Hogyan működik: Eszközregisztráció
Az eszközregisztráció a felhőalapú hitelesítés előfeltétele. Az eszközök gyakran a Microsoft Entra ID azonosítóját vagy a Microsoft Entra hibrid csatlakoztatását végzik az eszközregisztráció befejezéséhez. Ez a cikk részletesen bemutatja, hogyan működik a Microsoft Entra join és a Microsoft Entra hibrid illesztés felügyelt és összevont környezetekben. A Microsoft Entra-hitelesítés működésével kapcsolatos további információkért tekintse meg az Elsődleges frissítési jogkivonatok című cikket.
Microsoft Entra csatlakozva felügyelt környezetekhez
| Phase | Leírás |
|---|---|
| A | A Microsoft Entra-hoz csatlakoztatott eszközök regisztrálásának leggyakoribb módja a beépített felület (OOBE) során történik, ahol betölti a Microsoft Entra join webalkalmazást a Cloud Experience Host (CXH) alkalmazásban. Az alkalmazás GET kérést küld a Microsoft Entra OpenID konfigurációs végpontjának az engedélyezési végpontok felderítéséhez. A Microsoft Entra ID visszaadja az OpenID-konfigurációt, amely tartalmazza az engedélyezési végpontokat, az alkalmazáshoz JSON-dokumentumként. |
| h | Az alkalmazás létrehoz egy bejelentkezési kérelmet az engedélyezési végponthoz, és összegyűjti a felhasználói hitelesítő adatokat. |
| K | Miután a felhasználó megadja a felhasználónevet (UPN formátumban), az alkalmazás get kérést küld a Microsoft Entra-azonosítónak, hogy felderítse a felhasználó megfelelő tartományadatait. Ez az információ határozza meg, hogy a környezet felügyelt vagy összevont-e. A Microsoft Entra ID egy JSON-objektum adatait adja vissza. Az alkalmazás meghatározza a környezet felügyeletét (nem összevont). Ebben a fázisban az utolsó lépésben az alkalmazás létrehoz egy hitelesítési puffert, és ha az OOBE-ban, ideiglenesen gyorsítótárazza azt az automatikus bejelentkezéshez az OOBE végén. Az alkalmazás a hitelesítő adatokat a Microsoft Entra-azonosítóra állítva érvényesíti őket. A Microsoft Entra ID egy jogcímekkel rendelkező azonosító jogkivonatot ad vissza. |
| D | Az alkalmazás MDM használati feltételeket keres (a mdm_tou_url jogcímet). Ha jelen van, az alkalmazás lekéri a használati feltételeket a jogcím értékéből, bemutatja a tartalmat a felhasználónak, és megvárja, amíg a felhasználó elfogadja a használati feltételeket. Ez a lépés nem kötelező, és kihagyható, ha a jogcím nincs jelen, vagy ha a jogcím értéke üres. |
| E | Az alkalmazás egy eszközregisztrációs felderítési kérelmet küld az Azure Device Registration Service-nek (ADRS). Az Azure DRS egy felderítési adatdokumentumot ad vissza, amely bérlőspecifikus URI-kat ad vissza az eszközregisztráció befejezéséhez. |
| F | Az alkalmazás TPM-kötött (előnyben részesített) RSA 2048 bites kulcspárot hoz létre, amely az eszközkulcs (dkpub/dkpriv) néven ismert. Az alkalmazás létrehoz egy tanúsítványkérelmet a dkpub és a nyilvános kulcs használatával, és aláírja a tanúsítványkérelmet a dkpriv használatával. Ezután az alkalmazás a második kulcspárt a TPM tárológyökérkulcsából nyeri. Ez a kulcs az átviteli kulcs (tkpub/tkpriv). |
| G | Az alkalmazás eszközregisztrációs kérelmet küld az Azure DRS-nek, amely tartalmazza az azonosító jogkivonatot, a tanúsítványkérelmet, a tkpubot és az igazolási adatokat. Az Azure DRS ellenőrzi az azonosító jogkivonatot, létrehoz egy eszközazonosítót, és létrehoz egy tanúsítványt a belefoglalt tanúsítványkérés alapján. Az Azure DRS ezután egy eszközobjektumot ír a Microsoft Entra-azonosítóba, és elküldi az eszközazonosítót és az eszköztanúsítványt az ügyfélnek. |
| H | Az eszközregisztráció az eszközazonosító és az eszköztanúsítvány Azure DRS-től való fogadásával fejeződik be. A rendszer menti az eszközazonosítót későbbi referenciaként (amelyből dsregcmd.exe /statusmegtekinthető), és az eszköztanúsítvány telepítve van a számítógép személyes tárolójában. Az eszközregisztráció befejezésével a folyamat MDM-regisztrációval folytatódik. |
A Microsoft Entra összevont környezetekben csatlakozik
| Phase | Leírás |
|---|---|
| A | A Microsoft Entra-hoz csatlakoztatott eszközök regisztrálásának leggyakoribb módja a beépített felület (OOBE) során történik, ahol betölti a Microsoft Entra join webalkalmazást a Cloud Experience Host (CXH) alkalmazásban. Az alkalmazás GET kérést küld a Microsoft Entra OpenID konfigurációs végpontjának az engedélyezési végpontok felderítéséhez. A Microsoft Entra ID visszaadja az OpenID-konfigurációt, amely tartalmazza az engedélyezési végpontokat, az alkalmazáshoz JSON-dokumentumként. |
| h | Az alkalmazás létrehoz egy bejelentkezési kérelmet az engedélyezési végponthoz, és összegyűjti a felhasználói hitelesítő adatokat. |
| K | Miután a felhasználó megadja a felhasználónevet (UPN formátumban), az alkalmazás get kérést küld a Microsoft Entra-azonosítónak, hogy felderítse a felhasználó megfelelő tartományadatait. Ez az információ határozza meg, hogy a környezet felügyelt vagy összevont-e. A Microsoft Entra ID egy JSON-objektum adatait adja vissza. Az alkalmazás meghatározza, hogy a környezet össze van-e adva. Az alkalmazás átirányítja az AuthURL értéket (helyszíni STS bejelentkezési oldal) a visszaadott JSON-objektumban. Az alkalmazás az STS webhelyén keresztül gyűjti a hitelesítő adatokat. |
| D | Az alkalmazás POST a hitelesítő adatokat a helyszíni STS-hez, ami további hitelesítési tényezőket igényelhet. A helyszíni STS hitelesíti a felhasználót, és visszaad egy jogkivonatot. Az alkalmazás a jogkivonatot a Microsoft Entra-azonosítóra uszítja hitelesítés céljából. A Microsoft Entra ID ellenőrzi a jogkivonatot, és egy jogcímekkel rendelkező azonosító jogkivonatot ad vissza. |
| E | Az alkalmazás MDM használati feltételeket keres (a mdm_tou_url jogcímet). Ha jelen van, az alkalmazás lekéri a használati feltételeket a jogcím értékéből, bemutatja a tartalmat a felhasználónak, és megvárja, amíg a felhasználó elfogadja a használati feltételeket. Ez a lépés nem kötelező, és kihagyható, ha a jogcím nincs jelen, vagy ha a jogcím értéke üres. |
| F | Az alkalmazás egy eszközregisztrációs felderítési kérelmet küld az Azure Device Registration Service-nek (ADRS). Az Azure DRS egy felderítési adatdokumentumot ad vissza, amely bérlőspecifikus URI-kat ad vissza az eszközregisztráció befejezéséhez. |
| G | Az alkalmazás TPM-kötött (előnyben részesített) RSA 2048 bites kulcspárot hoz létre, amely az eszközkulcs (dkpub/dkpriv) néven ismert. Az alkalmazás létrehoz egy tanúsítványkérelmet a dkpub és a nyilvános kulcs használatával, és aláírja a tanúsítványkérelmet a dkpriv használatával. Ezután az alkalmazás a második kulcspárt a TPM tárológyökérkulcsából nyeri. Ez a kulcs az átviteli kulcs (tkpub/tkpriv). |
| H | Az alkalmazás eszközregisztrációs kérelmet küld az Azure DRS-nek, amely tartalmazza az azonosító jogkivonatot, a tanúsítványkérelmet, a tkpubot és az igazolási adatokat. Az Azure DRS ellenőrzi az azonosító jogkivonatot, létrehoz egy eszközazonosítót, és létrehoz egy tanúsítványt a belefoglalt tanúsítványkérés alapján. Az Azure DRS ezután egy eszközobjektumot ír a Microsoft Entra-azonosítóba, és elküldi az eszközazonosítót és az eszköztanúsítványt az ügyfélnek. |
| d | Az eszközregisztráció az eszközazonosító és az eszköztanúsítvány Azure DRS-től való fogadásával fejeződik be. A rendszer menti az eszközazonosítót későbbi referenciaként (amelyből dsregcmd.exe /statusmegtekinthető), és az eszköztanúsítvány telepítve van a számítógép személyes tárolójában. Az eszközregisztráció befejezésével a folyamat MDM-regisztrációval folytatódik. |
A Microsoft Entra hibrid csatlakoztatása felügyelt környezetekben
| Phase | Leírás |
|---|---|
| A | A felhasználó tartományhoz csatlakoztatott Windows 10 vagy újabb számítógépre jelentkezik be tartomány hitelesítő adataival. Ez a hitelesítő adat lehet felhasználónév és jelszó, vagy intelligenskártya-hitelesítés. A felhasználó bejelentkezése aktiválja az Automatikus eszközcsatlakozás feladatot. Az automatikus eszközillesztés feladatai a tartományhoz való csatlakozáskor aktiválódnak, és óránként újrapróbálkozott. Ez nem csak a felhasználói bejelentkezéstől függ. |
| h | A feladat az Active Directoryt az Active Directory konfigurációs partíciójában tárolt szolgáltatáskapcsolati pont kulcsszavakattribútumához tartozó LDAP protokoll használatával lekérdezi az Active Directoryt (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). A kulcsszavakattribútumban visszaadott érték határozza meg, hogy az eszközregisztráció az Azure Device Registration Service-be (ADRS) vagy a helyszínen üzemeltetett vállalati eszközregisztrációs szolgáltatásba van-e irányítva. |
| K | A felügyelt környezet esetében a feladat létrehoz egy kezdeti hitelesítési hitelesítő adatot egy önaláírt tanúsítvány formájában. A feladat a tanúsítványt a userCertificate attribútumba írja az Active Directory számítógép-objektumán LDAP használatával. |
| D | A számítógép nem tud hitelesíteni az Azure DRS-ben, amíg létre nem jön egy, a userCertificate attribútum tanúsítványát tartalmazó számítógép-objektum a Microsoft Entra-azonosítóban. A Microsoft Entra Csatlakozás attribútumváltozást észlel. A következő szinkronizálási ciklusban a Microsoft Entra Csatlakozás elküldi a userCertificate, az object GUID és a számítógép BIZTONSÁGI azonosítóját az Azure DRS-nek. Az Azure DRS az attribútumadatok használatával hoz létre egy eszközobjektumot a Microsoft Entra ID-ban. |
| E | Az Automatikus eszközcsatlakozás feladat minden felhasználó bejelentkezésével vagy óránként aktiválódik, és megpróbálja hitelesíteni a számítógépet a Microsoft Entra-azonosítóval a userCertificate attribútumban található nyilvános kulcs megfelelő titkos kulcsával. A Microsoft Entra hitelesíti a számítógépet, és kiad egy azonosító jogkivonatot a számítógépnek. |
| F | A feladat létrehozza a TPM-hez kötött (előnyben részesített) RSA 2048 bites kulcspárot, az eszközkulcsot (dkpub/dkpriv). Az alkalmazás létrehoz egy tanúsítványkérelmet a dkpub és a nyilvános kulcs használatával, és aláírja a tanúsítványkérelmet a dkpriv használatával. Ezután az alkalmazás a második kulcspárt a TPM tárológyökérkulcsából nyeri. Ez a kulcs az átviteli kulcs (tkpub/tkpriv). |
| G | A feladat egy eszközregisztrációs kérelmet küld az Azure DRS-nek, amely tartalmazza az azonosító jogkivonatot, a tanúsítványkérelmet, a tkpubot és az igazolási adatokat. Az Azure DRS ellenőrzi az azonosító jogkivonatot, létrehoz egy eszközazonosítót, és létrehoz egy tanúsítványt a belefoglalt tanúsítványkérés alapján. Az Azure DRS ezután frissíti az eszközobjektumot a Microsoft Entra-azonosítóban, és elküldi az eszközazonosítót és az eszköztanúsítványt az ügyfélnek. |
| H | Az eszközregisztráció az eszközazonosító és az eszköztanúsítvány Azure DRS-től való fogadásával fejeződik be. A rendszer menti az eszközazonosítót későbbi referenciaként (amelyből dsregcmd.exe /statusmegtekinthető), és az eszköztanúsítvány telepítve van a számítógép személyes tárolójában. Ha az eszközregisztráció befejeződött, a feladat kilép. |
A Microsoft Entra hibrid csatlakoztatása összevont környezetekben
| Phase | Leírás |
|---|---|
| A | A felhasználó tartományhoz csatlakoztatott Windows 10 vagy újabb számítógépre jelentkezik be tartomány hitelesítő adataival. Ez a hitelesítő adat lehet felhasználónév és jelszó, vagy intelligenskártya-hitelesítés. A felhasználó bejelentkezése aktiválja az Automatikus eszközcsatlakozás feladatot. Az automatikus eszközillesztés feladatai a tartományhoz való csatlakozáskor aktiválódnak, és óránként újrapróbálkozott. Ez nem csak a felhasználói bejelentkezéstől függ. |
| h | A feladat az Active Directoryt az Active Directory konfigurációs partíciójában tárolt szolgáltatáskapcsolati pont kulcsszavakattribútumához tartozó LDAP protokoll használatával lekérdezi az Active Directoryt (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). A kulcsszavakattribútumban visszaadott érték határozza meg, hogy az eszközregisztráció az Azure Device Registration Service-be (ADRS) vagy a helyszínen üzemeltetett vállalati eszközregisztrációs szolgáltatásba van-e irányítva. |
| K | Az összevont környezetek esetében a számítógép windowsos integrált hitelesítéssel hitelesíti a vállalati eszközregisztrációs végpontot. A vállalati eszközregisztrációs szolgáltatás létrehoz és visszaad egy jogkivonatot, amely jogcímeket tartalmaz az objektum GUID-jának, a számítógép SID-jének és a tartományhoz csatlakoztatott állapotnak. A feladat elküldi a jogkivonatot és a jogcímeket a Microsoft Entra-azonosítónak, ahol érvényesítik őket. A Microsoft Entra ID egy azonosító jogkivonatot ad vissza a futó feladatnak. |
| D | Az alkalmazás TPM-kötött (előnyben részesített) RSA 2048 bites kulcspárot hoz létre, amely az eszközkulcs (dkpub/dkpriv) néven ismert. Az alkalmazás létrehoz egy tanúsítványkérelmet a dkpub és a nyilvános kulcs használatával, és aláírja a tanúsítványkérelmet a dkpriv használatával. Ezután az alkalmazás a második kulcspárt a TPM tárológyökérkulcsából nyeri. Ez a kulcs az átviteli kulcs (tkpub/tkpriv). |
| E | A helyszíni összevont alkalmazás egyszeri bejelentkezésének biztosításához a tevékenység vállalati PRT-t kér le a helyszíni STS-ből. A Active Directory összevonási szolgáltatások (AD FS) szerepkört futtató Windows Server 2016 ellenőrzi a kérést, és visszaadja a futó feladatot. |
| F | A feladat egy eszközregisztrációs kérelmet küld az Azure DRS-nek, amely tartalmazza az azonosító jogkivonatot, a tanúsítványkérelmet, a tkpubot és az igazolási adatokat. Az Azure DRS ellenőrzi az azonosító jogkivonatot, létrehoz egy eszközazonosítót, és létrehoz egy tanúsítványt a belefoglalt tanúsítványkérés alapján. Az Azure DRS ezután egy eszközobjektumot ír a Microsoft Entra-azonosítóba, és elküldi az eszközazonosítót és az eszköztanúsítványt az ügyfélnek. Az eszközregisztráció az eszközazonosító és az eszköztanúsítvány Azure DRS-től való fogadásával fejeződik be. A rendszer menti az eszközazonosítót későbbi referenciaként (amelyből dsregcmd.exe /statusmegtekinthető), és az eszköztanúsítvány telepítve van a számítógép személyes tárolójában. Ha az eszközregisztráció befejeződött, a feladat kilép. |
| G | Ha a Microsoft Entra Csatlakozás eszközvisszaíró engedélyezve van, a Microsoft Entra Csatlakozás a következő szinkronizálási ciklusban frissítéseket kér a Microsoft Entra-azonosítótól (az eszközvisszaírás a tanúsítványmegbízhatóságot használó hibrid üzembe helyezéshez szükséges). A Microsoft Entra ID egyező szinkronizált számítógép-objektummal korrelálja az eszközobjektumot. A Microsoft Entra Csatlakozás megkapja az objektum GUID azonosítóját és a számítógép BIZTONSÁGI azonosítóját tartalmazó eszközobjektumot, és az eszközobjektumot az Active Directoryba írja. |