživatelům na registrovaných zařízeních. Podrobnější informace o registraci zařízení najdete v článku Windows Hello pro firmy a registraci zařízení. Během registrace zařízení vygeneruje komponenta dsreg dvě sady párů kryptografických klíčů:

• Klíč zařízení (dkpub/dkpriv)
• Transportní klíč (tkpub/tkpriv)

PRT může být vydáno pouze tehdy, když je přítomen zprostředkovatel Microsoft Entra ID. Zprostředkovatel je komponenta distribuovaná s následujícími aplikacemi: Portál společnosti Intune v systémech macOS a Linux, Authenticator v iOSu, Authenticator, Odkaz na Windows a Portál společnosti na Androidu. Na Macu je správa mobilních zařízení (MDM) nutná k aktivaci brokera společně s profilem rozšíření jednotného přihlašování: Apple SSO Plugin

Windows

Pokud má zařízení platné a funkční hardwarové úložiště TPM/Secure Hardware Storage, jsou privátní klíče vázané na zabezpečené úložiště zařízení na podporovaných platformách. Veřejné klíče se posílají do Microsoft Entra ID během procesu registrace zařízení, aby bylo možné ověřit stav zařízení během žádostí PRT.

PRT se vydává při ověřování uživatele na zařízení s Windows 10 nebo novějším ve dvou scénářích:

• Připojení Microsoft Entra nebo Hybridní připojení Microsoft Entra: PRT je vydána během přihlášení do Windows, když se uživatel přihlásí pomocí přihlašovacích údajů organizace. PRT se vydává se všemi podporovanými přihlašovacími údaji na Windows 10 nebo novějších, například heslo a Windows Hello pro firmy. V tomto scénáři je plug-in Microsoft Entra CloudAP autoritou primární pro PRT.
• Registrované zařízení Microsoft Entra: PRT je vydán, když uživatel přidá sekundární pracovní účet do svého zařízení s Windows 10 nebo novějším. Uživatelé můžou do Windows 10 nebo novějšího přidat účet dvěma různými způsoby:
  • Přidání účtu prostřednictvím výzvy Povolit mojí organizaci správu mého zařízení po přihlášení k aplikaci (například Outlook).
  • Přidání účtu z Nastavení>Účty>Přístup k práci nebo škole>Připojit

Ve scénářích registrovaných zařízení Microsoft Entra je modul plug-in Microsoft Entra WAM primární autoritou pro PRT, protože přihlášení k Windows s tímto účtem Microsoft Entra neprobíhá.

macOS

macOS s platformou jednotného přihlašování

Platformní jednokrokové přihlašování (PSSO) v systému macOS je nová funkce, která je založena na modulu plug-in Enterprise SSO od Microsoftu. Tento modul, sloužící pro přihlašovací údaje platformy macOS, umožňuje uživatelům přihlašovat se do zařízení Mac pomocí jejich přihlašovacích údajů Microsoft Entra ID.

Primární obnovovací token PSSO (PRT) se vydává výhradně pro zařízení s macOS, která se úspěšně zaregistrovala jako Entra-přidružená a dokončila platformové SSO registrace. Během tohoto procesu registrace macOS generuje zabezpečené páry kryptografických klíčů založených na enklávě: jeden pro podepisování zařízení a druhý pro šifrování zařízení. Odkazy na veřejný klíč jsou sdílené s rozšířením SSO.

Rozšíření jednotného přihlašování používá tyto klíče k dokončení registrace zařízení ve službě Microsoft Entra ID Device Registration Service. Pak nakonfiguruje API společnosti Apple loginConfiguration s potřebnými parametry pro získání PRT.

macOS bez jednotného přihlašování k platformě

macOS podporuje neregistrované PRT pro Microsoft Edge a registrované PRT, když je zařízení připojeno k pracovišti a broker je přítomen.

Po úspěšném dokončení registrace macOS zahájí žádost o přihlášení podepsanou pomocí podpisového klíče zařízení. ID Microsoft Entra ověřuje požadavek, podpisový klíč zařízení a přidružené parametry a vydává odpověď PRT.

iOS a Android

iOS, macOS a Android podporují jak neregistrované PRT pro Microsoft Edge, tak registrované PRT, když je zprostředkovatel k dispozici.

Linux

Linux podporuje jak neregistrované PRT pro Microsoft Edge, tak zaregistrované PRT, když je zprostředkovatel k dispozici.

Chování prohlížeče

Prohlížeče získají přístup k žádosti o přijetí změn několika způsoby v závislosti na operačním systému:

Windows

Windows – Načte PRT z pracovníka zprostředkovatele do prohlížeče v těchto prohlížečích:

• Microsoft Edge

• Firefox

• Chrom

Android

Android – Microsoft Edge stáhne PRT z brokeru do prohlížeče.

iOS a macOS

V iOS a macOS můžou prohlížeče také získat PRT při instalaci profilu rozšíření jednotného přihlašování, což umožňuje:

• Podpora chrome a Firefoxu v macOS
• Podpora Safari v iOSu i macOS
• Microsoft Edge v iOSu a macOS

Linux

Linux – Microsoft Edge stáhne PRT od zprostředkovatele do prohlížeče.

Seznam podporovaných prohlížečů je k dispozici tady: Podporované prohlížeče

Poznámka:

Zákazníci, kteří povolí federaci Entra se zprostředkovateli identity od jiných společností než Microsoft, musí tyto zprostředkovatele identity nakonfigurovat tak, aby podporovaly protokol WS-Trust, aby povolovali vystavování PRT na zařízeních s Windows 10 nebo novějších zařízeních. Bez WS-Trust pro případy federace nelze uživatelům na zařízeních, která jsou hybridně připojena k Microsoft Entra nebo připojena k Microsoft Entra, vydat PRT.

Poznámka:

U ADFS usernamemixed se vyžadují koncové body. Pokud Smartcard/certificate se používá při přihlašování k Windows, certificatemixed musí být koncové body nakonfigurované v ADFS. windowstransport musí být povolena pouze jako intranetové koncové body a nesmí být vystaveny jako koncové body přístupné z extranetu prostřednictvím proxy webových aplikací.

Poznámka:

Zásady podmíněného přístupu Microsoft Entra se nevyhodnocují, když jsou vydávány primární obnovovací tokeny (PRT).

Poznámka:

Nepodporujeme poskytovatele přihlašovacích údajů jiných než Microsoft pro vydávání a obnovování PRT (Primary Refresh Token) Microsoft Entra.

Jak se používá PRT?

Windows

PrT se používá ve Windows dvěma klíčovými komponentami:

• Modul plug-in Microsoft Entra CloudAP: Během přihlášení windows modul plug-in Microsoft Entra CloudAP požádá o PRT z Microsoft Entra ID pomocí přihlašovacích údajů poskytnutých uživatelem. Ukládá do mezipaměti také PRT, aby se umožnilo přihlášení z mezipaměti, když uživatel nemá přístup k připojení k internetu.
• Modul plug-in Microsoft Entra WAM: Když se uživatelé pokusí o přístup k aplikacím, modul plug-in Microsoft Entra WAM používá PRT k povolení jednotného přihlašování ve Windows 10 nebo novějším. Modul plug-in Microsoft Entra WAM používá PRT k vyžádání obnovovacích a přístupových tokenů pro aplikace, které pro žádosti o tokeny spoléhají na WAM. Umožňuje také jednotné přihlašování v prohlížečích vložením PRT do požadavků prohlížeče. Jednotné přihlašování k prohlížeči ve Windows 10 nebo novější je podporováno v Microsoft Edgi (nativně), Chromu (prostřednictvím rozšíření Účty Windows 10 ) a Mozilla Firefoxu v91+ ( nastavení jednotného přihlašování ve Firefoxu pro Windows).

  Poznámka:

  V případech, kdy má uživatel dva účty ze stejného nájemce Microsoft Entra přihlášené v aplikaci prohlížeče, se ověřování zařízení poskytnuté PRT primárního účtu automaticky použije i na druhý účet. V důsledku toho druhý účet také splňuje jakoukoli zásadu podmíněného přístupu založenou na zařízení v nájemci.

macOS

PRT používá SSO rozšíření ke zajištění jednotného přihlašování pro aplikace a weby. Žádost o přijetí změn se používá k vyžádání obnovovacích a přístupových tokenů pro aplikace, které pro žádosti o token spoléhají na rozšíření jednotného přihlašování. Umožňuje také jednotné přihlašování v prohlížečích vložením PRT do požadavků prohlížeče.

Mezi prohlížeče, které podporují Browser SSO, patří Safari, Firefox, Chrome a Microsoft Edge.

Ios

Pro prohlížečové jednotné přihlašování jsou v iOS podporovány pouze Microsoft Edge a Safari.

Android

Pro Android je prohlížečové SSO podporováno pouze v Microsoft Edge.

Linux

Jedinými nativními aplikacemi, které jsou dnes integrované, jsou Intune a Prohlížeč Microsoft Edge. Pro podporu prohlížeče je chráněn pouze prohlížeč Microsoft Edge pro tokeny vázané na zařízení a vynucení podmíněného přístupu.

Jaká je doba platnosti uživatelského tokenu PRT?

Po vydání je PRT (primární obnovovací token) platný po dobu 90 dnů a nepřetržitě se obnovuje, pokud uživatel zařízení aktivně používá. Organizace můžou vyžadovat opětovné ověření uživatelů, aby mohli přistupovat k prostředkům pomocí ovládacího prvku relace frekvence přihlašování.

Jak se obnovuje PRT?

Windows

Platforma Windows

Povolení PRT se obnovuje dvěma různými způsoby:

• Plugin Microsoft Entra CloudAP každé 4 hodiny: Plugin CloudAP obnoví PRT každé 4 hodiny během přihlášení k Windows. Pokud uživatel během této doby nemá připojení k internetu, modul plug-in CloudAP obnoví PRT po připojení zařízení k internetu a dokončí se nové přihlášení k Windows.
• Plugin Microsoft Entra WAM během žádostí o aplikační tokeny: Plugin WAM umožňuje jednotné přihlašování na zařízeních s Windows 10 nebo novějšími tím, že umožňuje tiché požadavky na tokeny pro aplikace. Plug-in WAM může obnovit PRT během těchto žádostí o token dvěma různými způsoby:
  • Aplikace tiše požaduje WAM o přístupový token, ale pro tuto aplikaci není k dispozici žádný obnovovací token. V tomto případě WAM použije PRT k vyžádání tokenu pro aplikaci a v odpovědi získá nové PRT.
  • Aplikace požaduje WAM pro přístupový token, ale PRT je neplatné nebo Microsoft Entra ID vyžaduje dodatečnou autorizaci (například vícefaktorové ověřování Microsoft Entra). V tomto scénáři WAM zahájí interaktivní přihlášení, které vyžaduje, aby se uživatel znovu ověřil nebo poskytl dodatečné ověření, a po úspěšném ověření je vydán nový PRT.

V prostředí služby ADFS není potřeba přímá viditelnost na řadič domény k obnovení PRT. Prodlužování platnosti PRT vyžaduje, aby byly na proxy serveru povoleny pouze koncové body /adfs/services/trust/2005/usernamemixed a /adfs/services/trust/13/usernamemixed pomocí protokolu WS-Trust.

Koncové body přenosu Windows jsou vyžadovány pro ověření heslem pouze tehdy, když se změní heslo, nikoli pro obnovení PRT.

Klíčové aspekty

• V zařízeních s připojením k Microsoft Entra a zařízeních s hybridním připojením k Microsoft Entra je modul plug-in CloudAP hlavní autoritou pro PRT. Pokud se PRT obnoví během žádosti o token založený na WAM, PRT se odešle zpět do modulu plug-in CloudAP, který před přijetím ověří platnost PRT pomocí Microsoft Entra ID.

macOS

macOS obnoví primární obnovovací token PSSO (PRT) každých 4 hodiny nebo dříve, pokud tokeny jednotného přihlašování chybí nebo vypršela jeho platnost.

Ios

Na iOS je k dispozici také příležitostná aktualizace, když se zařízení nabíjí, ne častěji než jednou za dva dny, a to v závislosti na přidělení prostředků operačním systémem iOS. Podobně jako u jiných platforem platí PRT po dobu 90 dnů, pokud se používá.

Linux

PRT je platný 90 dní a obnovuje se každé 4 hodiny, pokud uživatel zařízení aktivně používá.

Android

• Žádost o přijetí změn je platná po dobu 90 dnů a je nepřetržitě obnovena, pokud uživatel zařízení aktivně používá.
• PRT je vydán a obnoven pouze během ověřování pomocí nativní aplikace. PRT není během relace prohlížeče obnoveno ani vydáno.
• Je možné získat PRT bez nutnosti registrace zařízení (Workplace Join) a povolit jednotné přihlašování (SSO).
• PRTy získané bez registrace zařízení nemohou splňovat kritéria autorizace pro podmíněný přístup, který se spoléhá na stav nebo shodu zařízení.

Poznámka:

Zásady podmíněného přístupu Microsoft Entra se nevyhodnocují, když se obnovují primární obnovovací tokeny (PRT).

Jak je prT chráněno?

Windows

Primární obnovovací token (PRT) je chráněn vázáním na zařízení, ke kterému se uživatel přihlásil, kde bude používat hardwarové vázání, pokud je dostupné a podporované.

Microsoft Entra ID a Windows 10 nebo novější umožňují ochranu PRT pomocí následujících metod:

• Během prvního přihlášení: Během prvního přihlášení se PRT vydává podepisováním žádostí pomocí kryptografického klíče zařízení generovaného během registrace zařízení. Na zařízení s platným a funkčním čipem TPM je klíč zařízení zabezpečený čipem TPM, který brání jakémukoli škodlivému přístupu. PRT se nevystaví, pokud se nepodaří ověřit odpovídající podpis klíče zařízení.
• Během žádostí o token a jejich obnovování: Když je vydán PRT, Microsoft Entra ID také vydá šifrovaný klíč relace pro zařízení. Je šifrovaný pomocí klíče veřejné dopravy (tkpub) vygenerovaného a odesílaného do ID Microsoft Entra v rámci registrace zařízení. Tento klíč relace je možné dešifrovat pouze privátním transportním klíčem (tkpriv) zabezpečeným čipem TPM. Sesní klíč je klíč k prokázání vlastnictví (POP) pro všechny žádosti odeslané na Microsoft Entra ID. Klíč relace je také chráněn čipem TPM a žádná jiná komponenta operačního systému k němu nemá přístup. Žádosti o token nebo žádosti o obnovení PRT jsou bezpečně podepsané tímto klíčem relace prostřednictvím čipu TPM, a proto se s tím nedají manipulovat. Microsoft Entra zneplatní všechny požadavky ze zařízení, které nejsou podepsané odpovídajícím klíčem relace.

Zabezpečení těchto klíčů pomocí TPM zlepšuje ochranu PRT před škodlivými útočníky, kteří se snaží klíče ukrást nebo znovu přehrát PRT. Použití čipu TPM tedy výrazně zvyšuje zabezpečení zařízení připojených k Microsoft Entra, hybridně připojených k Microsoft Entra a registrovaných u Microsoft Entra proti krádeži přihlašovacích údajů. Pro zvýšení výkonu a spolehlivosti je doporučená verze TPM 2.0 pro všechny scénáře registrace zařízení Microsoft Entra ve Windows 10 nebo novějším. Po aktualizaci Windows 10, 1903, Microsoft Entra ID nepoužívá TPM 1.2 pro žádný z výše uvedených klíčů kvůli problémům se spolehlivostí.

macOS

Primární obnovovací token (PRT) je bezpečně svázán se zařízením, na kterém se uživatel přihlašuje. Microsoft Entra ID a macOS vynucují tuto ochranu prostřednictvím několika mechanismů:

PRT se vydá až po podepsání pomocí zabezpečeného enclavem podporovaného podpisového klíče zařízení, který je kryptograficky generován během registrace zařízení. Pokud podpis z tohoto klíče nejde ověřit, PRT nebude vydán.

Pro macOS, kde se používá jednotné přihlašování pomocí platformy, bude ve výchozím nastavení použita hardwarová vazba.

Pokud chcete povolit hardwarovou vazbu v iOSu a Macu, postupujte podle pokynů v modulu plug-in Apple SSO

Jiné operační systémy

Android, iOS a Linux nepodporují hardwarové vazby pro PRT.

Pokud chcete povolit hardwarovou vazbu v iOSu a Macu, postupujte podle pokynů v modulu plug-in Apple SSO

Jak jsou tokeny aplikací chráněné?

Přehled o tom, jak jsou tokeny obecně chráněné, najdete v tématu Ochrana tokenů v Microsoft Entra ID.

Windows

• Když aplikace požaduje token prostřednictvím WAM, Microsoft Entra ID vydá přístupový token a v některých typech požadavků obnovovací token. WAM ale vrátí přístupový token pouze aplikaci a zabezpečí obnovovací token:
  • Pokud se jedná o obnovovací token pro uživatele jednotného přihlašování, je tento obnovovací token vázaný na zařízení s klíčem relace (stejným jako PRT) nebo klíčem zařízení.
  • Pokud se jedná o obnovovací token pro uživatele bez jednotného přihlašování, není tento obnovovací token vázán na zařízení.
• Všechny obnovovací tokeny jsou šifrovány rozhraním DPAPI.

macOS a iOS

• Nespravovaný iOS: Na zařízeních bez profilu rozšíření jednotného přihlašování MDM vrátí zprostředkovatel přístupový token i obnovovací token volající aplikaci. Volající aplikace používá obnovovací token pro následné aktualizace a tento obnovovací token nebude chráněn.
• spravovaný macOS/iOS: Na zařízeních s profilem rozšíření MDM SSO vrátí zprostředkovatel pouze přístupový token volající aplikaci. Zprostředkovatel používá PRT k jakékoli následné aktualizaci tokenu a nepoužívá nechráněný obnovovací token. Doporučujeme zákazníkům, aby tuto konfiguraci používali nad nespravovanou konfigurací z důvodu dodatečné ochrany, která poskytuje.

Android

• Zprostředkovatel vrátí přístupový token jenom volající aplikaci a uloží místně obnovovací token aplikace pro spravovaná i nespravovaná zařízení.

Linux

• V Linuxu zprostředkovatel vrátí přístupový token pouze volající aplikaci a ukládá obnovovací tokeny místně pro spravovaná i nespravovaná zařízení.
• Místně uložené obnovovací tokeny se šifrují pomocí šifrovacího klíče uloženého v přihlašovacím klíči uživatele systému UNIX.

Jak jsou soubory cookie prohlížeče chráněné

Windows

• Ve Windows 10 nebo novějším podporuje Microsoft Entra ID nativně jednotné přihlašování prohlížeče v prohlížeči Microsoft Edge, v Google Chrome prostřednictvím nativní podpory nebo rozšíření a v prohlížeči Mozilla Firefox v91+ prostřednictvím nastavení prohlížeče.

• Když uživatel zahájí interakci s prohlížečem, prohlížeč (nebo rozšíření) vyvolá rozhraní API platformy. Rozšíření volá toto rozhraní API prostřednictvím nativního hostitele zasílání zpráv. Rozhraní API zajišťuje, že stránka pochází z jedné z povolených domén. Prohlížeč odešle řetězec dotazu v plné délce, který obsahuje nonce. Rozhraní API platformy vytvoří PRT a hlavičku zařízení, které jsou podepsané pomocí klíčů chráněných čipem TPM. Hlavička PRT je podepsaná klíčem relace, hlavička zařízení klíčem zařízení, a proto je obtížné s nimi manipulovat. Tyto hlavičky jsou součástí všech požadavků pro Microsoft Entra ID, aby bylo možné ověřit zařízení, ze kterého pochází, a uživatele. Jakmile Microsoft Entra ID ověří tyto hlavičky, vydá do prohlížeče relace soubor cookie. Tento soubor cookie relace také obsahuje stejný klíč relace nebo klíč zařízení, který byl použit k podepsání požadavku. Během následných požadavků se klíč relace účinně ověří, čímž se soubor cookie efektivně váže na zařízení a zabraňuje přehrání z jakéhokoliv jiného místa.

iOS a Mac

Safari a Microsoft Edge s profilem rozšíření jednotného přihlašování (SSO) budou mít soubory cookie chráněné klíčem relace PRT. Microsoft Edge vyžaduje, aby byl uživatel přihlášený k profilu Microsoft Edge. Soubory cookie nejsou chráněné bez profilu rozšíření pro jednotné přihlašování.

Android

Během interaktivních přihlášení se vygeneruje soubor cookie jednotného přihlášení prohlížeče (pomocí PRT a klíče relace uloženého ve spravovaném úložišti Android účtu). Platí jenom pro prohlížeč Microsoft Edge a uživatel musí být přihlášený.

Linux

Microsoft Edge v Linuxu může požádat zprostředkovatele o soubor cookie jednotného přihlašování v prohlížeči, aby povolil jednotné přihlašování v Microsoft Edgi. Zprostředkovatel vygeneruje soubor cookie jednotného přihlašování pomocí PRT a klíče relace, který je uložený v kontextu uživatele a zařízení zprostředkovatele, aby předal vygenerovaný soubor cookie do prohlížeče Microsoft Edge. Microsoft Edge vyžaduje, aby byl uživatel přihlášený k profilu. Teoreticky můžou aplikace jiné než Microsoft Edge požadovat tento soubor cookie od zprostředkovatele, protože na platformě Linux neexistuje žádná identita aplikace. Hranice zabezpečení operačního systému je kolem uživatele systému UNIX a pouze aplikace ve stejném kontextu uživatele mohou získat soubor cookie jednotného přihlašování pro uživatele v tomto kontextu.

Kdy PRT získá nárok na MFA?

PRT může získat nárok na vícefaktorové ověřování v konkrétních scénářích. Když se k žádosti o tokeny pro aplikace použije token založený na MFA, nárok vícefaktorového ověřování se na tyto aplikační tokeny přenese. Tato funkce poskytuje uživatelům bezproblémové prostředí tím, že brání výzvě vícefaktorového ověřování pro každou aplikaci, která ji vyžaduje. PRT může získat oprávnění k vícefaktorovému ověřování následujícími způsoby:

Windows

• Přihlaste se pomocí Windows Hello pro firmy: Windows Hello pro firmy nahrazuje hesla a používá kryptografické klíče k zajištění silného dvojúrovňového ověřování. Windows Hello pro firmy je svázáno s uživatelem na konkrétním zařízení a samo vyžaduje vícefaktorové ověření pro zřízení. Když se uživatel přihlásí pomocí Windows Hello pro firmy, uživatelův PRT získá deklaraci pro vícefaktorové ověřování (MFA). Tento scénář platí také pro uživatele, kteří se přihlašují pomocí čipových karet, pokud ověřování pomocí čipové karty vytváří deklaraci vícefaktorového ověřování z ADFS.
  • Vzhledem k tomu, že se Windows Hello pro firmy považuje za vícefaktorové ověřování, deklarace vícefaktorového ověřování se aktualizuje při obnovení samotného primárního obnovovacího tokenu (PRT), takže platnost vícefaktorového ověřování se bude průběžně rozšiřovat, když se uživatelé přihlašují pomocí Windows Hello pro firmy.
• Vícefaktorové ověřování během interaktivního přihlašování WAM: Během žádosti o token prostřednictvím WAM, pokud je pro přístup k aplikaci vyžadováno vícefaktorové ověřování, je PRT, který je během této interakce obnoven, opatřen příznakem MFA.
  • V tomto případě se deklarace vícefaktorového ověřování neaktualizuje nepřetržitě, takže doba trvání vícefaktorového ověřování je založená na době životnosti nastavené v adresáři.
  • Pokud se pro přístup k aplikaci používají předchozí existující PRT a RT, jsou PRT a RT považovány za první důkaz ověření. Vyžaduje se nová verze RT s druhým dokladem a vytištěnou deklarací vícefaktorového ověřování. Tento proces také vydává nové PRT a RT.
• Windows 10 nebo novější udržuje oddělený seznam PRTs pro jednotlivé přihlašovací údaje. Pro každý z přístupových prostředků, jako jsou Windows Hello pro firmy, heslo nebo čipová karta, je tedy k dispozici PRT. Toto dělení zajišťuje, že deklarace vícefaktorového ověřování jsou izolovány na základě použitých přihlašovacích údajů a nejsou během požadavků na tokeny zaměněny.

Poznámka:

Při používání hesla pro přihlášení k Windows 10 nebo novějšímu zařízení, které je připojeno k Microsoft Entra nebo hybridně připojeno k Microsoft Entra, může být během interaktivního přihlašování WAM vyžadováno vícefaktorové ověřování po obnovení klíče relace spojeného s PRT, v závislosti na tom, zda uživatel během této relace prošel procesem 2FA.

iOS/Mac/Android/Linux

Pokud správce nastavil zásady podmíněného přístupu, je od uživatele vyžadováno, aby prováděl vícefaktorové ověřování. V takových případech se PRT upgraduje a získá ověření vícefaktorovou autentizací. Doba platnosti nároku je založená na životnosti určené v adresáři.

Jak se zneplatní PRT?

PRT je neplatný v následujících scénářích:

• Neplatný uživatel: Pokud je uživatel odstraněn nebo zakázán v Microsoft Entra ID, jeho PRT je zneplatněn a nelze jej použít k získání tokenů pro aplikace. Pokud se odstraněný nebo zakázaný uživatel už přihlásil k zařízení dříve, přihlášení uložené v mezipaměti by jim umožnilo přístup, dokud CloudAP nezaznamená jejich neplatný stav. Jakmile CloudAP zjistí, že uživatel je neplatný, zablokuje následná přihlášení. Neplatnému uživateli je automaticky zablokováno přihlášení na nová zařízení, která nemají jeho přihlašovací údaje uložené v mezipaměti.
• Neplatné zařízení: Pokud je zařízení odstraněno nebo zakázáno v Microsoft Entra ID, PRT získané na tomto zařízení je zneplatněno a nelze jej použít k získání tokenů pro jiné aplikace. Pokud už je uživatel přihlášený k neplatnému zařízení, může to udělat i nadále. Všechny tokeny na zařízení jsou neplatné a uživatel z tohoto zařízení nemá jednotné přihlášení k žádným prostředkům.
• Změna hesla: Pokud uživatel získal PRT se svým heslem, PRT je zneplatněno službou Microsoft Entra ID, když uživatel změní heslo. Změna hesla způsobí, že uživatel získá nový PRT (Primary Refresh Token). K tomuto zneplatnění může dojít dvěma různými způsoby:
  • Pokud se uživatel přihlásí k Windows pomocí nového hesla, CloudAP staré PRT zahodí a požádá Microsoft Entra ID o vydání nového PRT s novým heslem. Pokud uživatel nemá připojení k internetu, nové heslo nejde ověřit, systém Windows může vyžadovat, aby uživatel zadal staré heslo.
  • Pokud se uživatel přihlásil pomocí starého hesla nebo po přihlášení k Systému Windows změnil heslo, použije se starý PRT pro všechny žádosti o tokeny založené na WAM. V tomto scénáři je uživatel vyzván k opětovnému ověření během procesu žádosti o token WAM a je vydán nový PRT.
• Problémy s čipem TPM: Někdy může dojít k falšování nebo selhání čipu TPM zařízení, což vede k nedostupnosti klíčů zabezpečených čipem TPM. V tomto případě zařízení není schopné získat PRT nebo vyžádat tokeny pomocí existujícího PRT, protože nemůže prokázat vlastnictví kryptografických klíčů. V důsledku toho je každý existující PRT zneplatněn prostřednictvím Microsoft Entra ID. Když Windows 10 zjistí selhání, zahájí tok obnovení, který znovu zaregistruje zařízení pomocí nových kryptografických klíčů. S hybridním spojením Microsoft Entra, stejně jako při počáteční registraci, se obnovení bez zásahu uživatele provede bezobslužně. U zařízení připojených k Microsoft Entra nebo registrovaných Microsoft Entra musí obnovení provést uživatel s oprávněními správce na zařízení. V tomto scénáři je tok obnovení inicializován výzvou systému Windows, která provede uživatele k úspěšnému obnovení zařízení.

Podrobné toky

Následující diagramy znázorňují podrobnosti o vydávání, obnovování a používání PRT k vyžádání přístupového tokenu pro aplikaci. Kromě toho tyto kroky také popisují, jak se při těchto interakcích použijí dříve uvedené mechanismy zabezpečení.

Níže jsou uvedeny podrobné toky specifické pro operační systém Windows.

Vystavení PRT během prvního přihlášení (Windows)

Poznámka:

V zařízeních připojených k Microsoft Entra dochází k synchronnímu vystavení Microsoft Entra PRT (kroky A-F) předtím, než se uživatel může přihlásit k Windows. V zařízeních připojených k hybridní službě Microsoft Entra je místní Active Directory primární autoritou. Uživatel se tedy může přihlásit k hybridně připojenému Windows pomocí Microsoft Entra, jakmile získá TGT pro přihlášení, zatímco vydávání PRT probíhá asynchronně. Tento scénář se nevztahuje na registrovaná zařízení Microsoft Entra, protože přihlášení nepoužívá přihlašovací údaje Microsoft Entra.

Poznámka:

V hybridním prostředí Windows připojeném k Microsoft Entra dochází k asynchronnímu vydání primárního obnovovacího tokenu (PRT). Vydání PRT může selhat kvůli problémům s poskytovatelem federace. K tomuto selhání může dojít při potížích s přihlášením, když se uživatelé pokusí získat přístup ke cloudovým prostředkům. Tento scénář je důležité vyřešit u poskytovatele federace.

Krok	Popis
A	Uživatel zadá heslo do přihlašovacího uživatelského rozhraní. LogonUI předává přihlašovací údaje v vyrovnávací paměti ověřování do LSA, což se pak interně předává do CloudAP. CloudAP tento požadavek předá modulu plug-in CloudAP.
B	Plugin CloudAP iniciuje žádost o zjištění oblasti k identifikaci poskytovatele identity pro uživatele. Pokud má tenant uživatele nastaveného federačního zprostředkovatele, vrátí ID Microsoft Entra MEX koncový bod tohoto zprostředkovatele federace. Pokud ne, Microsoft Entra ID vrátí, že je uživatel spravován, což znamená, že se uživatel může ověřit pomocí Microsoft Entra ID.
C	Pokud je uživatel spravovaný, CloudAP získá jednorázový klíč (nonce) z Microsoft Entra ID. Pokud je uživatel federovaný, modul plug-in CloudAP požádá o token SAML (Security Assertion Markup Language) od zprostředkovatele federace s přihlašovacími údaji uživatele. Nonce je vyžadován jako předběžná podmínka před odesláním tokenu SAML do Microsoft Entra ID.
D	Modul plug-in CloudAP vytvoří žádost o ověření s přihlašovacími údaji uživatele, nonce a rozsahem zprostředkovatele, podepíše žádost klíčem zařízení (dkpriv) a odešle ji do Microsoft Entra ID. V federovaném prostředí používá modul plug-in CloudAP token SAML vrácený federačním zprostředkovatelem místo přihlašovacích údajů uživatele.
E	Id Microsoft Entra ověřuje přihlašovací údaje uživatele, nonce a podpis zařízení, kontroluje platnost zařízení v tenantovi a vydává šifrovaný PRT. Spolu s PRT vydává Microsoft Entra ID také symetrický klíč nazývaný klíč relace, který je šifrován ID Microsoft Entra s využitím transportního klíče (tkpub). Kromě toho je klíč relace také vložen do PRT. Tento klíč relace funguje jako klíč důkaz o vlastnictví (PoP) pro následné požadavky s PRT.
F	Modul plug-in CloudAP předává šifrovaný PRT a klíč relace do CloudAP. CloudAP požádá TPM o dešifrování klíče relace pomocí přenosového klíče (tkpriv) a znovu ho zašifruje pomocí vlastního klíče TPM. CloudAP ukládá šifrovaný klíč relace do své mezipaměti spolu s PRT.

Prodloužení primární obnovovací tokenu při následných přihlašováních (Windows)

Krok	Popis
A	Uživatel zadá heslo do přihlašovacího uživatelského rozhraní. LogonUI předává přihlašovací údaje v vyrovnávací paměti ověřování do LSA, což se pak interně předává do CloudAP. CloudAP tento požadavek předá modulu plug-in CloudAP.
B	Pokud se uživatel dříve přihlásil k relaci, systém Windows zahájí přihlášení z mezipaměti a ověří přihlašovací údaje pro přihlášení uživatele. Modul plug-in CloudAP každých 4 hodin zahájí obnovení PRT asynchronně.
C	Plugin CloudAP iniciuje žádost o zjištění oblasti k identifikaci poskytovatele identity pro uživatele. Pokud má nájemce uživatele nastaveného poskytovatele federace, vrátí Microsoft Entra ID koncový bod MEX (Metadata Exchange) zprostředkovatele federace. Pokud ne, Microsoft Entra ID vrátí, že je uživatel spravován, což znamená, že se uživatel může ověřit pomocí Microsoft Entra ID.
D	Pokud je uživatel federovaný, modul plug-in CloudAP požádá o token SAML od zprostředkovatele federace pomocí přihlašovacích údajů uživatele. Nonce je vyžadován jako předběžná podmínka před odesláním tokenu SAML do Microsoft Entra ID. Pokud je uživatel spravovaný, CloudAP přímo získává nonce z Microsoft Entra ID.
E	Modul plug-in CloudAP vytvoří žádost o ověření s přihlašovacími údaji uživatele, nepoužitým číslem (nonce) a stávajícím PRT, podepíše žádost klíčem relace a odešle ji do Microsoft Entra ID. V federovaném prostředí používá modul plug-in CloudAP token SAML vrácený federačním zprostředkovatelem místo přihlašovacích údajů uživatele.
F	Microsoft Entra ID ověří podpis klíče relace tím, že ho porovná s klíčem relace vloženým v PRT, ověří nonce a zkontroluje, že zařízení je platné v tenantovi, a vydá nový PRT. Jak bylo vidět již dříve, PRT je opět doprovázen klíčem relace šifrovaným veřejným transportním klíčem (tkpub).
G	Modul plug-in CloudAP předává šifrovaný PRT a klíč relace do CloudAP. CloudAP požádá TPM o dešifrování klíče relace pomocí přenosového klíče (tkpriv) a znovu ho zašifruje pomocí vlastního klíče TPM. CloudAP ukládá šifrovaný klíč relace do své mezipaměti spolu s PRT.

Poznámka:

Externí obnovu PRT je možné provést bez nutnosti připojení k VPN, pokud jsou externě povoleny koncové body usernamemixed.

Použití PRT během žádostí o token aplikace (Windows)

Krok	Popis
A	Aplikace, jako je Microsoft Outlook, iniciuje žádost o token do WAM. WAM zase požádá Microsoft Entra WAM plugin o vyřízení žádosti o token.
B	Pokud je token Aktualizace aplikace již k dispozici, modul plug-in Microsoft Entra WAM ho použije k vyžádání přístupového tokenu. Aby bylo možné poskytnout důkaz o vazbě zařízení, plug-in WAM podepisuje požadavek pomocí relačního klíče. Microsoft Entra ID ověří klíč relace a vydá přístupový token a nový obnovovací token pro aplikaci, zašifrovaný klíčem relace. Zásuvný modul WAM žádá zásuvný modul CloudAP o dešifrování tokenů, který následně požádá TPM o dešifrování pomocí klíče relace, což nakonec umožní zásuvnému modulu WAM získat oba tokeny. Dále modul plug-in WAM poskytuje pouze přístupový token aplikace, zatímco obnovovací token znovu zašifruje pomocí ROZHRANÍ DPAPI a uloží ho do vlastní mezipaměti.
C	Pokud není k dispozici obnovovací token pro aplikaci, modul plug-in Microsoft Entra WAM použije prT k vyžádání přístupového tokenu. Pokud chcete poskytnout důkaz o vlastnictví, modul plug-in WAM podepíše žádost obsahující PRT klíčem relace. Microsoft Entra ID ověří podpis klíče relace tím, že ho porovná s klíčem relace vloženým v PRT, ověří platnost zařízení a vydá přístupový token a obnovovací token pro aplikaci. Kromě toho může Microsoft Entra ID vydat nové PRT (na základě cyklu aktualizace), všechny z nich zašifrované klíčem relace.
D	Zásuvný modul WAM žádá zásuvný modul CloudAP o dešifrování tokenů, který následně požádá TPM o dešifrování pomocí klíče relace, což nakonec umožní zásuvnému modulu WAM získat oba tokeny. V dalším kroku modul plug-in WAM poskytuje pouze přístupový token aplikace, zatímco obnovovací token znovu zašifruje pomocí DPAPI a uloží ho do vlastní mezipaměti. WAM plugin bude nadále používat obnovovací token pro tuto aplikaci. Plugin WAM také předává nový PRT pluginu CloudAP, který ověří PRT pomocí Microsoft Entra ID před aktualizací ve své vlastní mezipaměti. Zásuvný modul CloudAP bude používat nový PRT i nadále.
E	WAM poskytuje nově vydaný přístupový token volající aplikaci.

Jednotné přihlašování v prohlížeči s využitím PRT (Windows)

Krok	Popis
A	Uživatel se přihlásí do Windows pomocí svých přihlašovacích údajů, aby získal PRT. Jakmile uživatel otevře prohlížeč, prohlížeč (nebo rozšíření) načte adresy URL z registru.
B	Když uživatel otevře přihlašovací adresu URL Microsoft Entra, prohlížeč nebo rozšíření ověří adresu URL s adresami získanými z registru. Pokud se shodují, prohlížeč vyvolá nativního hostitele klienta pro získání tokenu.
C	Nativní hostitel klienta ověří, že adresy URL patří zprostředkovatelům identity Microsoftu (účet Microsoft nebo Microsoft Entra ID), extrahuje náhodné číslo z URL a volá modul plug-in CloudAP k získání souboru cookie PRT.
D	Modul plug-in CloudAP vytvoří soubor cookie PRT, podepíše ho klíčem relace vázaném na TPM a odešle ho zpět nativnímu hostiteli klienta.
E	Hostitel nativního klienta vrátí tento PRT soubor cookie do prohlížeče, který ho obsahuje jako součást hlavičky požadavku s názvem x-ms-RefreshTokenCredential a požaduje tokeny z Microsoft Entra ID.
F	Microsoft Entra ID ověří podpis relace na PRT cookie, potvrdí nonce, zajistí, že zařízení je v rámci tenanta platné, a vystaví ID token pro webovou stránku a šifrovaný session cookie pro prohlížeč.

Poznámka:

Tok jednotného přihlašování prohlížeče popsaný v předchozích krocích se nevztahuje na relace v privátních režimech, jako je InPrivate v Microsoft Edge, anonymní režim v Google Chrome (při použití rozšíření Účty Microsoft) nebo v privátním režimu v Mozilla Firefox v91+.

Další kroky

Další informace o řešení problémů souvisejících s PRT najdete v článku Řešení potíží s Windows 10 nebo novějšími a Windows Serverem 2016 hybridně připojenými k Microsoft Entra.