Funzionamento: Registrazione del dispositivo
Registrazione del dispositivo è un prerequisito per l'autenticazione basata sul cloud. In genere, i dispositivi sono Microsoft Entra ID o Microsoft Entra ibrido aggiunto per completare la registrazione del dispositivo. Questo articolo fornisce informazioni dettagliate sul funzionamento dell'aggiunta a Microsoft Entra e dell'aggiunta ibrida di Microsoft Entra in ambienti gestiti e federati. Per altre informazioni sul funzionamento dell'autenticazione di Microsoft Entra in questi dispositivi, vedere l'articolo Token di aggiornamento primario.
Microsoft Entra è stato aggiunto in ambienti gestiti
| Fase | Descrizione |
|---|---|
| Un | Il modo più comune in cui i dispositivi aggiunti a Microsoft Entra vengono registrati è durante la configurazione guidata (OOBE) in cui carica l'applicazione Web Microsoft Entra join nell'applicazione Cloud Experience Host (CXH). L'applicazione invia una richiesta GET all'endpoint di configurazione Di Microsoft Entra OpenID per individuare gli endpoint di autorizzazione. Microsoft Entra ID restituisce la configurazione OpenID, che include gli endpoint di autorizzazione, all'applicazione come documento JSON. |
| B | L'applicazione compila una richiesta di accesso per l'endpoint di autorizzazione e raccoglie le credenziali utente. |
| C | Dopo che l'utente fornisce il proprio nome utente (in formato UPN), l'applicazione invia una richiesta GET all'ID Microsoft Entra per individuare le informazioni dell'area di autenticazione corrispondenti per l'utente. Queste informazioni determinano se l'ambiente è gestito o federato. Microsoft Entra ID restituisce le informazioni in un oggetto JSON. L'applicazione determina che l'ambiente è gestito (non federato). L'ultimo passaggio di questa fase prevede che l'applicazione crei un buffer di autenticazione e, se nella configurazione guidata, lo memorizza temporaneamente nella cache per l'accesso automatico alla fine della configurazione guidata. L'applicazione esegue il posts delle credenziali all'ID Microsoft Entra in cui vengono convalidate. Microsoft Entra ID restituisce un token ID con attestazioni. |
| D | L'applicazione cerca le condizioni per l'utilizzo mdm (attestazione mdm_tou_url). Se presente, l'applicazione recupera le condizioni per l'utilizzo dal valore dell'attestazione, presenta il contenuto all'utente e attende che l'utente accetti le condizioni per l'utilizzo. Questo passaggio è facoltativo e ignorato se l'attestazione non è presente o se il valore dell'attestazione è vuoto. |
| E | L'applicazione invia una richiesta di individuazione della registrazione del dispositivo al servizio Registrazione dispositivi di Azure. Azure DRS restituisce un documento sui dati di individuazione, che restituisce URI specifici del tenant per completare la registrazione del dispositivo. |
| F | L'applicazione crea una coppia di chiavi RSA a 2048 bit associata a TPM (preferita) nota come chiave del dispositivo (dkpub/dkpriv). L'applicazione crea una richiesta di certificato usando dkpub e la chiave pubblica e firma la richiesta di certificato con dkpriv. Successivamente, l'applicazione deriva la seconda coppia di chiavi dalla chiave radice di archiviazione del TPM. Questa chiave è la chiave di trasporto (tkpub/tkpriv). |
| G | L'applicazione invia una richiesta di registrazione del dispositivo ad Azure DRS che include il token ID, la richiesta di certificato, tkpub e i dati di attestazione. Il servizio Ripristino di emergenza di Azure convalida il token ID, crea un ID dispositivo e crea un certificato in base alla richiesta di certificato inclusa. Azure DRS scrive quindi un oggetto dispositivo in Microsoft Entra ID e invia l'ID dispositivo e il certificato del dispositivo al client. |
| H | La registrazione del dispositivo viene completata ricevendo l'ID dispositivo e il certificato del dispositivo dal servizio di ripristino di emergenza di Azure. L'ID dispositivo viene salvato per riferimento futuro (visualizzabile da dsregcmd.exe /status) e il certificato del dispositivo viene installato nell'archivio personale del computer. Al termine della registrazione del dispositivo, il processo continua con la registrazione MDM. |
Microsoft Entra è stato aggiunto in ambienti federati
| Fase | Descrizione |
|---|---|
| Un | Il modo più comune in cui i dispositivi aggiunti a Microsoft Entra vengono registrati è durante la configurazione guidata (OOBE) in cui carica l'applicazione Web Microsoft Entra join nell'applicazione Cloud Experience Host (CXH). L'applicazione invia una richiesta GET all'endpoint di configurazione Di Microsoft Entra OpenID per individuare gli endpoint di autorizzazione. Microsoft Entra ID restituisce la configurazione OpenID, che include gli endpoint di autorizzazione, all'applicazione come documento JSON. |
| B | L'applicazione compila una richiesta di accesso per l'endpoint di autorizzazione e raccoglie le credenziali utente. |
| C | Dopo che l'utente fornisce il proprio nome utente (in formato UPN), l'applicazione invia una richiesta GET all'ID Microsoft Entra per individuare le informazioni dell'area di autenticazione corrispondenti per l'utente. Queste informazioni determinano se l'ambiente è gestito o federato. Microsoft Entra ID restituisce le informazioni in un oggetto JSON. L'applicazione determina che l'ambiente è federato. L'applicazione reindirizza al valore AuthURL (pagina di accesso stS locale) nell'oggetto dell'area di autenticazione JSON restituito. L'applicazione raccoglie le credenziali tramite la pagina Web stS. |
| D | L'applicazione PUBBLICA le credenziali per il servizio token di sicurezza locale, che può richiedere fattori aggiuntivi di autenticazione. Il servizio token di sicurezza locale autentica l'utente e restituisce un token. L'applicazione POSTT il token a Microsoft Entra ID per l'autenticazione. Microsoft Entra ID convalida il token e restituisce un token ID con attestazioni. |
| E | L'applicazione cerca le condizioni per l'utilizzo mdm (attestazione mdm_tou_url). Se presente, l'applicazione recupera le condizioni per l'utilizzo dal valore dell'attestazione, presenta il contenuto all'utente e attende che l'utente accetti le condizioni per l'utilizzo. Questo passaggio è facoltativo e ignorato se l'attestazione non è presente o se il valore dell'attestazione è vuoto. |
| F | L'applicazione invia una richiesta di individuazione della registrazione del dispositivo al servizio Registrazione dispositivi di Azure. Azure DRS restituisce un documento sui dati di individuazione, che restituisce URI specifici del tenant per completare la registrazione del dispositivo. |
| G | L'applicazione crea una coppia di chiavi RSA a 2048 bit associata a TPM (preferita) nota come chiave del dispositivo (dkpub/dkpriv). L'applicazione crea una richiesta di certificato usando dkpub e la chiave pubblica e firma la richiesta di certificato con dkpriv. Successivamente, l'applicazione deriva la seconda coppia di chiavi dalla chiave radice di archiviazione del TPM. Questa chiave è la chiave di trasporto (tkpub/tkpriv). |
| H | L'applicazione invia una richiesta di registrazione del dispositivo ad Azure DRS che include il token ID, la richiesta di certificato, tkpub e i dati di attestazione. Il servizio Ripristino di emergenza di Azure convalida il token ID, crea un ID dispositivo e crea un certificato in base alla richiesta di certificato inclusa. Azure DRS scrive quindi un oggetto dispositivo in Microsoft Entra ID e invia l'ID dispositivo e il certificato del dispositivo al client. |
| I | La registrazione del dispositivo viene completata ricevendo l'ID dispositivo e il certificato del dispositivo dal servizio di ripristino di emergenza di Azure. L'ID dispositivo viene salvato per riferimento futuro (visualizzabile da dsregcmd.exe /status) e il certificato del dispositivo viene installato nell'archivio personale del computer. Al termine della registrazione del dispositivo, il processo continua con la registrazione MDM. |
Microsoft Entra ibrido aggiunto in ambienti gestiti
| Fase | Descrizione |
|---|---|
| Un | L'utente accede a un computer Windows 10 o versione successiva aggiunto a un dominio usando le credenziali di dominio. Questa credenziale può essere il nome utente e la password o l'autenticazione tramite smart card. L'accesso dell'utente attiva l'attività Aggiunta automatica del dispositivo. Le attività di aggiunta automatica al dispositivo vengono attivate all'aggiunta al dominio e vengono ritentate ogni ora. Non dipende esclusivamente dall'accesso dell'utente. |
| B | L'attività esegue una query in Active Directory usando il protocollo LDAP per l'attributo keywords nel punto di connessione del servizio archiviato nella partizione di configurazione in Active Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). Il valore restituito nell'attributo keywords determina se la registrazione del dispositivo viene indirizzata al servizio Registrazione dispositivi di Azure o al servizio registrazione dispositivi aziendale ospitato in locale. |
| C | Per l'ambiente gestito, l'attività crea una credenziale di autenticazione iniziale sotto forma di certificato autofirmato. L'attività scrive il certificato nell'attributo userCertificate nell'oggetto computer in Active Directory usando LDAP. |
| D | Il computer non può eseguire l'autenticazione in Azure DRS finché non viene creato un oggetto dispositivo che rappresenta il computer che include il certificato nell'attributo userCertificate in Microsoft Entra ID. Microsoft Entra Connessione rileva una modifica dell'attributo. Nel ciclo di sincronizzazione successivo, Microsoft Entra Connessione invia il SID utenteCertificate, l'oggetto GUID e il SID del computer ad Azure DRS. Azure DRS usa le informazioni sull'attributo per creare un oggetto dispositivo in Microsoft Entra ID. |
| E | L'attività Aggiunta automatica al dispositivo viene attivata con ogni accesso utente o ogni ora e tenta di autenticare il computer nell'ID Microsoft Entra usando la chiave privata corrispondente della chiave pubblica nell'attributo userCertificate. Microsoft Entra autentica il computer e rilascia un token ID al computer. |
| F | L'attività crea una coppia di chiavi RSA a 2048 bit associata a TPM (preferita) nota come chiave del dispositivo (dkpub/dkpriv). L'applicazione crea una richiesta di certificato usando dkpub e la chiave pubblica e firma la richiesta di certificato con dkpriv. Successivamente, l'applicazione deriva la seconda coppia di chiavi dalla chiave radice di archiviazione del TPM. Questa chiave è la chiave di trasporto (tkpub/tkpriv). |
| G | L'attività invia una richiesta di registrazione del dispositivo ad Azure DRS che include il token ID, la richiesta di certificato, tkpub e i dati di attestazione. Il servizio Ripristino di emergenza di Azure convalida il token ID, crea un ID dispositivo e crea un certificato in base alla richiesta di certificato inclusa. Azure DRS aggiorna quindi l'oggetto dispositivo in Microsoft Entra ID e invia l'ID dispositivo e il certificato del dispositivo al client. |
| H | La registrazione del dispositivo viene completata ricevendo l'ID dispositivo e il certificato del dispositivo dal servizio di ripristino di emergenza di Azure. L'ID dispositivo viene salvato per riferimento futuro (visualizzabile da dsregcmd.exe /status) e il certificato del dispositivo viene installato nell'archivio personale del computer. Al termine della registrazione del dispositivo, l'attività viene chiusa. |
Aggiunta ibrida di Microsoft Entra in ambienti federati
| Fase | Descrizione |
|---|---|
| Un | L'utente accede a un computer Windows 10 o versione successiva aggiunto a un dominio usando le credenziali di dominio. Questa credenziale può essere il nome utente e la password o l'autenticazione tramite smart card. L'accesso dell'utente attiva l'attività Aggiunta automatica del dispositivo. Le attività di aggiunta automatica al dispositivo vengono attivate all'aggiunta al dominio e vengono ritentate ogni ora. Non dipende esclusivamente dall'accesso dell'utente. |
| B | L'attività esegue una query in Active Directory usando il protocollo LDAP per l'attributo keywords nel punto di connessione del servizio archiviato nella partizione di configurazione in Active Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). Il valore restituito nell'attributo keywords determina se la registrazione del dispositivo viene indirizzata al servizio Registrazione dispositivi di Azure o al servizio registrazione dispositivi aziendale ospitato in locale. |
| C | Per gli ambienti federati, il computer autentica l'endpoint di registrazione del dispositivo aziendale usando l'autenticazione integrata di Windows. Il servizio di registrazione del dispositivo aziendale crea e restituisce un token che include attestazioni per il GUID dell'oggetto, il SID del computer e lo stato aggiunto al dominio. L'attività invia il token e le attestazioni all'ID Microsoft Entra in cui vengono convalidati. Microsoft Entra ID restituisce un token ID all'attività in esecuzione. |
| D | L'applicazione crea una coppia di chiavi RSA a 2048 bit associata a TPM (preferita) nota come chiave del dispositivo (dkpub/dkpriv). L'applicazione crea una richiesta di certificato usando dkpub e la chiave pubblica e firma la richiesta di certificato con dkpriv. Successivamente, l'applicazione deriva la seconda coppia di chiavi dalla chiave radice di archiviazione del TPM. Questa chiave è la chiave di trasporto (tkpub/tkpriv). |
| E | Per fornire l'accesso Single Sign-On per un'applicazione federata locale, l'attività richiede un token di aggiornamento primario aziendale dal servizio token di sicurezza locale. Windows Server 2016 che esegue il ruolo Active Directory Federation Services convalida la richiesta e la restituisce l'attività in esecuzione. |
| F | L'attività invia una richiesta di registrazione del dispositivo ad Azure DRS che include il token ID, la richiesta di certificato, tkpub e i dati di attestazione. Il servizio Ripristino di emergenza di Azure convalida il token ID, crea un ID dispositivo e crea un certificato in base alla richiesta di certificato inclusa. Azure DRS scrive quindi un oggetto dispositivo in Microsoft Entra ID e invia l'ID dispositivo e il certificato del dispositivo al client. La registrazione del dispositivo viene completata ricevendo l'ID dispositivo e il certificato del dispositivo dal servizio di ripristino di emergenza di Azure. L'ID dispositivo viene salvato per riferimento futuro (visualizzabile da dsregcmd.exe /status) e il certificato del dispositivo viene installato nell'archivio personale del computer. Al termine della registrazione del dispositivo, l'attività viene chiusa. |
| G | Se microsoft Entra Connessione writeback del dispositivo è abilitato, Microsoft Entra Connessione richiede aggiornamenti da Microsoft Entra ID al successivo ciclo di sincronizzazione (il writeback del dispositivo è necessario per la distribuzione ibrida usando l'attendibilità del certificato). Microsoft Entra ID correla l'oggetto dispositivo con un oggetto computer sincronizzato corrispondente. Microsoft Entra Connessione riceve l'oggetto dispositivo che include il GUID dell'oggetto e il SID del computer e scrive l'oggetto dispositivo in Active Directory. |