Mi az az elsődleges frissítési jogkivonat?
Az elsődleges frissítési jogkivonat (PRT) a Microsoft Entra-hitelesítés kulcsösszetevője Windows 10 vagy újabb, Windows Server 2016 és újabb verziók, iOS és Android rendszerű eszközökön. Ez egy JSON webes jogkivonat (JWT), amelyet kifejezetten a Microsoft első féltől származó jogkivonat-közvetítőinek adnak ki, hogy lehetővé tegyék az egyszeri bejelentkezést (SSO) az ezeken az eszközökön használt alkalmazásokon. Ebben a cikkben részletesen bemutatjuk, hogyan történik a PRT kiadása, használata és védelme Windows 10 vagy újabb eszközökön. Javasoljuk, hogy a legjobb egyszeri bejelentkezéshez használja a Windows 10, a Windows 11 és a Windows Server 2019+ legújabb verzióit.
Ez a cikk feltételezi, hogy már ismeri a Microsoft Entra ID-ban elérhető különböző eszközállapotokat, valamint az egyszeri bejelentkezés működését a Windows 10-ben vagy újabb rendszerben. A Microsoft Entra ID-ban lévő eszközökkel kapcsolatos további információkért tekintse meg a Microsoft Entra ID eszközfelügyeletét ismertető cikket ?
Főbb terminológia és összetevők
A következő Windows-összetevők kulcsszerepet játszanak a PRT kérésében és használatában:
- Cloud Authentication Provider (CloudAP): A CloudAP a Windows bejelentkezés modern hitelesítési szolgáltatója, amely ellenőrzi, hogy a felhasználók bejelentkeznek-e Egy Windows 10 vagy újabb eszközre. A CloudAP olyan beépülő modul-keretrendszert biztosít, amelyre az identitásszolgáltatók építhetnek az identitásszolgáltató hitelesítő adataival történő Windows-hitelesítés engedélyezéséhez.
- Web Account Manager (WAM): A WAM az alapértelmezett jogkivonat-közvetítő Windows 10 vagy újabb eszközökön. A WAM emellett egy beépülő modul-keretrendszert is biztosít, amelyre az identitásszolgáltatók építhetnek, és engedélyezhetik az egyszeri bejelentkezést az alkalmazásuk számára az identitásszolgáltatóra támaszkodva.
- Microsoft Entra CloudAP beépülő modul: a CloudAP-keretrendszerre épülő Microsoft Entra-specifikus beépülő modul, amely a Windows-bejelentkezés során a Microsoft Entra ID azonosítóval ellenőrzi a felhasználói hitelesítő adatokat.
- Microsoft Entra WAM beépülő modul: a WAM-keretrendszerre épülő Microsoft Entra-specifikus beépülő modul, amely lehetővé teszi az egyszeri bejelentkezést olyan alkalmazások számára, amelyek a Hitelesítéshez a Microsoft Entra-azonosítóra támaszkodnak.
- Dsreg: a Windows 10 vagy újabb rendszeren futó Microsoft Entra-összetevő, amely az eszközregisztrációs folyamatot kezeli az összes eszközállapot esetében.
- Megbízható platformmodul (TPM): A TPM egy olyan hardverösszetevő, amely egy olyan eszközbe van beépítve, amely hardveralapú biztonsági funkciókat biztosít a felhasználói és az eszköz titkos kulcsainak. További részletekért tekintse meg a Megbízható platform modul technológia áttekintése című cikket.
Mit tartalmaz a PRT?
A PRT a Microsoft Entra ID frissítési jogkivonataiban található jogcímeket tartalmazza. Emellett a PRT tartalmaz néhány eszközspecifikus jogcímet is. Ezek a következők:
- Eszközazonosító: A rendszer prT-t ad ki egy adott eszközön lévő felhasználónak. Az eszközazonosító jogcím
deviceIDhatározza meg azt az eszközt, amelyen a PRT-t kiadták a felhasználónak. Ezt a jogcímet később a PRT-en keresztül beszerzett jogkivonatokra bocsátjuk ki. Az eszközazonosító-jogcím a feltételes hozzáférés engedélyezésének meghatározására szolgál az eszközállapot vagy a megfelelőség alapján. - Munkamenetkulcs: A munkamenetkulcs egy titkosított szimmetrikus kulcs, amelyet a Microsoft Entra hitelesítési szolgáltatás állít elő a PRT részeként. A munkamenetkulcs a birtoklás bizonyítékaként szolgál, ha egy PRT-t használnak a jogkivonatok más alkalmazásokhoz való beszerzéséhez. A munkamenetkulcsot windows 10-en vagy újabb Microsoft Entra-csatlakoztatott eszközökön vagy a Microsoft Entra hibrid csatlakoztatott eszközökön gördítjük, ha az 30 napnál régebbi.
Megnézhetem, mi van a PRT-ben?
A PRT egy átlátszatlan blob, amelyet a Microsoft Entra küldött, amelynek tartalma nem ismert az ügyfélösszetevők számára. Nem látja, mi van a PRT-ben.
Hogyan történik a PRT kiadása?
Az eszközregisztráció előfeltétele az eszközalapú hitelesítésnek a Microsoft Entra-azonosítóban. A PRT-t csak regisztrált eszközökön adják ki a felhasználók számára. Az eszközregisztrációval kapcsolatos részletesebb információkért tekintse meg a Vállalati Windows Hello és az eszközregisztráció című cikket. Az eszközregisztráció során a dsreg összetevő két titkosítási kulcspárt hoz létre:
- Eszközkulcs (dkpub/dkpriv)
- Átviteli kulcs (tkpub/tkpriv)
A titkos kulcsok az eszköz TPM-éhez vannak kötve, ha az eszköz érvényes és működő TPM-sel rendelkezik, míg a nyilvános kulcsokat a rendszer az eszközregisztrációs folyamat során elküldi a Microsoft Entra-azonosítónak. Ezek a kulcsok az eszköz állapotának ellenőrzésére szolgálnak a PRT-kérések során.
A PRT két esetben kerül kiadásra egy Windows 10-es vagy újabb eszközön történő felhasználói hitelesítés során:
- Microsoft Entra-hoz csatlakoztatott vagy hibrid Microsoft Entra-csatlakozás: A windowsos bejelentkezéskor a rendszer prT-t ad ki, amikor egy felhasználó bejelentkezik a szervezeti hitelesítő adataival. A rendszer minden Windows 10 vagy újabb támogatott hitelesítő adattal (például jelszóval és Vállalati Windows Hello) kibocsát egy PRT-t. Ebben a forgatókönyvben a Microsoft Entra CloudAP beépülő modul a PRT elsődleges szolgáltatója.
- Microsoft Entra regisztrált eszköz: A rendszer prT-t ad ki, ha egy felhasználó másodlagos munkahelyi fiókot ad hozzá a Windows 10-hez vagy újabb eszközéhez. A felhasználók kétféleképpen adhatnak hozzá fiókot a Windows 10-hez vagy újabb verzióhoz –
- Fiók hozzáadása a szervezetem által az eszköz kérésének kezeléséhez az alkalmazásba való bejelentkezés után (például Outlook)
- Fiók hozzáadása a Gépház> Accounts>Access Munkahelyi vagy Iskolai> verzióból Csatlakozás
A Microsoft Entra regisztrált eszközforgatókönyvekben a Microsoft Entra WAM beépülő modul az elsődleges szolgáltató a PRT számára, mivel a Windows-bejelentkezés nem ezzel a Microsoft Entra-fiókkal történik.
Feljegyzés
A külső identitásszolgáltatóknak támogatniuk kell a WS-Trust protokollt a PRT-kiállítás engedélyezéséhez Windows 10 vagy újabb eszközökön. WS-Trust nélkül a PRT nem adható ki a Microsoft Entra hibrid csatlakoztatott vagy Microsoft Entra csatlakoztatott eszközökön lévő felhasználók számára. Az AD FS-ben csak felhasználónévvel rendelkező végpontokra van szükség. Az AD FS-en, ha smartcard/certificate a Windows bejelentkezési certificatemixed végpontjai során használják, szükség van rá. Mindkettőt adfs/services/trust/2005/windowstransport csak intranetes végpontként kell engedélyezni, és nem szabad extranet elérésű végpontként elérhetővé tenni a webes alkalmazásproxy adfs/services/trust/13/windowstransport keresztül.
Feljegyzés
A Microsoft Entra feltételes hozzáférési szabályzatai nem lesznek kiértékelve a PRT-k kiadásakor.
Feljegyzés
Nem támogatjuk a külső hitelesítőadat-szolgáltatókat a Microsoft Entra PRT-k kiállításához és megújításához.
Mi a PRT élettartama?
A kibocsátás után a PRT 14 napig érvényes, és folyamatosan megújul, amíg a felhasználó aktívan használja az eszközt.
Hogyan használják a PRT-t?
A PRT-t két fő összetevő használja a Windowsban:
- Microsoft Entra CloudAP beépülő modul: A Windows-bejelentkezés során a Microsoft Entra CloudAP beépülő modul a felhasználó által megadott hitelesítő adatokkal kér egy PRT-t a Microsoft Entra-azonosítótól. Emellett gyorsítótárazza a PRT-t, hogy engedélyezze a gyorsítótárazott bejelentkezést, ha a felhasználó nem rendelkezik internetkapcsolattal.
- Microsoft Entra WAM beépülő modul: Amikor a felhasználók megpróbálnak hozzáférni az alkalmazásokhoz, a Microsoft Entra WAM beépülő modul a PRT használatával engedélyezi az egyszeri bejelentkezést Windows 10 vagy újabb rendszereken. A Microsoft Entra WAM beépülő modul a PRT használatával kér frissítési és hozzáférési jogkivonatokat a WAM-ra támaszkodó alkalmazásokhoz a jogkivonat-kérelmekhez. Emellett engedélyezi az egyszeri bejelentkezést a böngészőkben, ha a PRT-t beszúrja a böngészőkérésekbe. A Windows 10 vagy újabb böngésző egyszeri bejelentkezése támogatott a Microsoft Edge-en (natív módon), a Chrome-on (a Windows 10-fiókokon vagy a Mozilla Firefox v91+ rendszeren keresztül (Firefox Windows SSO-beállítás)
Feljegyzés
Azokban az esetekben, amikor egy felhasználó két fiókkal rendelkezik ugyanabból a Microsoft Entra-bérlőből egy böngészőalkalmazásba bejelentkezve, az elsődleges fiók PRT által biztosított eszközhitelesítés is automatikusan a második fiókra lesz alkalmazva. Ennek eredményeképpen a második fiók is megfelel a bérlő eszközalapú feltételes hozzáférési szabályzatának.
Hogyan újul meg a PRT?
A PRT két különböző módszerrel újul meg:
- Microsoft Entra CloudAP beépülő modul 4 óránként: A CloudAP beépülő modul 4 óránként megújítja a PRT-t a Windows bejelentkezése során. Ha a felhasználónak ez idő alatt nincs internetkapcsolata, a CloudAP beépülő modul megújítja a PRT-t, miután az eszköz csatlakozott az internethez.
- Microsoft Entra WAM beépülő modul alkalmazásjogkivonat-kérések során: A WAM beépülő modul engedélyezi az egyszeri bejelentkezést Windows 10-es vagy újabb eszközökön az alkalmazások csendes jogkivonat-kéréseinek engedélyezésével. A WAM beépülő modul a jogkivonat-kérések során kétféleképpen újíthatja meg a PRT-t:
- Az alkalmazás csendesen kéri a WAM-et egy hozzáférési jogkivonathoz, de az adott alkalmazáshoz nem érhető el frissítési jogkivonat. Ebben az esetben a WAM a PRT használatával kér jogkivonatot az alkalmazáshoz, és egy új PRT-t kap vissza a válaszban.
- Egy alkalmazás WAM-et kér egy hozzáférési jogkivonathoz, de a PRT érvénytelen, vagy a Microsoft Entra-azonosító további engedélyezést igényel (például Microsoft Entra többtényezős hitelesítést). Ebben a forgatókönyvben a WAM egy interaktív bejelentkezést kezdeményez, amely megköveteli a felhasználótól, hogy újrahitelesítse vagy további ellenőrzést biztosítson, és egy új PRT-t ad ki a sikeres hitelesítéshez.
AD FS-környezetben a tartományvezérlő közvetlen látóvonala nem szükséges a PRT megújításához. A PRT megújításához csak /adfs/services/trust/2005/usernamemixed a /adfs/services/trust/13/usernamemixed WS-Trust protokoll használatával engedélyezett végpontok szükségesek proxyn.
A windowsos átviteli végpontokra csak akkor van szükség a jelszóhitelesítéshez, ha a jelszó módosul, a PRT-megújításhoz nem.
Feljegyzés
A Microsoft Entra feltételes hozzáférési szabályzatai nem lesznek kiértékelve a PRT-k megújításakor.
Fő szempontok
- A Microsoft Entra csatlakoztatott és a Microsoft Entra hibrid csatlakoztatott eszközökön a CloudAP beépülő modul a PRT elsődleges szolgáltatója. Ha egy PRT megújul egy WAM-alapú jogkivonat-kérés során, a rendszer visszaküldi a PRT-t a CloudAP beépülő modulba, amely a kérelem elfogadása előtt ellenőrzi a PRT érvényességét a Microsoft Entra-azonosítóval.
Android Platform:
- A PRT 90 napig érvényes, és folyamatosan megújul, amíg az eszköz használatban van. Azonban csak 14 napig érvényes, ha az eszköz nincs használatban.
- A PRT csak a natív alkalmazáshitelesítés során lesz kibocsátva és megújítva. A PRT nem újul meg vagy nem adható ki a böngésző munkamenete során.
- A PRT beszerzéséhez nincs szükség eszközregisztrációra (Munkahelyi csatlakozás), és engedélyezhető az egyszeri bejelentkezés.
- Az eszközregisztráció nélkül beszerzett PRT-k nem felelnek meg az eszköz állapotára vagy megfelelőségére támaszkodó feltételes hozzáférés engedélyezési feltételeinek.
Hogyan védve van a PRT?
A PRT-t azzal védi, hogy a felhasználó által bejelentkezett eszközhöz köti. A Microsoft Entra ID és a Windows 10 vagy újabb verzió az alábbi módszerekkel engedélyezi a PRT-védelmet:
- Az első bejelentkezés során: Az első bejelentkezés során a rendszer az eszközregisztráció során kriptográfiailag generált eszközkulcs használatával történő aláírási kérésekkel állít ki egy PRT-t. Érvényes és működő TPM-vel rendelkező eszközökön az eszközkulcsot a TPM védi, amely megakadályozza a rosszindulatú hozzáférést. A rendszer nem ad ki PRT-t, ha a megfelelő eszközkulcs-aláírás nem érvényesíthető.
- Jogkivonat-kérések és megújítás során: PRT kiadásakor a Microsoft Entra ID egy titkosított munkamenetkulcsot is kiad az eszközre. A rendszer az eszközregisztráció részeként létrehozott és a Microsoft Entra-azonosítónak küldött tömegközlekedési kulccsal (tkpub) titkosítja. Ezt a munkamenetkulcsot csak a TPM által védett privát átviteli kulcs (tkpriv) tudja visszafejteni. A munkamenetkulcs a Microsoft Entra ID-nak küldött kérések esetén a birtoklás igazolása (POP) kulcs. A munkamenetkulcsot a TPM is védi, és más operációsrendszer-összetevő nem férhet hozzá. A jogkivonat-kérelmeket vagy a PRT-megújítási kéréseket ez a munkamenet-kulcs biztonságosan aláírja a TPM-n keresztül, ezért nem módosítható. A Microsoft Entra érvényteleníti az eszközről érkező kéréseket, amelyeket nem a megfelelő munkamenetkulcs ír alá.
A kulcsok TPM-lel való biztonságossá tételével növeljük a PRT biztonságát a rosszindulatú szereplőktől, amelyek megpróbálják ellopni a kulcsokat, vagy visszajátszani a PRT-t. A TPM használata tehát jelentősen növeli a Microsoft Entra-hoz csatlakoztatott, a hibrid Microsoft Entra-hez csatlakoztatott és a Microsoft Entra által regisztrált eszközök biztonságát a hitelesítő adatok ellopása ellen. A teljesítmény és a megbízhatóság érdekében a TPM 2.0 az ajánlott verzió a Windows 10-es vagy újabb Microsoft Entra-eszközregisztrációs forgatókönyvekhez. A Windows 10 1903 frissítésétől kezdve a Microsoft Entra ID megbízhatósági problémák miatt nem használja a TPM 1.2-t a fenti kulcsok egyikéhez sem.
Hogyan védik az alkalmazásjogkivonatokat és a böngésző cookie-kat?
Alkalmazásjogkivonatok: Amikor egy alkalmazás a WAM-en keresztül kér jogkivonatot, a Microsoft Entra ID egy frissítési jogkivonatot és egy hozzáférési jogkivonatot ad ki. A WAM azonban csak a hozzáférési jogkivonatot adja vissza az alkalmazásnak, és a frissítési jogkivonatot a gyorsítótárában a felhasználó adatvédelmi alkalmazásprogramozási felületének (DPAPI) kulcsával történő titkosításával védi. A WAM biztonságosan használja a frissítési jogkivonatot úgy, hogy a kéréseket a munkamenet-kulccsal aláírva további hozzáférési jogkivonatokat ad ki. A DPAPI-kulcsot egy Microsoft Entra ID-alapú szimmetrikus kulcs védi magában a Microsoft Entra-ban. Amikor az eszköznek vissza kell fejtenie a felhasználói profilt a DPAPI-kulccsal, a Microsoft Entra ID megadja a munkamenetkulcs által titkosított DPAPI-kulcsot, amely a CloudAP beépülő modul a TPM-et kéri visszafejtéshez. Ez a funkció biztosítja a frissítési jogkivonatok biztonságossá tételének konzisztenciáját, és elkerüli, hogy az alkalmazások saját védelmi mechanizmusokat implementáljanak.
Böngésző cookie-k: Windows 10 vagy újabb rendszerben a Microsoft Entra ID támogatja a böngésző egyszeri bejelentkezését az Internet Explorerben és a Microsoft Edge-ben natív módon, a Google Chrome-ban a Windows 10 fiókbővítményen keresztül, a Mozilla Firefox v91+ böngészőbeállításon keresztül. A biztonság nem csak a cookie-k védelmére épül, hanem azokra a végpontokra is, amelyekre a cookie-kat küldik. A böngésző cookie-k ugyanúgy védettek, mint a PRT, a munkamenet-kulcs használatával aláírják és védik a cookie-kat.
Amikor egy felhasználó kezdeményez egy böngésző-interakciót, a böngésző (vagy a bővítmény) egy natív COM-ügyfél-gazdagépet hív meg. A natív ügyfél gazdagép biztosítja, hogy a lap az egyik engedélyezett tartományból származik. A böngésző más paramétereket is küldhet a natív ügyfél gazdagépének, beleértve a nem érvényesítést is, azonban a natív ügyfél gazdagépe garantálja a gazdagépnév érvényesítését. A natív ügyfélgazda egy PRT-cookie-t kér a CloudAP beépülő modultól, amely létrehozza és aláírja azt a TPM által védett munkamenet-kulccsal. Mivel a PRT-cookie-t a munkamenetkulcs alá van írva, nehéz illetéktelenül módosítani. Ez a PRT-cookie szerepel a Microsoft Entra ID kérésfejlécében annak ellenőrzéséhez, hogy az eszköz honnan származik. A Chrome böngésző használata esetén csak a natív ügyfél gazdagép jegyzékében explicit módon definiált bővítmény hívhatja meg, amely megakadályozza, hogy tetszőleges bővítmények intézzék ezeket a kéréseket. Miután a Microsoft Entra ID ellenőrzi a PRT-cookie-t, egy munkamenet-cookie-t ad ki a böngészőnek. Ez a munkamenet-cookie ugyanazt a munkamenetkulcsot is tartalmazza, amely egy PRT-vel van kiadva. A későbbi kérések során a munkamenetkulcs hatékonyan kötődik az eszközhöz, és megakadályozza a visszajátszásokat máshonnan.
Mikor kap egy PRT MFA-jogcímet?
A PRT adott esetekben többtényezős hitelesítési jogcímet is lekérhet. Ha egy MFA-alapú PRT-t használ az alkalmazások jogkivonatainak lekéréséhez, az MFA-jogcím át lesz állítva ezekre az alkalmazásjogkivonatokra. Ez a funkció zökkenőmentes felhasználói élményt nyújt azáltal, hogy megakadályozza az MFA-kihívásokat minden olyan alkalmazás esetében, amelyhez szükség van rá. A PRT az alábbi módokon kaphat MFA-jogcímet:
- Bejelentkezés Vállalati Windows Hello: Vállalati Windows Hello jelszavakat cserél le, és titkosítási kulcsokkal erős kéttényezős hitelesítést biztosít. Vállalati Windows Hello egy eszközön lévő felhasználóra vonatkozik, és magának az MFA-nak ki kell építenie. Amikor egy felhasználó bejelentkezik Vállalati Windows Hello, a felhasználó PRT-jének MFA-jogcíme lesz. Ez a forgatókönyv az intelligens kártyákkal bejelentkező felhasználókra is vonatkozik, ha az intelligens kártyás hitelesítés MFA-jogcímet állít elő az AD FS-ből.
- Mivel a Vállalati Windows Hello többtényezős hitelesítésnek számít, az MFA-jogcím frissül, amikor maga a PRT frissül, így az MFA időtartama folyamatosan meghosszabbodik, amikor a felhasználók bejelentkeznek Vállalati Windows Hello.
- MFA a WAM interaktív bejelentkezése során: A WAM-on keresztüli jogkivonat-kérés során, ha egy felhasználónak MFA-t kell tennie az alkalmazás eléréséhez, az interakció során megújított PRT egy MFA-jogcímmel lesz lenyomva.
- Ebben az esetben az MFA-jogcím nem frissül folyamatosan, így az MFA időtartama a címtárban beállított élettartamon alapul.
- Ha egy korábbi meglévő PRT-t és RT-t használnak egy alkalmazáshoz való hozzáféréshez, a PRT és az RT a hitelesítés első bizonyítéka. Egy új RT szükséges egy második igazolással és egy lenyomott MFA-jogcímmel. Ez a folyamat egy új PRT-t és RT-t is kiad.
A Windows 10 vagy újabb rendszer minden hitelesítő adathoz particionált PRT-listát tart fenn. Így minden Vállalati Windows Hello, jelszóhoz vagy intelligens kártyához tartozik egy PRT. Ez a particionálás biztosítja, hogy az MFA-jogcímek a használt hitelesítő adatok alapján legyenek elkülönítve, és ne keveredjen a jogkivonat-kérelmek során.
Feljegyzés
Ha jelszóval jelentkezik be a Windows 10-be vagy az újabb Microsoft Entra-hez csatlakoztatott vagy a Microsoft Entra hibrid csatlakoztatott eszközre, akkor a PRT-hez társított munkamenetkulcs görgetése után szükség lehet az MFA-ra a WAM interaktív bejelentkezése során.
Hogyan érvényteleníti a PRT-t?
A PRT érvénytelenítve van a következő esetekben:
- Érvénytelen felhasználó: Ha egy felhasználót törölnek vagy letiltanak a Microsoft Entra-azonosítóban, a rendszer érvényteleníti a prT-t, és nem használható az alkalmazások jogkivonatainak lekérésére. Ha egy törölt vagy letiltott felhasználó korábban már bejelentkezett egy eszközre, a gyorsítótárazott bejelentkezés bejelentkezteti őket, amíg a CloudAP nem ismeri az érvénytelen állapotukat. Ha a CloudAP megállapítja, hogy a felhasználó érvénytelen, letiltja a későbbi bejelentkezéseket. Az érvénytelen felhasználók automatikusan letiltják a bejelentkezést olyan új eszközökre, amelyeken nincs gyorsítótárazott hitelesítő adataik.
- Érvénytelen eszköz: Ha egy eszközt törölnek vagy letiltanak a Microsoft Entra-azonosítóban, a rendszer érvényteleníti az eszközön beszerzett PRT-t, és nem használható jogkivonatok beszerzésére más alkalmazásokhoz. Ha egy felhasználó már bejelentkezett egy érvénytelen eszközre, folytathatja ezt. Az eszközön található összes jogkivonat azonban érvénytelen, és a felhasználó nem rendelkezik egyszeri bejelentkezést az eszközről származó erőforrásokhoz.
- Jelszómódosítás: Ha egy felhasználó a jelszóval szerezte be a PRT-t, a MICROSOFT Entra-azonosító érvényteleníti a PRT-t, amikor a felhasználó módosítja a jelszavát. A jelszómódosítás azt eredményezi, hogy a felhasználó új PRT-t kap. Ez az érvénytelenítés kétféleképpen történhet:
- Ha a felhasználó új jelszavával jelentkezik be a Windowsba, a CloudAP elveti a régi PRT-t, és kéri a Microsoft Entra-azonosítót, hogy adjon ki egy új PRT-t az új jelszavával. Ha a felhasználó nem rendelkezik internetkapcsolattal, az új jelszó nem érvényesíthető, előfordulhat, hogy a Windows megköveteli a felhasználótól a régi jelszavának megadását.
- Ha egy felhasználó bejelentkezett a régi jelszavával, vagy módosította a jelszavát a Windowsba való bejelentkezés után, a rendszer a régi PRT-t használja minden WAM-alapú jogkivonat-kéréshez. Ebben a forgatókönyvben a rendszer a WAM-jogkivonat kérése során a felhasználót újrahitelesítésre kéri, és új PRT-t ad ki.
- TPM-problémák: Előfordulhat, hogy az eszköz TPM-címe megakad vagy meghibásodik, ami a TPM által védett kulcsok elérhetetlenségét okozza. Ebben az esetben az eszköz nem tud PRT-t lekérni vagy jogkivonatokat kérni egy meglévő PRT használatával, mivel nem tudja bizonyítani a titkosítási kulcsok birtoklását. Ennek eredményeképpen a Microsoft Entra ID érvényteleníti a meglévő PRT-t. Ha a Windows 10 hibát észlel, helyreállítási folyamatot kezdeményez az eszköz új titkosítási kulcsokkal történő újraregisztrálásához. A Microsoft Entra hibrid csatlakoztatásával, akárcsak a kezdeti regisztráció, a helyreállítás csendesen történik felhasználói bemenet nélkül. A Microsoft Entra-hoz csatlakoztatott vagy a Microsoft Entra által regisztrált eszközök esetében a helyreállítást olyan felhasználónak kell elvégeznie, aki rendszergazdai jogosultságokkal rendelkezik az eszközön. Ebben a forgatókönyvben a helyreállítási folyamatot egy Windows-parancssor indítja el, amely végigvezeti a felhasználót az eszköz sikeres helyreállításán.
Részletes folyamatok
Az alábbi ábrák az alkalmazás hozzáférési jogkivonatának kéréséhez szükséges PRT-sel kapcsolatos mögöttes részleteket szemléltetik. Ezek a lépések emellett azt is ismertetik, hogyan alkalmazzák a fent említett biztonsági mechanizmusokat ezen interakciók során.
PRT-kiállítás az első bejelentkezés során
Feljegyzés
A Microsoft Entra-hoz csatlakoztatott eszközökön a Microsoft Entra PRT-kiállítás (A-F lépés) szinkron módon történik, mielőtt a felhasználó bejelentkezhet a Windowsba. A Microsoft Entra hibrid csatlakoztatott eszközeiben a helyi Active Directory az elsődleges szolgáltató. Így a felhasználó bejelentkezhet a Microsoft Entra hibrid csatlakoztatott Windowsba, miután be tud szerezni egy TGT-t a bejelentkezéshez, míg a PRT-kiállítás aszinkron módon történik. Ez a forgatókönyv nem vonatkozik a Microsoft Entra regisztrált eszközeire, mivel a bejelentkezés nem használja a Microsoft Entra hitelesítő adatait.
Feljegyzés
A Hibrid Microsoft Entra-környezetekben a PRT kiállítása aszinkron módon történik. A PRT kiállítása meghiúsulhat az összevonási szolgáltatóval kapcsolatos problémák miatt. Ez a hiba bejelentkezési problémákat okozhat, amikor a felhasználók megpróbálnak hozzáférni a felhőbeli erőforrásokhoz. Fontos, hogy ezt a forgatókönyvet az összevonási szolgáltatóval hárítsa el.
| Lépés | Leírás |
|---|---|
| A | A felhasználó a bejelentkezési felhasználói felületen adja meg a jelszavát. A logonUI átadja a hitelesítő adatokat egy hitelesítési pufferben az LSA-nak, amely viszont belsőleg továbbítja azt a CloudAP-nak. A CloudAP továbbítja ezt a kérést a CloudAP beépülő modulnak. |
| h | A CloudAP beépülő modul egy tartományfelderítési kérést kezdeményez a felhasználó identitásszolgáltatójának azonosításához. Ha a felhasználó bérlője rendelkezik összevonási szolgáltató beállítással, a Microsoft Entra-azonosító az összevonási szolgáltató Metaadat-exchange végpontjának (MEX) végpontját adja vissza. Ha nem, a Microsoft Entra-azonosító azt adja vissza, hogy a felhasználó kezelése azt jelzi, hogy a felhasználó hitelesíthető a Microsoft Entra-azonosítóval. |
| C | Ha a felhasználót kezelik, a CloudAP a Microsoft Entra-azonosítóból szerzi be a nem megkülönböztetést. Ha a felhasználó összevont, a CloudAP beépülő modul biztonsági helyességi korrektúranyelvi (SAML) jogkivonatot kér az összevonási szolgáltatótól a felhasználó hitelesítő adataival. Az SAML-jogkivonat Microsoft Entra-azonosítóba való elküldése előtt a rendszer nem küldi el a nem kódot. |
| T | A CloudAP beépülő modul a hitelesítési kérést a felhasználó hitelesítő adataival, nonce-jával és közvetítői hatókörével hozza létre, aláírja a kérést az Eszköz kulccsal (dkpriv), és elküldi a Microsoft Entra-azonosítónak. Összevont környezetben a CloudAP beépülő modul az összevonási szolgáltató által visszaadott SAML-jogkivonatot használja a felhasználó hitelesítő adatai helyett. |
| E | A Microsoft Entra ID ellenőrzi a felhasználói hitelesítő adatokat, a nem kódot és az eszköz aláírását, ellenőrzi, hogy az eszköz érvényes-e a bérlőben, és kiadja a titkosított PRT-t. A PRT mellett a Microsoft Entra ID egy szimmetrikus kulcsot is kiad, amelyet a Microsoft Entra ID által a Transport kulccsal titkosított munkamenetkulcsnak (tkpub) hívunk. Emellett a munkamenetkulcs is beágyazva van a PRT-be. Ez a munkamenet-kulcs a birtoklás igazolása (PoP) kulcsként működik a PRT-vel való későbbi kérésekhez. |
| F | A CloudAP beépülő modul átadja a titkosított PRT- és munkamenetkulcsot a CloudAP-nak. A CloudAP megkéri a TPM-et, hogy fejtse vissza a munkamenetkulcsot az átviteli kulccsal (tkpriv) és fejtse vissza a TPM saját kulcsával. A CloudAP a titkosított munkamenetkulcsot a gyorsítótárában tárolja a PRT-vel együtt. |
PRT-megújítás a későbbi bejelentkezésekben
| Lépés | Leírás |
|---|---|
| A | A felhasználó a bejelentkezési felhasználói felületen adja meg a jelszavát. A logonUI átadja a hitelesítő adatokat egy hitelesítési pufferben az LSA-nak, amely viszont belsőleg továbbítja azt a CloudAP-nak. A CloudAP továbbítja ezt a kérést a CloudAP beépülő modulnak. |
| h | Ha a felhasználó korábban bejelentkezett a felhasználóba, a Windows kezdeményezi a gyorsítótárazott bejelentkezést, és ellenőrzi a hitelesítő adatokat a felhasználó bejelentkezéséhez. A CloudAP beépülő modul 4 óránként kezdeményezi a PRT-megújítást aszinkron módon. |
| C | A CloudAP beépülő modul egy tartományfelderítési kérést kezdeményez a felhasználó identitásszolgáltatójának azonosításához. Ha a felhasználó bérlője rendelkezik összevonási szolgáltató beállítással, a Microsoft Entra-azonosító az összevonási szolgáltató Metaadat-exchange végpontjának (MEX) végpontját adja vissza. Ha nem, a Microsoft Entra-azonosító azt adja vissza, hogy a felhasználó kezelése azt jelzi, hogy a felhasználó hitelesíthető a Microsoft Entra-azonosítóval. |
| T | Ha a felhasználó összevont, a CloudAP beépülő modul SAML-jogkivonatot kér az összevonási szolgáltatótól a felhasználó hitelesítő adataival. Az SAML-jogkivonat Microsoft Entra-azonosítóba való elküldése előtt a rendszer nem küldi el a nem kódot. Ha a felhasználó kezelése történik, a CloudAP közvetlenül lekéri a microsoft entra-azonosítóból a nem-et. |
| E | A CloudAP beépülő modul a hitelesítési kérést a felhasználó hitelesítő adataival, a nonce-val és a meglévő PRT-vel hozza létre, aláírja a kérést a munkamenet-kulccsal, és elküldi azt a Microsoft Entra-azonosítónak. Összevont környezetben a CloudAP beépülő modul az összevonási szolgáltató által visszaadott SAML-jogkivonatot használja a felhasználó hitelesítő adatai helyett. |
| F | A Microsoft Entra ID ellenőrzi a munkamenetkulcs aláírását a PRT-ben beágyazott munkamenet-kulccsal való összehasonlítással, ellenőrzi a nem érvényesítést, és ellenőrzi, hogy az eszköz érvényes-e a bérlőben, és új PRT-t ad ki. Ahogy korábban láttuk, a PRT ismét a transport key (tkpub) által titkosított munkamenet-kulccsal van elkísérve. |
| G | A CloudAP beépülő modul átadja a titkosított PRT- és munkamenetkulcsot a CloudAP-nak. A CloudAP arra kéri a TPM-et, hogy fejtse vissza a munkamenetkulcsot az átviteli kulccsal (tkpriv) és a TPM saját kulcsával. A CloudAP a titkosított munkamenetkulcsot a gyorsítótárában tárolja a PRT-vel együtt. |
Feljegyzés
A PRT külsőleg megújulhat VPN-kapcsolat nélkül, ha a felhasználónévvel rendelkező végpontok külsőleg engedélyezve vannak.
PRT-használat az alkalmazásjogkivonat-kérelmek során
| Lépés | Leírás |
|---|---|
| A | Egy alkalmazás (például az Outlook, a OneNote stb.) jogkivonat-kérést kezdeményez a WAM felé. A WAM viszont megkéri a Microsoft Entra WAM beépülő modult, hogy kiszolgálja a jogkivonat-kérést. |
| h | Ha már elérhető frissítési jogkivonat az alkalmazáshoz, a Microsoft Entra WAM beépülő modul arra használja, hogy hozzáférési jogkivonatot kérjen. Az eszközkötés ellenőrzéséhez a WAM beépülő modul aláírja a kérést a Munkamenet kulccsal. A Microsoft Entra ID ellenőrzi a munkamenetkulcsot, és egy hozzáférési jogkivonatot és egy új frissítési jogkivonatot ad ki az alkalmazáshoz, amelyet a munkamenetkulcs titkosít. A WAM beépülő modul kéri a CloudAP beépülő modult a jogkivonatok visszafejtésére, ami viszont a TPM-et kéri vissza a munkamenetkulcs használatával, ami azt eredményezi, hogy a WAM beépülő modul mindkét jogkivonatot lekéri. Következő lépésként a WAM beépülő modul csak az alkalmazás hozzáférési jogkivonatát biztosítja, míg a frissítési jogkivonatot újra titkosítja a DPAPI-val, és a saját gyorsítótárában tárolja. |
| C | Ha nem érhető el frissítési jogkivonat az alkalmazáshoz, a Microsoft Entra WAM beépülő modul a PRT használatával kér hozzáférési jogkivonatot. A birtoklás igazolásához a WAM beépülő modul aláírja a KÉRELEM-t tartalmazó kérést a Munkamenet-kulccsal. A Microsoft Entra ID úgy ellenőrzi a munkamenetkulcs aláírását, hogy összehasonlítja a PRT-ben beágyazott munkamenet-kulccsal, ellenőrzi, hogy az eszköz érvényes-e, és kiad egy hozzáférési jogkivonatot és egy frissítési jogkivonatot az alkalmazáshoz. Emellett a Microsoft Entra ID egy új (frissítési cikluson alapuló) PRT-t is kibocsáthat, amely mindegyiket a munkamenetkulcs titkosítja. |
| T | A WAM beépülő modul kéri a CloudAP beépülő modult a jogkivonatok visszafejtésére, ami viszont a TPM-et kéri vissza a munkamenetkulcs használatával, ami azt eredményezi, hogy a WAM beépülő modul mindkét jogkivonatot lekéri. Ezután a WAM beépülő modul csak az alkalmazás hozzáférési jogkivonatát biztosítja, míg a frissítési jogkivonatot újra titkosítja a DPAPI-val, és a saját gyorsítótárában tárolja. A WAM beépülő modul az alkalmazáshoz tovább haladó frissítési jogkivonatot használja. A WAM beépülő modul emellett visszaadja az új PRT-t a CloudAP beépülő modulnak, amely ellenőrzi a PRT-t a Microsoft Entra-azonosítóval, mielőtt a saját gyorsítótárában frissítené. A CloudAP beépülő modul az új PRT-t használja. |
| E | A WAM biztosítja az újonnan kiadott hozzáférési jogkivonatot a WAM számára, amely viszont visszaküldi a hívó alkalmazásnak |
Böngésző egyszeri bejelentkezése PRT használatával
| Lépés | Leírás |
|---|---|
| A | A felhasználó hitelesítő adataival bejelentkezik a Windowsba, hogy lekérjen egy PRT-t. Miután a felhasználó megnyitja a böngészőt, a böngésző (vagy a bővítmény) betölti az URL-címeket a beállításjegyzékből. |
| h | Amikor egy felhasználó megnyitja a Microsoft Entra bejelentkezési URL-címét, a böngésző vagy a bővítmény ellenőrzi az URL-címet a beállításjegyzékből beszerzett url-címekkel. Ha egyeznek, a böngésző meghívja a natív ügyfél gazdagépet egy jogkivonat lekéréséhez. |
| C | A natív ügyfél-gazdagép ellenőrzi, hogy az URL-címek a Microsoft identitásszolgáltatóihoz (Microsoft-fiókhoz vagy Microsoft Entra-azonosítóhoz) tartoznak-e, kinyeri az URL-címből küldött nem kódot, és meghívja a CloudAP beépülő modult egy PRT-cookie lekéréséhez. |
| T | A CloudAP beépülő modul létrehozza a PRT-cookie-t, bejelentkezik a TPM-hez kötött munkamenet-kulccsal, és visszaküldi azt a natív ügyfél-gazdagépnek. |
| E | A natív ügyfél-gazdagép visszaadja ezt a PRT-cookie-t a böngészőnek, amely az x-ms-RefreshTokenCredential nevű kérelemfejléc részeként tartalmazza, és jogkivonatokat kér a Microsoft Entra ID-tól. |
| F | A Microsoft Entra ID ellenőrzi a munkamenetkulcs aláírását a PRT-cookie-n, ellenőrzi a nem műveletet, ellenőrzi, hogy az eszköz érvényes-e a bérlőben, és kiad egy azonosító jogkivonatot a weblaphoz és egy titkosított munkamenet-cookie-t a böngészőhöz. |
Feljegyzés
Az előző lépésekben leírt böngészőSSO-folyamat nem vonatkozik privát módban történő munkamenetekre, például a Microsoft Edge-ben az InPrivate-ban, a Google Chrome-ban az Inkognitóban (a Microsoft-fiókok bővítmény használatakor) vagy privát módban a Mozilla Firefox v91+ verziójában
Következő lépések
A PRT-sel kapcsolatos problémák elhárításáról további információt a Microsoft Entra hibrid csatlakoztatott Windows 10 vagy újabb és Windows Server 2016-eszközök hibaelhárításával foglalkozó cikkben talál.