O Registro de Dispositivo é um pré-requisito para a autenticação baseada em nuvem. Comumente, os dispositivos são Microsoft Entra ID ou Microsoft Entra híbrido unido para concluir o registro do dispositivo. Este artigo fornece detalhes de como o Microsoft Entra join e o Microsoft Entra hybrid join funcionam em ambientes gerenciados e federados. Para obter mais informações sobre como a autenticação do Microsoft Entra funciona nesses dispositivos, consulte o artigo Tokens de atualização primários.
Microsoft Entra em ambientes gerenciados
Fase
Description
A
A maneira mais comum de registro de dispositivos ingressados do Microsoft Entra é durante a experiência pronta para uso (OOBE), onde ele carrega o aplicativo Web de ingresso do Microsoft Entra no aplicativo Cloud Experience Host (CXH). O aplicativo envia uma solicitação GET para o ponto de extremidade de configuração do Microsoft Entra OpenID para descobrir pontos de extremidade de autorização. O Microsoft Entra ID retorna a configuração OpenID, que inclui os pontos de extremidade de autorização, para o aplicativo como documento JSON.
N
O aplicativo cria uma solicitação de entrada para o ponto de extremidade de autorização e coleta credenciais de usuário.
C
Depois que o usuário fornece seu nome principal de usuário (UPN), o aplicativo envia uma solicitação GET para o ID do Microsoft Entra para descobrir as informações de território correspondentes para o usuário. Essas informações determinam se o ambiente é gerenciado ou federado. Microsoft Entra ID retorna as informações em um objeto JSON. O aplicativo determina que o ambiente é gerenciado (não federado).
A última etapa nesta fase faz com que o aplicativo crie um buffer de autenticação e, se estiver na OOBE, armazene-o temporariamente em cache para entrada automática no final da OOBE. O aplicativo POSTA as credenciais para o Microsoft Entra ID onde elas são validadas. O Microsoft Entra ID retorna um token de ID com declarações.
D
O aplicativo procura os termos de uso de gerenciamento de dispositivos móveis (MDM) (a reivindicação mdm_tou_url). Se estiver presente, o aplicativo recupera os termos de uso do valor da reclamação, apresenta o conteúdo ao usuário e aguarda que o usuário aceite os termos de uso. Esta etapa é opcional e ignorada se a declaração não estiver presente ou se o valor da declaração estiver vazio.
E
O aplicativo envia uma solicitação de descoberta de registro de dispositivo para o Serviço de Registro de Dispositivo (DRS) do Azure. O Azure DRS retorna um documento de dados de descoberta, que retorna URIs específicos do locatário para concluir o registro do dispositivo.
F
O aplicativo cria um par de chaves RSA de 2048 bits vinculado ao TPM (preferencial) conhecido como chave de dispositivo (dkpub/dkpriv). O aplicativo cria uma solicitação de certificado usando dkpub e a chave pública e assina a solicitação de certificado usando dkpriv. Em seguida, o aplicativo deriva o segundo par de chaves da chave raiz de armazenamento do TPM. Esta chave é a chave de transporte (tkpub/tkpriv).
G
O aplicativo envia uma solicitação de registro de dispositivo para o DRS do Azure que inclui o token de ID, a solicitação de certificado, o tkpub e os dados de atestado. O Azure DRS valida o token de ID, cria uma ID de dispositivo e cria um certificado com base na solicitação de certificado incluída. Em seguida, o Azure DRS grava um objeto de dispositivo na ID do Microsoft Entra e envia a ID do dispositivo e o certificado do dispositivo para o cliente.
H
O registro do dispositivo é concluído recebendo a ID do dispositivo e o certificado do dispositivo do Azure DRS. O ID do dispositivo é salvo para referência futura (visível a partir de ) e o certificado do dsregcmd.exe /statusdispositivo é instalado no armazenamento pessoal do computador. Com o registro do dispositivo concluído, o processo continua com o registro do MDM.
Microsoft Entra entrou em ambientes federados
Fase
Description
A
A maneira mais comum de registro de dispositivos ingressados do Microsoft Entra é durante a experiência pronta para uso (OOBE), onde ele carrega o aplicativo Web de ingresso do Microsoft Entra no aplicativo Cloud Experience Host (CXH). O aplicativo envia uma solicitação GET para o ponto de extremidade de configuração do Microsoft Entra OpenID para descobrir pontos de extremidade de autorização. O Microsoft Entra ID retorna a configuração OpenID, que inclui os pontos de extremidade de autorização, para o aplicativo como documento JSON.
N
O aplicativo cria uma solicitação de entrada para o ponto de extremidade de autorização e coleta credenciais de usuário.
C
Depois que o usuário fornece seu nome de usuário (no formato UPN), o aplicativo envia uma solicitação GET para o Microsoft Entra ID para descobrir as informações de território correspondentes para o usuário. Essas informações determinam se o ambiente é gerenciado ou federado. Microsoft Entra ID retorna as informações em um objeto JSON. O aplicativo determina que o ambiente é federado.
O aplicativo redireciona para o valor AuthURL (página de entrada STS local) no objeto de realm JSON retornado. O aplicativo coleta credenciais por meio da página da Web STS.
D
O aplicativo POSTA a credencial para o STS local, o que pode exigir fatores extras de autenticação. O STS local autentica o usuário e retorna um token. O aplicativo POSTs o token para Microsoft Entra ID para autenticação. O Microsoft Entra ID valida o token e retorna um token de ID com declarações.
E
O aplicativo procura os termos de uso do MDM (a reivindicação mdm_tou_url). Se estiver presente, o aplicativo recupera os termos de uso do valor da reclamação, apresenta o conteúdo ao usuário e aguarda que o usuário aceite os termos de uso. Esta etapa é opcional e ignorada se a declaração não estiver presente ou se o valor da declaração estiver vazio.
F
O aplicativo envia uma solicitação de descoberta de registro de dispositivo para o Serviço de Registro de Dispositivo (DRS) do Azure. O Azure DRS retorna um documento de dados de descoberta, que retorna URIs específicos do locatário para concluir o registro do dispositivo.
G
O aplicativo cria um par de chaves RSA de 2048 bits vinculado ao TPM (preferencial) conhecido como chave de dispositivo (dkpub/dkpriv). O aplicativo cria uma solicitação de certificado usando dkpub e a chave pública e assina a solicitação de certificado usando dkpriv. Em seguida, o aplicativo deriva o segundo par de chaves da chave raiz de armazenamento do TPM. Esta chave é a chave de transporte (tkpub/tkpriv).
H
O aplicativo envia uma solicitação de registro de dispositivo para o DRS do Azure que inclui o token de ID, a solicitação de certificado, o tkpub e os dados de atestado. O Azure DRS valida o token de ID, cria uma ID de dispositivo e cria um certificado com base na solicitação de certificado incluída. Em seguida, o Azure DRS grava um objeto de dispositivo na ID do Microsoft Entra e envia a ID do dispositivo e o certificado do dispositivo para o cliente.
I
O registro do dispositivo é concluído recebendo a ID do dispositivo e o certificado do dispositivo do Azure DRS. O ID do dispositivo é salvo para referência futura (visível a partir de ) e o certificado do dsregcmd.exe /statusdispositivo é instalado no armazenamento pessoal do computador. Com o registro do dispositivo concluído, o processo continua com o registro do MDM.
Microsoft Entra híbrido ingressado em ambientes gerenciados
Fase
Description
A
O utilizador inicia sessão num domínio que aderiu ao Windows 10 ou a um computador mais recente utilizando credenciais de domínio. Essa credencial pode ser nome de usuário e senha ou autenticação de cartão inteligente. O login do usuário aciona a tarefa Ingresso Automático de Dispositivo. As tarefas de Ingresso Automático de Dispositivo são acionadas na associação de domínio e repetidas a cada hora. Não depende apenas do início de sessão do utilizador.
N
A tarefa consulta o Ative Directory usando o protocolo LDAP para o atributo keywords no ponto de conexão de serviço armazenado na partição de configuração no Ative Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). O valor retornado no atributo keywords determina se o registro do dispositivo é direcionado ao Azure Device Registration Service (DRS) ou ao serviço de registro de dispositivo corporativo hospedado localmente.
C
Para o ambiente gerenciado, a tarefa cria uma credencial de autenticação inicial na forma de um certificado autoassinado. A tarefa grava o certificado no atributo userCertificate no objeto de computador no Ative Directory usando LDAP.
D
O computador não pode se autenticar no Azure DRS até que um objeto de dispositivo que represente o computador que inclui o certificado no atributo userCertificate seja criado na ID do Microsoft Entra. O Microsoft Entra Connect deteta uma alteração de atributo. No próximo ciclo de sincronização, o Microsoft Entra Connect envia o userCertificate, o GUID do objeto e o SID do computador para o Azure DRS. O Azure DRS usa as informações de atributo para criar um objeto de dispositivo na ID do Microsoft Entra.
E
A tarefa Ingresso Automático de Dispositivo é acionada a cada entrada do usuário ou a cada hora e tenta autenticar o computador no ID do Microsoft Entra usando a chave privada correspondente da chave pública no atributo userCertificate. O Microsoft Entra autentica o computador e emite um token de ID para o computador.
F
A tarefa cria um par de chaves RSA de 2048 bits vinculado ao TPM (preferencial) conhecido como chave de dispositivo (dkpub/dkpriv). O aplicativo cria uma solicitação de certificado usando dkpub e a chave pública e assina a solicitação de certificado usando dkpriv. Em seguida, o aplicativo deriva o segundo par de chaves da chave raiz de armazenamento do TPM. Esta chave é a chave de transporte (tkpub/tkpriv).
G
A tarefa envia uma solicitação de registro de dispositivo para o DRS do Azure que inclui o token de ID, a solicitação de certificado, o tkpub e os dados de atestado. O Azure DRS valida o token de ID, cria uma ID de dispositivo e cria um certificado com base na solicitação de certificado incluída. Em seguida, o Azure DRS atualiza o objeto de dispositivo na ID do Microsoft Entra e envia a ID do dispositivo e o certificado do dispositivo para o cliente.
H
O registro do dispositivo é concluído recebendo a ID do dispositivo e o certificado do dispositivo do Azure DRS. O ID do dispositivo é salvo para referência futura (visível a partir de ) e o certificado do dsregcmd.exe /statusdispositivo é instalado no armazenamento pessoal do computador. Com o registro do dispositivo concluído, a tarefa é encerrada.
Microsoft Entra híbrido ingressado em ambientes federados
Fase
Description
A
O utilizador inicia sessão num domínio que aderiu ao Windows 10 ou a um computador mais recente utilizando credenciais de domínio. Essa credencial pode ser nome de usuário e senha ou autenticação de cartão inteligente. O login do usuário aciona a tarefa Ingresso Automático de Dispositivo. As tarefas de Ingresso Automático de Dispositivo são acionadas na associação de domínio e repetidas a cada hora. Não depende apenas do início de sessão do utilizador.
N
A tarefa consulta o Ative Directory usando o protocolo LDAP para o atributo keywords no ponto de conexão de serviço armazenado na partição de configuração no Ative Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). O valor retornado no atributo keywords determina se o registro do dispositivo é direcionado ao Azure Device Registration Service (DRS) ou ao serviço de registro de dispositivo corporativo hospedado localmente.
C
Para os ambientes federados, o computador autentica o ponto de extremidade de registro do dispositivo corporativo usando a Autenticação Integrada do Windows. O serviço de registro de dispositivo corporativo cria e retorna um token que inclui declarações para o GUID do objeto, SID do computador e estado associado ao domínio. A tarefa envia o token e as declarações para o ID do Microsoft Entra onde são validadas. O Microsoft Entra ID retorna um token de ID para a tarefa em execução.
D
O aplicativo cria um par de chaves RSA de 2048 bits vinculado ao TPM (preferencial) conhecido como chave de dispositivo (dkpub/dkpriv). O aplicativo cria uma solicitação de certificado usando dkpub e a chave pública e assina a solicitação de certificado usando dkpriv. Em seguida, o aplicativo deriva o segundo par de chaves da chave raiz de armazenamento do TPM. Esta chave é a chave de transporte (tkpub/tkpriv).
E
Para fornecer SSO para aplicativo federado local, a tarefa solicita um PRT corporativo do STS local. O Windows Server 2016 executando a função Serviços de Federação do Ative Directory valida a solicitação e retorna a tarefa em execução.
F
A tarefa envia uma solicitação de registro de dispositivo para o DRS do Azure que inclui o token de ID, a solicitação de certificado, o tkpub e os dados de atestado. O Azure DRS valida o token de ID, cria uma ID de dispositivo e cria um certificado com base na solicitação de certificado incluída. Em seguida, o Azure DRS grava um objeto de dispositivo na ID do Microsoft Entra e envia a ID do dispositivo e o certificado do dispositivo para o cliente. O registro do dispositivo é concluído recebendo a ID do dispositivo e o certificado do dispositivo do Azure DRS. O ID do dispositivo é salvo para referência futura (visível a partir de ) e o certificado do dsregcmd.exe /statusdispositivo é instalado no armazenamento pessoal do computador. Com o registro do dispositivo concluído, a tarefa é encerrada.
G
Se o write-back de dispositivo do Microsoft Entra Connect estiver habilitado, o Microsoft Entra Connect solicitará atualizações da ID do Microsoft Entra em seu próximo ciclo de sincronização (o write-back do dispositivo é necessário para implantação híbrida usando confiança de certificado). O Microsoft Entra ID correlaciona o objeto de dispositivo com um objeto de computador sincronizado correspondente. O Microsoft Entra Connect recebe o objeto de dispositivo que inclui o GUID do objeto e o SID do computador e grava o objeto de dispositivo no Ative Directory.