Memahami Token Refresh Utama (PRT)

Token Refresh Utama (PRT) adalah artefak kunci autentikasi Microsoft Entra dalam versi Windows, iOS/macOS, Android, dan Linux yang didukung. PRT adalah artefak aman yang secara khusus dikeluarkan untuk broker token pihak pertama Microsoft untuk mengaktifkan akses menyeluruh (SSO) di seluruh aplikasi yang digunakan pada perangkat tersebut. Artikel ini menjelaskan bagaimana PRT dikeluarkan, digunakan, dan dilindungi, meningkatkan keamanan Anda dan mengaktifkan akses menyeluruh (SSO) di seluruh aplikasi.

Artikel ini mengasumsikan bahwa Anda sudah memahami berbagai status perangkat yang tersedia di ID Microsoft Entra dan cara kerja akses menyeluruh di Windows. Untuk informasi selengkapnya tentang perangkat di ID Microsoft Entra, lihat Apa itu manajemen perangkat di ID Microsoft Entra?.

Terminologi dan komponen utama

Komponen Windows berikut memainkan peran kunci dalam meminta dan menggunakan Token Refresh Utama (PRT):

Term	Deskripsi
pialang	Broker identitas adalah layanan yang bertindak sebagai perantara antara penyedia identitas (IdP) dan penyedia layanan (SPs), menyederhanakan autentikasi dan otorisasi . Pengelola Akun Web adalah contoh perantara identitas.
Penyedia Autentikasi Cloud (CloudAP)	CloudAP adalah penyedia autentikasi modern untuk masuk Windows, yang memverifikasi pengguna masuk ke perangkat Windows 10 atau yang lebih baru. CloudAP menyediakan kerangka kerja plugin yang dapat dibangun oleh penyedia identitas untuk mengaktifkan autentikasi ke Windows menggunakan kredensial penyedia identitas tersebut.
Pengelola Akun Web (WAM)	WAM adalah broker token default di Perangkat Windows 10 atau yang lebih baru. WAM juga menyediakan kerangka kerja plugin yang dapat dibuat oleh penyedia identitas dan mengaktifkan SSO ke aplikasi yang mengandalkan penyedia identitas tersebut.
Plugin Microsoft Entra CloudAP	Plugin khusus Microsoft Entra yang dibangun pada kerangka kerja CloudAP yang memverifikasi kredensial pengguna dengan ID Microsoft Entra selama masuk Windows.
Plugin Microsoft Entra WAM	Plugin khusus Microsoft Entra yang dibangun pada kerangka kerja WAM yang memungkinkan SSO ke aplikasi yang mengandalkan ID Microsoft Entra untuk autentikasi.
Dsreg	Komponen khusus Microsoft Entra pada Windows 10 atau yang lebih baru, yang menangani proses pendaftaran perangkat untuk semua status perangkat.
Modul Platform Tepercaya (TPM)	TPM adalah komponen perangkat keras yang dibangun ke dalam perangkat yang menyediakan fungsi keamanan berbasis perangkat keras untuk rahasia pengguna dan perangkat. Detail lebih lanjut dapat ditemukan dalam artikel Gambaran umum Teknologi Modul Platform Tepercaya.

Untuk apa PRT digunakan?

• Single Sign-On (SSO) - Setelah pengguna masuk ke perangkat mereka, PRT memungkinkan mereka mengakses Microsoft 365, Azure, dan aplikasi cloud lainnya tanpa mengharuskan pengguna untuk memasukkan kembali kredensial mereka. Aplikasi seperti Office, Microsoft Edge, dan Teams menggunakan PRT melalui broker untuk mengautentikasi pengguna secara diam-diam, meningkatkan pengalaman pengguna, mengurangi kebutuhan akan beberapa rincian masuk, dan meningkatkan produktivitas.
• Akuisisi Token - PRT digunakan untuk meminta token akses dan token refresh untuk berbagai layanan (seperti Outlook, Teams, SharePoint, dll.) melalui plug-in Windows Web Account Manager (WAM) atau Broker di platform lain.
• Pemenuhan Kepatuhan Akses Bersyarat - Membawa klaim perangkat dan pengguna yang dievaluasi oleh Microsoft Entra ID untuk menerapkan kebijakan Akses Bersyarat (misalnya, memerlukan perangkat yang sesuai, Otentikasi Multi Faktor, dll.).

Apa saja jenis PRT?

Pada tingkat tinggi, ada dua jenis artefak PRT yang berbeda.

• PRT perangkat yang terdaftar terikat ke perangkat yang memiliki identitas Microsoft Entra terkait.
• PRT perangkat yang tidak terdaftar terkait dengan perangkat yang tidak memiliki identitas Microsoft Entra, dan berhubungan dengan pasangan kunci kriptografi perangkat yang dihasilkan oleh klien.

Klien selalu mencoba menggunakan "PRT perangkat terdaftar" jika memungkinkan. PRT hanya memenuhi kebijakan pendaftaran perangkat jika dikeluarkan untuk perangkat terdaftar. PRT perangkat yang tidak terdaftar digunakan dalam skenario di mana perangkat tidak memiliki identitas Microsoft Entra, seperti saat pengguna masuk ke browser di perangkat pribadi atau saat pengguna masuk ke aplikasi yang tidak mendukung pendaftaran perangkat.

Dapatkah saya melihat apa yang ada di PRT?

PRT adalah blob buram yang dikirim dari Microsoft Entra yang kontennya tidak diketahui oleh komponen klien apa pun. Anda tidak dapat melihat apa yang ada di dalam PRT.

Bagaimana penerbitan PRT dilakukan?

Untuk PRT perangkat terdaftar, PRT dikeluarkan untuk pengguna dalam perangkat terdaftar. Untuk detail lebih mendalam tentang pendaftaran perangkat, lihat artikel Windows Hello untuk Bisnis dan Pendaftaran Pengguna. Selama pendaftaran perangkat, komponen dsreg membuat dua rangkaian pasangan kunci kriptografi:

• Kunci perangkat (dkpub/dkpriv)
• Kunci transportasi (tkpub/tkpriv)

PRT hanya dapat dikeluarkan ketika broker ID Microsoft Entra hadir. Broker adalah komponen yang didistribusikan dengan aplikasi berikut: Intune Company Portal di macOS dan Linux, Authenticator di iOS, Authenticator, Link ke Windows, dan portal Perusahaan di Android. Di Mac, Mobile Device Management (MDM) diperlukan untuk mengaktifkan broker bersama profil ekstensi SSO: Plugin SSO Apple

Windows

Jika perangkat memiliki TPM/Secure Hardware Storage yang valid dan berfungsi, kunci privat terikat ke Penyimpanan Aman perangkat pada platform yang didukung. Kunci publik dikirim ke ID Microsoft Entra selama proses pendaftaran perangkat untuk memvalidasi status perangkat selama permintaan PRT.

PRT dikeluarkan saat autentikasi pengguna pada perangkat Windows 10 atau yang lebih baru dalam dua skenario:

• Microsoft Entra joined atau Microsoft Entra hybrid joined: PRT dikeluarkan selama masuk Windows saat pengguna masuk dengan kredensial organisasi mereka. PRT (Primary Refresh Token) diterbitkan bersamaan dengan semua kredensial yang didukung oleh Windows 10 atau versi yang lebih baru, seperti kata sandi dan Windows Hello untuk Bisnis. Dalam skenario ini, plugin Microsoft Entra CloudAP adalah otoritas utama untuk PRT
• Perangkat terdaftar Microsoft Entra: PRT dikeluarkan saat pengguna menambahkan akun kerja sekunder ke perangkat Windows 10 atau yang lebih baru. Pengguna dapat menambahkan akun ke Windows 10 atau yang lebih baru dengan dua cara berbeda:
  • Menambahkan akun melalui perintah Gunakan organisasi ini untuk mengelola perangkat saya setelah masuk ke aplikasi (contohnya, Microsoft Outlook)
  • Menambahkan akun dari Pengaturan>Akun>Akses Kantor atau Sekolah>Hubungkan

Dalam skenario perangkat yang terdaftar di Microsoft Entra, plugin WAM Microsoft Entra adalah otoritas utama untuk PRT karena proses masuk Windows tidak dilakukan dengan akun Microsoft Entra ini.

macOS

macOS dengan Platform SSO

MacOS Platform Single Sign-on (PSSO) adalah fitur baru yang didukung oleh plug-in SSO Perusahaan Microsoft, Kredensial Platform untuk macOS yang memungkinkan pengguna masuk ke perangkat Mac menggunakan kredensial MICROSOFT Entra ID mereka.

Token Refresh Utama (PRT) PSSO dikeluarkan secara eksklusif untuk perangkat macOS yang bergabung dengan Entra yang berhasil menyelesaikan pendaftaran SSO Platform. Selama proses pendaftaran ini, macOS menghasilkan pasangan kunci kriptografi yang didukung enklave yang aman: satu untuk penandatanganan perangkat dan satu lagi untuk enkripsi perangkat. Referensi kunci publik dibagikan dengan ekstensi SSO.

Ekstensi SSO menggunakan kunci ini untuk menyelesaikan pendaftaran perangkat dengan Microsoft Entra ID Device Registration Service. Kemudian mengonfigurasi API loginConfiguration Apple dengan parameter yang diperlukan untuk akuisisi PRT.

macOS tanpa Platform SSO

macOS mendukung PRT yang tidak terdaftar untuk Microsoft Edge dan PRT yang terdaftar saat perangkat terdaftar ke tempat kerja dan broker tersedia.

Setelah pendaftaran berhasil diselesaikan, macOS memulai permintaan masuk yang ditandatangani dengan kunci Penandatanganan Perangkat. MICROSOFT Entra ID memvalidasi permintaan, kunci penandatanganan perangkat dan parameter terkait, dan mengeluarkan respons PRT.

iOS dan Android

iOS, macOS, dan Android mendukung PRT yang Tidak Terdaftar untuk Microsoft Edge, dan PRT yang Terdaftar ketika broker tersedia.

Linux

Linux mendukung PRT yang tidak terdaftar untuk Microsoft Edge dan PRT terdaftar ketika broker tersedia.

Perilaku browser

Browser mendapatkan akses ke PRT dengan berbagai cara, tergantung pada sistem operasi:

Windows

Windows - Akan menarik PRT dari broker ke browser di browser berikut:

• Microsoft Edge

• Firefox

• Chrome

Android

Android - Microsoft Edge akan menarik PRT dari broker ke browser

iOS dan macOS

Di iOS dan macOS, peramban juga dapat memperoleh PRT ketika profil ekstensi SSO diinstal, yang memungkinkan:

• Dukungan Chrome dan Firefox di macOS
• Dukungan Safari di iOS dan macOS
• Microsoft Edge di iOS dan macOS

Linux

Linux - Microsoft Edge akan menarik PRT dari broker ke browser'

Daftar browser yang didukung tersedia di sini: Browser yang Didukung

Catatan

Pelanggan yang mengaktifkan federasi Entra dengan Penyedia Identitas non-Microsoft harus mengonfigurasi Penyedia Identitas tersebut untuk mendukung protokol WS-Trust untuk mengaktifkan penerbitan PRT pada Perangkat Windows 10 atau yang lebih baru. Tanpa WS-Trust untuk kasus federasi, PRT tidak dapat diterbitkan untuk pengguna pada perangkat yang bergabung hibrida dengan Microsoft Entra atau perangkat yang bergabung dengan Microsoft Entra.

Catatan

Untuk ADFS, usernamemixed titik akhir diperlukan. Jika Smartcard/certificate digunakan selama masuk Windows, maka titik akhir certificatemixed perlu dikonfigurasi pada ADFS. windowstransport harus diaktifkan sebagai intranet yang menghadap titik akhir saja dan TIDAK boleh diekspos sebagai ekstranet yang menghadap titik akhir melalui Proksi Aplikasi Web.

Catatan

Kebijakan Akses Bersyarat Microsoft Entra tidak dievaluasi saat PRT dikeluarkan.

Catatan

Kami tidak mendukung penyedia kredensial non-Microsoft untuk penerbitan dan perpanjangan PRT Microsoft Entra.

Bagaimana cara penggunaan PRT?

Windows

PRT digunakan oleh dua komponen utama di Windows:

• Plugin Microsoft Entra CloudAP: Selama masuk Windows, plugin Microsoft Entra CloudAP meminta PRT dari ID Microsoft Entra menggunakan kredensial yang disediakan oleh pengguna. Ini juga menyimpan PRT untuk memungkinkan masuk dengan cache ketika pengguna tidak memiliki akses ke koneksi internet.
• Plugin Microsoft Entra WAM: Ketika pengguna mencoba mengakses aplikasi, plugin Microsoft Entra WAM menggunakan PRT untuk mengaktifkan SSO di Windows 10 atau yang lebih baru. Plugin Microsoft Entra WAM menggunakan PRT untuk meminta refresh dan mengakses token untuk aplikasi yang mengandalkan WAM untuk permintaan token. Ini juga memungkinkan SSO pada browser dengan menginjeksi PRT ke dalam permintaan browser. Browser SSO di Windows 10 atau yang lebih baru didukung di Microsoft Edge (asli), Chrome (melalui ekstensi Akun Windows 10 ) dan Mozilla Firefox v91+ ( pengaturan Firefox Windows SSO).

  Catatan

  Jika pengguna memiliki dua akun dari penyewa Microsoft Entra yang sama yang masuk ke aplikasi browser, autentikasi perangkat yang disediakan oleh PRT akun utama juga secara otomatis diterapkan ke akun kedua. Akibatnya, akun kedua juga memenuhi kebijakan Akses Bersyarat berbasis perangkat pada penyewa.

macOS

PRT digunakan oleh ekstensi SSO untuk menyediakan SSO ke aplikasi dan situs web. PRT digunakan untuk meminta refresh dan token akses untuk aplikasi yang mengandalkan ekstensi SSO untuk permintaan token. Ini juga memungkinkan SSO pada browser dengan menginjeksi PRT ke dalam permintaan browser.

Browser yang mendukung SSO Browser adalah Safari, Firefox, Chrome, dan Microsoft Edge.

Ios

Untuk iOS, hanya Microsoft Edge dan Safari yang didukung untuk SSO Browser.

Android

Untuk Android, hanya Microsoft Edge yang didukung untuk Browser SSO.

Linux

Satu-satunya aplikasi asli yang terintegrasi saat ini adalah Intune dan Microsoft Edge Browser. Untuk dukungan peramban, hanya peramban Microsoft Edge yang dilindungi untuk token terikat perangkat dan penerapan Akses Bersyarat.

Berapa lama masa pakai PRT?

Setelah diterbitkan, PRT berlaku selama 90 hari dan terus diperbarui selama pengguna secara aktif menggunakan perangkat. Organisasi dapat mengharuskan pengguna mengautentikasi ulang untuk mengakses sumber daya menggunakan kontrol sesi frekuensi Sign-in.

Bagaimana cara PRT diperbarui?

Windows

Windows Platform

PRT diperbarui dengan dua cara berbeda:

• Plugin Microsoft Entra CloudAP setiap 4 jam: Plugin CloudAP memperbarui PRT setiap 4 jam selama masuk Windows. Jika pengguna tidak memiliki koneksi internet selama waktu tersebut, plugin CloudAP akan memperbarui PRT setelah perangkat terhubung ke internet dan proses masuk Windows baru selesai.
• Plugin Microsoft Entra WAM selama permintaan token aplikasi: Plugin WAM memungkinkan SSO pada perangkat Windows 10 atau yang lebih baru dengan mengaktifkan permintaan token senyap untuk aplikasi. Plugin WAM dapat memperbarui PRT selama permintaan token ini dengan dua cara berbeda:
  • Aplikasi meminta WAM untuk token akses secara diam-diam tetapi tidak ada token refresh yang tersedia untuk aplikasi tersebut. Dalam hal ini, WAM menggunakan PRT guna meminta token untuk aplikasi dan mendapatkan kembali PRT baru dalam respons.
  • Aplikasi meminta WAM untuk token akses tetapi PRT tidak valid atau ID Microsoft Entra memerlukan otorisasi ekstra (misalnya, autentikasi multifaktor Microsoft Entra). Dalam skenario ini, WAM memulai proses masuk interaktif yang mengharuskan pengguna untuk mengautentikasi ulang atau memberikan verifikasi tambahan dan PRT baru dikeluarkan pada autentikasi yang berhasil.

Di lingkungan ADFS, garis pandang langsung ke pengendali domain tidak diperlukan untuk memperbarui PRT. Perpanjangan PRT memerlukan hanya /adfs/services/trust/2005/usernamemixed dan /adfs/services/trust/13/usernamemixed titik akhir diaktifkan pada proksi dengan menggunakan protokol WS-Trust.

Titik akhir transportasi Windows hanya diperlukan untuk autentikasi kata sandi saat kata sandi diubah, bukan untuk pembaruan PRT.

Pertimbangan utama

• Pada perangkat yang tergabung dalam Microsoft Entra dan perangkat yang tergabung secara hybrid dengan Microsoft Entra, plugin CloudAP adalah otoritas utama untuk PRT. Jika PRT diperbarui selama permintaan token berbasis WAM, PRT dikirim kembali ke plugin CloudAP, yang memverifikasi validitas PRT dengan ID Microsoft Entra sebelum menerimanya.

macOS

macOS memperbarui Token Refresh Utama (PRT) PSSO setiap 4 jam, atau lebih cepat jika token SSO hilang atau telah kedaluwarsa.

Ios

Di iOS, ada juga pembaruan oportunistik ketika perangkat diisi dayanya, terjadi tidak lebih sering dari dua hari sekali, tunduk pada alokasi sumber daya oleh sistem operasi iOS. Demikian pula dengan platform lain, PRT berlaku selama 90 hari jika digunakan.

Linux

PRT berlaku selama 90 hari dan diperbarui setiap 4 jam jika pengguna secara aktif menggunakan perangkat.

Android

• PRT berlaku selama 90 hari dan terus diperbarui selama pengguna secara aktif menggunakan perangkat.
• PRT hanya diterbitkan dan diperpanjang selama autentikasi aplikasi asli. PRT tidak diperbarui atau dikeluarkan selama sesi browser.
• Anda dapat memperoleh PRT tanpa perlu pendaftaran perangkat (Workplace Join) dan mengaktifkan SSO.
• PRT yang diperoleh tanpa pendaftaran perangkat tidak dapat memenuhi kriteria otorisasi untuk Akses Bersyarat yang bergantung pada status atau kepatuhan perangkat.

Catatan

Kebijakan Microsoft Entra Conditional Access tidak dievaluasi saat PRT diperbarui.

Bagaimana PRT dilindungi?

Windows

PRT dilindungi dengan mengikatnya ke perangkat tempat pengguna masuk, di mana PRT akan menggunakan pengikatan perangkat keras saat tersedia dan didukung.

MICROSOFT Entra ID dan Windows 10 atau yang lebih baru mengaktifkan perlindungan PRT melalui metode berikut:

• Selama masuk pertama: Selama masuk pertama, PRT dikeluarkan dengan permintaan penandatanganan menggunakan kunci perangkat yang dihasilkan secara kriptografi selama pendaftaran perangkat. Pada perangkat dengan TPM yang valid dan berfungsi, kunci perangkat diamankan oleh TPM yang mencegah akses berbahaya. PRT tidak dikeluarkan jika tanda tangan kunci perangkat yang sesuai tidak dapat divalidasi.
• Selama permintaan dan perpanjangan token: Saat PRT dikeluarkan, ID Microsoft Entra juga mengeluarkan kunci sesi terenkripsi ke perangkat. Ini dienkripsi dengan kunci transportasi umum (tkpub) yang dihasilkan dan dikirim ke ID Microsoft Entra sebagai bagian dari pendaftaran perangkat. Kunci sesi ini hanya dapat didekripsi oleh kunci transport pribadi (tkpriv) yang diamankan oleh TPM. Kunci sesi adalah kunci Proof-of-Possession (POP) untuk setiap permintaan yang dikirim ke Microsoft Entra ID. Kunci sesi juga dilindungi oleh TPM dan komponen OS lain tidak dapat mengaksesnya. Permintaan token atau permintaan perpanjangan PRT ditandatangani dengan aman oleh kunci sesi ini melalui TPM dan karenanya, tidak dapat dirusak. Microsoft Entra membatalkan permintaan apa pun dari perangkat yang tidak ditandatangani oleh kunci sesi yang sesuai.

Dengan mengamankan kunci ini menggunakan TPM, kami meningkatkan keamanan bagi PRT dari pelaku jahat yang mencoba mencuri kunci atau memutar ulang PRT. Jadi, menggunakan TPM sangat meningkatkan keamanan perangkat Microsoft Entra yang bergabung, perangkat Microsoft Entra hybrid yang bergabung, dan perangkat Microsoft Entra yang terdaftar terhadap pencurian kredensial. Untuk performa dan keandalan, TPM 2.0 adalah versi yang direkomendasikan untuk semua skenario pendaftaran perangkat Microsoft Entra di Windows 10 atau yang lebih baru. Setelah pembaruan Windows 10, 1903, ID Microsoft Entra tidak menggunakan TPM 1.2 untuk salah satu kunci di atas karena masalah keandalan.

macOS

Token Refresh Utama (PRT) terikat dengan aman ke perangkat tempat pengguna masuk. MICROSOFT Entra ID dan macOS memberlakukan perlindungan ini melalui beberapa mekanisme:

PRT dikeluarkan hanya setelah permintaan ditandatangani menggunakan Kunci Penandatanganan Perangkat yang didukung oleh enklave aman, yang dihasilkan secara kriptografis selama pendaftaran perangkat. Jika tanda tangan dari kunci ini tidak dapat divalidasi, PRT tidak akan dikeluarkan.

Untuk macOS tempat SSO Platform digunakan, ia akan menggunakan pengikatan perangkat keras secara default.

Untuk mengaktifkan pengikatan perangkat keras di iOS dan Mac, ikuti panduan dari Plugin SSO Apple

Sistem operasi lainnya

Android, iOS, dan Linux tidak mendukung pengikatan perangkat keras untuk PRT.

Untuk mengaktifkan pengikatan perangkat keras di iOS dan Mac, ikuti panduan dari Plugin SSO Apple

Bagaimana Token Aplikasi dilindungi?

Untuk gambaran umum tentang bagaimana token dilindungi secara umum, lihat Melindungi token di ID Microsoft Entra

Windows

• Saat aplikasi meminta token melalui WAM, MICROSOFT Entra ID mengeluarkan token akses dan, dalam beberapa jenis permintaan, token refresh. Namun, WAM hanya mengembalikan token akses ke aplikasi dan mengamankan token refresh:
  • Jika ini adalah token refresh untuk pengguna SSO, maka token refresh ini terikat ke perangkat, dengan kunci sesi (sama dengan PRT) atau kunci perangkat.
  • Jika ini adalah token refresh untuk pengguna non-SSO, maka token refresh ini tidak terikat ke perangkat.
• Semua token refresh dienkripsi oleh DPAPI.

macOS & iOS

• iOS tidak terkelola: Pada perangkat tanpa profil ekstensi SSO MDM, perantara mengembalikan token akses dan token refresh ke aplikasi yang memanggil. Aplikasi panggilan menggunakan token refresh untuk refresh berikutnya dan token refresh tersebut tidak akan dilindungi.
• macOS/iOS terkelola: Pada perangkat dengan profil ekstensi SSO MDM, broker hanya mengembalikan token akses ke aplikasi panggilan. Broker menggunakan PRT untuk refresh token berikutnya dan tidak menggunakan token refresh yang tidak terlindungi. Kami menyarankan pelanggan untuk menggunakan konfigurasi ini melalui konfigurasi yang tidak dikelola karena perlindungan tambahan yang disediakannya.

Android

• Broker hanya mengembalikan token akses ke aplikasi panggilan dan menyimpan token refresh aplikasi secara lokal untuk perangkat terkelola dan tidak terkelola.

Linux

• Di Linux, broker hanya mengembalikan token akses ke aplikasi panggilan dan menyimpan token refresh secara lokal untuk perangkat terkelola dan tidak terkelola.
• Token refresh yang disimpan secara lokal dienkripsi dengan kunci enkripsi yang disimpan di keyring masuk Pengguna UNIX.

Bagaimana cookie browser dilindungi

Windows

• Di Windows 10 atau yang lebih baru, MICROSOFT Entra ID mendukung SSO browser di Microsoft Edge secara asli, di Google Chrome melalui dukungan atau ekstensi asli dan di Mozilla Firefox v91+ melalui pengaturan browser.

• Saat pengguna memulai interaksi browser, browser (atau ekstensi) memanggil API platform. Ekstensi memanggil API ini melalui host olahpesan asli. API memastikan bahwa halaman berasal dari salah satu domain yang diizinkan. Browser mengirim string kueri penuh, yang mencakup nonce. API platform membuat PRT dan header perangkat yang ditandatangani dengan kunci yang dilindungi TPM. Header PRT ditandatangani oleh kunci sesi, sedangkan header perangkat ditandatangani oleh kunci perangkat, sehingga sulit untuk dirusak. Header-header ini disertakan dalam semua permintaan Microsoft Entra ID untuk memvalidasi dari mana perangkat dan penggunanya berasal. Setelah Microsoft Entra ID memvalidasi header tersebut, Microsoft Entra ID memberikan cookie sesi ke browser. Cookie sesi ini juga berisi sesi atau kunci perangkat yang sama yang digunakan untuk menandatangani permintaan. Selama permintaan berikutnya, kunci sesi divalidasi secara efektif, mengikat cookie ke perangkat dan mencegah pemutaran ulang dari tempat lain.

iOS dan Mac

Safari dan Microsoft Edge dengan profil ekstensi SSO akan memiliki cookie yang dilindungi oleh kunci sesi PRT. Microsoft Edge mengharuskan pengguna untuk masuk ke profil Microsoft Edge. Cookie tidak dilindungi tanpa profil ekstensi SSO.

Android

Selama sign-in interaktif, cookie SSO browser dihasilkan (menggunakan PRT dan kunci sesi yang ada di penyimpanan terkelola akun Android). Hanya berlaku untuk browser Microsoft Edge dan pengguna harus masuk.

Linux

Microsoft Edge di Linux dapat meminta broker untuk cookie SSO browser untuk mengaktifkan SSO di Microsoft Edge. Broker menghasilkan cookie SSO menggunakan PRT dan Kunci Sesi yang disimpan dalam konteks broker pengguna dan perangkat masing-masing untuk mengembalikan cookie yang dihasilkan ke Microsoft Edge. Microsoft Edge mengharuskan pengguna untuk masuk ke profil. Secara teoritis, aplikasi selain Microsoft Edge juga dapat meminta cookie ini dari Broker karena tidak ada identitas aplikasi di platform Linux. Batas keamanan OS ada di sekitar pengguna UNIX dan hanya aplikasi dalam konteks pengguna yang sama yang dapat memperoleh cookie SSO untuk pengguna dalam konteks tersebut.

Kapan PRT mendapatkan klaim MFA?

PRT bisa mendapatkan klaim autentikasi multifaktor dalam skenario tertentu. Ketika PRT berbasis MFA digunakan untuk meminta token aplikasi, klaim MFA ditransfer ke token aplikasi tersebut. Fungsi ini memberikan pengalaman yang mulus kepada pengguna dengan mencegah tantangan MFA bagi setiap aplikasi yang membutuhkannya. PRT bisa mendapatkan klaim MFA dengan cara berikut:

Windows

• Masuk dengan Windows Hello untuk Bisnis: Windows Hello untuk Bisnis mengganti kata sandi dan menggunakan kunci kriptografi untuk memberikan autentikasi dua faktor yang kuat. Windows Hello untuk Business bersifat khusus untuk pengguna di perangkat, dan memerlukan MFA saat melakukan penyediaan. Saat pengguna masuk dengan Windows Hello untuk Bisnis, PRT pengguna mendapatkan klaim MFA. Skenario ini juga berlaku untuk pengguna yang masuk dengan kartu pintar jika autentikasi Smartcard menghasilkan klaim MFA dari ADFS.
  • Karena Windows Hello untuk Bisnis dianggap sebagai autentikasi multifaktor, klaim MFA diperbarui ketika PRT itu sendiri di-refresh, sehingga durasi MFA akan terus diperpanjang saat pengguna masuk dengan Windows Hello untuk Bisnis.
• MFA selama masuk interaktif WAM: Selama permintaan token melalui WAM, jika pengguna diharuskan untuk melakukan MFA guna mengakses aplikasi, PRT yang diperbarui selama interaksi ini ditandai dengan klaim MFA.
  • Dalam hal ini, klaim MFA tidak diperbarui terus menerus, sehingga durasi MFA didasarkan pada masa pakai yang ditetapkan pada direktori.
  • Ketika PRT dan RT yang ada sebelumnya digunakan untuk akses ke aplikasi, PRT dan RT dianggap sebagai bukti autentikasi pertama. RT baru diperlukan dengan verifikasi kedua dan klaim MFA yang dicetak. Proses ini juga mengeluarkan PRT dan RT baru.
• Windows 10 atau yang lebih baru mempertahankan daftar PRT yang dipartisi untuk setiap kredensial. Jadi, ada PRT untuk masing-masing Windows Hello untuk Bisnis, kata sandi, atau kartu pintar. Pembagian ini memastikan bahwa klaim MFA diisolasi berdasarkan kredensial yang digunakan, dan tidak tercampur selama permohonan token.

Catatan

Saat menggunakan kata sandi untuk masuk ke Windows 10 atau gabungan Microsoft Entra yang lebih baru atau perangkat gabungan hibrid Microsoft Entra, MFA selama masuk interaktif WAM mungkin diperlukan setelah kunci sesi yang terkait dengan PRT digulirkan - tergantung pada apakah pengguna melewati proses 2FA dalam sesi tersebut.

iOS/Mac/Android/Linux

Jika kebijakan CA telah ditetapkan oleh admin, pengguna diharuskan untuk melakukan MFA. Dalam kasus tersebut, PRT akan ditingkatkan dan akan mendapatkan klaim MFA. Durasi klaim didasarkan pada masa pakai yang ditetapkan pada direktori.

Bagaimana PRT dinyatakan tidak valid?

PRT menjadi tidak valid dalam skenario berikut:

• Pengguna tidak valid: Jika pengguna dihapus atau dinonaktifkan di ID Microsoft Entra, PRT mereka tidak valid dan tidak dapat digunakan untuk mendapatkan token untuk aplikasi. Jika pengguna yang dihapus atau dinonaktifkan sudah masuk ke perangkat sebelumnya, masuk dengan cache akan mengizinkan mereka masuk, sampai CloudAP menyadari status mereka yang tidak valid. Setelah CloudAP menentukan bahwa pengguna tidak valid, CloudAP memblokir aktivitas masuk berikutnya. Pengguna yang tidak valid secara otomatis diblokir untuk masuk ke perangkat baru yang tidak memiliki kredensial mereka di-cache.
• Perangkat tidak valid: Jika perangkat dihapus atau dinonaktifkan di ID Microsoft Entra, PRT yang diperoleh pada perangkat tersebut tidak valid dan tidak dapat digunakan untuk mendapatkan token untuk aplikasi lain. Jika pengguna sudah masuk ke perangkat yang tidak valid, mereka dapat terus melakukannya. Tetapi semua token pada perangkat tidak valid dan pengguna tidak memiliki SSO ke sumber daya apa pun dari perangkat tersebut.
• Perubahan kata sandi: Jika pengguna mendapatkan PRT dengan kata sandi mereka, PRT tidak valid oleh ID Microsoft Entra saat pengguna mengubah kata sandi mereka. Perubahan kata sandi mengakibatkan pengguna mendapatkan PRT baru. Pembatalan ini dapat terjadi dengan dua cara berbeda:
  • Jika pengguna masuk ke Windows dengan kata sandi baru mereka, CloudAP membuang PRT lama dan meminta ID Microsoft Entra untuk mengeluarkan PRT baru dengan kata sandi baru mereka. Jika pengguna tidak memiliki koneksi internet, kata sandi baru tidak dapat divalidasi, Windows mungkin mengharuskan pengguna untuk memasukkan kata sandi lama mereka.
  • Jika pengguna telah masuk dengan kata sandi lama mereka atau mengubah kata sandi mereka setelah masuk ke Windows, PRT lama digunakan untuk permintaan token berbasis WAM apa pun. Dalam skenario ini, pengguna diminta untuk mengotorisasi ulang selama permintaan token WAM dan PRT baru dikeluarkan.
• Masalah TPM: Terkadang, TPM perangkat dapat goyah atau gagal, yang menyebabkan tidak dapat diaksesnya kunci yang diamankan oleh TPM. Dalam hal ini, perangkat tidak mampu mendapatkan PRT atau meminta token menggunakan PRT yang ada karena tidak dapat membuktikan kepemilikan kunci kriptografi. Akibatnya, PRT yang ada dibatalkan oleh Microsoft Entra ID. Ketika Windows 10 mendeteksi kegagalan, Windows 10 memulai alur pemulihan untuk mendaftarkan ulang perangkat dengan kunci kriptografi baru. Dengan gabungan hibrid Microsoft Entra, sama seperti pendaftaran awal, pemulihan terjadi secara diam-diam tanpa input pengguna. Untuk perangkat yang tergabung dengan Microsoft Entra atau terdaftar Microsoft Entra, pemulihan perlu dilakukan oleh pengguna yang memiliki hak istimewa administrator pada perangkat. Dalam skenario ini, alur pemulihan dimulai oleh permintaan Windows yang memandu pengguna untuk berhasil memulihkan perangkat.

Alur terperinci

Diagram berikut menggambarkan detail yang mendasari dalam menerbitkan, memperpanjang, dan menggunakan PRT guna meminta token akses untuk aplikasi. Selain itu, langkah-langkah ini juga menjelaskan bagaimana mekanisme keamanan yang disebutkan sebelumnya diterapkan selama interaksi ini.

Di bawah ini adalah alur terperinci khusus untuk sistem operasi Windows.

Penerbitan PRT selama login pertama (Windows)

Catatan

Di perangkat yang bergabung dengan Microsoft Entra, penerbitan Microsoft Entra PRT (langkah A-F) terjadi secara sinkron sebelum pengguna dapat masuk ke Windows. Di perangkat gabungan hibrid Microsoft Entra, Active Directory lokal adalah otoritas utama. Jadi, pengguna dapat masuk ke Microsoft Entra hybrid joined Windows setelah mereka dapat memperoleh TGT untuk masuk, sementara penerbitan PRT terjadi secara asinkron. Skenario ini tidak berlaku untuk perangkat terdaftar Microsoft Entra karena masuk tidak menggunakan kredensial Microsoft Entra.

Catatan

Dalam lingkungan Windows gabungan hibrid Microsoft Entra, penerbitan PRT terjadi secara asinkron. Penerbitan PRT mungkin gagal karena masalah dengan penyedia federasi. Kegagalan ini dapat mengakibatkan masalah masuk saat pengguna mencoba mengakses sumber daya cloud. Penting untuk memecahkan masalah skenario ini dengan penyedia federasi.

Langkah	Deskripsi
Sebuah	Pengguna memasukkan kata sandi di UI masuk. LogonUI meneruskan info masuk dalam buffer autentikasi ke LSA, yang kemudian meneruskannya secara internal ke CloudAP. CloudAP meneruskan permintaan ini ke plugin CloudAP.
B	Plugin CloudAP memulai permintaan penemuan realm guna mengidentifikasi penyedia identitas untuk pengguna. Jika penyewa pengguna memiliki konfigurasi penyedia federasi, Microsoft Entra ID akan mengembalikan titik akhir Metadata Exchange (MEX) dari penyedia federasi tersebut. Jika tidak, Microsoft Entra ID menunjukkan bahwa pengguna dikelola dan bahwa pengguna dapat mengautentikasi dengan Microsoft Entra ID.
C	Apabila pengguna berada dalam pengelolaan, CloudAP akan mendapatkan nonce dari Microsoft Entra ID. Jika pengguna digabungkan, plugin CloudAP meminta token Security Assertion Markup Language (SAML) dari penyedia federasi dengan kredensial pengguna. Nonce diminta sebelum token SAML dikirim ke Microsoft Entra ID.
D	Plugin CloudAP membangun permintaan autentikasi dengan menggunakan kredensial pengguna, nonce, dan cakupan broker, menyandikan permintaan tersebut dengan kunci perangkat (dkpriv) dan mengirimkannya ke Microsoft Entra ID. Di lingkungan federasi, plugin CloudAP menggunakan token SAML yang dikembalikan oleh penyedia federasi alih-alih kredensial pengguna.
E	Microsoft Entra ID memvalidasi kredensial pengguna, nonce, dan tanda tangan perangkat, memverifikasi bahwa perangkat valid di penyewa (tenant) dan mengeluarkan PRT terenkripsi. Bersama dengan PRT, ID Microsoft Entra juga mengeluarkan kunci simetris, yang disebut kunci sesi yang dienkripsi oleh ID Microsoft Entra menggunakan kunci Transport (tkpub). Selain itu, Kunci sesi juga disematkan dalam PRT. Kunci sesi ini bertindak sebagai kunci Proof-of-possession (PoP) untuk permintaan-permintaan berikutnya yang menggunakan PRT.
F	Plugin CloudAP meneruskan PRT dan kunci Sesi terenkripsi ke CloudAP. CloudAP meminta TPM untuk mendekripsi kunci Sesi menggunakan kunci Transport (tkpriv) dan mendekripsi ulang menggunakan kunci TPM sendiri. CloudAP menyimpan kunci Sesi terenkripsi di cache miliknya bersama dengan PRT.

Perpanjangan PRT pada sesi masuk berikutnya (Windows)

Langkah	Deskripsi
Sebuah	Pengguna memasukkan kata sandi di UI masuk. LogonUI meneruskan info masuk dalam buffer autentikasi ke LSA, yang kemudian meneruskannya secara internal ke CloudAP. CloudAP meneruskan permintaan ini ke plugin CloudAP.
B	Jika pengguna sebelumnya telah masuk ke sesi, Windows memulai masuk menggunakan data cache dan memvalidasi kredensial untuk mengizinkan pengguna masuk. Setiap 4 jam, plugin CloudAP memulai pembaruan PRT secara asinkron.
C	Plugin CloudAP memulai permintaan penemuan realm guna mengidentifikasi penyedia identitas untuk pengguna. Jika penyewa pengguna memiliki penyiapan penyedia federasi, ID Microsoft Entra akan mengembalikan titik akhir Metadata Exchange (MEX) dari penyedia federasi tersebut. Jika tidak, Microsoft Entra ID menunjukkan bahwa pengguna dikelola dan bahwa pengguna dapat mengautentikasi dengan Microsoft Entra ID.
D	Jika pengguna digabungkan, plugin CloudAP meminta token SAML dari penyedia federasi dengan kredensial pengguna. Nonce diminta sebelum token SAML dikirim ke Microsoft Entra ID. Jika pengguna dikelola, CloudAP akan langsung mendapatkan nonce dari ID Microsoft Entra.
E	Plugin CloudAP membuat permintaan autentikasi dengan kredensial pengguna, nonce, dan PRT yang ada, menandatangani permintaan dengan kunci Sesi dan mengirimkannya ke ID Microsoft Entra. Di lingkungan federasi, plugin CloudAP menggunakan token SAML yang dikembalikan oleh penyedia federasi alih-alih kredensial pengguna.
F	Microsoft Entra ID memvalidasi tanda tangan Kunci Sesi dengan membandingkannya dengan Kunci Sesi yang disematkan di PRT, memvalidasi nonce dan memverifikasi bahwa perangkat valid di penyewa serta menerbitkan PRT baru. Seperti yang terlihat sebelumnya, PRT kembali disertai dengan kunci Sesi yang dienkripsi oleh kunci Transpor (tkpub).
G	Plugin CloudAP meneruskan PRT dan kunci Sesi terenkripsi ke CloudAP. CloudAP meminta TPM untuk mendekripsi kunci Sesi menggunakan kunci Transportasi (tkpriv) dan mendekripsi ulang menggunakan kunci TPM sendiri. CloudAP menyimpan kunci Sesi terenkripsi di cache miliknya bersama dengan PRT.

Catatan

PRT dapat diperbarui secara eksternal tanpa memerlukan koneksi VPN saat usernamemixed titik akhir diaktifkan secara eksternal.

Penggunaan PRT selama permintaan token aplikasi (Windows)

Langkah	Deskripsi
Sebuah	Aplikasi, seperti Microsoft Outlook, memulai permintaan token ke WAM. WAM, pada gilirannya, meminta plugin Microsoft Entra WAM untuk melayani permintaan token.
B	Jika token Refresh untuk aplikasi sudah tersedia, plugin Microsoft Entra WAM menggunakannya untuk meminta token akses. Untuk memberikan bukti pengikatan perangkat, plugin WAM menandatangani permintaan dengan kunci Sesi. MICROSOFT Entra ID memvalidasi kunci Sesi dan mengeluarkan token akses dan token refresh baru untuk aplikasi, yang dienkripsi oleh kunci Sesi. Plugin WAM meminta plugin CloudAP untuk mendekripsi token, yang, pada gilirannya, meminta TPM untuk melakukan dekripsi menggunakan kunci Sesi, sehingga plugin WAM mendapatkan kedua token. Selanjutnya, plugin WAM hanya menyediakan token akses ke aplikasi, sementara itu mendekripsi ulang token refresh dengan DPAPI dan menyimpannya di cache sendiri
C	Jika token refresh untuk aplikasi tidak tersedia, plugin Microsoft Entra WAM menggunakan PRT untuk meminta token akses. Untuk memberikan bukti kepemilikan, plugin WAM menandatangani permintaan yang berisi PRT dengan kunci sesi. MICROSOFT Entra ID memvalidasi tanda tangan kunci Sesi dengan membandingkannya dengan kunci Sesi yang disematkan di PRT, memverifikasi bahwa perangkat valid dan mengeluarkan token akses dan token refresh untuk aplikasi. Selain itu, MICROSOFT Entra ID dapat mengeluarkan PRT baru (berdasarkan siklus refresh), semuanya dienkripsi oleh kunci Sesi.
D	Plugin WAM meminta plugin CloudAP untuk mendekripsi token, yang, pada gilirannya, meminta TPM untuk melakukan dekripsi menggunakan kunci Sesi, sehingga plugin WAM mendapatkan kedua token. Selanjutnya, plugin WAM hanya menyediakan token akses ke aplikasi, sementara itu mendekripsi ulang token refresh dengan DPAPI dan menyimpannya di cache sendiri. Plugin WAM akan menggunakan token refresh ke depan untuk aplikasi ini. Plugin WAM juga memberikan kembali PRT baru ke plugin CloudAP, yang memvalidasi PRT dengan ID Microsoft Entra sebelum memperbaruinya di cache sendiri. Plugin CloudAP menggunakan PRT baru ke depannya.
E	WAM menyediakan token akses yang baru diterbitkan ke aplikasi panggilan.

Browser SSO menggunakan PRT (Windows)

Langkah	Deskripsi
Sebuah	Pengguna masuk ke Windows dengan kredensial mereka untuk mendapatkan PRT. Setelah pengguna membuka browser, browser (atau ekstensi) memuat URL dari registri.
B	Saat pengguna membuka URL masuk Microsoft Entra, browser atau ekstensi memvalidasi URL dengan yang diperoleh dari registri. Jika cocok, browser memanggil host klien asli untuk mendapatkan token.
C	Host klien asli memvalidasi bahwa URL milik penyedia identitas Microsoft (akun Microsoft atau ID Microsoft Entra), mengekstrak nonce yang dikirim dari URL dan melakukan panggilan ke plugin CloudAP untuk mendapatkan cookie PRT.
D	Plugin CloudAP membuat cookie PRT, menandatanganinya dengan kunci sesi terikat TPM dan mengirimkannya kembali ke host klien asli.
E	Host klien asli mengembalikan cookie PRT ini ke browser, yang menyertakannya sebagai bagian dari header permintaan yang disebut x-ms-RefreshTokenCredential dan meminta token dari ID Microsoft Entra.
F	Microsoft Entra ID memvalidasi tanda tangan kunci sesi pada cookie PRT, memvalidasi nonce, memverifikasi bahwa perangkat valid di tenant, dan mengeluarkan token ID untuk halaman web dan cookie sesi terenkripsi untuk browser.

Catatan

Alur SSO Browser yang dijelaskan dalam langkah-langkah sebelumnya tidak berlaku untuk sesi dalam mode privat seperti InPrivate di Microsoft Edge, Penyamaran di Google Chrome (saat menggunakan ekstensi Akun Microsoft) atau dalam mode privat di Mozilla Firefox v91+

Langkah berikutnya

Untuk informasi selengkapnya tentang pemecahan masalah terkait PRT, lihat artikel Pemecahan Masalah Perangkat Windows 10 atau yang lebih baru dan Perangkat Windows Server 2016 yang Terhubung Secara Hibrida dengan Microsoft Entra.