Delen via


Wat is een primair vernieuwingstoken?

Een primair vernieuwingstoken (PRT) is een belangrijk artefact van Microsoft Entra-verificatie op Windows 10- of hoger, Windows Server 2016- en latere versies, iOS- en Android-apparaten. Het is een JSON Web Token (JWT) dat speciaal is uitgegeven aan microsoft first party tokenbrokers om eenmalige aanmelding (SSO) in te schakelen voor de toepassingen die op deze apparaten worden gebruikt. In dit artikel vindt u meer informatie over hoe een PRT wordt uitgegeven, gebruikt en beveiligd op Windows 10- of nieuwere apparaten. We raden u aan de nieuwste versies van Windows 10, Windows 11 en Windows Server 2019+ te gebruiken om de beste SSO-ervaring te krijgen.

In dit artikel wordt ervan uitgegaan dat u al de verschillende apparaatstatussen begrijpt die beschikbaar zijn in Microsoft Entra ID en hoe eenmalige aanmelding werkt in Windows 10 of hoger. Zie het artikel Wat is apparaatbeheer in Microsoft Entra ID voor meer informatie over apparaten in Microsoft Entra ID?

Belangrijkste terminologie en onderdelen

De volgende Windows-onderdelen spelen een belangrijke rol bij het aanvragen en gebruiken van een PRT:

  • Cloud Authentication Provider (CloudAP):CloudAP is de moderne verificatieprovider voor Windows-aanmelding, waarmee gebruikers worden geverifieerd bij een Windows 10- of hoger apparaat. CloudAP biedt een invoegtoepassingsframework waarop id-providers kunnen bouwen om verificatie in te schakelen voor Windows met behulp van de referenties van die id-provider.
  • Web Account Manager (WAM):WAM is de standaardtokenbroker op Windows 10- of nieuwere apparaten. WAM biedt ook een invoegtoepassingsframework waarmee id-providers kunnen bouwen en SSO kunnen inschakelen voor hun toepassingen die afhankelijk zijn van die id-provider.
  • Microsoft Entra CloudAP-invoegtoepassing: een specifieke Microsoft Entra-invoegtoepassing die is gebouwd op het CloudAP-framework waarmee gebruikersreferenties worden geverifieerd met Microsoft Entra ID tijdens het aanmelden bij Windows.
  • Microsoft Entra WAM-invoegtoepassing: een specifieke Microsoft Entra-invoegtoepassing die is gebouwd op het WAM-framework waarmee eenmalige aanmelding wordt ingeschakeld voor toepassingen die afhankelijk zijn van Microsoft Entra-id voor verificatie.
  • Dsreg: Een microsoft Entra-specifiek onderdeel in Windows 10 of hoger, dat het apparaatregistratieproces voor alle apparaatstatussen afhandelt.
  • Trusted Platform Module (TPM): een TPM is een hardwareonderdeel dat is ingebouwd in een apparaat dat op hardware gebaseerde beveiligingsfuncties biedt voor gebruikers- en apparaatgeheimen. Meer informatie vindt u in het artikel Trusted Platform Module Technology Overview.

Wat bevat de PULLT?

Een PRT bevat claims die zijn gevonden in de meeste vernieuwingstokens van Microsoft Entra ID. Daarnaast zijn er enkele apparaatspecifieke claims opgenomen in de PRT. Ze zijn als volgt:

  • Apparaat-id: een PULL-aanvraag wordt uitgegeven aan een gebruiker op een specifiek apparaat. De claim apparaat-id deviceID bepaalt het apparaat waarop de PRT is uitgegeven aan de gebruiker. Deze claim wordt later uitgegeven aan tokens die zijn verkregen via de PRT. De claim apparaat-id wordt gebruikt om autorisatie voor voorwaardelijke toegang te bepalen op basis van de apparaatstatus of naleving.
  • Sessiesleutel: De sessiesleutel is een versleutelde symmetrische sleutel, gegenereerd door de Microsoft Entra-verificatieservice, die is uitgegeven als onderdeel van de PRT. De sessiesleutel fungeert als het bewijs van bezit wanneer een PRT wordt gebruikt om tokens voor andere toepassingen te verkrijgen. Sessiesleutel wordt geïmplementeerd op Windows 10- of nieuwere aan Microsoft Entra gekoppelde apparaten of hybride apparaten van Microsoft Entra als deze ouder is dan 30 dagen.

Kan ik zien wat er in een PRT zit?

Een PRT is een ondoorzichtige blob die wordt verzonden vanuit Microsoft Entra waarvan de inhoud niet bekend is bij clientonderdelen. U kunt niet zien wat er in een PRT zit.

Hoe wordt een PRT uitgegeven?

Apparaatregistratie is een vereiste voor verificatie op basis van apparaten in Microsoft Entra-id. Een PULL-aanvraag wordt alleen verleend aan gebruikers op geregistreerde apparaten. Zie het artikel Windows Hello voor Bedrijven en Apparaatregistratie voor meer gedetailleerde informatie over apparaatregistratie. Tijdens de apparaatregistratie genereert het dsreg-onderdeel twee sets cryptografische sleutelparen:

  • Apparaatsleutel (dkpub/dkpriv)
  • Transportsleutel (tkpub/tkpriv)

De persoonlijke sleutels zijn gebonden aan de TPM van het apparaat als het apparaat een geldige en werkende TPM heeft, terwijl de openbare sleutels tijdens het registratieproces naar Microsoft Entra-id worden verzonden. Deze sleutels worden gebruikt om de status van het apparaat te valideren tijdens PRT-aanvragen.

De PRT wordt uitgegeven tijdens gebruikersverificatie op een Windows 10- of hoger apparaat in twee scenario's:

  • Lid van Microsoft Entra of hybride deelname aan Microsoft Entra: er wordt een PRT uitgegeven tijdens het aanmelden bij Windows wanneer een gebruiker zich aanmeldt met de referenties van de organisatie. Er wordt een PRT uitgegeven met alle ondersteunde referenties van Windows 10 of hoger, bijvoorbeeld wachtwoord en Windows Hello voor Bedrijven. In dit scenario is de Microsoft Entra CloudAP-invoegtoepassing de primaire instantie voor de PRT.
  • Geregistreerd Microsoft Entra-apparaat: er wordt een PRT uitgegeven wanneer een gebruiker een secundair werkaccount toevoegt aan hun Windows 10- of nieuwer apparaat. Gebruikers kunnen op twee verschillende manieren een account toevoegen aan Windows 10 of hoger:
    • Een account toevoegen via toestaan dat mijn organisatie mijn apparaatprompt beheert na aanmelding bij een app (bijvoorbeeld Outlook)
    • Een account toevoegen vanuit Instellingenaccounts>>Toegang tot Werk of School Connect>

In geregistreerde Microsoft Entra-apparaatscenario's is de Microsoft Entra WAM-invoegtoepassing de primaire instantie voor de PRT, omdat Windows-aanmelding niet plaatsvindt met dit Microsoft Entra-account.

Notitie

Id-providers van derden moeten het WS-Trust-protocol ondersteunen om PRT-uitgifte in te schakelen op Windows 10- of nieuwere apparaten. Zonder WS-Trust kan PRT niet worden uitgegeven aan gebruikers op hybride apparaten van Microsoft Entra of aan Microsoft Entra gekoppelde apparaten. Op AD FS zijn alleen eindpunten met gebruikersnaammix vereist. Op AD FS als smartcard/certificate wordt gebruikt tijdens Windows-aanmeldingseindpunten certificatemixed zijn vereist. Beide adfs/services/trust/2005/windowstransport en adfs/services/trust/13/windowstransport moeten alleen worden ingeschakeld als intranetgerichte eindpunten en mogen NIET worden weergegeven als extranetgerichte eindpunten via het web toepassingsproxy.

Notitie

Beleid voor voorwaardelijke toegang van Microsoft Entra wordt niet geëvalueerd wanneer PRT's worden uitgegeven.

Notitie

We bieden geen ondersteuning voor referentieproviders van derden voor uitgifte en verlenging van Microsoft Entra PRT's.

Wat is de levensduur van een PRT?

Zodra deze is uitgegeven, is een PRT 14 dagen geldig en wordt deze continu verlengd zolang de gebruiker het apparaat actief gebruikt.

Hoe wordt een PRT gebruikt?

Een PRT wordt gebruikt door twee belangrijke onderdelen in Windows:

  • Microsoft Entra CloudAP-invoegtoepassing: tijdens het aanmelden van Windows vraagt de Microsoft Entra CloudAP-invoegtoepassing een PRT aan bij Microsoft Entra-id met behulp van de referenties die door de gebruiker zijn opgegeven. Ook wordt de PULLT in de cache opgeslagen om aanmelding in de cache in te schakelen wanneer de gebruiker geen toegang heeft tot een internetverbinding.
  • Microsoft Entra WAM-invoegtoepassing: wanneer gebruikers toegang proberen te krijgen tot toepassingen, gebruikt de Microsoft Entra WAM-invoegtoepassing de PRT om eenmalige aanmelding in te schakelen in Windows 10 of hoger. De Microsoft Entra WAM-invoegtoepassing gebruikt de PRT om vernieuwings- en toegangstokens aan te vragen voor toepassingen die afhankelijk zijn van WAM voor tokenaanvragen. Het maakt ook SSO op browsers mogelijk door de PRT in browseraanvragen te injecteren. Browser-SSO in Windows 10 of hoger wordt ondersteund op Microsoft Edge (systeemeigen), Chrome (via de Windows 10-accounts of Mozilla Firefox v91+ (Firefox SSO-instelling)

    Notitie

    In gevallen waarin een gebruiker twee accounts heeft van dezelfde Microsoft Entra-tenant die is aangemeld bij een browsertoepassing, wordt de apparaatverificatie die wordt geleverd door de PULLT van het primaire account ook automatisch toegepast op het tweede account. Als gevolg hiervan voldoet het tweede account ook aan elk beleid voor voorwaardelijke toegang op basis van apparaten op de tenant.

Hoe wordt een PRT vernieuwd?

Een PRT wordt vernieuwd in twee verschillende methoden:

  • Microsoft Entra CloudAP-invoegtoepassing elke 4 uur: de CloudAP-invoegtoepassing verlengt de PRT elke 4 uur tijdens het aanmelden van Windows. Als de gebruiker gedurende die tijd geen internetverbinding heeft, vernieuwt de CloudAP-invoegtoepassing de PRT nadat het apparaat is verbonden met internet.
  • Microsoft Entra WAM-invoegtoepassing tijdens app-tokenaanvragen: de WAM-invoegtoepassing maakt eenmalige aanmelding op Windows 10- of nieuwere apparaten mogelijk door stille tokenaanvragen voor toepassingen in te schakelen. De WAM-invoegtoepassing kan de PRT op twee verschillende manieren vernieuwen tijdens deze tokenaanvragen:
    • Een app vraagt WAM aan voor een toegangstoken op de achtergrond, maar er is geen vernieuwingstoken beschikbaar voor die app. In dit geval gebruikt WAM de PRT om een token voor de app aan te vragen en een nieuwe PULLT terug te krijgen in het antwoord.
    • Een app vraagt WAM aan voor een toegangstoken, maar de PRT is ongeldig of Microsoft Entra-id vereist extra autorisatie (bijvoorbeeld Microsoft Entra-meervoudige verificatie). In dit scenario initieert WAM een interactieve aanmelding waarbij de gebruiker opnieuw moet verifiëren of extra verificatie moet bieden en er een nieuwe PRT wordt uitgegeven bij geslaagde verificatie.

In een AD FS-omgeving is directe lijn van zicht naar de domeincontroller niet vereist om de PRT te vernieuwen. Voor prt-verlenging zijn alleen /adfs/services/trust/2005/usernamemixed eindpunten vereist die /adfs/services/trust/13/usernamemixed zijn ingeschakeld voor de proxy met behulp van het WS-Trust-protocol.

Windows-transporteindpunten zijn alleen vereist voor wachtwoordverificatie wanneer een wachtwoord wordt gewijzigd, niet voor PRT-verlenging.

Notitie

Beleid voor voorwaardelijke toegang van Microsoft Entra wordt niet geëvalueerd wanneer PRT's worden vernieuwd.

Belangrijke overwegingen

  • In microsoft Entra-gekoppelde en hybride apparaten van Microsoft Entra is de CloudAP-invoegtoepassing de primaire instantie voor een PRT. Als een PRT wordt vernieuwd tijdens een op WAM gebaseerde tokenaanvraag, wordt de PRT teruggestuurd naar de CloudAP-invoegtoepassing, waarmee de geldigheid van de PRT met Microsoft Entra-id wordt geverifieerd voordat u deze accepteert.

Android-platform:

  • Een PRT is 90 dagen geldig en wordt continu vernieuwd zolang het apparaat in gebruik is. Het is echter slechts 14 dagen geldig als het apparaat niet in gebruik is.
  • Er wordt alleen een PRT uitgegeven en vernieuwd tijdens systeemeigen app-verificatie. Een PRT wordt niet vernieuwd of uitgegeven tijdens een browsersessie.
  • Het is mogelijk om een PRT te verkrijgen zonder de noodzaak van apparaatregistratie (Workplace Join) en eenmalige aanmelding in te schakelen.
  • PRT's die zijn verkregen zonder apparaatregistratie, kunnen niet voldoen aan de autorisatiecriteria voor voorwaardelijke toegang die afhankelijk is van de status of naleving van het apparaat.

Hoe wordt de PRT beveiligd?

Een PRT wordt beveiligd door deze te binden aan het apparaat waarop de gebruiker zich heeft aangemeld. Microsoft Entra ID en Windows 10 of hoger schakelen PRT-beveiliging in via de volgende methoden:

  • Tijdens de eerste aanmelding: Tijdens de eerste aanmelding wordt een PRT uitgegeven door ondertekeningsaanvragen met behulp van de apparaatsleutel die cryptografisch is gegenereerd tijdens de apparaatregistratie. Op een apparaat met een geldige en werkende TPM wordt de apparaatsleutel beveiligd door de TPM die schadelijke toegang verhindert. Er wordt geen PRT uitgegeven als de bijbehorende handtekening voor de apparaatsleutel niet kan worden gevalideerd.
  • Tijdens tokenaanvragen en verlenging: Wanneer een PRT wordt uitgegeven, geeft Microsoft Entra-id ook een versleutelde sessiesleutel aan het apparaat uit. Het is versleuteld met de openbare transportsleutel (tkpub) die is gegenereerd en verzonden naar Microsoft Entra-id als onderdeel van de apparaatregistratie. Deze sessiesleutel kan alleen worden ontsleuteld door de persoonlijke transportsleutel (tkpriv) die wordt beveiligd door de TPM. De sessiesleutel is de POP-sleutel (Proof-of-Possession) voor alle aanvragen die naar Microsoft Entra-id worden verzonden. De sessiesleutel wordt ook beveiligd door de TPM en er is geen ander besturingssysteemonderdeel toegang toe. Tokenaanvragen of PRT-verlengingsaanvragen worden veilig ondertekend door deze sessiesleutel via de TPM en kunnen daarom niet worden gemanipuleerd. Microsoft Entra voert alle aanvragen van het apparaat die niet zijn ondertekend door de bijbehorende sessiesleutel ongeldig.

Door deze sleutels te beveiligen met de TPM, verbeteren we de beveiliging voor PRT van kwaadwillende actoren die proberen de sleutels te stelen of de PRT opnieuw af te spelen. Het gebruik van een TPM verbetert dus de beveiliging van Microsoft Entra-gekoppelde, hybride Microsoft Entra-apparaten en geregistreerde Microsoft Entra-apparaten tegen diefstal van referenties aanzienlijk. Voor prestaties en betrouwbaarheid is TPM 2.0 de aanbevolen versie voor alle Microsoft Entra-apparaatregistratiescenario's in Windows 10 of hoger. Vanaf de Windows 10-update 1903 gebruikt Microsoft Entra-id geen TPM 1.2 voor een van de bovenstaande sleutels vanwege betrouwbaarheidsproblemen.

Hoe worden app-tokens en browsercookies beveiligd?

App-tokens: Wanneer een app token aanvraagt via WAM, geeft Microsoft Entra ID een vernieuwingstoken en een toegangstoken uit. WAM retourneert echter alleen het toegangstoken naar de app en beveiligt het vernieuwingstoken in de cache door het te versleutelen met de DPAPI-sleutel (Data Protection Application Programming Interface) van de gebruiker. WAM maakt veilig gebruik van het vernieuwingstoken door aanvragen te ondertekenen met de sessiesleutel om verdere toegangstokens uit te geven. De DPAPI-sleutel wordt beveiligd door een symmetrische sleutel op basis van een Microsoft Entra-id in Microsoft Entra zelf. Wanneer het apparaat het gebruikersprofiel moet ontsleutelen met de DPAPI-sleutel, biedt Microsoft Entra-id de DPAPI-sleutel die is versleuteld door de sessiesleutel. Deze CloudAP-invoegtoepassing vraagt TPM om te ontsleutelen. Deze functionaliteit zorgt voor consistentie bij het beveiligen van vernieuwingstokens en voorkomt dat toepassingen hun eigen beveiligingsmechanismen implementeren.

Browsercookies: In Windows 10 of hoger biedt Microsoft Entra ID ondersteuning voor browser-SSO in Internet Explorer en Microsoft Edge, in Google Chrome via de extensie voor Windows 10-accounts en in Mozilla Firefox v91+ via een browserinstelling. De beveiliging is niet alleen gebouwd om de cookies te beschermen, maar ook de eindpunten waarnaar de cookies worden verzonden. Browsercookies worden op dezelfde manier beveiligd als een PRT, door gebruik te maken van de sessiesleutel om de cookies te ondertekenen en te beveiligen.

Wanneer een gebruiker een browserinteractie start, roept de browser (of extensie) een systeemeigen COM-clienthost aan. De systeemeigen clienthost zorgt ervoor dat de pagina afkomstig is van een van de toegestane domeinen. De browser kan andere parameters verzenden naar de systeemeigen clienthost, inclusief een nonce, maar de systeemeigen clienthost garandeert validatie van de hostnaam. De systeemeigen clienthost vraagt een PRT-cookie aan vanuit de CloudAP-invoegtoepassing, die deze maakt en ondertekent met de sessiesleutel die met TPM is beveiligd. Omdat de PRT-cookie is ondertekend door de sessiesleutel, is het moeilijk om mee te knoeien. Deze PRT-cookie wordt opgenomen in de aanvraagheader voor Microsoft Entra-id om het apparaat te valideren dat het afkomstig is van. Als u de Chrome-browser gebruikt, kan alleen de extensie die expliciet is gedefinieerd in het manifest van de systeemeigen clienthost het aanroepen om te voorkomen dat willekeurige extensies deze aanvragen indienen. Zodra de PRT-cookie door Microsoft Entra ID is gevalideerd, wordt er een sessiecooky naar de browser opgegeven. Deze sessiecooky bevat ook dezelfde sessiesleutel die is uitgegeven met een PRT. Tijdens volgende aanvragen wordt de sessiesleutel effectief gevalideerd om de cookie aan het apparaat te binden en te voorkomen dat er elders opnieuw wordt afgespeeld.

Wanneer krijgt een PRT een MFA-claim?

Een PRT kan in specifieke scenario's een claim voor meervoudige verificatie krijgen. Wanneer een op MFA gebaseerde PRT wordt gebruikt om tokens voor toepassingen aan te vragen, wordt de MFA-claim overgebracht naar die app-tokens. Deze functionaliteit biedt gebruikers een naadloze ervaring door MFA-uitdaging te voorkomen voor elke app die deze nodig heeft. Een PRT kan op de volgende manieren een MFA-claim ophalen:

  • Meld u aan met Windows Hello voor Bedrijven: Windows Hello voor Bedrijven vervangt wachtwoorden en gebruikt cryptografische sleutels om sterke tweeledige verificatie te bieden. Windows Hello voor Bedrijven is specifiek voor een gebruiker op een apparaat en moet MFA worden ingericht. Wanneer een gebruiker zich aanmeldt met Windows Hello voor Bedrijven, krijgt de PRT van de gebruiker een MFA-claim. Dit scenario is ook van toepassing op gebruikers die zich aanmelden met smartcards als smartcardverificatie een MFA-claim van AD FS produceert.
    • Aangezien Windows Hello voor Bedrijven wordt beschouwd als meervoudige verificatie, wordt de MFA-claim bijgewerkt wanneer de PRT zelf wordt vernieuwd, zodat de MFA-duur voortdurend wordt verlengd wanneer gebruikers zich aanmelden met Windows Hello voor Bedrijven.
  • MFA tijdens interactieve aanmelding bij WAM: Tijdens een tokenaanvraag via WAM, als een gebruiker MFA moet doen om toegang te krijgen tot de app, wordt de PRT die tijdens deze interactie wordt vernieuwd, afgedrukt met een MFA-claim.
    • In dit geval wordt de MFA-claim niet continu bijgewerkt, dus de MFA-duur is gebaseerd op de levensduur die is ingesteld op de directory.
    • Wanneer een eerdere bestaande PRT en RT worden gebruikt voor toegang tot een app, worden de PRT en RT beschouwd als het eerste bewijs van verificatie. Een nieuwe RT is vereist met een tweede bewijs en een ingedrukte MFA-claim. Dit proces geeft ook een nieuwe PRT en RT.

Windows 10 of hoger onderhoudt voor elke referentie een gepartitioneerde lijst met PRT's. Er is dus een PRT voor elk van Windows Hello voor Bedrijven, wachtwoord of smartcard. Deze partitionering zorgt ervoor dat MFA-claims worden geïsoleerd op basis van de gebruikte referenties en niet worden gemengd tijdens tokenaanvragen.

Notitie

Wanneer u een wachtwoord gebruikt om u aan te melden bij Windows 10 of nieuwer aan Microsoft Entra toegevoegd of een hybride apparaat dat is toegevoegd aan Microsoft Entra, is MFA tijdens de interactieve aanmelding van WAM mogelijk vereist nadat de sessiesleutel is geïmplementeerd die is gekoppeld aan PRT.

Hoe wordt een PRT ongeldig?

Een PULL-aanvraag is ongeldig in de volgende scenario's:

  • Ongeldige gebruiker: als een gebruiker wordt verwijderd of uitgeschakeld in Microsoft Entra-id, wordt de PRT ongeldig en kan deze niet worden gebruikt om tokens voor toepassingen te verkrijgen. Als een verwijderde of uitgeschakelde gebruiker zich al eerder bij een apparaat heeft aangemeld, meldt de gebruiker zich in de cache aan, totdat CloudAP op de hoogte is van de ongeldige status. Zodra CloudAP vaststelt dat de gebruiker ongeldig is, worden volgende aanmeldingen geblokkeerd. Een ongeldige gebruiker wordt automatisch geblokkeerd voor aanmelding bij nieuwe apparaten waarvoor hun referenties niet in de cache zijn opgeslagen.
  • Ongeldig apparaat: als een apparaat wordt verwijderd of uitgeschakeld in Microsoft Entra ID, wordt de PRT die op dat apparaat is verkregen, ongeldig gemaakt en kan het niet worden gebruikt om tokens voor andere toepassingen te verkrijgen. Als een gebruiker al is aangemeld bij een ongeldig apparaat, kan deze dit blijven doen. Maar alle tokens op het apparaat zijn ongeldig en de gebruiker heeft geen eenmalige aanmelding voor resources van dat apparaat.
  • Wachtwoordwijziging: Als een gebruiker het PRT met zijn wachtwoord heeft verkregen, wordt de PRT ongeldig gemaakt door Microsoft Entra-id wanneer de gebruiker het wachtwoord wijzigt. Wachtwoordwijziging resulteert in het ophalen van een nieuwe PULL-aanvraag voor de gebruiker. Deze ongeldigheid kan op twee verschillende manieren optreden:
    • Als gebruikers zich met hun nieuwe wachtwoord aanmelden bij Windows, verwijdert CloudAP de oude PRT en vraagt Microsoft Entra ID om een nieuwe PRT uit te geven met het nieuwe wachtwoord. Als de gebruiker geen internetverbinding heeft, kan het nieuwe wachtwoord niet worden gevalideerd, mogelijk vereist Windows dat de gebruiker zijn oude wachtwoord invoert.
    • Als een gebruiker zich heeft aangemeld met zijn oude wachtwoord of het wachtwoord heeft gewijzigd nadat deze zich bij Windows heeft aangemeld, wordt de oude PULLT gebruikt voor aanvragen voor tokens op basis van WAM. In dit scenario wordt de gebruiker gevraagd om opnieuw te verifiëren tijdens de WAM-tokenaanvraag en wordt er een nieuwe PULLT uitgegeven.
  • TPM-problemen: soms kan de TPM van een apparaat mislukken of mislukken, wat leidt tot ontoegankelijkheid van sleutels die door de TPM zijn beveiligd. In dit geval kan het apparaat geen PRT ophalen of tokens aanvragen met behulp van een bestaande PRT, omdat het geen bewijs kan leveren van de cryptografische sleutels. Als gevolg hiervan wordt een bestaande PULLT ongeldig gemaakt door Microsoft Entra-id. Wanneer Windows 10 een fout detecteert, wordt er een herstelstroom gestart om het apparaat opnieuw te registreren met nieuwe cryptografische sleutels. Met Microsoft Entra hybrid join, net als bij de eerste registratie, gebeurt het herstel op de achtergrond zonder gebruikersinvoer. Voor geregistreerde Microsoft Entra- of Microsoft Entra-apparaten moet het herstel worden uitgevoerd door een gebruiker met beheerdersbevoegdheden op het apparaat. In dit scenario wordt de herstelstroom gestart door een Windows-prompt waarmee de gebruiker het apparaat kan herstellen.

Gedetailleerde stromen

In de volgende diagrammen ziet u de onderliggende details bij het uitgeven, vernieuwen en gebruiken van een PRT om een toegangstoken voor een toepassing aan te vragen. Daarnaast beschrijven deze stappen ook hoe de bovengenoemde beveiligingsmechanismen worden toegepast tijdens deze interacties.

PRT-uitgifte tijdens de eerste aanmelding

PRT-uitgifte tijdens de eerste aanmelding gedetailleerde stroom

Notitie

In microsoft Entra-gekoppelde apparaten vindt de uitgifte van Microsoft Entra PRT (stappen A-F) synchroon plaats voordat de gebruiker zich kan aanmelden bij Windows. In hybride apparaten van Microsoft Entra is on-premises Active Directory de primaire instantie. De gebruiker kan zich dus aanmelden bij Microsoft Entra hybrid joined Windows nadat ze een TGT kunnen verkrijgen om zich aan te melden, terwijl de PRT-uitgifte asynchroon plaatsvindt. Dit scenario is niet van toepassing op geregistreerde Microsoft Entra-apparaten, omdat aanmelding geen Microsoft Entra-referenties gebruikt.

Notitie

In een hybride Windows-omgeving van Microsoft Entra vindt de uitgifte van de PRT asynchroon plaats. De uitgifte van de PRT kan mislukken vanwege problemen met de federatieprovider. Deze fout kan leiden tot aanmeldingsproblemen wanneer gebruikers toegang proberen te krijgen tot cloudresources. Het is belangrijk om dit scenario met de federatieprovider op te lossen.

Stap Beschrijving
Een De gebruiker voert het wachtwoord in de gebruikersinterface voor aanmelden in. LogonUI geeft de referenties in een verificatiebuffer door aan LSA, die deze vervolgens intern doorgeeft aan CloudAP. CloudAP stuurt deze aanvraag door naar de CloudAP-invoegtoepassing.
B De CloudAP-invoegtoepassing initieert een realmdetectieaanvraag om de id-provider voor de gebruiker te identificeren. Als de tenant van de gebruiker een federatieprovider heeft ingesteld, retourneert Microsoft Entra-id het MEX-eindpunt (Metadata Exchange Endpoint) van de federatieprovider. Zo niet, dan retourneert Microsoft Entra-id dat de gebruiker wordt beheerd, waarmee wordt aangegeven dat de gebruiker zich kan verifiëren met Microsoft Entra-id.
C Als de gebruiker wordt beheerd, krijgt CloudAP de nonce van Microsoft Entra ID. Als de gebruiker federatief is, vraagt de CloudAP-invoegtoepassing een SAML-token (Security Assertion Markup Language) aan bij de federatieprovider met de referenties van de gebruiker. Nonce wordt aangevraagd voordat het SAML-token naar Microsoft Entra-id wordt verzonden.
D De CloudAP-invoegtoepassing bouwt de verificatieaanvraag samen met de referenties van de gebruiker, nonce en een brokerbereik, ondertekent de aanvraag met de apparaatsleutel (dkpriv) en verzendt deze naar de Microsoft Entra-id. In een federatieve omgeving gebruikt de CloudAP-invoegtoepassing het SAML-token dat wordt geretourneerd door de federatieprovider in plaats van de referenties van de gebruiker.
E Microsoft Entra ID valideert de gebruikersreferenties, de nonce en de apparaathandtekening, controleert of het apparaat geldig is in de tenant en geeft de versleutelde PRT uit. Naast de PRT geeft Microsoft Entra-id ook een symmetrische sleutel uit, de sessiesleutel genoemd die is versleuteld door Microsoft Entra-id met behulp van de Transport-sleutel (tkpub). Daarnaast wordt de sessiesleutel ook ingesloten in de PRT. Deze sessiesleutel fungeert als de PoP-sleutel (Proof-of-possession) voor volgende aanvragen met de PRT.
F CloudAP-invoegtoepassing geeft de versleutelde PRT- en sessiesleutel door aan CloudAP. CloudAP vraagt de TPM aan om de sessiesleutel te ontsleutelen met behulp van de transportsleutel (tkpriv) en deze opnieuw te ontsleutelen met behulp van de eigen sleutel van de TPM. CloudAP slaat de versleutelde sessiesleutel op in de cache, samen met de PRT.

PRT-verlenging in volgende aanmeldingen

PRT-verlenging in volgende aanmeldingen

Stap Beschrijving
Een De gebruiker voert het wachtwoord in de gebruikersinterface voor aanmelden in. LogonUI geeft de referenties in een verificatiebuffer door aan LSA, die deze vervolgens intern doorgeeft aan CloudAP. CloudAP stuurt deze aanvraag door naar de CloudAP-invoegtoepassing.
B Als de gebruiker zich eerder heeft aangemeld bij de sessie, start Windows aanmelding in de cache en valideert referenties om de gebruiker aan te melden. Elke 4 uur start de CloudAP-invoegtoepassing prT-verlenging asynchroon.
C De CloudAP-invoegtoepassing initieert een realmdetectieaanvraag om de id-provider voor de gebruiker te identificeren. Als de tenant van de gebruiker een federatieprovider heeft ingesteld, retourneert Microsoft Entra-id het MEX-eindpunt (Metadata Exchange Endpoint) van de federatieprovider. Zo niet, dan retourneert Microsoft Entra-id dat de gebruiker wordt beheerd, waarmee wordt aangegeven dat de gebruiker zich kan verifiëren met Microsoft Entra-id.
D Als de gebruiker federatief is, vraagt de CloudAP-invoegtoepassing een SAML-token aan bij de federatieprovider met de referenties van de gebruiker. Nonce wordt aangevraagd voordat het SAML-token naar Microsoft Entra-id wordt verzonden. Als de gebruiker wordt beheerd, haalt CloudAP de nonce rechtstreeks op uit de Microsoft Entra-id.
E De CloudAP-invoegtoepassing bouwt de verificatieaanvraag samen met de referenties van de gebruiker, nonce en de bestaande PULLT, ondertekent de aanvraag met de sessiesleutel en verzendt deze naar De Microsoft Entra-id. In een federatieve omgeving gebruikt de CloudAP-invoegtoepassing het SAML-token dat wordt geretourneerd door de federatieprovider in plaats van de referenties van de gebruiker.
F Microsoft Entra ID valideert de handtekening van de sessiesleutel door deze te vergelijken met de sessiesleutel die is ingesloten in de PRT, valideert de nonce en controleert of het apparaat geldig is in de tenant en geeft een nieuwe PULLT uit. Zoals eerder is gezien, wordt de PRT opnieuw vergezeld van de sessiesleutel die is versleuteld door transportsleutel (tkpub).
G CloudAP-invoegtoepassing geeft de versleutelde PRT- en sessiesleutel door aan CloudAP. CloudAP vraagt de TPM om de sessiesleutel te ontsleutelen met behulp van de transportsleutel (tkpriv) en deze opnieuw te ontsleutelen met behulp van de eigen sleutel van de TPM. CloudAP slaat de versleutelde sessiesleutel op in de cache, samen met de PRT.

Notitie

Een PRT kan extern worden vernieuwd zonder dat er een VPN-verbinding nodig is wanneer usernamemixed eindpunten extern worden ingeschakeld.

PRT-gebruik tijdens app-tokenaanvragen

PRT-gebruik tijdens app-tokenaanvragen

Stap Beschrijving
Een Een toepassing (bijvoorbeeld Outlook, OneNote enzovoort) initieert een tokenaanvraag bij WAM. WAM vraagt de Microsoft Entra WAM-invoegtoepassing om de tokenaanvraag te verwerken.
B Als er al een vernieuwingstoken voor de toepassing beschikbaar is, gebruikt de Microsoft Entra WAM-invoegtoepassing deze om een toegangstoken aan te vragen. Om een bewijs van apparaatbinding te bieden, ondertekent de WAM-invoegtoepassing de aanvraag met de sessiesleutel. Microsoft Entra ID valideert de sessiesleutel en geeft een toegangstoken en een nieuw vernieuwingstoken voor de app uit, versleuteld door de sessiesleutel. WAM-invoegtoepassing vraagt CloudAP-invoegtoepassing om de tokens te ontsleutelen. Op zijn beurt vraagt de TPM om te ontsleutelen met behulp van de sessiesleutel, waardoor de WAM-invoegtoepassing beide tokens krijgt. Vervolgens biedt de WAM-invoegtoepassing alleen het toegangstoken voor de toepassing, terwijl het het vernieuwingstoken opnieuw versleutelt met DPAPI en het in een eigen cache opslaat
C Als er geen vernieuwingstoken voor de toepassing beschikbaar is, gebruikt de Microsoft Entra WAM-invoegtoepassing de PRT om een toegangstoken aan te vragen. Als u bewijs van bezit wilt leveren, ondertekent de WAM-invoegtoepassing de aanvraag met de PRT met de sessiesleutel. Microsoft Entra ID valideert de handtekening van de sessiesleutel door deze te vergelijken met de sessiesleutel die is ingesloten in het PRT, controleert of het apparaat geldig is en geeft een toegangstoken en een vernieuwingstoken voor de toepassing uit. Bovendien kan Microsoft Entra-id een nieuwe PRT uitgeven (op basis van de vernieuwingscyclus), allemaal versleuteld door de sessiesleutel.
D WAM-invoegtoepassing vraagt CloudAP-invoegtoepassing om de tokens te ontsleutelen. Op zijn beurt vraagt de TPM om te ontsleutelen met behulp van de sessiesleutel, waardoor de WAM-invoegtoepassing beide tokens krijgt. Vervolgens biedt de WAM-invoegtoepassing alleen het toegangstoken voor de toepassing, terwijl het vernieuwingstoken opnieuw wordt versleuteld met DPAPI en in een eigen cache wordt opgeslagen. De WAM-invoegtoepassing maakt gebruik van het vernieuwingstoken voor deze toepassing. WAM-invoegtoepassing geeft ook de nieuwe PRT aan CloudAP-invoegtoepassing terug, waarmee de PRT met Microsoft Entra-id wordt gevalideerd voordat deze in een eigen cache wordt bijgewerkt. CloudAP-invoegtoepassing maakt gebruik van de nieuwe PRT in de toekomst.
E WAM biedt het zojuist uitgegeven toegangstoken aan WAM, dat op zijn beurt weer teruggeeft aan de aanroepende toepassing

Eenmalige aanmelding van browser met PRT

Eenmalige aanmelding van browser met PRT

Stap Beschrijving
Een Gebruikers meldt zich aan bij Windows met hun referenties om een PRT op te halen. Zodra de gebruiker de browser opent, worden de URL's in het register geladen door de browser (of extensie).
B Wanneer een gebruiker een aanmeldings-URL van Microsoft Entra opent, valideert de browser of extensie de URL met de URL's die zijn verkregen uit het register. Als deze overeenkomen, roept de browser de systeemeigen clienthost aan om een token op te halen.
C De systeemeigen clienthost valideert dat de URL's deel uitmaken van de Microsoft-id-providers (Microsoft-account of Microsoft Entra-id), extraheert een niet-verzonden uit de URL en roept cloudap-invoegtoepassing aan om een PRT-cookie op te halen.
D De CloudAP-invoegtoepassing maakt de PRT-cookie, meldt u aan met de TPM-gebonden sessiesleutel en stuurt deze terug naar de systeemeigen clienthost.
E De systeemeigen clienthost retourneert deze PRT-cookie naar de browser, die deze bevat als onderdeel van de aanvraagheader x-ms-RefreshTokenCredential en aanvraagtokens van Microsoft Entra ID.
F Microsoft Entra ID valideert de handtekening van de sessiesleutel op de PRT-cookie, valideert de nonce, controleert of het apparaat geldig is in de tenant en geeft een id-token voor de webpagina en een versleutelde sessiecookie voor de browser uit.

Notitie

De browser-SSO-stroom die in de vorige stappen wordt beschreven, is niet van toepassing op sessies in privémodi, zoals InPrivate in Microsoft Edge, Incognito in Google Chrome (wanneer u de extensie Microsoft Accounts gebruikt) of in de privémodus in Mozilla Firefox v91+

Volgende stappen

Voor meer informatie over het oplossen van PRT-gerelateerde problemen raadpleegt u het artikel Probleemoplossing voor hybride Windows 10- of nieuwere en Windows Server 2016-apparaten van Microsoft Entra.