Che cos'è un token di aggiornamento primario?

  • Articolo

Un token di aggiornamento primario (PRT) è un artefatto chiave dell'autenticazione di Microsoft Entra in Windows 10 o versioni successive, Windows Server 2016 e versioni successive, iOS e Dispositivi Android. Si tratta di un token JSON Web (JWT) rilasciato appositamente ai broker di token di prima parte Microsoft per abilitare l'accesso Single Sign-On (SSO) nelle applicazioni usate in tali dispositivi. In questo articolo, fornire informazioni dettagliate su come viene rilasciato, usato e protetto un token di aggiornamento primario nei dispositivi Windows 10 o versioni successive. È consigliabile usare le versioni più recenti di Windows 10, Windows 11 e Windows Server 2019+ per ottenere un'esperienza SSO ottimale.

Questo articolo presuppone che tu abbia già compreso i diversi stati del dispositivo disponibili in Microsoft Entra ID e il funzionamento dell'accesso Single Sign-On in Windows 10 o versione successiva. Per altre informazioni sui dispositivi in Microsoft Entra ID, vedere l'articolo Che cos'è la gestione dei dispositivi in Microsoft Entra ID?

Terminologia e componenti chiave

I componenti di Windows seguenti svolgono un ruolo chiave nella richiesta e nell'uso di un token di aggiornamento primario:

  • Cloud Authentication Provider (CloudAP): CloudAP è il provider di autenticazione moderno per l'accesso a Windows, che verifica l'accesso degli utenti a un dispositivo Windows 10 o versione successiva. CloudAP offre un framework di plug-in su cui i provider di identità possono basarsi per abilitare l'autenticazione a Windows usando le credenziali del provider di identità.
  • Web Account Manager (WAM): WAM è il broker di token predefinito nei dispositivi Windows 10 o versioni successive. WAM fornisce anche un framework di plug-in che i provider di identità possono usare per abilitare l'accesso SSO alle loro applicazioni tramite il provider di identità stesso.
  • Plug-in Microsoft Entra CloudAP: plug-in specifico di Microsoft Entra basato sul framework CloudAP che verifica le credenziali utente con Microsoft Entra ID durante l'accesso a Windows.
  • Plug-in Microsoft Entra WAM: plug-in specifico di Microsoft Entra basato sul framework WAM che consente l'accesso Single Sign-On alle applicazioni che si basano su Microsoft Entra ID per l'autenticazione.
  • Dsreg: un componente specifico di Microsoft Entra in Windows 10 o versione successiva, che gestisce il processo di registrazione del dispositivo per tutti gli stati del dispositivo.
  • Trusted Platform Module (TPM): un TPM è un componente hardware integrato in un dispositivo che fornisce funzioni di sicurezza basate su hardware per i segreti utente e dispositivo. Per maggiori informazioni, vedere l'articolo Panoramica della tecnologia Trusted Platform Module.

Che cosa contiene un token di aggiornamento primario?

Una richiesta pull contiene attestazioni disponibili nella maggior parte dei token di aggiornamento di Microsoft Entra ID. Il token di aggiornamento primario contiene anche alcune attestazioni specifiche del dispositivo. Questi sono:

  • ID dispositivo: un token di aggiornamento primario viene rilasciato a un utente in un dispositivo specifico. L'attestazione dell'ID dispositivo deviceID determina il dispositivo in cui è stato rilasciato il token di aggiornamento primario per l'utente. Questa attestazione viene successivamente rilasciata ai token ottenuti tramite il token di aggiornamento primario. L'attestazione dell'ID dispositivo viene usata per determinare l'autorizzazione per l'accesso condizionale in base allo stato o alla conformità del dispositivo.
  • Chiave di sessione: la chiave di sessione è una chiave simmetrica crittografata, generata dal servizio di autenticazione Microsoft Entra, rilasciata come parte del token di aggiornamento primario. La chiave della sessione funge da dimostrazione del possesso quando viene usato un token di aggiornamento primario per ottenere token per altre applicazioni. La chiave di sessione viene implementata nei dispositivi Aggiunti a Windows 10 o versione successiva aggiunti a Microsoft Entra o aggiunti a Microsoft Entra ibridi se è precedente a 30 giorni.

È possibile vedere cosa c'è in un token di aggiornamento primario?

Un token di aggiornamento primario è un BLOB opaco inviato da Microsoft Entra il cui contenuto non è noto ad alcun componente client. Non è possibile vedere cosa c'è all'interno di una richiesta pull.

Come viene rilasciato un token di aggiornamento primario?

La registrazione del dispositivo è un prerequisito per l'autenticazione basata su dispositivo in Microsoft Entra ID. Un token di aggiornamento primario viene rilasciato agli utenti solo nei dispositivi registrati. Per informazioni più dettagliate sulla registrazione dei dispositivi, vedere l'articolo Windows Hello for Business e registrazione dei dispositivi. Durante la registrazione del dispositivo, il componente dsreg genera due set di coppie di chiavi crittografiche:

  • Chiave del dispositivo (dkpub/dkpriv)
  • Chiave di trasporto (tkpub/tkpriv)

Le chiavi private sono associate al TPM del dispositivo se il dispositivo ha un TPM valido e funzionante, mentre le chiavi pubbliche vengono inviate all'ID Microsoft Entra durante il processo di registrazione del dispositivo. Queste chiavi vengono usate per convalidare lo stato del dispositivo durante le richieste del token di aggiornamento primario.

Il token di aggiornamento primario viene emesso durante l'autenticazione utente in un dispositivo Windows 10 o versione successiva in due scenari:

  • Aggiunto a Microsoft Entra o aggiunto a Microsoft Entra ibrido: un token di aggiornamento primario viene rilasciato durante l'accesso a Windows quando un utente accede con le credenziali dell'organizzazione. Un token di aggiornamento primario viene rilasciato con tutte le credenziali supportate di Windows 10 o versioni successive, ad esempio password e Windows Hello for Business. In questo scenario, il plug-in Microsoft Entra CloudAP è l'autorità primaria per il token di aggiornamento primario.
  • Dispositivo registrato Microsoft Entra: un token di aggiornamento primario viene emesso quando un utente aggiunge un account aziendale secondario al dispositivo Windows 10 o versione successiva. Gli utenti possono aggiungere un account a Windows 10 o versione successiva in due modi diversi:
    • Aggiunta di un account tramite consenti all'organizzazione di gestire il prompt dei dispositivi dopo l'accesso a un'app (ad esempio, Outlook)
    • Da Impostazioni>Account>Accedi all'azienda o all'istituto di istruzione>Connetti

Negli scenari di dispositivi registrati di Microsoft Entra, il plug-in Microsoft Entra WAM è l'autorità principale per il token di aggiornamento primario perché l'accesso a Windows non avviene con questo account Microsoft Entra.

Nota

I provider di identità di terze parti devono supportare il protocollo WS-Trust per abilitare il rilascio della richiesta pull nei dispositivi Windows 10 o versioni successive. Senza WS-Trust, il token di aggiornamento primario non può essere rilasciato agli utenti nei dispositivi aggiunti a Microsoft Entra ibridi o aggiunti a Microsoft Entra. In AD FS sono necessari solo endpoint con nome utentemixed. In AD FS se smartcard/certificate viene usato durante gli endpoint di accesso certificatemixed di Windows sono necessari. Sia adfs/services/trust/2005/windowstransport che adfs/services/trust/13/windowstransport devono essere abilitati solo come endpoint con connessione Intranet e non devono essere esposti come endpoint con connessione Extranet tramite il proxy dell'applicazione Web.

Nota

I criteri di accesso condizionale di Microsoft Entra non vengono valutati quando vengono rilasciate richieste pull.

Nota

Microsoft non supporta provider di credenziali di terze parti per il rilascio e il rinnovo delle richieste pull di Microsoft Entra.

Qual è la durata di un token di aggiornamento primario?

Una volta rilasciato, un token di aggiornamento primario è valido per 14 giorni e viene rinnovato continuamente fino a quando l'utente usa attivamente il dispositivo.

Come viene usato un token di aggiornamento primario?

Un token di aggiornamento primario viene usato da due componenti chiave in Windows:

  • Plug-in Microsoft Entra CloudAP: durante l'accesso a Windows, il plug-in Microsoft Entra CloudAP richiede un token di aggiornamento primario da Microsoft Entra ID usando le credenziali fornite dall'utente. Memorizza nella cache anche il token di aggiornamento primario per abilitare l'accesso memorizzato nella cache quando l'utente non ha accesso a una connessione Internet.
  • Plug-in Microsoft Entra WAM: quando gli utenti tentano di accedere alle applicazioni, il plug-in Microsoft Entra WAM usa il token di aggiornamento primario per abilitare l'accesso SSO in Windows 10 o versione successiva. Il plug-in Microsoft Entra WAM usa la richiesta pull per richiedere token di aggiornamento e accesso per le applicazioni che si basano su WAM per le richieste di token. Viene inoltre abilitato l'accesso SSO nei browser inserendo il token di aggiornamento primario nelle richieste del browser. Browser SSO in Windows 10 o versione successiva è supportato in Microsoft Edge (in modo nativo), Chrome (tramite gli account di Windows 10 o Mozilla Firefox v91+ (impostazione Firefox SSO)

    Nota

    Nei casi in cui un utente dispone di due account dello stesso tenant di Microsoft Entra connesso a un'applicazione browser, anche l'autenticazione del dispositivo fornita dal token di aggiornamento primario dell'account primario viene applicata automaticamente al secondo account. Di conseguenza, il secondo account soddisfa anche qualsiasi criterio di accesso condizionale basato su dispositivo nel tenant.

Come viene rinnovato un token di aggiornamento primario?

Un token di aggiornamento primario viene rinnovato in due modi diversi:

  • Plug-in Microsoft Entra CloudAP ogni 4 ore: il plug-in CloudAP rinnova il token di aggiornamento primario ogni 4 ore durante l'accesso a Windows. Se l'utente non ha una connessione Internet durante tale periodo, il plug-in CloudAP rinnova il token di aggiornamento primario dopo che il dispositivo è connesso a Internet.
  • Plug-in Microsoft Entra WAM durante le richieste di token dell'app: il plug-in WAM abilita l'accesso SSO nei dispositivi Windows 10 o versioni successive abilitando le richieste di token invisibile all'utente per le applicazioni. Il plug-in WAM può rinnovare la richiesta pull durante queste richieste di token in due modi diversi:
    • Un'app richiede WAM per un token di accesso in modo invisibile all'utente, ma non è disponibile alcun token di aggiornamento per tale app. In questo caso, WAM usa il token di aggiornamento primario per richiedere un token per l'app e restituisce un nuovo token di aggiornamento primario nella risposta.
    • Un'app richiede WAM per un token di accesso, ma il token di aggiornamento primario non è valido o Microsoft Entra ID richiede un'autorizzazione aggiuntiva( ad esempio, l'autenticazione a più fattori Microsoft Entra). In questo scenario, WAM avvia un accesso interattivo che richiede all'utente di ripetere l'autenticazione o fornire una verifica aggiuntiva e viene eseguita una nuova richiesta pull per l'autenticazione riuscita.

In un ambiente AD FS, non è necessario rinnovare il token di aggiornamento primario diretto al controller di dominio. Il rinnovo prt richiede solo /adfs/services/trust/2005/usernamemixed gli endpoint e /adfs/services/trust/13/usernamemixed abilitati nel proxy usando il protocollo WS-Trust.

Gli endpoint di trasporto di Windows sono necessari per l'autenticazione della password solo quando viene modificata una password, non per il rinnovo prt.

Nota

I criteri di accesso condizionale di Microsoft Entra non vengono valutati quando vengono rinnovate le richieste pull.

Considerazioni essenziali

  • Nei dispositivi aggiunti a Microsoft Entra e aggiunti a Microsoft Entra ibrido, il plug-in CloudAP è l'autorità primaria per un token di aggiornamento primario. Se una richiesta di token basata su WAM viene rinnovata durante una richiesta di token basata su WAM, il token pull viene inviato al plug-in CloudAP, che verifica la validità del token di aggiornamento primario con Microsoft Entra ID prima di accettarlo.

Piattaforma Android:

  • Un token di aggiornamento primario è valido per 90 giorni e viene rinnovato continuamente finché il dispositivo è in uso. Tuttavia, è valido solo per 14 giorni se il dispositivo non è in uso.
  • Un token di aggiornamento primario viene rilasciato e rinnovato solo durante l'autenticazione dell'app nativa. Un token di aggiornamento primario non viene rinnovato o rilasciato durante una sessione del browser.
  • È possibile ottenere un token di aggiornamento primario senza la necessità di registrazione del dispositivo (Workplace Join) e abilitare l'accesso SSO.
  • Le richieste pull ottenute senza registrazione del dispositivo non possono soddisfare i criteri di autorizzazione per l'accesso condizionale che si basa sullo stato o sulla conformità del dispositivo.

Come viene protetto il token di aggiornamento primario?

Un token di aggiornamento primario viene protetto mediante l'associazione al dispositivo in cui l'utente ha effettuato l'accesso. Microsoft Entra ID e Windows 10 o versioni successive abilitano la protezione prT tramite i metodi seguenti:

  • Durante il primo accesso: durante il primo accesso, un token di aggiornamento primario viene emesso firmando le richieste usando la chiave del dispositivo generata in modo crittografico durante la registrazione del dispositivo. In un dispositivo con un TPM valido e funzionante, la chiave del dispositivo è protetta dal TPM che impedisce l'accesso da parte di utenti malintenzionati. Un token di aggiornamento primario non viene emesso se non è possibile convalidare la firma della chiave del dispositivo corrispondente.
  • Durante le richieste di token e il rinnovo: quando viene eseguita una richiesta pull, Microsoft Entra ID rilascia anche una chiave di sessione crittografata al dispositivo. Viene crittografato con la chiave di trasporto pubblico (tkpub) generata e inviata a Microsoft Entra ID come parte della registrazione del dispositivo. Questa chiave della sessione può essere decrittografata solo tramite la chiave di trasporto privata (tkpriv) protetta dal TPM. La chiave di sessione è la chiave POP (Proof-of-Possession) per tutte le richieste inviate a Microsoft Entra ID. Anche la chiave della sessione è protetta dal TPM e nessun altro componente del sistema operativo può accedervi. Le richieste di token o le richieste di rinnovo prt vengono firmate in modo sicuro da questa chiave di sessione tramite il TPM e pertanto non possono essere manomesse. Microsoft Entra invalida le richieste dal dispositivo che non sono firmate dalla chiave di sessione corrispondente.

Proteggendo queste chiavi con il TPM, si migliora la sicurezza per il token di aggiornamento primario da parte di attori malintenzionati che tentano di rubare le chiavi o riprodurre il token di aggiornamento primario. Pertanto, l'uso di un TPM migliora notevolmente la sicurezza dei dispositivi aggiunti a Microsoft Entra, aggiunti a Microsoft Entra ibrido e Microsoft Entra registrati contro il furto di credenziali. Per prestazioni e affidabilità, TPM 2.0 è la versione consigliata per tutti gli scenari di registrazione dei dispositivi Microsoft Entra in Windows 10 o versione successiva. A partire dall'aggiornamento di Windows 10, 1903, Microsoft Entra ID non usa TPM 1.2 per una delle chiavi precedenti a causa di problemi di affidabilità.

Come vengono protetti i token delle app e i cookie del browser?

Token dell'app: quando un'app richiede token tramite WAM, Microsoft Entra ID rilascia un token di aggiornamento e un token di accesso. Tuttavia, WAM restituisce solo il token di accesso all'app e protegge il token di aggiornamento nella cache crittografandolo con la chiave DPAPI (Data Protection Application Programming Interface) dell'utente. WAM usa in modo sicuro il token di aggiornamento firmando le richieste con la chiave della sessione per rilasciare ulteriori token di accesso. La chiave DPAPI è protetta da una chiave simmetrica basata su ID Entra di Microsoft in Microsoft Entra stessa. Quando il dispositivo deve decrittografare il profilo utente con la chiave DPAPI, Microsoft Entra ID fornisce la chiave DPAPI crittografata dalla chiave di sessione, che il plug-in CloudAP richiede TPM per decrittografare. Questa funzionalità garantisce la coerenza nella protezione dei token di aggiornamento ed evita che le applicazioni implementino meccanismi di protezione individuali.

Cookie del browser: in Windows 10 o versione successiva, Microsoft Entra ID supporta l'accesso SSO del browser in Internet Explorer e Microsoft Edge in modo nativo, in Google Chrome tramite l'estensione account di Windows 10 e in Mozilla Firefox v91+ tramite un'impostazione del browser. La sicurezza è integrata non solo per proteggere i cookie, ma anche gli endpoint a cui i cookie vengono inviati. I cookie del browser sono protetti nello stesso modo del token di aggiornamento primario, usando la chiave della sessione per firmare e proteggere i cookie.

Quando un utente avvia un'interazione nel browser, il browser (o l'estensione) richiama un host client nativo COM. L'host client nativo verifica che la pagina provenga da uno dei domini consentiti. Il browser può inviare altri parametri all'host client nativo, incluso un oggetto nonce, tuttavia l'host client nativo garantisce la convalida del nome host. L'host client nativo richiede un cookie del token di aggiornamento primario al plug-in CloudAP, che lo crea e lo firma con la chiave della sessione protetta dal TPM. Poiché il cookie PRT è firmato dalla chiave di sessione, è difficile manomettere. Questo cookie PRT è incluso nell'intestazione della richiesta per Microsoft Entra ID per convalidare il dispositivo da cui proviene. Se si usa il browser Chrome, solo l'estensione definita in modo esplicito nel manifesto dell'host client nativo può richiamarla impedendo alle estensioni arbitrarie di effettuare queste richieste. Dopo che Microsoft Entra ID convalida il cookie PRT, invia un cookie di sessione al browser. Questo cookie di sessione contiene anche la stessa chiave della sessione rilasciata con un token di aggiornamento primario. Durante le richieste successive, la chiave della sessione viene convalidata in modo efficace associando il cookie al dispositivo e impedendo le riproduzione da altre posizioni.

Quando un token di aggiornamento primario riceve un'attestazione MFA?

Un token di aggiornamento primario può ottenere un'attestazione di autenticazione a più fattori in scenari specifici. Quando si usa un token di aggiornamento primario basato su MFA per richiedere token per le applicazioni, l'attestazione MFA viene trasferita a tali token delle app. Questa funzionalità offre un'esperienza uniforme agli utenti, evitando le richieste di autenticazione MFA per ogni app che la richiede. Un token di aggiornamento primario può ottenere un'attestazione MFA nei modi seguenti:

  • Accedi con Windows Hello for Business: Windows Hello for Business sostituisce le password e usa chiavi crittografiche per fornire un'autenticazione a due fattori avanzata. Windows Hello for Business è una funzionalità specifica di un utente su un dispositivo e a sua volta richiede MFA per il provisioning. Quando un utente accede con Windows Hello for Business, il token di aggiornamento primario dell'utente ottiene un'attestazione MFA. Questo scenario si applica anche agli utenti che accedono con smart card se l'autenticazione tramite smart card produce un'attestazione MFA da AD FS.
    • Poiché Windows Hello for Business viene considerato l'autenticazione a più fattori, l'attestazione MFA viene aggiornata quando il token di aggiornamento primario viene aggiornato, quindi la durata dell'autenticazione a più fattori si estenderà continuamente quando gli utenti accedono con Windows Hello for Business.
  • MFA durante l'accesso interattivo di WAM: durante una richiesta di token tramite WAM, se un utente deve eseguire l'autenticazione a più fattori per accedere all'app, il token di aggiornamento primario rinnovato durante questa interazione viene stampato con un'attestazione MFA.
    • In questo caso, l'attestazione MFA non viene aggiornata continuamente, quindi la durata dell'autenticazione a più fattori è basata sulla durata impostata nella directory.
    • Quando per l'accesso a un'app viene usata una richiesta pull e RT esistente precedente, la richiesta pull e RT vengono considerate come la prima prova di autenticazione. È necessario un nuovo rt con una seconda prova e un'attestazione MFA stampata. Questo processo genera anche un nuovo prt e rt.

Windows 10 o versione successiva mantengono un elenco partizionato di token di aggiornamento primario per ogni credenziale. È quindi disponibile un token di aggiornamento primario per ogni windows Hello for Business, password o smart card. Questo partizionamento garantisce che le attestazioni MFA siano isolate in base alle credenziali usate e non siano confuse durante le richieste di token.

Nota

Quando si usa la password per accedere a Windows 10 o a un dispositivo aggiunto a Microsoft Entra ibrido o a Un dispositivo aggiunto a Microsoft Entra ibrido, l'autenticazione a più fattori durante l'accesso interattivo WAM potrebbe essere necessaria dopo il rollfornimento della chiave di sessione associata alla richiesta pull.

Come viene invalidato un token di aggiornamento primario?

Un token di aggiornamento primario viene invalidato negli scenari seguenti:

  • Utente non valido: se un utente viene eliminato o disabilitato in Microsoft Entra ID, il token di aggiornamento primario viene invalidato e non può essere usato per ottenere i token per le applicazioni. Se un utente eliminato o disabilitato ha già eseguito l'accesso a un dispositivo in precedenza, l'accesso dalla cache consente all'utente la connessione, fino a quando CloudAP non rileva lo stato non valido. Quando CloudAP determina che l'utente non è valido, blocca gli accessi successivi. Un utente non valido viene automaticamente bloccato dall'accesso ai nuovi dispositivi che non hanno le credenziali memorizzate nella cache.
  • Dispositivo non valido: se un dispositivo viene eliminato o disabilitato in Microsoft Entra ID, il token di aggiornamento primario ottenuto in tale dispositivo viene invalidato e non può essere usato per ottenere token per altre applicazioni. Se un utente ha già eseguito l'accesso a un dispositivo non valido, può continuare a farlo. Tuttavia, tutti i token nel dispositivo vengono invalidati e l'utente non ha accesso SSO ad alcuna risorsa da tale dispositivo.
  • Modifica della password: se un utente ha ottenuto il token di aggiornamento primario con la password, il token di aggiornamento primario viene invalidato da Microsoft Entra ID quando l'utente modifica la password. In seguito alla modifica della password, l'utente ottiene un nuovo token di aggiornamento primario. Questa invalidazione può verificarsi in due modi diversi:
    • Se l'utente accede a Windows con la nuova password, CloudAP rimuove il token di aggiornamento primario precedente e richiede l'ID Microsoft Entra per rilasciare un nuovo token di aggiornamento primario con la nuova password. Se l'utente non ha una connessione Internet, la nuova password non può essere convalidata, Windows potrebbe richiedere all'utente di immettere la vecchia password.
    • Se un utente ha eseguito l'accesso con la vecchia password o ha modificato la password dopo l'accesso a Windows, il token di aggiornamento primario precedente viene usato per qualsiasi richiesta di token basata su WAM. In questo scenario, all'utente viene richiesto di ripetere l'autenticazione durante la richiesta di token WAM e viene rilasciato un nuovo token di aggiornamento primario.
  • Problemi di TPM: a volte, il TPM di un dispositivo può vacillare o non riuscire, causando l'inaccessibilità delle chiavi protette dal TPM. In questo caso, il dispositivo non è in grado di ottenere un token di aggiornamento primario o di richiedere token usando un token di aggiornamento primario esistente perché non può dimostrare il possesso delle chiavi crittografiche. Di conseguenza, qualsiasi prt esistente viene invalidato dall'ID Entra di Microsoft. Quando Windows 10 rileva un errore, avvia un flusso di ripristino per registrare nuovamente il dispositivo con nuove chiavi crittografiche. Con l'aggiunta ibrida a Microsoft Entra, proprio come la registrazione iniziale, il ripristino viene eseguito automaticamente senza input dell'utente. Per i dispositivi registrati da Microsoft Entra o Microsoft Entra, il ripristino deve essere eseguito da un utente con privilegi di amministratore nel dispositivo. In questo scenario, il flusso di ripristino viene avviato da un prompt di Windows che guida l'utente nel ripristino del dispositivo.

Flussi dettagliati

I diagrammi seguenti illustrano i dettagli sottostanti relativi a rilascio, rinnovo e uso di un token di aggiornamento primario per richiedere un token di accesso per un'applicazione. Questi passaggi descrivono inoltre come vengono applicati i meccanismi di sicurezza illustrati in precedenza durante queste interazioni.

Rilascio del token di aggiornamento primario durante il primo accesso

Flusso dettagliato di rilascio del token di aggiornamento primario durante il primo accesso

Nota

Nei dispositivi aggiunti a Microsoft Entra, il rilascio di Microsoft Entra PRT (passaggi A-F) viene eseguito in modo sincrono prima che l'utente possa accedere a Windows. Nei dispositivi aggiunti a Microsoft Entra ibrido Active Directory locale è l'autorità primaria. Pertanto, l'utente è in grado di accedere a Windows ibrido di Microsoft Entra dopo aver acquisito un TGT per accedere, mentre il rilascio della richiesta pull avviene in modo asincrono. Questo scenario non si applica ai dispositivi registrati di Microsoft Entra perché l'accesso non usa le credenziali di Microsoft Entra.

Nota

In un ambiente Windows aggiunto a Microsoft Entra ibrido, il rilascio della richiesta pull viene generato in modo asincrono. Il rilascio del token di aggiornamento primario potrebbe non riuscire a causa di problemi con il provider federativo. Questo errore può causare problemi di accesso quando gli utenti tentano di accedere alle risorse cloud. È importante risolvere questo scenario con il provider federativo.

Procedi Descrizione
Un L'utente immette la sua password nell'interfaccia utente di accesso. L'interfaccia utente di accesso passa le credenziali in un buffer di autenticazione a LSA, che a sua volta le passa internamente a CloudAP. CloudAP inoltra la richiesta al plug-in CloudAP.
G Il plug-in CloudAP avvia una richiesta di individuazione dell'area di autenticazione per identificare il provider di identità per l'utente. Se il tenant dell'utente ha una configurazione del provider federativo, Microsoft Entra ID restituisce l'endpoint MEX (Metadata Exchange Endpoint) del provider federativo. In caso contrario, Microsoft Entra ID restituisce che l'utente è gestito a indicare che l'utente può eseguire l'autenticazione con l'ID Microsoft Entra.
A Se l'utente è gestito, CloudAP ottiene il nonce dall'ID Microsoft Entra. Se l'utente è federato, il plug-in CloudAP richiede un token SAML (Security Assertion Markup Language) dal provider federativo con le credenziali dell'utente. Nonce viene richiesto prima che il token SAML venga inviato a Microsoft Entra ID.
D Il plug-in CloudAP crea la richiesta di autenticazione con le credenziali, il nonce e un ambito broker dell'utente, firma la richiesta con la chiave del dispositivo (dkpriv) e la invia a Microsoft Entra ID. In un ambiente federato, il plug-in CloudAP usa il token SAML restituito dal provider federativo anziché le credenziali dell'utente.
E Microsoft Entra ID convalida le credenziali utente, il nonce e la firma del dispositivo, verifica che il dispositivo sia valido nel tenant e rilascia il token di aggiornamento primario crittografato. Insieme alla richiesta pull, Microsoft Entra ID emette anche una chiave simmetrica, denominata chiave di sessione crittografata da Microsoft Entra ID usando la chiave di trasporto (tkpub). La chiave della sessione è anche incorporata nel token di aggiornamento primario. La chiave della sessione funge da chiave di dimostrazione del possesso (PoP, Proof-of-Possession) per le successive richieste con il token di aggiornamento primario.
F Il plug-in CloudAP passa il token di aggiornamento primario e la chiave della sessione crittografati a CloudAP. CloudAP richiede al TPM di decrittografare la chiave di sessione usando la chiave di trasporto (tkpriv) e ricrittografarla usando la chiave del TPM. CloudAP archivia la chiave della sessione crittografata nella cache insieme al token di aggiornamento primario.

Rinnovo del token di aggiornamento primario agli accessi successivi

Rinnovo del token di aggiornamento primario agli accessi successivi

Procedi Descrizione
Un L'utente immette la sua password nell'interfaccia utente di accesso. L'interfaccia utente di accesso passa le credenziali in un buffer di autenticazione a LSA, che a sua volta le passa internamente a CloudAP. CloudAP inoltra la richiesta al plug-in CloudAP.
G Se l'utente ha eseguito l'accesso precedentemente all'utente, Windows avvia l'accesso memorizzato nella cache e convalida le credenziali per l'accesso dell'utente. Ogni 4 ore il plug-in CloudAP avvia il rinnovo del token di aggiornamento primario in modo asincrono.
A Il plug-in CloudAP avvia una richiesta di individuazione dell'area di autenticazione per identificare il provider di identità per l'utente. Se il tenant dell'utente ha una configurazione del provider federativo, Microsoft Entra ID restituisce l'endpoint MEX (Metadata Exchange Endpoint) del provider federativo. In caso contrario, Microsoft Entra ID restituisce che l'utente è gestito a indicare che l'utente può eseguire l'autenticazione con l'ID Microsoft Entra.
D Se l'utente è federato, il plug-in CloudAP richiede un token SAML dal provider federativo con le credenziali dell'utente. Nonce viene richiesto prima che il token SAML venga inviato a Microsoft Entra ID. Se l'utente è gestito, CloudAP otterrà direttamente il nonce dall'ID Microsoft Entra.
E Il plug-in CloudAP costruisce la richiesta di autenticazione con le credenziali, il nonce dell'utente e il token di aggiornamento primario esistente, firma la richiesta con la chiave di sessione e la invia all'ID Microsoft Entra. In un ambiente federato, il plug-in CloudAP usa il token SAML restituito dal provider federativo anziché le credenziali dell'utente.
F Microsoft Entra ID convalida la firma della chiave di sessione confrontandola con la chiave di sessione incorporata nel token di aggiornamento primario, convalida il nonce e verifica che il dispositivo sia valido nel tenant e rilascia un nuovo token di aggiornamento primario. Come illustrato in precedenza, il token di aggiornamento primario viene di nuovo associato alla chiave della sessione crittografata dalla chiave di trasporto (tkpub).
G Il plug-in CloudAP passa il token di aggiornamento primario e la chiave della sessione crittografati a CloudAP. CloudAP richiede al TPM di decrittografare la chiave di sessione usando la chiave di trasporto (tkpriv) e ricrittografarla usando la propria chiave TPM. CloudAP archivia la chiave della sessione crittografata nella cache insieme al token di aggiornamento primario.

Nota

Un token di aggiornamento primario può essere rinnovato esternamente senza la necessità di una connessione VPN quando gli endpoint misti con nome utente vengono abilitati esternamente.

Uso del token di aggiornamento primario durante le richieste di token dell'app

Uso del token di aggiornamento primario durante le richieste di token dell'app

Procedi Descrizione
Un Un'applicazione ,ad esempio Outlook, OneNote e così via, avvia una richiesta di token a WAM. WAM, a sua volta, chiede al plug-in Microsoft Entra WAM di gestire la richiesta di token.
G Se è già disponibile un token di aggiornamento per l'applicazione, il plug-in Microsoft Entra WAM lo usa per richiedere un token di accesso. Per fornire la prova dell'associazione del dispositivo, il plug-in WAM firma la richiesta con la chiave della sessione. Microsoft Entra ID convalida la chiave di sessione e rilascia un token di accesso e un nuovo token di aggiornamento per l'app, crittografato dalla chiave di sessione. Il plug-in WAM richiede al plug-in CloudAP di decrittografare i token, che a loro volta richiede al TPM di decrittografare usando la chiave sessione, ottenendo entrambi i token nel plug-in WAM. Successivamente, il plug-in WAM fornisce solo il token di accesso all'applicazione, mentre crittografa il token di aggiornamento con DPAPI e lo archivia nella propria cache
A Se non è disponibile un token di aggiornamento per l'applicazione, il plug-in Microsoft Entra WAM usa il token di aggiornamento primario per richiedere un token di accesso. Per fornire la dimostrazione del possesso, il plug-in WAM firma la richiesta contenente il token di aggiornamento primario con la chiave della sessione. Microsoft Entra ID convalida la firma della chiave di sessione confrontandola con la chiave di sessione incorporata nel token di aggiornamento primario, verifica che il dispositivo sia valido e rilascia un token di accesso e un token di aggiornamento per l'applicazione. Inoltre, Microsoft Entra ID può emettere una nuova richiesta pull (in base al ciclo di aggiornamento), tutte crittografate dalla chiave di sessione.
D Il plug-in WAM richiede al plug-in CloudAP di decrittografare i token, che a loro volta richiede al TPM di decrittografare usando la chiave sessione, ottenendo entrambi i token nel plug-in WAM. Successivamente, il plug-in WAM fornisce solo il token di accesso all'applicazione, mentre crittografa il token di aggiornamento con DPAPI e lo archivia nella propria cache. Il plug-in WAM usa il token di aggiornamento in futuro per questa applicazione. Il plug-in WAM restituisce anche il nuovo plug-in PRT a CloudAP, che convalida il token di aggiornamento primario con Microsoft Entra ID prima di aggiornarlo nella propria cache. Il plug-in CloudAP usa il nuovo token di aggiornamento primario in futuro.
E WAM fornisce il nuovo token di accesso rilasciato a WAM, che a sua volta lo restituisce all'applicazione chiamante.

Accesso SSO del browser con il token di aggiornamento primario

Accesso SSO del browser con il token di aggiornamento primario

Procedi Descrizione
Un L'utente accede a Windows con le proprie credenziali per ottenere un token di aggiornamento primario. Quando l'utente apre il browser, il browser o l'estensione carica gli URL dal registro.
G Quando un utente apre un URL di accesso di Microsoft Entra, il browser o l'estensione convalida l'URL con quelli ottenuti dal Registro di sistema. Se corrispondono, il browser richiama l'host client nativo per ottenere un token.
A L'host client nativo convalida che gli URL appartengono ai provider di identità Microsoft (account Microsoft o ID Microsoft Entra), estrae un nonce inviato dall'URL e effettua una chiamata al plug-in CloudAP per ottenere un cookie PRT.
D Il plug-in CloudAP crea il cookie PRT, accede con la chiave di sessione associata a TPM e lo invia all'host client nativo.
E L'host client nativo restituisce questo cookie PRT al browser, che lo include come parte dell'intestazione della richiesta denominata x-ms-RefreshTokenCredential e token di richiesta da Microsoft Entra ID.
F Microsoft Entra ID convalida la firma della chiave di sessione nel cookie PRT, convalida il nonce, verifica che il dispositivo sia valido nel tenant e rilascia un token ID per la pagina Web e un cookie di sessione crittografato per il browser.

Nota

Il flusso SSO del browser descritto nei passaggi precedenti non si applica alle sessioni in modalità private, ad esempio InPrivate in Microsoft Edge, Incognito in Google Chrome (quando si usa l'estensione Account Microsoft) o in modalità privata in Mozilla Firefox v91+

Passaggi successivi

Per altre informazioni sulla risoluzione dei problemi correlati al token di aggiornamento primario, vedere l'articolo Risoluzione dei problemi relativi ai dispositivi Windows 10 o windows Server 2016 aggiunti all'ambiente ibrido di Microsoft Entra o versioni successive e Windows Server 2016.