Funktionsweise: Geräteregistrierung
Die Geräteregistrierung ist eine Voraussetzung für die cloudbasierte Authentifizierung. In der Regel werden Geräte in Microsoft Entra ID oder Microsoft Entra hybrid eingebunden, um die Geräteregistrierung abzuschließen. Dieser Artikel enthält Details dazu, wie Microsoft Entra-Join und Hybrid-Microsoft Entra-Join in verwalteten und Verbundumgebungen funktionieren. Weitere Informationen zur Funktionsweise der Microsoft Entra-Authentifizierung auf diesen Geräten finden Sie im Artikel Primäre Aktualisierungstoken.
In verwaltete Umgebungen eingebundenes Microsoft Entra
| Phase | BESCHREIBUNG |
|---|---|
| A | Die gängigste Methode zur Registrierung von in Microsoft Entra eingebundenen Geräten wird während der Out-of-Box-Experience (OOBE) ausgeführt, bei der die Microsoft Entra Join-Webanwendung in die Cloud Experience Host-Anwendung (CXH) geladen wird. Die Anwendung sendet eine GET-Anforderung an den Microsoft Entra OpenID-Konfigurationsendpunkt, um Autorisierungsendpunkte zu ermitteln. Microsoft Entra ID gibt die OpenID-Konfiguration mit den Autorisierungsendpunkten als JSON-Dokument an die Anwendung zurück. |
| b | Die Anwendung erstellt eine Anmeldeanforderung für den Autorisierungsendpunkt und sammelt Benutzeranmeldeinformationen. |
| C | Nachdem der Benutzer seinen Benutzernamen (im UPN-Format) angegeben hat, sendet die Anwendung eine GET-Anforderung an Microsoft Entra ID, um entsprechende Bereichsinformationen für den Benutzer zu ermitteln. Diese Informationen bestimmen, ob die Umgebung verwaltet wird oder im Verbund ist. Microsoft Entra ID gibt die Informationen in einem JSON-Objekt zurück. Die Anwendung bestimmt, dass die Umgebung verwaltet wird (nicht im Verbund ist). Im letzten Schritt dieser Phase erstellt die Anwendung einen Authentifizierungspuffer und (falls in OOBE) speichert ihn für automatische Anmeldung am Ende der OOBE vorübergehend zwischen. Die Anwendung sendet die Anmeldeinformationen an Microsoft Entra ID, wo sie überprüft werden. Microsoft Entra ID gibt ein ID-Token mit Ansprüchen zurück. |
| S | Die Anwendung sucht nach MDM-Nutzungsbedingungen (dem Anspruch „mdm_tou_url“). Falls vorhanden, ruft die Anwendung diese Bedingungen aus dem Wert des Anspruchs ab, stellt dem Benutzer den Inhalt bereit und wartet darauf, dass der Benutzer die Bedingungen akzeptiert. Dieser Schritt ist optional und wird übersprungen, wenn der Anspruch nicht vorhanden oder der Anspruchswert leer ist. |
| E | Die Anwendung sendet eine Anforderung zur Ermittlung der Geräteregistrierung an den Azure-Geräteregistrierungsdienst (Azure Device Registration Service, Azure DRS, ADRS). Azure DRS gibt ein Ermittlungsdatendokument zurück, das wiederum mandantenspezifische URIs zurückgibt, um die Geräteregistrierung abzuschließen. |
| F | Die Anwendung erstellt ein TPM-gebundenes (bevorzugtes) RSA 2048-Bit-Schlüsselpaar, das als „Geräteschlüssel“ („dkpub“/„dkpriv“) bezeichnet wird. Die Anwendung erstellt eine Zertifikatanforderung mithilfe von „dkpub“ und dem öffentlichen Schlüssel und signiert die Anforderung mithilfe von „dkpriv“. Als Nächstes leitet die Anwendung das zweite Schlüsselpaar vom Speicherstammschlüssel des TPM ab. Dieser Schlüssel ist der „Transportschlüssel“ („tkpub“/„tkpriv“). |
| G | Die Anwendung sendet eine Geräteregistrierungsanforderung mit dem ID-Token, der Zertifikatanforderung, „tkpub“ und den Nachweisdaten an Azure DRS. Azure DRS überprüft das ID-Token, erstellt eine Geräte-ID und dann basierend auf der enthaltenen Zertifikatanforderung ein Zertifikat. Anschließend schreibt Azure DRS ein Geräteobjekt in Microsoft Entra ID und sendet die Geräte-ID und das Gerätezertifikat an den Client. |
| H | Die Geräteregistrierung wird durch den Empfang der Geräte-ID und des Gerätezertifikats von Azure DRS abgeschlossen. Die Geräte-ID wird als künftige Referenz gespeichert (kann über dsregcmd.exe /status angezeigt werden) und das Gerätezertifikat im Persönlichen Speicher des Computers installiert. Nach Abschluss der Geräteregistrierung wird der Prozess mit der MDM-Registrierung fortgesetzt. |
In Verbundumgebungen eingebundenes Microsoft Entra
| Phase | BESCHREIBUNG |
|---|---|
| A | Die gängigste Methode zur Registrierung von in Microsoft Entra eingebundenen Geräten wird während der Out-of-Box-Experience (OOBE) ausgeführt, bei der die Microsoft Entra Join-Webanwendung in die Cloud Experience Host-Anwendung (CXH) geladen wird. Die Anwendung sendet eine GET-Anforderung an den Microsoft Entra OpenID-Konfigurationsendpunkt, um Autorisierungsendpunkte zu ermitteln. Microsoft Entra ID gibt die OpenID-Konfiguration mit den Autorisierungsendpunkten als JSON-Dokument an die Anwendung zurück. |
| b | Die Anwendung erstellt eine Anmeldeanforderung für den Autorisierungsendpunkt und sammelt Benutzeranmeldeinformationen. |
| C | Nachdem der Benutzer seinen Benutzernamen (im UPN-Format) angegeben hat, sendet die Anwendung eine GET-Anforderung an Microsoft Entra ID, um entsprechende Bereichsinformationen für den Benutzer zu ermitteln. Diese Informationen bestimmen, ob die Umgebung verwaltet wird oder im Verbund ist. Microsoft Entra ID gibt die Informationen in einem JSON-Objekt zurück. Die Anwendung bestimmt, dass die Umgebung im Verbund ist. Die Anwendung leitet an den Wert „AuthURL“ (lokale STS-Anmeldeseite) im zurückgegebenen JSON-Bereichsobjekt um. Die Anwendung sammelt Anmeldeinformationen über die STS-Webseite (Security Token Service, Sicherheitstokendienst). |
| D | Die Anwendung sendet die Anmeldeinformationen an den lokalen STS, wodurch zusätzliche Authentifizierungsfaktoren erforderlich werden können. Der lokale STS authentifiziert den Benutzer und gibt ein Token zurück. Die Anwendung sendet das Token zur Authentifizierung an Microsoft Entra ID. Microsoft Entra ID überprüft das Token und gibt ein ID-Token mit Ansprüchen zurück. |
| E | Die Anwendung sucht nach MDM-Nutzungsbedingungen (dem Anspruch „mdm_tou_url“). Falls vorhanden, ruft die Anwendung diese Bedingungen aus dem Wert des Anspruchs ab, stellt dem Benutzer den Inhalt bereit und wartet darauf, dass der Benutzer die Bedingungen akzeptiert. Dieser Schritt ist optional und wird übersprungen, wenn der Anspruch nicht vorhanden oder der Anspruchswert leer ist. |
| F | Die Anwendung sendet eine Anforderung zur Ermittlung der Geräteregistrierung an den Azure-Geräteregistrierungsdienst (Azure Device Registration Service, Azure DRS, ADRS). Azure DRS gibt ein Ermittlungsdatendokument zurück, das wiederum mandantenspezifische URIs zurückgibt, um die Geräteregistrierung abzuschließen. |
| G | Die Anwendung erstellt ein TPM-gebundenes (bevorzugtes) RSA 2048-Bit-Schlüsselpaar, das als „Geräteschlüssel“ („dkpub“/„dkpriv“) bezeichnet wird. Die Anwendung erstellt eine Zertifikatanforderung mithilfe von „dkpub“ und dem öffentlichen Schlüssel und signiert die Anforderung mithilfe von „dkpriv“. Als Nächstes leitet die Anwendung das zweite Schlüsselpaar vom Speicherstammschlüssel des TPM ab. Dieser Schlüssel ist der „Transportschlüssel“ („tkpub“/„tkpriv“). |
| H | Die Anwendung sendet eine Geräteregistrierungsanforderung mit dem ID-Token, der Zertifikatanforderung, „tkpub“ und den Nachweisdaten an Azure DRS. Azure DRS überprüft das ID-Token, erstellt eine Geräte-ID und dann basierend auf der enthaltenen Zertifikatanforderung ein Zertifikat. Anschließend schreibt Azure DRS ein Geräteobjekt in Microsoft Entra ID und sendet die Geräte-ID und das Gerätezertifikat an den Client. |
| I | Die Geräteregistrierung wird durch den Empfang der Geräte-ID und des Gerätezertifikats von Azure DRS abgeschlossen. Die Geräte-ID wird als künftige Referenz gespeichert (kann über dsregcmd.exe /status angezeigt werden) und das Gerätezertifikat im Persönlichen Speicher des Computers installiert. Nach Abschluss der Geräteregistrierung wird der Prozess mit der MDM-Registrierung fortgesetzt. |
In verwaltete Umgebungen hybrid eingebundenes Microsoft Entra
| Phase | BESCHREIBUNG |
|---|---|
| Ein | Der Benutzer meldet sich mithilfe von Domänenanmeldeinformationen bei einem in die Domäne eingebundenen Computer mit Windows 10 oder höher an. Diese Anmeldeinformationen können ein Benutzername und Kennwort oder eine Smartcard-Authentifizierung sein. Die Benutzeranmeldung löst die Aufgabe „Automatische Geräteeinbindung“ aus. Die Aufgabe „Automatische Geräteeinbindung“ wird beim Domänenbeitritt ausgelöst und stündlich wiederholt. Dies ist nicht ausschließlich abhängig von der Benutzeranmeldung. |
| B | Die Aufgabe fragt Active Directory mithilfe des LDAP-Protokolls für das Attribut „keywords“ auf dem Dienstverbindungspunkt ab, der in Azure Directory in der Konfigurationspartition gespeichert ist (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). Der im Attribut „keywords“ zurückgegebene Wert bestimmt, ob die Geräteregistrierung an den Azure-Geräteregistrierungsdienst (Azure Device Registration Service, Azure DRS, ADRS) oder den lokal gehosteten Unternehmensgeräteregistrierungsdienst geleitet wird. |
| C | Die Aufgabe erstellt für die verwaltete Umgebung Anmeldeinformationen zur anfänglichen Authentifizierung in Form eines selbstsignierten Zertifikats. Die Aufgabe schreibt das Zertifikat mithilfe von LDAP in das Attribut „userCertificate“ des Computerobjekts in Active Directory. |
| S | Der Computer kann sich bei Azure DRS erst dann authentifizieren, wenn in Microsoft Entra ID ein Geräteobjekt erstellt wurde, das den Computer mit dem Zertifikat für das Attribut „userCertificate“ darstellt. Microsoft Entra Connect erkennt eine Attributänderung. Im nächsten Synchronisierungszyklus sendet Microsoft Entra Connect das Attribut „userCertificate“, die Objekt-GUID und die Computer-SID an Azure DRS. Azure DRS verwendet die Attributinformationen zum Erstellen eines Geräteobjekts in Microsoft Entra ID. |
| E | Die Aufgabe „Automatischer Gerätebeitritt“ wird bei jeder Benutzeranmeldung oder stündlich ausgelöst. Sie versucht, den Computer mithilfe des entsprechenden privaten Schlüssels des öffentlichen Schlüssels im Attribut „userCertificate“ bei Microsoft Entra ID zu authentifizieren. Microsoft Entra authentifiziert den Computer und gibt ein ID-Token für ihn aus. |
| F | Die Aufgabe erstellt ein TPM-gebundenes (bevorzugtes) RSA 2048-Bit-Schlüsselpaar, das als „Geräteschlüssel“ („dkpub“/„dkpriv“) bezeichnet wird. Die Anwendung erstellt eine Zertifikatanforderung mithilfe von „dkpub“ und dem öffentlichen Schlüssel und signiert die Anforderung mithilfe von „dkpriv“. Als Nächstes leitet die Anwendung das zweite Schlüsselpaar vom Speicherstammschlüssel des TPM ab. Dieser Schlüssel ist der „Transportschlüssel“ („tkpub“/„tkpriv“). |
| G | Die Aufgabe sendet eine Geräteregistrierungsanforderung mit dem ID-Token, der Zertifikatanforderung, „tkpub“ und den Nachweisdaten an Azure DRS. Azure DRS überprüft das ID-Token, erstellt eine Geräte-ID und dann basierend auf der enthaltenen Zertifikatanforderung ein Zertifikat. Anschließend aktualisiert Azure DRS das Geräteobjekt in Microsoft Entra ID und sendet die Geräte-ID und das Gerätezertifikat an den Client. |
| H | Die Geräteregistrierung wird durch den Empfang der Geräte-ID und des Gerätezertifikats von Azure DRS abgeschlossen. Die Geräte-ID wird als künftige Referenz gespeichert (kann über dsregcmd.exe /status angezeigt werden) und das Gerätezertifikat im Persönlichen Speicher des Computers installiert. Mit dem Abschluss der Geräteregistrierung wird die Aufgabe beendet. |
In Verbundumgebungen hybrid eingebundenes Microsoft Entra
| Phase | BESCHREIBUNG |
|---|---|
| Ein | Der Benutzer meldet sich mithilfe von Domänenanmeldeinformationen bei einem in die Domäne eingebundenen Computer mit Windows 10 oder höher an. Diese Anmeldeinformationen können ein Benutzername und Kennwort oder eine Smartcard-Authentifizierung sein. Die Benutzeranmeldung löst die Aufgabe „Automatische Geräteeinbindung“ aus. Die Aufgabe „Automatische Geräteeinbindung“ wird beim Domänenbeitritt ausgelöst und stündlich wiederholt. Dies ist nicht ausschließlich abhängig von der Benutzeranmeldung. |
| B | Die Aufgabe fragt Active Directory mithilfe des LDAP-Protokolls für das Attribut „keywords“ auf dem Dienstverbindungspunkt ab, der in Azure Directory in der Konfigurationspartition gespeichert ist (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). Der im Attribut „keywords“ zurückgegebene Wert bestimmt, ob die Geräteregistrierung an den Azure-Geräteregistrierungsdienst (Azure Device Registration Service, Azure DRS, ADRS) oder den lokal gehosteten Unternehmensgeräteregistrierungsdienst geleitet wird. |
| C | Bei den Verbundumgebungen authentifiziert der Computer den Endpunkt für Unternehmensgeräteregistrierung mithilfe von integrierter Windows-Authentifizierung. Der Unternehmensgeräteregistrierungsdienst erstellt ein Token, das Ansprüche für die Objekt-GUID, die Computer-SID und den mit der Domäne verknüpften Zustand enthält, und gibt es zurück. Die Aufgabe übermittelt das Token und die Ansprüche an Microsoft Entra ID, wo sie überprüft werden. Microsoft Entra ID gibt ein ID-Token an die gerade ausgeführte Aufgabe zurück. |
| S | Die Anwendung erstellt ein TPM-gebundenes (bevorzugtes) RSA 2048-Bit-Schlüsselpaar, das als „Geräteschlüssel“ („dkpub“/„dkpriv“) bezeichnet wird. Die Anwendung erstellt eine Zertifikatanforderung mithilfe von „dkpub“ und dem öffentlichen Schlüssel und signiert die Anforderung mithilfe von „dkpriv“. Als Nächstes leitet die Anwendung das zweite Schlüsselpaar vom Speicherstammschlüssel des TPM ab. Dieser Schlüssel ist der „Transportschlüssel“ („tkpub“/„tkpriv“). |
| E | Zum Bereitstellen von SSO für lokale Verbundanwendungen fordert die Aufgabe ein Unternehmens-PRT (Primary Refresh Token, Primäres Aktualisierungstoken) vom lokalen STS an. Windows Server 2016-Server, auf denen die Rolle „Active Directory-Verbunddienste (AD FS)“ ausgeführt wird, überprüfen die Anforderung und geben sie an die gerade ausgeführte Aufgabe zurück. |
| F | Die Aufgabe sendet eine Geräteregistrierungsanforderung mit dem ID-Token, der Zertifikatanforderung, „tkpub“ und den Nachweisdaten an Azure DRS. Azure DRS überprüft das ID-Token, erstellt eine Geräte-ID und dann basierend auf der enthaltenen Zertifikatanforderung ein Zertifikat. Anschließend schreibt Azure DRS ein Geräteobjekt in Microsoft Entra ID und sendet die Geräte-ID und das Gerätezertifikat an den Client. Die Geräteregistrierung wird durch den Empfang der Geräte-ID und des Gerätezertifikats von Azure DRS abgeschlossen. Die Geräte-ID wird als künftige Referenz gespeichert (kann über dsregcmd.exe /status angezeigt werden) und das Gerätezertifikat im Persönlichen Speicher des Computers installiert. Mit dem Abschluss der Geräteregistrierung wird die Aufgabe beendet. |
| G | Wenn das Geräterückschreiben in Microsoft Entra Connect aktiviert ist, fordert Microsoft Entra Connect Updates von Microsoft Entra ID bei seinem nächsten Synchronisierungszyklus an (das Geräterückschreiben ist für die Hybridbereitstellung mithilfe von Zertifikatvertrauen erforderlich). Microsoft Entra ID korreliert das Geräteobjekt mit einem übereinstimmenden synchronisierten Computerobjekt. Microsoft Entra Connect empfängt das Geräteobjekt mit der Objekt-GUID und Computer-SID und schreibt es in Active Directory. |