Jak to działa: rejestracja urządzenia
Rejestracja urządzenia jest wymaganiem wstępnym do uwierzytelniania opartego na chmurze. Zazwyczaj urządzenia są przyłączone hybrydową do firmy Microsoft entra ID lub Microsoft Entra, aby ukończyć rejestrację urządzenia. Ten artykuł zawiera szczegółowe informacje o tym, jak dołączanie do firmy Microsoft i dołączanie hybrydowe firmy Microsoft Entra działają w środowiskach zarządzanych i federacyjnych. Aby uzyskać więcej informacji na temat sposobu działania uwierzytelniania entra firmy Microsoft na tych urządzeniach, zobacz artykuł Podstawowe tokeny odświeżania.
Firma Microsoft Entra dołączyła do środowisk zarządzanych
| Faza | opis |
|---|---|
| A | Najczęstszym sposobem rejestrowania urządzeń dołączonych do firmy Microsoft jest środowisko gotowe do użycia (OOBE), w którym ładuje aplikację internetową Microsoft Entra join w aplikacji Cloud Experience Host (CXH). Aplikacja wysyła żądanie GET do punktu końcowego konfiguracji Entra OpenID firmy Microsoft w celu odnalezienia punktów końcowych autoryzacji. Identyfikator Entra firmy Microsoft zwraca konfigurację OpenID, która obejmuje punkty końcowe autoryzacji, do aplikacji jako dokumentu JSON. |
| B | Aplikacja tworzy żądanie logowania dla punktu końcowego autoryzacji i zbiera poświadczenia użytkownika. |
| C | Po podaniu przez użytkownika głównej nazwy użytkownika (UPN) aplikacja wysyła żądanie GET do identyfikatora Entra firmy Microsoft w celu odnalezienia odpowiednich informacji o obszarze dla użytkownika. Te informacje określają, czy środowisko jest zarządzane, czy federacyjne. Identyfikator Entra firmy Microsoft zwraca informacje w obiekcie JSON. Aplikacja określa, że środowisko jest zarządzane (niefederowane). Ostatni krok w tej fazie obejmuje utworzenie buforu uwierzytelniania przez aplikację, a jeśli w środowisku OOBE tymczasowo buforuje ją na potrzeby automatycznego logowania na końcu środowiska OOBE. PoST aplikacji poświadczenia do identyfikatora Firmy Microsoft Entra, gdzie są weryfikowane. Identyfikator Entra firmy Microsoft zwraca token identyfikatora z oświadczeniami. |
| D | Aplikacja szuka warunków użytkowania zarządzania urządzeniami przenośnymi (MDM) (oświadczenia mdm_tou_url). Jeśli istnieje, aplikacja pobiera warunki użytkowania z wartości oświadczenia, przedstawia zawartość użytkownikowi i czeka na zaakceptowanie warunków użytkowania przez użytkownika. Ten krok jest opcjonalny i pomijany, jeśli oświadczenie nie jest obecne lub jeśli wartość oświadczenia jest pusta. |
| E | Aplikacja wysyła żądanie odnajdywania rejestracji urządzeń do usługi rejestracji urządzeń platformy Azure (DRS). Usługa Azure DRS zwraca dokument danych odnajdywania, który zwraca identyfikatory URI specyficzne dla dzierżawy w celu ukończenia rejestracji urządzenia. |
| F | Aplikacja tworzy powiązaną (preferowaną) parę kluczy RSA 2048-bitową modułu TPM znaną jako klucz urządzenia (dkpub/dkpriv). Aplikacja tworzy żądanie certyfikatu przy użyciu narzędzia dkpub i klucza publicznego i podpisuje żądanie certyfikatu przy użyciu polecenia dkpriv. Następnie aplikacja uzyskuje drugą parę kluczy z klucza głównego magazynu modułu TPM. Ten klucz jest kluczem transportu (tkpub/tkpriv). |
| G | Aplikacja wysyła żądanie rejestracji urządzenia do usługi Azure DRS, która zawiera token identyfikatora, żądanie certyfikatu, tkpub i dane zaświadczania. Usługa Azure DRS weryfikuje token identyfikatora, tworzy identyfikator urządzenia i tworzy certyfikat na podstawie dołączonego żądania certyfikatu. Usługa Azure DRS zapisuje następnie obiekt urządzenia w usłudze Microsoft Entra ID i wysyła identyfikator urządzenia oraz certyfikat urządzenia do klienta. |
| H | Rejestracja urządzenia zostanie ukończona przez odebranie identyfikatora urządzenia i certyfikatu urządzenia z usługi Azure DRS. Identyfikator urządzenia jest zapisywany na potrzeby przyszłego odwołania (możliwe do wyświetlenia z dsregcmd.exe /statusprogramu ), a certyfikat urządzenia jest zainstalowany w magazynie Osobistym komputera. Po zakończeniu rejestracji urządzenia proces będzie kontynuowany z rejestracją w rozwiązaniu MDM. |
Firma Microsoft Entra dołączyła do środowisk federacyjnych
| Faza | opis |
|---|---|
| A | Najczęstszym sposobem rejestrowania urządzeń dołączonych do firmy Microsoft jest środowisko gotowe do użycia (OOBE), w którym ładuje aplikację internetową Microsoft Entra join w aplikacji Cloud Experience Host (CXH). Aplikacja wysyła żądanie GET do punktu końcowego konfiguracji Entra OpenID firmy Microsoft w celu odnalezienia punktów końcowych autoryzacji. Identyfikator Entra firmy Microsoft zwraca konfigurację OpenID, która obejmuje punkty końcowe autoryzacji, do aplikacji jako dokumentu JSON. |
| B | Aplikacja tworzy żądanie logowania dla punktu końcowego autoryzacji i zbiera poświadczenia użytkownika. |
| C | Po podaniu przez użytkownika nazwy użytkownika (w formacie UPN) aplikacja wysyła żądanie GET do identyfikatora Entra firmy Microsoft w celu odnalezienia odpowiednich informacji o obszarze dla użytkownika. Te informacje określają, czy środowisko jest zarządzane, czy federacyjne. Identyfikator Entra firmy Microsoft zwraca informacje w obiekcie JSON. Aplikacja określa środowisko jest federacyjne. Aplikacja przekierowuje do wartości AuthURL (lokalnej strony logowania STS) w zwróconym obiekcie obszaru JSON. Aplikacja zbiera poświadczenia za pośrednictwem strony internetowej STS. |
| D | Aplikacja POST poświadczenia do lokalnej usługi STS, która może wymagać dodatkowych czynników uwierzytelniania. Lokalna usługa STS uwierzytelnia użytkownika i zwraca token. Aplikacja poSTs token do identyfikatora Entra firmy Microsoft na potrzeby uwierzytelniania. Identyfikator entra firmy Microsoft weryfikuje token i zwraca token identyfikatora z oświadczeniami. |
| E | Aplikacja wyszukuje warunki użytkowania oprogramowania MDM (oświadczenie mdm_tou_url). Jeśli istnieje, aplikacja pobiera warunki użytkowania z wartości oświadczenia, przedstawia zawartość użytkownikowi i czeka na zaakceptowanie warunków użytkowania przez użytkownika. Ten krok jest opcjonalny i pomijany, jeśli oświadczenie nie jest obecne lub jeśli wartość oświadczenia jest pusta. |
| F | Aplikacja wysyła żądanie odnajdywania rejestracji urządzeń do usługi rejestracji urządzeń platformy Azure (DRS). Usługa Azure DRS zwraca dokument danych odnajdywania, który zwraca identyfikatory URI specyficzne dla dzierżawy w celu ukończenia rejestracji urządzenia. |
| G | Aplikacja tworzy powiązaną (preferowaną) parę kluczy RSA 2048-bitową modułu TPM znaną jako klucz urządzenia (dkpub/dkpriv). Aplikacja tworzy żądanie certyfikatu przy użyciu narzędzia dkpub i klucza publicznego i podpisuje żądanie certyfikatu przy użyciu polecenia dkpriv. Następnie aplikacja uzyskuje drugą parę kluczy z klucza głównego magazynu modułu TPM. Ten klucz jest kluczem transportu (tkpub/tkpriv). |
| H | Aplikacja wysyła żądanie rejestracji urządzenia do usługi Azure DRS, która zawiera token identyfikatora, żądanie certyfikatu, tkpub i dane zaświadczania. Usługa Azure DRS weryfikuje token identyfikatora, tworzy identyfikator urządzenia i tworzy certyfikat na podstawie dołączonego żądania certyfikatu. Usługa Azure DRS zapisuje następnie obiekt urządzenia w usłudze Microsoft Entra ID i wysyła identyfikator urządzenia oraz certyfikat urządzenia do klienta. |
| I | Rejestracja urządzenia zostanie ukończona przez odebranie identyfikatora urządzenia i certyfikatu urządzenia z usługi Azure DRS. Identyfikator urządzenia jest zapisywany na potrzeby przyszłego odwołania (możliwe do wyświetlenia z dsregcmd.exe /statusprogramu ), a certyfikat urządzenia jest zainstalowany w magazynie Osobistym komputera. Po zakończeniu rejestracji urządzenia proces będzie kontynuowany z rejestracją w rozwiązaniu MDM. |
Hybrydowa firma Microsoft Entra przyłączona do środowisk zarządzanych
| Faza | opis |
|---|---|
| A | Użytkownik loguje się do domeny przyłączonej do komputera z systemem Windows 10 lub nowszym przy użyciu poświadczeń domeny. To poświadczenie może być nazwą użytkownika i hasłem lub uwierzytelnianiem za pomocą karty inteligentnej. Logowanie użytkownika wyzwala zadanie Automatyczne dołączanie urządzenia. Zadania automatycznego dołączania urządzeń są wyzwalane przy przyłączeniu do domeny i ponawiane co godzinę. Nie zależy on wyłącznie od logowania użytkownika. |
| B | Zadanie wysyła zapytanie do usługi Active Directory przy użyciu protokołu LDAP dla atrybutu słowa kluczowego w punkcie połączenia usługi przechowywanym w partycji konfiguracji w usłudze Active Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). Wartość zwrócona w atrybucie keywords określa, czy rejestracja urządzenia jest kierowana do usługi rejestracji urządzeń platformy Azure (DRS) lub usługi rejestracji urządzeń przedsiębiorstwa hostowanej lokalnie. |
| C | W środowisku zarządzanym zadanie tworzy początkowe poświadczenia uwierzytelniania w postaci certyfikatu z podpisem własnym. Zadanie zapisuje certyfikat do atrybutu userCertificate na obiekcie komputera w usłudze Active Directory przy użyciu protokołu LDAP. |
| D | Komputer nie może uwierzytelnić się w usłudze Azure DRS, dopóki obiekt urządzenia reprezentujący komputer, który zawiera certyfikat w atrybucie userCertificate, zostanie utworzony w usłudze Microsoft Entra ID. Firma Microsoft Entra Połączenie wykrywa zmianę atrybutu. W następnym cyklu synchronizacji firma Microsoft Entra Połączenie wysyła identyfikator USERCertificate, identyfikator GUID obiektu i identyfikator SID komputera do usługi Azure DRS. Usługa Azure DRS używa informacji o atrybucie do utworzenia obiektu urządzenia w identyfikatorze Entra firmy Microsoft. |
| E | Zadanie Automatyczne dołączanie urządzeń wyzwala każde logowanie użytkownika lub co godzinę i próbuje uwierzytelnić komputer w identyfikatorze Entra firmy Microsoft przy użyciu odpowiedniego klucza prywatnego klucza publicznego w atrybucie userCertificate. Firma Microsoft Entra uwierzytelnia komputer i wystawia token identyfikatora na komputerze. |
| F | Zadanie tworzy powiązaną (preferowaną) parę kluczy RSA 2048-bitowych modułu TPM znaną jako klucz urządzenia (dkpub/dkpriv). Aplikacja tworzy żądanie certyfikatu przy użyciu narzędzia dkpub i klucza publicznego i podpisuje żądanie certyfikatu przy użyciu polecenia dkpriv. Następnie aplikacja uzyskuje drugą parę kluczy z klucza głównego magazynu modułu TPM. Ten klucz jest kluczem transportu (tkpub/tkpriv). |
| G | Zadanie wysyła żądanie rejestracji urządzenia do usługi Azure DRS, która zawiera token identyfikatora, żądanie certyfikatu, tkpub i dane zaświadczania. Usługa Azure DRS weryfikuje token identyfikatora, tworzy identyfikator urządzenia i tworzy certyfikat na podstawie dołączonego żądania certyfikatu. Usługa Azure DRS aktualizuje następnie obiekt urządzenia w usłudze Microsoft Entra ID i wysyła identyfikator urządzenia oraz certyfikat urządzenia do klienta. |
| H | Rejestracja urządzenia zostanie ukończona przez odebranie identyfikatora urządzenia i certyfikatu urządzenia z usługi Azure DRS. Identyfikator urządzenia jest zapisywany na potrzeby przyszłego odwołania (możliwe do wyświetlenia z dsregcmd.exe /statusprogramu ), a certyfikat urządzenia jest zainstalowany w magazynie Osobistym komputera. Po zakończeniu rejestracji urządzenia zadanie zostanie zakończone. |
Hybrydowa firma Microsoft Entra przyłączona do środowisk federacyjnych
| Faza | opis |
|---|---|
| A | Użytkownik loguje się do domeny przyłączonej do komputera z systemem Windows 10 lub nowszym przy użyciu poświadczeń domeny. To poświadczenie może być nazwą użytkownika i hasłem lub uwierzytelnianiem za pomocą karty inteligentnej. Logowanie użytkownika wyzwala zadanie Automatyczne dołączanie urządzenia. Zadania automatycznego dołączania urządzeń są wyzwalane przy przyłączeniu do domeny i ponawiane co godzinę. Nie zależy on wyłącznie od logowania użytkownika. |
| B | Zadanie wysyła zapytanie do usługi Active Directory przy użyciu protokołu LDAP dla atrybutu słowa kluczowego w punkcie połączenia usługi przechowywanym w partycji konfiguracji w usłudze Active Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). Wartość zwrócona w atrybucie keywords określa, czy rejestracja urządzenia jest kierowana do usługi rejestracji urządzeń platformy Azure (DRS) lub usługi rejestracji urządzeń przedsiębiorstwa hostowanej lokalnie. |
| C | W przypadku środowisk federacyjnych komputer uwierzytelnia punkt końcowy rejestracji urządzeń przedsiębiorstwa przy użyciu zintegrowanego uwierzytelniania systemu Windows. Usługa rejestracji urządzeń przedsiębiorstwa tworzy i zwraca token, który zawiera oświadczenia dla identyfikatora GUID obiektu, identyfikatora SID komputera i stanu przyłączonego do domeny. Zadanie przesyła token i oświadczenia do identyfikatora Entra firmy Microsoft, gdzie są weryfikowane. Identyfikator Entra firmy Microsoft zwraca token identyfikatora do uruchomionego zadania. |
| D | Aplikacja tworzy powiązaną (preferowaną) parę kluczy RSA 2048-bitową modułu TPM znaną jako klucz urządzenia (dkpub/dkpriv). Aplikacja tworzy żądanie certyfikatu przy użyciu narzędzia dkpub i klucza publicznego i podpisuje żądanie certyfikatu przy użyciu polecenia dkpriv. Następnie aplikacja uzyskuje drugą parę kluczy z klucza głównego magazynu modułu TPM. Ten klucz jest kluczem transportu (tkpub/tkpriv). |
| E | Aby zapewnić logowanie jednokrotne dla lokalnej aplikacji federacyjnej, zadanie żąda żądania żądania ściągnięcia przedsiębiorstwa z lokalnej usługi STS. Windows Server 2016 z uruchomioną rolą Usług federacyjnych Active Directory zweryfikuj żądanie i zwróć je uruchomione zadanie. |
| F | Zadanie wysyła żądanie rejestracji urządzenia do usługi Azure DRS, która zawiera token identyfikatora, żądanie certyfikatu, tkpub i dane zaświadczania. Usługa Azure DRS weryfikuje token identyfikatora, tworzy identyfikator urządzenia i tworzy certyfikat na podstawie dołączonego żądania certyfikatu. Usługa Azure DRS zapisuje następnie obiekt urządzenia w usłudze Microsoft Entra ID i wysyła identyfikator urządzenia oraz certyfikat urządzenia do klienta. Rejestracja urządzenia zostanie ukończona przez odebranie identyfikatora urządzenia i certyfikatu urządzenia z usługi Azure DRS. Identyfikator urządzenia jest zapisywany na potrzeby przyszłego odwołania (możliwe do wyświetlenia z dsregcmd.exe /statusprogramu ), a certyfikat urządzenia jest zainstalowany w magazynie Osobistym komputera. Po zakończeniu rejestracji urządzenia zadanie zostanie zakończone. |
| G | Jeśli funkcja zapisywania zwrotnego urządzeń firmy Microsoft Entra Połączenie jest włączona, firma Microsoft Entra Połączenie żąda aktualizacji z identyfikatora Entra firmy Microsoft w następnym cyklu synchronizacji (zapisywanie zwrotne urządzeń jest wymagane do wdrożenia hybrydowego przy użyciu zaufania certyfikatów). Microsoft Entra ID koreluje obiekt urządzenia z zgodnym zsynchronizowanym obiektem komputera. Firma Microsoft Entra Połączenie odbiera obiekt urządzenia zawierający identyfikator GUID obiektu i identyfikator SID komputera oraz zapisuje obiekt urządzenia w usłudze Active Directory. |