Como funciona: registro de dispositivo
O Registro de Dispositivos é um pré-requisito para autenticação baseada em nuvem. Normalmente, os dispositivos são Microsoft Entra ID ou Microsoft Entra ingressados híbridos para concluir o registro do dispositivo. Este artigo fornece detalhes de como o ingresso do Microsoft Entra ID e o ingresso híbrido do Microsoft Entra funcionam em ambientes gerenciados e federados. Para obter mais informações sobre como a autenticação do Microsoft Entra funciona nesses dispositivos, consulte o artigo Tokens de atualização primários.
Microsoft Entra ingressado em ambientes gerenciados
Fase | Descrição |
---|---|
Um | A maneira mais comum de registrar dispositivos ingressados no Microsoft Entra é durante a OOBE (experiência inicial de uso), em que ele carrega o aplicativo Web de ingressado do Microsoft Entra no aplicativo CXH (Cloud Experience Host). O aplicativo envia uma solicitação GET para o ponto de extremidade de configuração do OpenID do Microsoft Entra para descobrir pontos de extremidade de autorização. O Microsoft Entra ID retorna a configuração do OpenID, que inclui os pontos de extremidade de autorização, para o aplicativo como um documento JSON. |
B | O aplicativo cria uma solicitação de credencial para o ponto de extremidade de autorização e coleta as credenciais do usuário. |
C | Depois que o usuário fornece seu nome principal de usuário (UPN), o aplicativo envia uma solicitação GET ao Microsoft Entra ID para descobrir as informações de domínio correspondentes ao usuário. Essas informações determinam se o ambiente é gerenciado ou federado. O Microsoft Entra ID retorna as informações em um objeto JSON. O aplicativo determina que o ambiente seja gerenciado (não federado). A última etapa dessa fase faz com que o aplicativo crie um buffer de autenticação e, se está em OOBE, armazena-o temporariamente em cache para entrada automática quando o OOBE finalizar. O aplicativo posta as credenciais para o Microsoft Entra ID onde elas são validadas. O Microsoft Entra ID retorna um token de ID com declarações. |
D | O aplicativo procura os termos de uso do gerenciamento de dispositivos móveis (MDM) (a declaração mdm_tou_url). Se está presente, o aplicativo recupera os termos de uso do valor da declaração, apresenta o conteúdo ao usuário e aguarda que o usuário aceite os termos de uso. Essa etapa será opcional e ignorada se a declaração não estiver presente ou se o valor da declaração estiver vazio. |
E | O aplicativo envia uma solicitação de descoberta de registro de dispositivo para o Serviço de Registro de Dispositivo do Azure (DRS). O ADRS retorna um documento de dados de descoberta, que retorna URIs específicos do locatário para concluir o registro do dispositivo. |
F | O aplicativo cria um par de chaves RSA de 2048 bits (preferencial) com limite de TPM conhecido como a chave do dispositivo (dkpub/dkpriv). O aplicativo cria uma solicitação de certificado usando dkpub e a chave pública e assina a solicitação de certificado usando dkpriv. Em seguida, o aplicativo deriva o segundo par de chaves da chave raiz de armazenamento do TPM. Essa é a chave de transporte (tkpub/tkpriv). |
G | O aplicativo envia uma solicitação de registro de dispositivo para o ADRS que inclui o token de ID, a solicitação de certificado, o tkpub e os dados de atestado. O ADRS valida o token de ID, cria uma identidade de dispositivo e um certificado com base na solicitação de certificado incluída. O Serviço de Replicação de Dados do Azure grava um objeto de dispositivo no Microsoft Entra ID e envia a identidade e o certificado do dispositivo para o cliente. |
H | O registro do dispositivo é concluído recebendo a identidade e o certificado do dispositivo do ADRS. A identidade do dispositivo é salva para futura referência (visível em dsregcmd.exe /status ), e o certificado do dispositivo é instalado no armazenamento pessoal do computador. Após a conclusão do registro do dispositivo, o processo continua com o registro de MDM. |
Microsoft Entra ingressado em ambientes federados
Fase | Descrição |
---|---|
Um | A maneira mais comum de registrar dispositivos ingressados no Microsoft Entra é durante a OOBE (experiência inicial de uso), em que ele carrega o aplicativo Web de ingressado do Microsoft Entra no aplicativo CXH (Cloud Experience Host). O aplicativo envia uma solicitação GET para o ponto de extremidade de configuração do OpenID do Microsoft Entra para descobrir pontos de extremidade de autorização. O Microsoft Entra ID retorna a configuração do OpenID, que inclui os pontos de extremidade de autorização, para o aplicativo como um documento JSON. |
B | O aplicativo cria uma solicitação de credencial para o ponto de extremidade de autorização e coleta as credenciais do usuário. |
C | Depois que o usuário fornece o nome de usuário (no formato UPN), o aplicativo envia uma solicitação GET ao Microsoft Entra ID para descobrir informações de realm correspondentes ao usuário. Essas informações determinam se o ambiente é gerenciado ou federado. O Microsoft Entra ID retorna as informações em um objeto JSON. O aplicativo determina se o ambiente é federado. O aplicativo é redirecionado para o valor AuthURL (página de entrada do STS local) no objeto de realm JSON retornado. O aplicativo coleta credenciais por meio da página da Web do STS. |
D | O aplicativo POST a credencial para o STS local, o que pode exigir fatores adicionais de autenticação. O STS local autentica o usuário e retorna um token. O aplicativo posta o token para Microsoft Entra ID para autenticação. O Microsoft Entra ID valida o token e retorna um token de ID com declarações. |
E | O aplicativo procura termos de uso do MDM (a declaração mdm_tou_url). Se está presente, o aplicativo recupera os termos de uso do valor da declaração, apresenta o conteúdo ao usuário e aguarda que o usuário aceite os termos de uso. Essa etapa será opcional e ignorada se a declaração não estiver presente ou se o valor da declaração estiver vazio. |
F | O aplicativo envia uma solicitação de descoberta de registro de dispositivo para o Serviço de Registro de Dispositivo do Azure (DRS). O ADRS retorna um documento de dados de descoberta, que retorna URIs específicos do locatário para concluir o registro do dispositivo. |
G | O aplicativo cria um par de chaves RSA de 2048 bits (preferencial) com limite de TPM conhecido como a chave do dispositivo (dkpub/dkpriv). O aplicativo cria uma solicitação de certificado usando dkpub e a chave pública e assina a solicitação de certificado usando dkpriv. Em seguida, o aplicativo deriva o segundo par de chaves da chave raiz de armazenamento do TPM. Essa é a chave de transporte (tkpub/tkpriv). |
H | O aplicativo envia uma solicitação de registro de dispositivo para o ADRS que inclui o token de ID, a solicitação de certificado, o tkpub e os dados de atestado. O ADRS valida o token de ID, cria uma identidade de dispositivo e um certificado com base na solicitação de certificado incluída. O Serviço de Replicação de Dados do Azure grava um objeto de dispositivo no Microsoft Entra ID e envia a identidade e o certificado do dispositivo para o cliente. |
I | O registro do dispositivo é concluído recebendo a identidade e o certificado do dispositivo do ADRS. A identidade do dispositivo é salva para futura referência (visível em dsregcmd.exe /status ), e o certificado do dispositivo é instalado no armazenamento pessoal do computador. Após a conclusão do registro do dispositivo, o processo continua com o registro de MDM. |
Microsoft Entra ingressado híbrido em ambientes gerenciados
Fase | Descrição |
---|---|
Um | O usuário se conecta a um computador Windows 10 ou mais recente ingressado no domínio usando credenciais de domínio. Essa credencial pode ser o nome de usuário e a senha ou a autenticação de cartão inteligente. A entrada do usuário dispara a tarefa de Ingresso de Dispositivo Automático. As tarefas de Ingresso de Dispositivo Automático são disparadas no ingresso no domínio e repetidas a cada hora. Ele não depende exclusivamente da entrada do usuário. |
B | A tarefa consulta o AD DS (Active Directory Domain Services) usando o protocolo LDAP para o atributo de chave no ponto de conexão do serviço armazenado na partição de configuração no AD DS (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com ). O valor retornado no atributo de palavras-chave determina se o registro do dispositivo é direcionado ao Serviço de Registro de Dispositivo do Azure (DRS) ou ao serviço de registro de dispositivo corporativo hospedado no local. |
C | Para o ambiente gerenciado, a tarefa cria uma credencial de autenticação inicial na forma de um certificado autoassinado. A tarefa grava o certificado no atributo userCertificate no objeto de computador do AD DS usando LDAP. |
D | O computador não pode se autenticar no Serviço de Replicação de Dados do Azure até que um objeto de dispositivo que representa o computador que inclui o certificado no atributo userCertificate seja criado no Microsoft Entra ID. O Microsoft Entra Connect detecta uma alteração de atributo. No próximo ciclo de sincronização, o Microsoft Entra Connect envia o userCertificate, o GUID do objeto e o SID do computador para o ADRS. O Serviço de Replicação de Dados do Azure usa as informações de atributo para criar um objeto de dispositivo no Microsoft Entra ID. |
E | A tarefa de Ingresso de Dispositivo Automático é disparada com cada entrada de usuário ou a cada hora e tenta autenticar o computador no Microsoft Entra ID usando a chave privada correspondente da chave pública no atributo userCertificate. O Microsoft Entra autentica o computador e emite um token de ID para o computador. |
F | A tarefa cria um par de chaves RSA de 2048 bits (preferencial) com limite de TPM conhecido como a chave do dispositivo (dkpub/dkpriv). O aplicativo cria uma solicitação de certificado usando dkpub e a chave pública e assina a solicitação de certificado usando dkpriv. Em seguida, o aplicativo deriva o segundo par de chaves da chave raiz de armazenamento do TPM. Essa é a chave de transporte (tkpub/tkpriv). |
G | A tarefa envia uma solicitação de registro de dispositivo para o ADRS que inclui o token de ID, a solicitação de certificado, o tkpub e os dados de atestado. O ADRS valida o token de ID, cria uma identidade de dispositivo e um certificado com base na solicitação de certificado incluída. O Serviço de Replicação de Dados do Azure atualiza um objeto de dispositivo no Microsoft Entra ID e envia a identidade e o certificado do dispositivo para o cliente. |
H | O registro do dispositivo é concluído recebendo a identidade e o certificado do dispositivo do ADRS. A identidade do dispositivo é salva para futura referência (visível em dsregcmd.exe /status ), e o certificado do dispositivo é instalado no armazenamento pessoal do computador. Após a conclusão do registro do dispositivo, a tarefa é encerrada. |
Microsoft Entra ingressado híbrido em ambientes federados
Fase | Descrição |
---|---|
Um | O usuário se conecta a um computador Windows 10 ou mais recente ingressado no domínio usando credenciais de domínio. Essa credencial pode ser o nome de usuário e a senha ou a autenticação de cartão inteligente. A entrada do usuário dispara a tarefa de Ingresso de Dispositivo Automático. As tarefas de Ingresso de Dispositivo Automático são disparadas no ingresso no domínio e repetidas a cada hora. Ele não depende exclusivamente da entrada do usuário. |
B | A tarefa consulta o AD DS (Active Directory Domain Services) usando o protocolo LDAP para o atributo de chave no ponto de conexão do serviço armazenado na partição de configuração no AD DS (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com ). O valor retornado no atributo de palavras-chave determina se o registro do dispositivo é direcionado ao Serviço de Registro de Dispositivo do Azure (DRS) ou ao serviço de registro de dispositivo corporativo hospedado no local. |
C | Para os ambientes federados, o computador autentica o ponto de extremidade de registro de dispositivo empresarial usando Autenticação Integrada do Windows. O serviço de registro de dispositivo empresarial cria e retorna um token que inclui declarações para o GUID do objeto, o SID do computador e o estado ingresso no domínio. A tarefa envia o token e as declarações para o Microsoft Entra ID onde eles são validados. O Microsoft Entra ID retorna um token de ID para a tarefa em execução. |
D | O aplicativo cria um par de chaves RSA de 2048 bits (preferencial) com limite de TPM conhecido como a chave do dispositivo (dkpub/dkpriv). O aplicativo cria uma solicitação de certificado usando dkpub e a chave pública e assina a solicitação de certificado usando dkpriv. Em seguida, o aplicativo deriva o segundo par de chaves da chave raiz de armazenamento do TPM. Essa é a chave de transporte (tkpub/tkpriv). |
E | Para fornecer SSO para o aplicativo federado local, a tarefa solicita um PRT corporativo do STS local. Um Windows Server 2016 que esteja executando a função AD FS (Serviços de Federação do Active Directory) valida a solicitação e retornar a tarefa em execução. |
F | A tarefa envia uma solicitação de registro de dispositivo para o ADRS que inclui o token de ID, a solicitação de certificado, o tkpub e os dados de atestado. O ADRS valida o token de ID, cria uma identidade de dispositivo e um certificado com base na solicitação de certificado incluída. O Serviço de Replicação de Dados do Azure grava um objeto de dispositivo no Microsoft Entra ID e envia a identidade e o certificado do dispositivo para o cliente. O registro do dispositivo é concluído recebendo a identidade e o certificado do dispositivo do ADRS. A identidade do dispositivo é salva para futura referência (visível em dsregcmd.exe /status ), e o certificado do dispositivo é instalado no armazenamento pessoal do computador. Após a conclusão do registro do dispositivo, a tarefa é encerrada. |
G | Se o write-back de dispositivo do Microsoft Entra Connect estiver habilitado, o Azure AD Connect solicitará atualizações do Microsoft Entra ID em seu próximo ciclo de sincronização (o write-back do dispositivo é necessário para implantação híbrida que usa a confiança de certificado). O Microsoft Entra ID correlaciona o objeto de dispositivo com um objeto de computador sincronizado correspondente. O Microsoft Entra Connect recebe o objeto de dispositivo que inclui o GUID do objeto e o SID do computador e grava o objeto de dispositivo no AD DS. |
Próximas etapas
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de