Hoe het werkt: Apparaatregistratie
Apparaatregistratie is een vereiste voor verificatie in de cloud. Apparaten zijn doorgaans Microsoft Entra-id of Hybride Versie van Microsoft Entra toegevoegd om de apparaatregistratie te voltooien. Dit artikel bevat informatie over hoe Microsoft Entra join en Microsoft Entra hybrid join werken in beheerde en federatieve omgevingen. Zie het artikel Primaire vernieuwingstokens voor meer informatie over de werking van Microsoft Entra-verificatie op deze apparaten.
Microsoft Entra toegevoegd aan beheerde omgevingen
| Fase | Beschrijving |
|---|---|
| A | De meest voorkomende manier waarop microsoft Entra-gekoppelde apparaten zich registreren, is tijdens de out-of-box-experience (OOBE) waar de Microsoft Entra join-webtoepassing in de CXH-toepassing (Cloud Experience Host) wordt geladen. De toepassing verzendt een GET-aanvraag naar het Microsoft Entra OpenID-configuratie-eindpunt om autorisatie-eindpunten te detecteren. Microsoft Entra ID retourneert de OpenID-configuratie, die de autorisatie-eindpunten bevat, naar de toepassing als JSON-document. |
| B | De toepassing bouwt een aanmeldingsaanvraag voor het autorisatie-eindpunt en verzamelt gebruikersreferenties. |
| E | Nadat de gebruiker de gebruikersnaam (in UPN-indeling) heeft opgegeven, verzendt de toepassing een GET-aanvraag naar Microsoft Entra-id om de bijbehorende realm-informatie voor de gebruiker te detecteren. Deze informatie bepaalt of de omgeving wordt beheerd of federatief is. Microsoft Entra-id retourneert de informatie in een JSON-object. De toepassing bepaalt dat de omgeving wordt beheerd (niet-federatief). In de laatste stap in deze fase maakt de toepassing een verificatiebuffer en als deze in OOBE wordt opgeslagen, wordt deze tijdelijk in de cache opgeslagen voor automatische aanmelding aan het einde van OOBE. De toepassing POSTs de referenties voor Microsoft Entra-id waar ze worden gevalideerd. Microsoft Entra ID retourneert een id-token met claims. |
| D | De toepassing zoekt naar MDM-gebruiksvoorwaarden (de mdm_tou_url claim). Indien aanwezig, haalt de toepassing de gebruiksvoorwaarden op uit de waarde van de claim, presenteert de inhoud aan de gebruiker en wacht tot de gebruiker de gebruiksvoorwaarden accepteert. Deze stap is optioneel en wordt overgeslagen als de claim niet aanwezig is of als de claimwaarde leeg is. |
| E | De toepassing verzendt een detectieaanvraag voor apparaatregistratie naar de Azure Device Registration Service (ADRS). Azure DRS retourneert een detectiegegevensdocument, dat tenantspecifieke URI's retourneert om de apparaatregistratie te voltooien. |
| F | De toepassing maakt TPM gebonden (voorkeur) RSA 2048-bits sleutelpaar dat bekend staat als de apparaatsleutel (dkpub/dkpriv). De toepassing maakt een certificaataanvraag met dkpub en de openbare sleutel en ondertekent de certificaataanvraag met behulp van dkpriv. Vervolgens leidt de toepassing het tweede sleutelpaar af van de hoofdsleutel van de TPM-opslag. Deze sleutel is de transportsleutel (tkpub/tkpriv). |
| G | De toepassing verzendt een apparaatregistratieaanvraag naar Azure DRS met het id-token, certificaataanvraag, tkpub en attestation-gegevens. Azure DRS valideert het id-token, maakt een apparaat-id en maakt een certificaat op basis van de meegeleverde certificaataanvraag. Azure DRS schrijft vervolgens een apparaatobject in Microsoft Entra ID en verzendt de apparaat-id en het apparaatcertificaat naar de client. |
| H | Apparaatregistratie wordt voltooid door de apparaat-id en het apparaatcertificaat van Azure DRS te ontvangen. De apparaat-id wordt opgeslagen voor toekomstige naslaginformatie (zichtbaar vanaf dsregcmd.exe /status) en het apparaatcertificaat wordt geïnstalleerd in het persoonlijke archief van de computer. Als de apparaatregistratie is voltooid, wordt het proces voortgezet met MDM-inschrijving. |
Microsoft Entra toegevoegd in federatieve omgevingen
| Fase | Beschrijving |
|---|---|
| A | De meest voorkomende manier waarop microsoft Entra-gekoppelde apparaten zich registreren, is tijdens de out-of-box-experience (OOBE) waar de Microsoft Entra join-webtoepassing in de CXH-toepassing (Cloud Experience Host) wordt geladen. De toepassing verzendt een GET-aanvraag naar het Microsoft Entra OpenID-configuratie-eindpunt om autorisatie-eindpunten te detecteren. Microsoft Entra ID retourneert de OpenID-configuratie, die de autorisatie-eindpunten bevat, naar de toepassing als JSON-document. |
| B | De toepassing bouwt een aanmeldingsaanvraag voor het autorisatie-eindpunt en verzamelt gebruikersreferenties. |
| E | Nadat de gebruiker de gebruikersnaam (in UPN-indeling) heeft opgegeven, verzendt de toepassing een GET-aanvraag naar Microsoft Entra-id om de bijbehorende realm-informatie voor de gebruiker te detecteren. Deze informatie bepaalt of de omgeving wordt beheerd of federatief is. Microsoft Entra-id retourneert de informatie in een JSON-object. De toepassing bepaalt dat de omgeving federatief is. De toepassing wordt omgeleid naar de AuthURL-waarde (on-premises STS-aanmeldingspagina) in het geretourneerde JSON-realmobject. De toepassing verzamelt referenties via de STS-webpagina. |
| D | De toepassing POST de referentie voor de on-premises STS, waarvoor mogelijk extra verificatiefactoren nodig zijn. De on-premises STS verifieert de gebruiker en retourneert een token. De toepassing POSTs het token naar Microsoft Entra ID voor verificatie. Microsoft Entra ID valideert het token en retourneert een id-token met claims. |
| E | De toepassing zoekt naar MDM-gebruiksvoorwaarden (de mdm_tou_url claim). Indien aanwezig, haalt de toepassing de gebruiksvoorwaarden op uit de waarde van de claim, presenteert de inhoud aan de gebruiker en wacht tot de gebruiker de gebruiksvoorwaarden accepteert. Deze stap is optioneel en wordt overgeslagen als de claim niet aanwezig is of als de claimwaarde leeg is. |
| F | De toepassing verzendt een detectieaanvraag voor apparaatregistratie naar de Azure Device Registration Service (ADRS). Azure DRS retourneert een detectiegegevensdocument, dat tenantspecifieke URI's retourneert om de apparaatregistratie te voltooien. |
| G | De toepassing maakt TPM gebonden (voorkeur) RSA 2048-bits sleutelpaar dat bekend staat als de apparaatsleutel (dkpub/dkpriv). De toepassing maakt een certificaataanvraag met dkpub en de openbare sleutel en ondertekent de certificaataanvraag met behulp van dkpriv. Vervolgens leidt de toepassing het tweede sleutelpaar af van de hoofdsleutel van de TPM-opslag. Deze sleutel is de transportsleutel (tkpub/tkpriv). |
| H | De toepassing verzendt een apparaatregistratieaanvraag naar Azure DRS met het id-token, certificaataanvraag, tkpub en attestation-gegevens. Azure DRS valideert het id-token, maakt een apparaat-id en maakt een certificaat op basis van de meegeleverde certificaataanvraag. Azure DRS schrijft vervolgens een apparaatobject in Microsoft Entra ID en verzendt de apparaat-id en het apparaatcertificaat naar de client. |
| I | Apparaatregistratie wordt voltooid door de apparaat-id en het apparaatcertificaat van Azure DRS te ontvangen. De apparaat-id wordt opgeslagen voor toekomstige naslaginformatie (zichtbaar vanaf dsregcmd.exe /status) en het apparaatcertificaat wordt geïnstalleerd in het persoonlijke archief van de computer. Als de apparaatregistratie is voltooid, wordt het proces voortgezet met MDM-inschrijving. |
Hybride versie van Microsoft Entra toegevoegd in beheerde omgevingen
| Fase | Beschrijving |
|---|---|
| A | De gebruiker meldt zich aan bij een domein gekoppelde Windows 10- of nieuwere computer met behulp van domeinreferenties. Deze referentie kan gebruikersnaam en wachtwoord of smartcardverificatie zijn. De aanmeldingstaak van de gebruiker activeert de taak Automatische apparaatdeelname. De automatische apparaatdeelnametaken worden geactiveerd bij domeindeelname en worden elk uur opnieuw geprobeerd. Het is niet alleen afhankelijk van de aanmelding van de gebruiker. |
| B | De taak voert een query uit op Active Directory met behulp van het LDAP-protocol voor het trefwoordkenmerk op het serviceaansluitpunt dat is opgeslagen in de configuratiepartitie in Active Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). De waarde die wordt geretourneerd in het kenmerk Trefwoorden bepaalt of apparaatregistratie wordt omgeleid naar Azure Device Registration Service (ADRS) of de enterprise device registration service die on-premises wordt gehost. |
| E | Voor de beheerde omgeving maakt de taak een initiële verificatiereferentie in de vorm van een zelfondertekend certificaat. De taak schrijft het certificaat naar het kenmerk userCertificate op het computerobject in Active Directory met behulp van LDAP. |
| D | De computer kan pas worden geverifieerd bij Azure DRS als een apparaatobject dat de computer vertegenwoordigt die het certificaat op het kenmerk userCertificate bevat, is gemaakt in Microsoft Entra-id. Microsoft Entra Verbinding maken detecteert een kenmerkwijziging. Tijdens de volgende synchronisatiecyclus verzendt Microsoft Entra Verbinding maken de userCertificate, object-GUID en computer-SID naar Azure DRS. Azure DRS gebruikt de kenmerkgegevens om een apparaatobject te maken in Microsoft Entra-id. |
| E | De taak Automatische apparaatdeelname wordt geactiveerd met elke gebruikeraanmelding of elk uur en probeert de computer te verifiëren bij Microsoft Entra-id met behulp van de bijbehorende persoonlijke sleutel van de openbare sleutel in het kenmerk userCertificate. Microsoft Entra verifieert de computer en geeft een id-token uit aan de computer. |
| F | De taak maakt TPM gebonden (voorkeur) RSA 2048-bits sleutelpaar dat bekend staat als de apparaatsleutel (dkpub/dkpriv). De toepassing maakt een certificaataanvraag met dkpub en de openbare sleutel en ondertekent de certificaataanvraag met behulp van dkpriv. Vervolgens leidt de toepassing het tweede sleutelpaar af van de hoofdsleutel van de TPM-opslag. Deze sleutel is de transportsleutel (tkpub/tkpriv). |
| G | De taak verzendt een apparaatregistratieaanvraag naar Azure DRS met daarin het id-token, certificaataanvraag, tkpub- en attestation-gegevens. Azure DRS valideert het id-token, maakt een apparaat-id en maakt een certificaat op basis van de meegeleverde certificaataanvraag. Azure DRS werkt vervolgens het apparaatobject bij in Microsoft Entra ID en verzendt de apparaat-id en het apparaatcertificaat naar de client. |
| H | Apparaatregistratie wordt voltooid door de apparaat-id en het apparaatcertificaat van Azure DRS te ontvangen. De apparaat-id wordt opgeslagen voor toekomstige naslaginformatie (zichtbaar vanaf dsregcmd.exe /status) en het apparaatcertificaat wordt geïnstalleerd in het persoonlijke archief van de computer. Als de apparaatregistratie is voltooid, wordt de taak afgesloten. |
Hybride versie van Microsoft Entra toegevoegd in federatieve omgevingen
| Fase | Beschrijving |
|---|---|
| A | De gebruiker meldt zich aan bij een domein gekoppelde Windows 10- of nieuwere computer met behulp van domeinreferenties. Deze referentie kan gebruikersnaam en wachtwoord of smartcardverificatie zijn. De aanmeldingstaak van de gebruiker activeert de taak Automatische apparaatdeelname. De automatische apparaatdeelnametaken worden geactiveerd bij domeindeelname en worden elk uur opnieuw geprobeerd. Het is niet alleen afhankelijk van de aanmelding van de gebruiker. |
| B | De taak voert een query uit op Active Directory met behulp van het LDAP-protocol voor het trefwoordkenmerk op het serviceaansluitpunt dat is opgeslagen in de configuratiepartitie in Active Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). De waarde die wordt geretourneerd in het kenmerk Trefwoorden bepaalt of apparaatregistratie wordt omgeleid naar Azure Device Registration Service (ADRS) of de enterprise device registration service die on-premises wordt gehost. |
| E | Voor de federatieve omgevingen verifieert de computer het eindpunt voor bedrijfsapparaatregistratie met behulp van geïntegreerde Windows-verificatie. De registratieservice voor bedrijfsapparaten maakt en retourneert een token dat claims bevat voor de object-GUID, computer-SID en lid zijn van een domein. De taak verzendt het token en claims naar Microsoft Entra-id waar ze worden gevalideerd. Microsoft Entra ID retourneert een id-token naar de actieve taak. |
| D | De toepassing maakt TPM gebonden (voorkeur) RSA 2048-bits sleutelpaar dat bekend staat als de apparaatsleutel (dkpub/dkpriv). De toepassing maakt een certificaataanvraag met dkpub en de openbare sleutel en ondertekent de certificaataanvraag met behulp van dkpriv. Vervolgens leidt de toepassing het tweede sleutelpaar af van de hoofdsleutel van de TPM-opslag. Deze sleutel is de transportsleutel (tkpub/tkpriv). |
| E | Als u eenmalige aanmelding wilt bieden voor een on-premises federatieve toepassing, vraagt de taak een ondernemings-PRT aan bij de on-premises STS. Windows Server 2016 met de rol Active Directory Federation Services valideert de aanvraag en retourneert deze de actieve taak. |
| F | De taak verzendt een apparaatregistratieaanvraag naar Azure DRS met daarin het id-token, certificaataanvraag, tkpub- en attestation-gegevens. Azure DRS valideert het id-token, maakt een apparaat-id en maakt een certificaat op basis van de meegeleverde certificaataanvraag. Azure DRS schrijft vervolgens een apparaatobject in Microsoft Entra ID en verzendt de apparaat-id en het apparaatcertificaat naar de client. Apparaatregistratie wordt voltooid door de apparaat-id en het apparaatcertificaat van Azure DRS te ontvangen. De apparaat-id wordt opgeslagen voor toekomstige naslaginformatie (zichtbaar vanaf dsregcmd.exe /status) en het apparaatcertificaat wordt geïnstalleerd in het persoonlijke archief van de computer. Als de apparaatregistratie is voltooid, wordt de taak afgesloten. |
| G | Als Microsoft Entra Verbinding maken apparaat terugschrijven is ingeschakeld, vraagt Microsoft Entra Verbinding maken updates van Microsoft Entra ID aan bij de volgende synchronisatiecyclus (terugschrijven van apparaten is vereist voor hybride implementatie met behulp van certificaatvertrouwen). Microsoft Entra ID correleert het apparaatobject met een overeenkomend gesynchroniseerd computerobject. Microsoft Entra Verbinding maken ontvangt het apparaatobject dat de object-GUID en computer-SID bevat en schrijft het apparaatobject naar Active Directory. |