O Registro de Dispositivos é um pré-requisito para autenticação baseada em nuvem. Normalmente, os dispositivos são Microsoft Entra ID ou Microsoft Entra ingressados híbridos para concluir o registro do dispositivo. Este artigo fornece detalhes de como o ingresso do Microsoft Entra ID e o ingresso híbrido do Microsoft Entra funcionam em ambientes gerenciados e federados. Para obter mais informações sobre como a autenticação do Microsoft Entra funciona nesses dispositivos, consulte o artigo Tokens de atualização primários.
Microsoft Entra ingressado em ambientes gerenciados
Fase
Descrição
Um
A maneira mais comum de registrar dispositivos ingressados no Microsoft Entra é durante a OOBE (experiência inicial de uso), em que ele carrega o aplicativo Web de ingressado do Microsoft Entra no aplicativo CXH (Cloud Experience Host). O aplicativo envia uma solicitação GET para o ponto de extremidade de configuração do OpenID do Microsoft Entra para descobrir pontos de extremidade de autorização. O Microsoft Entra ID retorna a configuração do OpenID, que inclui os pontos de extremidade de autorização, para o aplicativo como um documento JSON.
B
O aplicativo cria uma solicitação de credencial para o ponto de extremidade de autorização e coleta as credenciais do usuário.
C
Depois que o usuário fornece seu nome principal de usuário (UPN), o aplicativo envia uma solicitação GET ao Microsoft Entra ID para descobrir as informações de domínio correspondentes ao usuário. Essas informações determinam se o ambiente é gerenciado ou federado. O Microsoft Entra ID retorna as informações em um objeto JSON. O aplicativo determina que o ambiente seja gerenciado (não federado).
A última etapa dessa fase faz com que o aplicativo crie um buffer de autenticação e, se está em OOBE, armazena-o temporariamente em cache para entrada automática quando o OOBE finalizar. O aplicativo posta as credenciais para o Microsoft Entra ID onde elas são validadas. O Microsoft Entra ID retorna um token de ID com declarações.
D
O aplicativo procura os termos de uso do gerenciamento de dispositivos móveis (MDM) (a declaração mdm_tou_url). Se está presente, o aplicativo recupera os termos de uso do valor da declaração, apresenta o conteúdo ao usuário e aguarda que o usuário aceite os termos de uso. Essa etapa será opcional e ignorada se a declaração não estiver presente ou se o valor da declaração estiver vazio.
E
O aplicativo envia uma solicitação de descoberta de registro de dispositivo para o Serviço de Registro de Dispositivo do Azure (DRS). O ADRS retorna um documento de dados de descoberta, que retorna URIs específicos do locatário para concluir o registro do dispositivo.
F
O aplicativo cria um par de chaves RSA de 2048 bits (preferencial) com limite de TPM conhecido como a chave do dispositivo (dkpub/dkpriv). O aplicativo cria uma solicitação de certificado usando dkpub e a chave pública e assina a solicitação de certificado usando dkpriv. Em seguida, o aplicativo deriva o segundo par de chaves da chave raiz de armazenamento do TPM. Essa é a chave de transporte (tkpub/tkpriv).
G
O aplicativo envia uma solicitação de registro de dispositivo para o ADRS que inclui o token de ID, a solicitação de certificado, o tkpub e os dados de atestado. O ADRS valida o token de ID, cria uma identidade de dispositivo e um certificado com base na solicitação de certificado incluída. O Serviço de Replicação de Dados do Azure grava um objeto de dispositivo no Microsoft Entra ID e envia a identidade e o certificado do dispositivo para o cliente.
H
O registro do dispositivo é concluído recebendo a identidade e o certificado do dispositivo do ADRS. A identidade do dispositivo é salva para futura referência (visível em dsregcmd.exe /status), e o certificado do dispositivo é instalado no armazenamento pessoal do computador. Após a conclusão do registro do dispositivo, o processo continua com o registro de MDM.
Microsoft Entra ingressado em ambientes federados
Fase
Descrição
Um
A maneira mais comum de registrar dispositivos ingressados no Microsoft Entra é durante a OOBE (experiência inicial de uso), em que ele carrega o aplicativo Web de ingressado do Microsoft Entra no aplicativo CXH (Cloud Experience Host). O aplicativo envia uma solicitação GET para o ponto de extremidade de configuração do OpenID do Microsoft Entra para descobrir pontos de extremidade de autorização. O Microsoft Entra ID retorna a configuração do OpenID, que inclui os pontos de extremidade de autorização, para o aplicativo como um documento JSON.
B
O aplicativo cria uma solicitação de credencial para o ponto de extremidade de autorização e coleta as credenciais do usuário.
C
Depois que o usuário fornece o nome de usuário (no formato UPN), o aplicativo envia uma solicitação GET ao Microsoft Entra ID para descobrir informações de realm correspondentes ao usuário. Essas informações determinam se o ambiente é gerenciado ou federado. O Microsoft Entra ID retorna as informações em um objeto JSON. O aplicativo determina se o ambiente é federado.
O aplicativo é redirecionado para o valor AuthURL (página de entrada do STS local) no objeto de realm JSON retornado. O aplicativo coleta credenciais por meio da página da Web do STS.
D
O aplicativo POST a credencial para o STS local, o que pode exigir fatores adicionais de autenticação. O STS local autentica o usuário e retorna um token. O aplicativo posta o token para Microsoft Entra ID para autenticação. O Microsoft Entra ID valida o token e retorna um token de ID com declarações.
E
O aplicativo procura termos de uso do MDM (a declaração mdm_tou_url). Se está presente, o aplicativo recupera os termos de uso do valor da declaração, apresenta o conteúdo ao usuário e aguarda que o usuário aceite os termos de uso. Essa etapa será opcional e ignorada se a declaração não estiver presente ou se o valor da declaração estiver vazio.
F
O aplicativo envia uma solicitação de descoberta de registro de dispositivo para o Serviço de Registro de Dispositivo do Azure (DRS). O ADRS retorna um documento de dados de descoberta, que retorna URIs específicos do locatário para concluir o registro do dispositivo.
G
O aplicativo cria um par de chaves RSA de 2048 bits (preferencial) com limite de TPM conhecido como a chave do dispositivo (dkpub/dkpriv). O aplicativo cria uma solicitação de certificado usando dkpub e a chave pública e assina a solicitação de certificado usando dkpriv. Em seguida, o aplicativo deriva o segundo par de chaves da chave raiz de armazenamento do TPM. Essa é a chave de transporte (tkpub/tkpriv).
H
O aplicativo envia uma solicitação de registro de dispositivo para o ADRS que inclui o token de ID, a solicitação de certificado, o tkpub e os dados de atestado. O ADRS valida o token de ID, cria uma identidade de dispositivo e um certificado com base na solicitação de certificado incluída. O Serviço de Replicação de Dados do Azure grava um objeto de dispositivo no Microsoft Entra ID e envia a identidade e o certificado do dispositivo para o cliente.
I
O registro do dispositivo é concluído recebendo a identidade e o certificado do dispositivo do ADRS. A identidade do dispositivo é salva para futura referência (visível em dsregcmd.exe /status), e o certificado do dispositivo é instalado no armazenamento pessoal do computador. Após a conclusão do registro do dispositivo, o processo continua com o registro de MDM.
Microsoft Entra ingressado híbrido em ambientes gerenciados
Fase
Descrição
Um
O usuário se conecta a um computador Windows 10 ou mais recente ingressado no domínio usando credenciais de domínio. Essa credencial pode ser o nome de usuário e a senha ou a autenticação de cartão inteligente. A entrada do usuário dispara a tarefa de Ingresso de Dispositivo Automático. As tarefas de Ingresso de Dispositivo Automático são disparadas no ingresso no domínio e repetidas a cada hora. Ele não depende exclusivamente da entrada do usuário.
B
A tarefa consulta o AD DS (Active Directory Domain Services) usando o protocolo LDAP para o atributo de chave no ponto de conexão do serviço armazenado na partição de configuração no AD DS (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). O valor retornado no atributo de palavras-chave determina se o registro do dispositivo é direcionado ao Serviço de Registro de Dispositivo do Azure (DRS) ou ao serviço de registro de dispositivo corporativo hospedado no local.
C
Para o ambiente gerenciado, a tarefa cria uma credencial de autenticação inicial na forma de um certificado autoassinado. A tarefa grava o certificado no atributo userCertificate no objeto de computador do AD DS usando LDAP.
D
O computador não pode se autenticar no Serviço de Replicação de Dados do Azure até que um objeto de dispositivo que representa o computador que inclui o certificado no atributo userCertificate seja criado no Microsoft Entra ID. O Microsoft Entra Connect detecta uma alteração de atributo. No próximo ciclo de sincronização, o Microsoft Entra Connect envia o userCertificate, o GUID do objeto e o SID do computador para o ADRS. O Serviço de Replicação de Dados do Azure usa as informações de atributo para criar um objeto de dispositivo no Microsoft Entra ID.
E
A tarefa de Ingresso de Dispositivo Automático é disparada com cada entrada de usuário ou a cada hora e tenta autenticar o computador no Microsoft Entra ID usando a chave privada correspondente da chave pública no atributo userCertificate. O Microsoft Entra autentica o computador e emite um token de ID para o computador.
F
A tarefa cria um par de chaves RSA de 2048 bits (preferencial) com limite de TPM conhecido como a chave do dispositivo (dkpub/dkpriv). O aplicativo cria uma solicitação de certificado usando dkpub e a chave pública e assina a solicitação de certificado usando dkpriv. Em seguida, o aplicativo deriva o segundo par de chaves da chave raiz de armazenamento do TPM. Essa é a chave de transporte (tkpub/tkpriv).
G
A tarefa envia uma solicitação de registro de dispositivo para o ADRS que inclui o token de ID, a solicitação de certificado, o tkpub e os dados de atestado. O ADRS valida o token de ID, cria uma identidade de dispositivo e um certificado com base na solicitação de certificado incluída. O Serviço de Replicação de Dados do Azure atualiza um objeto de dispositivo no Microsoft Entra ID e envia a identidade e o certificado do dispositivo para o cliente.
H
O registro do dispositivo é concluído recebendo a identidade e o certificado do dispositivo do ADRS. A identidade do dispositivo é salva para futura referência (visível em dsregcmd.exe /status), e o certificado do dispositivo é instalado no armazenamento pessoal do computador. Após a conclusão do registro do dispositivo, a tarefa é encerrada.
Microsoft Entra ingressado híbrido em ambientes federados
Fase
Descrição
Um
O usuário se conecta a um computador Windows 10 ou mais recente ingressado no domínio usando credenciais de domínio. Essa credencial pode ser o nome de usuário e a senha ou a autenticação de cartão inteligente. A entrada do usuário dispara a tarefa de Ingresso de Dispositivo Automático. As tarefas de Ingresso de Dispositivo Automático são disparadas no ingresso no domínio e repetidas a cada hora. Ele não depende exclusivamente da entrada do usuário.
B
A tarefa consulta o AD DS (Active Directory Domain Services) usando o protocolo LDAP para o atributo de chave no ponto de conexão do serviço armazenado na partição de configuração no AD DS (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). O valor retornado no atributo de palavras-chave determina se o registro do dispositivo é direcionado ao Serviço de Registro de Dispositivo do Azure (DRS) ou ao serviço de registro de dispositivo corporativo hospedado no local.
C
Para os ambientes federados, o computador autentica o ponto de extremidade de registro de dispositivo empresarial usando Autenticação Integrada do Windows. O serviço de registro de dispositivo empresarial cria e retorna um token que inclui declarações para o GUID do objeto, o SID do computador e o estado ingresso no domínio. A tarefa envia o token e as declarações para o Microsoft Entra ID onde eles são validados. O Microsoft Entra ID retorna um token de ID para a tarefa em execução.
D
O aplicativo cria um par de chaves RSA de 2048 bits (preferencial) com limite de TPM conhecido como a chave do dispositivo (dkpub/dkpriv). O aplicativo cria uma solicitação de certificado usando dkpub e a chave pública e assina a solicitação de certificado usando dkpriv. Em seguida, o aplicativo deriva o segundo par de chaves da chave raiz de armazenamento do TPM. Essa é a chave de transporte (tkpub/tkpriv).
E
Para fornecer SSO para o aplicativo federado local, a tarefa solicita um PRT corporativo do STS local. Um Windows Server 2016 que esteja executando a função AD FS (Serviços de Federação do Active Directory) valida a solicitação e retornar a tarefa em execução.
F
A tarefa envia uma solicitação de registro de dispositivo para o ADRS que inclui o token de ID, a solicitação de certificado, o tkpub e os dados de atestado. O ADRS valida o token de ID, cria uma identidade de dispositivo e um certificado com base na solicitação de certificado incluída. O Serviço de Replicação de Dados do Azure grava um objeto de dispositivo no Microsoft Entra ID e envia a identidade e o certificado do dispositivo para o cliente. O registro do dispositivo é concluído recebendo a identidade e o certificado do dispositivo do ADRS. A identidade do dispositivo é salva para futura referência (visível em dsregcmd.exe /status), e o certificado do dispositivo é instalado no armazenamento pessoal do computador. Após a conclusão do registro do dispositivo, a tarefa é encerrada.
G
Se o write-back de dispositivo do Microsoft Entra Connect estiver habilitado, o Azure AD Connect solicitará atualizações do Microsoft Entra ID em seu próximo ciclo de sincronização (o write-back do dispositivo é necessário para implantação híbrida que usa a confiança de certificado). O Microsoft Entra ID correlaciona o objeto de dispositivo com um objeto de computador sincronizado correspondente. O Microsoft Entra Connect recebe o objeto de dispositivo que inclui o GUID do objeto e o SID do computador e grava o objeto de dispositivo no AD DS.