Megosztás a következőn keresztül:


Hogyan működik: Eszközregisztráció

Az eszközregisztráció a felhőalapú hitelesítés előfeltétele. Az eszközök gyakran a Microsoft Entra ID azonosítóját vagy a Microsoft Entra hibrid csatlakoztatását végzik az eszközregisztráció befejezéséhez. Ez a cikk részletesen bemutatja, hogyan működik a Microsoft Entra join és a Microsoft Entra hibrid illesztés felügyelt és összevont környezetekben. A Microsoft Entra-hitelesítés működésével kapcsolatos további információkért tekintse meg az Elsődleges frissítési jogkivonatok című cikket.

Microsoft Entra csatlakozva felügyelt környezetekhez

Microsoft Entra-hez csatlakoztatott eszközfolyamat felügyelt környezetben

Fázis Leírás
A A Microsoft Entra-hoz csatlakoztatott eszközök regisztrálásának leggyakoribb módja a beépített felület (OOBE) során történik, ahol betölti a Microsoft Entra join webalkalmazást a Cloud Experience Host (CXH) alkalmazásban. Az alkalmazás GET kérést küld a Microsoft Entra OpenID konfigurációs végpontjának az engedélyezési végpontok felderítéséhez. A Microsoft Entra ID visszaadja az OpenID-konfigurációt, amely tartalmazza az engedélyezési végpontokat, az alkalmazáshoz JSON-dokumentumként.
h Az alkalmazás létrehoz egy bejelentkezési kérelmet az engedélyezési végponthoz, és összegyűjti a felhasználói hitelesítő adatokat.
C Miután a felhasználó megadja a felhasználó egyszerű nevét (UPN), az alkalmazás GET kérést küld a Microsoft Entra-azonosítónak, hogy felderítse a felhasználó megfelelő tartományadatait. Ez az információ határozza meg, hogy a környezet felügyelt vagy összevont-e. A Microsoft Entra ID egy JSON-objektum adatait adja vissza. Az alkalmazás megállapítja, hogy a környezet felügyelt (nem felügyelt).

Ebben a fázisban az utolsó lépésben az alkalmazás létrehoz egy hitelesítési puffert, és ha az OOBE-ban, ideiglenesen gyorsítótárazza azt az automatikus bejelentkezéshez az OOBE végén. Az alkalmazás a hitelesítő adatokat a Microsoft Entra-azonosítóra állítva érvényesíti őket. A Microsoft Entra ID egy jogcímekkel rendelkező azonosító jogkivonatot ad vissza.
T Az alkalmazás mobileszköz-kezelési (MDM-) használati feltételeket (mdm_tou_url jogcímet) keres. Ha jelen van, az alkalmazás lekéri a használati feltételeket a jogcím értékéből, bemutatja a tartalmat a felhasználónak, és megvárja, amíg a felhasználó elfogadja a használati feltételeket. Ez a lépés nem kötelező, és kihagyható, ha a jogcím nincs jelen, vagy ha a jogcím értéke üres.
E Az alkalmazás egy eszközregisztrációs felderítési kérelmet küld az Azure Device Registration Service-nek (DRS). Az Azure DRS egy felderítési adatdokumentumot ad vissza, amely bérlőspecifikus URI-kat ad vissza az eszközregisztráció befejezéséhez.
F Az alkalmazás TPM-kötött (előnyben részesített) RSA 2048 bites kulcspárot hoz létre, amely az eszközkulcs (dkpub/dkpriv) néven ismert. Az alkalmazás létrehoz egy tanúsítványkérelmet a dkpub és a nyilvános kulcs használatával, és aláírja a tanúsítványkérelmet a dkpriv használatával. Ezután az alkalmazás a második kulcspárt a TPM tárológyökérkulcsából nyeri. Ez a kulcs az átviteli kulcs (tkpub/tkpriv).
G Az alkalmazás eszközregisztrációs kérelmet küld az Azure DRS-nek, amely tartalmazza az azonosító jogkivonatot, a tanúsítványkérelmet, a tkpubot és az igazolási adatokat. Az Azure DRS ellenőrzi az azonosító jogkivonatot, létrehoz egy eszközazonosítót, és létrehoz egy tanúsítványt a belefoglalt tanúsítványkérés alapján. Az Azure DRS ezután egy eszközobjektumot ír a Microsoft Entra-azonosítóba, és elküldi az eszközazonosítót és az eszköztanúsítványt az ügyfélnek.
H Az eszközregisztráció az eszközazonosító és az eszköztanúsítvány Azure DRS-től való fogadásával fejeződik be. A rendszer menti az eszközazonosítót későbbi referenciaként (amelyből dsregcmd.exe /statusmegtekinthető), és az eszköztanúsítvány telepítve van a számítógép személyes tárolójában. Az eszközregisztráció befejezésével a folyamat MDM-regisztrációval folytatódik.

A Microsoft Entra összevont környezetekben csatlakozik

Microsoft Entra-hez csatlakoztatott eszközfolyamat összevont környezetben

Fázis Leírás
A A Microsoft Entra-hoz csatlakoztatott eszközök regisztrálásának leggyakoribb módja a beépített felület (OOBE) során történik, ahol betölti a Microsoft Entra join webalkalmazást a Cloud Experience Host (CXH) alkalmazásban. Az alkalmazás GET kérést küld a Microsoft Entra OpenID konfigurációs végpontjának az engedélyezési végpontok felderítéséhez. A Microsoft Entra ID visszaadja az OpenID-konfigurációt, amely tartalmazza az engedélyezési végpontokat, az alkalmazáshoz JSON-dokumentumként.
h Az alkalmazás létrehoz egy bejelentkezési kérelmet az engedélyezési végponthoz, és összegyűjti a felhasználói hitelesítő adatokat.
C Miután a felhasználó megadja a felhasználónevet (UPN formátumban), az alkalmazás get kérést küld a Microsoft Entra-azonosítónak, hogy felderítse a felhasználó megfelelő tartományadatait. Ez az információ határozza meg, hogy a környezet felügyelt vagy összevont-e. A Microsoft Entra ID egy JSON-objektum adatait adja vissza. Az alkalmazás meghatározza, hogy a környezet össze van-e adva.

Az alkalmazás átirányítja az AuthURL értéket (helyszíni STS bejelentkezési oldal) a visszaadott JSON-objektumban. Az alkalmazás az STS webhelyén keresztül gyűjti a hitelesítő adatokat.
T Az alkalmazás POST-ként küldi el a hitelesítő adatokat a helyszíni STS-nek, ami további hitelesítési tényezőket igényelhet. A helyszíni STS hitelesíti a felhasználót, és visszaad egy jogkivonatot. Az alkalmazás a jogkivonatot a Microsoft Entra-azonosítóra uszítja hitelesítés céljából. A Microsoft Entra ID ellenőrzi a jogkivonatot, és egy jogcímekkel rendelkező azonosító jogkivonatot ad vissza.
E Az alkalmazás MDM használati feltételeket keres (a mdm_tou_url jogcímet). Ha jelen van, az alkalmazás lekéri a használati feltételeket a jogcím értékéből, bemutatja a tartalmat a felhasználónak, és megvárja, amíg a felhasználó elfogadja a használati feltételeket. Ez a lépés nem kötelező, és kihagyható, ha a jogcím nincs jelen, vagy ha a jogcím értéke üres.
F Az alkalmazás egy eszközregisztrációs felderítési kérelmet küld az Azure Device Registration Service-nek (DRS). Az Azure DRS egy felderítési adatdokumentumot ad vissza, amely bérlőspecifikus URI-kat ad vissza az eszközregisztráció befejezéséhez.
G Az alkalmazás TPM-kötött (előnyben részesített) RSA 2048 bites kulcspárot hoz létre, amely az eszközkulcs (dkpub/dkpriv) néven ismert. Az alkalmazás létrehoz egy tanúsítványkérelmet a dkpub és a nyilvános kulcs használatával, és aláírja a tanúsítványkérelmet a dkpriv használatával. Ezután az alkalmazás a második kulcspárt a TPM tárológyökérkulcsából nyeri. Ez a kulcs az átviteli kulcs (tkpub/tkpriv).
H Az alkalmazás eszközregisztrációs kérelmet küld az Azure DRS-nek, amely tartalmazza az azonosító jogkivonatot, a tanúsítványkérelmet, a tkpubot és az igazolási adatokat. Az Azure DRS ellenőrzi az azonosító jogkivonatot, létrehoz egy eszközazonosítót, és létrehoz egy tanúsítványt a belefoglalt tanúsítványkérés alapján. Az Azure DRS ezután egy eszközobjektumot ír a Microsoft Entra-azonosítóba, és elküldi az eszközazonosítót és az eszköztanúsítványt az ügyfélnek.
d Az eszközregisztráció az eszközazonosító és az eszköztanúsítvány Azure DRS-től való fogadásával fejeződik be. A rendszer menti az eszközazonosítót későbbi referenciaként (amelyből dsregcmd.exe /statusmegtekinthető), és az eszköztanúsítvány telepítve van a számítógép személyes tárolójában. Az eszközregisztráció befejezésével a folyamat MDM-regisztrációval folytatódik.

A Microsoft Entra hibrid csatlakoztatása felügyelt környezetekben

Képernyőkép a Microsoft Entra hibrid csatlakoztatott eszközfolyamatáról egy felügyelt környezetben.

Fázis Leírás
A A felhasználó tartományhoz csatlakoztatott Windows 10 vagy újabb számítógépre jelentkezik be tartomány hitelesítő adataival. Ez a hitelesítő adat lehet felhasználónév és jelszó, vagy intelligenskártya-hitelesítés. A felhasználó bejelentkezése aktiválja az Automatikus eszközcsatlakozás feladatot. Az automatikus eszközillesztés feladatai a tartományhoz való csatlakozáskor aktiválódnak, és óránként újrapróbálkozott. Ez nem csak a felhasználói bejelentkezéstől függ.
h A feladat az Active Directoryt az Active Directory konfigurációs partíciójában tárolt szolgáltatáskapcsolati pont kulcsszavakattribútumához tartozó LDAP protokoll használatával lekérdezi az Active Directoryt (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). A kulcsszavakattribútumban visszaadott érték határozza meg, hogy az eszközregisztráció az Azure Device Registration Service (DRS) vagy a helyszínen üzemeltetett vállalati eszközregisztrációs szolgáltatás felé van-e irányítva.
C A felügyelt környezet esetében a feladat létrehoz egy kezdeti hitelesítési hitelesítő adatot egy önaláírt tanúsítvány formájában. A feladat a tanúsítványt a userCertificate attribútumba írja az Active Directory számítógép-objektumán LDAP használatával.
T A számítógép nem tud hitelesíteni az Azure DRS-ben, amíg létre nem jön egy, a userCertificate attribútum tanúsítványát tartalmazó számítógép-objektum a Microsoft Entra-azonosítóban. A Microsoft Entra Csatlakozás attribútumváltozást észlel. A következő szinkronizálási ciklusban a Microsoft Entra Csatlakozás elküldi a userCertificate, az object GUID és a számítógép BIZTONSÁGI azonosítóját az Azure DRS-nek. Az Azure DRS az attribútumadatok használatával hoz létre egy eszközobjektumot a Microsoft Entra ID-ban.
E Az Automatikus eszközcsatlakozás feladat minden felhasználó bejelentkezésével vagy óránként aktiválódik, és megpróbálja hitelesíteni a számítógépet a Microsoft Entra-azonosítóval a userCertificate attribútumban található nyilvános kulcs megfelelő titkos kulcsával. A Microsoft Entra hitelesíti a számítógépet, és kiad egy azonosító jogkivonatot a számítógépnek.
F A feladat létrehozza a TPM-hez kötött (előnyben részesített) RSA 2048 bites kulcspárot, az eszközkulcsot (dkpub/dkpriv). Az alkalmazás létrehoz egy tanúsítványkérelmet a dkpub és a nyilvános kulcs használatával, és aláírja a tanúsítványkérelmet a dkpriv használatával. Ezután az alkalmazás a második kulcspárt a TPM tárológyökérkulcsából nyeri. Ez a kulcs az átviteli kulcs (tkpub/tkpriv).
G A feladat egy eszközregisztrációs kérelmet küld az Azure DRS-nek, amely tartalmazza az azonosító jogkivonatot, a tanúsítványkérelmet, a tkpubot és az igazolási adatokat. Az Azure DRS ellenőrzi az azonosító jogkivonatot, létrehoz egy eszközazonosítót, és létrehoz egy tanúsítványt a belefoglalt tanúsítványkérés alapján. Az Azure DRS ezután frissíti az eszközobjektumot a Microsoft Entra-azonosítóban, és elküldi az eszközazonosítót és az eszköztanúsítványt az ügyfélnek.
H Az eszközregisztráció az eszközazonosító és az eszköztanúsítvány Azure DRS-től való fogadásával fejeződik be. A rendszer menti az eszközazonosítót későbbi referenciaként (amelyből dsregcmd.exe /statusmegtekinthető), és az eszköztanúsítvány telepítve van a számítógép személyes tárolójában. Ha az eszközregisztráció befejeződött, a feladat kilép.

A Microsoft Entra hibrid csatlakoztatása összevont környezetekben

Microsoft Entra hibrid csatlakoztatott eszközfolyamat felügyelt környezetben

Fázis Leírás
A A felhasználó tartományhoz csatlakoztatott Windows 10 vagy újabb számítógépre jelentkezik be tartomány hitelesítő adataival. Ez a hitelesítő adat lehet felhasználónév és jelszó, vagy intelligenskártya-hitelesítés. A felhasználó bejelentkezése aktiválja az Automatikus eszközcsatlakozás feladatot. Az automatikus eszközillesztés feladatai a tartományhoz való csatlakozáskor aktiválódnak, és óránként újrapróbálkozott. Ez nem csak a felhasználói bejelentkezéstől függ.
h A feladat az Active Directoryt az Active Directory konfigurációs partíciójában tárolt szolgáltatáskapcsolati pont kulcsszavakattribútumához tartozó LDAP protokoll használatával lekérdezi az Active Directoryt (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). A kulcsszavakattribútumban visszaadott érték határozza meg, hogy az eszközregisztráció az Azure Device Registration Service (DRS) vagy a helyszínen üzemeltetett vállalati eszközregisztrációs szolgáltatás felé van-e irányítva.
C Az összevont környezetek esetében a számítógép windowsos integrált hitelesítéssel hitelesíti a vállalati eszközregisztrációs végpontot. A vállalati eszközregisztrációs szolgáltatás létrehoz és visszaad egy jogkivonatot, amely jogcímeket tartalmaz az objektum GUID-jának, a számítógép SID-jének és a tartományhoz csatlakoztatott állapotnak. A feladat elküldi a jogkivonatot és a jogcímeket a Microsoft Entra-azonosítónak, ahol érvényesítik őket. A Microsoft Entra ID egy azonosító jogkivonatot ad vissza a futó feladatnak.
T Az alkalmazás TPM-kötött (előnyben részesített) RSA 2048 bites kulcspárot hoz létre, amely az eszközkulcs (dkpub/dkpriv) néven ismert. Az alkalmazás létrehoz egy tanúsítványkérelmet a dkpub és a nyilvános kulcs használatával, és aláírja a tanúsítványkérelmet a dkpriv használatával. Ezután az alkalmazás a második kulcspárt a TPM tárológyökérkulcsából nyeri. Ez a kulcs az átviteli kulcs (tkpub/tkpriv).
E A helyszíni összevont alkalmazás egyszeri bejelentkezésének biztosításához a tevékenység vállalati PRT-t kér le a helyszíni STS-ből. A Active Directory összevonási szolgáltatások (AD FS) szerepkört futtató Windows Server 2016 ellenőrzi a kérést, és visszaadja a futó feladatot.
F A feladat egy eszközregisztrációs kérelmet küld az Azure DRS-nek, amely tartalmazza az azonosító jogkivonatot, a tanúsítványkérelmet, a tkpubot és az igazolási adatokat. Az Azure DRS ellenőrzi az azonosító jogkivonatot, létrehoz egy eszközazonosítót, és létrehoz egy tanúsítványt a belefoglalt tanúsítványkérés alapján. Az Azure DRS ezután egy eszközobjektumot ír a Microsoft Entra-azonosítóba, és elküldi az eszközazonosítót és az eszköztanúsítványt az ügyfélnek. Az eszközregisztráció az eszközazonosító és az eszköztanúsítvány Azure DRS-től való fogadásával fejeződik be. A rendszer menti az eszközazonosítót későbbi referenciaként (amelyből dsregcmd.exe /statusmegtekinthető), és az eszköztanúsítvány telepítve van a számítógép személyes tárolójában. Ha az eszközregisztráció befejeződött, a feladat kilép.
G Ha a Microsoft Entra Csatlakozás eszközvisszaíró engedélyezve van, a Microsoft Entra Csatlakozás a következő szinkronizálási ciklusban frissítéseket kér a Microsoft Entra-azonosítótól (az eszközvisszaírás a tanúsítványmegbízhatóságot használó hibrid üzembe helyezéshez szükséges). A Microsoft Entra ID egyező szinkronizált számítógép-objektummal korrelálja az eszközobjektumot. A Microsoft Entra Csatlakozás megkapja az objektum GUID azonosítóját és a számítógép BIZTONSÁGI azonosítóját tartalmazó eszközobjektumot, és az eszközobjektumot az Active Directoryba írja.

Következő lépések