Funcionamiento: Registro de dispositivos
El registro de dispositivos es un requisito previo para la autenticación basada en la nube. Normalmente, los dispositivos se Microsoft Entra ID o Microsoft Entra unidos híbridos para completar el registro de dispositivos. En este artículo se ofrece información detallada sobre cómo funcionan las uniones a Microsoft Entra y las uniones híbridas a Microsoft Entra en entornos administrados y federados. Para más información sobre cómo funciona la autenticación de Microsoft Entra en estos dispositivos, consulte el artículo Token primario de actualización.
Unión a Microsoft Entra en entornos administrados
| Fase | Descripción |
|---|---|
| Un | La manera más común de registrar dispositivos unidos a Microsoft Entra es durante la configuración rápida (OOBE), donde se carga la aplicación web de unión a Microsoft Entra en la aplicación Cloud Experience Host (CXH). La aplicación envía una solicitud GET al punto de conexión de configuración de OpenID de Microsoft Entra para detectar puntos de conexión de autorización. Microsoft Entra ID devuelve la configuración de OpenID, que incluye los puntos de conexión de autorización, a la aplicación como documento JSON. |
| B | La aplicación compila una solicitud de inicio de sesión para el punto de conexión de autorización y recopila las credenciales de usuario. |
| C | Una vez que el usuario proporciona su nombre de usuario (en formato UPN), la aplicación envía una solicitud GET a Microsoft Entra ID para detectar la información de dominio correspondiente del usuario. Esta información determina si el entorno es administrado o federado. Microsoft Entra ID devuelve la información en un objeto JSON. La aplicación determina que el entorno es administrado (no federado). El último paso de esta fase hace que la aplicación cree un búfer de autenticación y, si está en la configuración rápida, lo almacene temporalmente en caché para el inicio de sesión automático al final de esta configuración. La aplicación envía con POST las credenciales a Microsoft Entra ID donde se validan. Microsoft Entra ID devuelve un token de identificador con notificaciones. |
| D | La aplicación busca las condiciones de uso de MDM (la notificación mdm_tou_url). Si existen, la aplicación las recupera del valor de la notificación, presenta el contenido al usuario y espera a que el usuario las acepte. Este paso es opcional y se omite si la notificación no está presente o si su valor está vacío. |
| E | La aplicación envía una solicitud de detección de registro de dispositivos a Azure Device Registration Service (ADRS). Azure DRS devuelve un documento de datos de detección, que devuelve los URI específicos del inquilino para completar el registro del dispositivo. |
| F | La aplicación crea un par de claves RSA de 2048 bits enlazado a TPM (preferido) conocido como clave de dispositivo (dkpub/dkpriv). La aplicación crea una solicitud de certificado mediante dkpub y la clave pública y firma la solicitud de certificado con el uso de dkpriv. A continuación, la aplicación deriva el segundo par de claves de la clave raíz de almacenamiento de TPM. Esta clave es la clave de transporte (tkpub/tkpriv). |
| G | La aplicación envía una solicitud de registro de dispositivo a Azure DRS que incluye el token de identificador, la solicitud de certificado, tkpub y los datos de atestación. Azure DRS valida el token de identificador, crea un identificador de dispositivo y crea un certificado basado en la solicitud de certificado incluida. A continuación, Azure DRS escribe un objeto de dispositivo en Microsoft Entra ID y envía el identificador de dispositivo y el certificado de dispositivo al cliente. |
| H | El registro del dispositivo se completa al recibir el identificador de dispositivo y el certificado de dispositivo de Azure DRS. El identificador de dispositivo se guarda para futuras referencias (se puede ver desde dsregcmd.exe /status) y el certificado de dispositivo se instala en el almacén Personal del equipo. Una vez completado el registro del dispositivo, el proceso continúa con la inscripción de MDM. |
Unión a Microsoft Entra en entornos federados
| Fase | Descripción |
|---|---|
| Un | La manera más común de registrar dispositivos unidos a Microsoft Entra es durante la configuración rápida (OOBE), donde se carga la aplicación web de unión a Microsoft Entra en la aplicación Cloud Experience Host (CXH). La aplicación envía una solicitud GET al punto de conexión de configuración de OpenID de Microsoft Entra para detectar puntos de conexión de autorización. Microsoft Entra ID devuelve la configuración de OpenID, que incluye los puntos de conexión de autorización, a la aplicación como documento JSON. |
| B | La aplicación compila una solicitud de inicio de sesión para el punto de conexión de autorización y recopila las credenciales de usuario. |
| C | Una vez que el usuario proporciona su nombre de usuario (en formato UPN), la aplicación envía una solicitud GET a Microsoft Entra ID para detectar la información de dominio correspondiente del usuario. Esta información determina si el entorno es administrado o federado. Microsoft Entra ID devuelve la información en un objeto JSON. La aplicación determina que el entorno es federado. La aplicación redirige al valor AuthURL (página de inicio de sesión del servicio de token de seguridad local) en el objeto de dominio JSON devuelto. La aplicación recopila credenciales por medio de la página web del servicio de token de seguridad. |
| D | La aplicación envía con POST la credencial al servicio de token de seguridad local, lo que puede requerir factores adicionales de autenticación. El servicio de token de seguridad local autentica al usuario y devuelve un token. La aplicación post el token para Microsoft Entra ID de autenticación. Microsoft Entra ID valida el token y devuelve un token de identificador con notificaciones. |
| E | La aplicación busca las condiciones de uso de MDM (la notificación mdm_tou_url). Si existen, la aplicación las recupera del valor de la notificación, presenta el contenido al usuario y espera a que el usuario las acepte. Este paso es opcional y se omite si la notificación no está presente o si su valor está vacío. |
| F | La aplicación envía una solicitud de detección de registro de dispositivos a Azure Device Registration Service (ADRS). Azure DRS devuelve un documento de datos de detección, que devuelve los URI específicos del inquilino para completar el registro del dispositivo. |
| G | La aplicación crea un par de claves RSA de 2048 bits enlazado a TPM (preferido) conocido como clave de dispositivo (dkpub/dkpriv). La aplicación crea una solicitud de certificado mediante dkpub y la clave pública y firma la solicitud de certificado con el uso de dkpriv. A continuación, la aplicación deriva el segundo par de claves de la clave raíz de almacenamiento de TPM. Esta clave es la clave de transporte (tkpub/tkpriv). |
| H | La aplicación envía una solicitud de registro de dispositivo a Azure DRS que incluye el token de identificador, la solicitud de certificado, tkpub y los datos de atestación. Azure DRS valida el token de identificador, crea un identificador de dispositivo y crea un certificado basado en la solicitud de certificado incluida. A continuación, Azure DRS escribe un objeto de dispositivo en Microsoft Entra ID y envía el identificador de dispositivo y el certificado de dispositivo al cliente. |
| I | El registro del dispositivo se completa al recibir el identificador de dispositivo y el certificado de dispositivo de Azure DRS. El identificador de dispositivo se guarda para futuras referencias (se puede ver desde dsregcmd.exe /status) y el certificado de dispositivo se instala en el almacén Personal del equipo. Una vez completado el registro del dispositivo, el proceso continúa con la inscripción de MDM. |
Unión híbrida a Microsoft Entra en entornos administrados
| Fase | Descripción |
|---|---|
| Un | El usuario inicia sesión en un equipo con Windows 10 o versiones posteriores unido a un dominio con credenciales de dominio. Esta credencial puede ser el nombre de usuario y la contraseña o la autenticación con tarjeta inteligente. El inicio de sesión del usuario desencadena la tarea de combinación automática de dispositivos. La tarea de combinación automática de dispositivos se desencadena en la unión a un dominio y se reintenta cada hora. No depende únicamente del inicio de sesión del usuario. |
| B | La tarea consulta Active Directory mediante el protocolo LDAP para localizar el atributo keywords en el punto de conexión de servicio almacenado en la partición de configuración de Active Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). El valor devuelto en el atributo keywords determina si el registro de dispositivos se dirige a Azure Device Registration Service (ADRS) o al servicio de registro de dispositivos de empresa hospedado en el entorno local. |
| C | Para el entorno administrado, la tarea crea una credencial de autenticación inicial en forma de certificado autofirmado. La tarea escribe el certificado en el atributo userCertificate del objeto de equipo en Active Directory mediante LDAP. |
| D | El equipo no puede autenticarse en Azure DRS hasta que se cree un objeto de dispositivo que represente el equipo que incluye el certificado en el atributo userCertificate en Microsoft Entra ID. Microsoft Entra Connect detecta un cambio de atributo. En el siguiente ciclo de sincronización, Microsoft Entra Connect envía el atributo userCertificate, el GUID del objeto y el SID del equipo a Azure DRS. Azure DRS usa la información del atributo para crear un objeto de dispositivo en Microsoft Entra ID. |
| E | La tarea de combinación automática de dispositivos se desencadena con cada inicio de sesión de usuario o cada hora, e intenta autenticar el equipo en Microsoft Entra ID mediante la clave privada correspondiente de la clave pública en el atributo userCertificate. Microsoft Entra autentica el equipo y emite un token de identificador al equipo. |
| V | La tarea crea un par de claves RSA de 2048 bits enlazado a TPM (preferido) conocido como clave de dispositivo (dkpub/dkpriv). La aplicación crea una solicitud de certificado mediante dkpub y la clave pública y firma la solicitud de certificado con el uso de dkpriv. A continuación, la aplicación deriva el segundo par de claves de la clave raíz de almacenamiento de TPM. Esta clave es la clave de transporte (tkpub/tkpriv). |
| G | La tarea envía una solicitud de registro de dispositivo a Azure DRS que incluye el token de identificador, la solicitud de certificado, tkpub y los datos de atestación. Azure DRS valida el token de identificador, crea un identificador de dispositivo y crea un certificado basado en la solicitud de certificado incluida. A continuación, Azure DRS actualiza el objeto de dispositivo en Microsoft Entra ID y envía el identificador de dispositivo y el certificado de dispositivo al cliente. |
| H | El registro del dispositivo se completa al recibir el identificador de dispositivo y el certificado de dispositivo de Azure DRS. El identificador de dispositivo se guarda para futuras referencias (se puede ver desde dsregcmd.exe /status) y el certificado de dispositivo se instala en el almacén Personal del equipo. Una vez completado el registro del dispositivo, se cierra la tarea. |
Unión híbrida a Microsoft Entra en entornos federados
| Fase | Descripción |
|---|---|
| Un | El usuario inicia sesión en un equipo con Windows 10 o versiones posteriores unido a un dominio con credenciales de dominio. Esta credencial puede ser el nombre de usuario y la contraseña o la autenticación con tarjeta inteligente. El inicio de sesión del usuario desencadena la tarea de combinación automática de dispositivos. La tarea de combinación automática de dispositivos se desencadena en la unión a un dominio y se reintenta cada hora. No depende únicamente del inicio de sesión del usuario. |
| B | La tarea consulta Active Directory mediante el protocolo LDAP para localizar el atributo keywords en el punto de conexión de servicio almacenado en la partición de configuración de Active Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). El valor devuelto en el atributo keywords determina si el registro de dispositivos se dirige a Azure Device Registration Service (ADRS) o al servicio de registro de dispositivos de empresa hospedado en el entorno local. |
| C | Para los entornos federados, el equipo autentica el punto de conexión de registro de dispositivos de empresa mediante la autenticación integrada de Windows. El servicio de registro de dispositivos de empresa crea y devuelve un token que incluye notificaciones para el GUID del objeto, el SID del equipo y el estado de unión al dominio. La tarea envía el token y las notificaciones a Microsoft Entra ID, donde se validan. Microsoft Entra ID devuelve un token de identificador a la tarea que se está ejecutando. |
| D | La aplicación crea un par de claves RSA de 2048 bits enlazado a TPM (preferido) conocido como clave de dispositivo (dkpub/dkpriv). La aplicación crea una solicitud de certificado mediante dkpub y la clave pública y firma la solicitud de certificado con el uso de dkpriv. A continuación, la aplicación deriva el segundo par de claves de la clave raíz de almacenamiento de TPM. Esta clave es la clave de transporte (tkpub/tkpriv). |
| E | Para proporcionar el inicio de sesión único para una aplicación federada local, la tarea solicita un PRT empresarial desde el servicio de token de seguridad local. Windows Server 2016 ejecuta el rol Servicios de federación de Active Directory (AD FS) para validar la solicitud y devolverla a la tarea en ejecución. |
| F | La tarea envía una solicitud de registro de dispositivo a Azure DRS que incluye el token de identificador, la solicitud de certificado, tkpub y los datos de atestación. Azure DRS valida el token de identificador, crea un identificador de dispositivo y crea un certificado basado en la solicitud de certificado incluida. A continuación, Azure DRS escribe un objeto de dispositivo en Microsoft Entra ID y envía el identificador de dispositivo y el certificado de dispositivo al cliente. El registro del dispositivo se completa al recibir el identificador de dispositivo y el certificado de dispositivo de Azure DRS. El identificador de dispositivo se guarda para futuras referencias (se puede ver desde dsregcmd.exe /status) y el certificado de dispositivo se instala en el almacén Personal del equipo. Una vez completado el registro del dispositivo, se cierra la tarea. |
| G | Si se habilita la escritura diferida de dispositivo en Microsoft Entra Connect, esta herramienta solicita actualizaciones de Microsoft Entra en su siguiente ciclo de sincronización (la escritura diferida de dispositivo se requiere para la implementación híbrida mediante la confianza de certificados). Microsoft Entra ID correlaciona el objeto de dispositivo con un objeto de equipo sincronizado correspondiente. Microsoft Entra Connect recibe el objeto de dispositivo que incluye el GUID del objeto y el SID del equipo, y escribe el objeto de dispositivo en Active Directory. |