Så här fungerar det: Enhetsregistrering
Enhetsregistrering är en förutsättning för molnbaserad autentisering. Enheter är vanligtvis Azure AD- eller Hybrid Azure AD-anslutna för att slutföra enhetsregistreringen. Den här artikeln innehåller information om hur Azure AD-anslutning och Hybrid Azure Ad-anslutning fungerar i hanterade och federerade miljöer. Mer information om hur Azure AD-autentisering fungerar på dessa enheter finns i artikeln Primära uppdateringstoken
Azure AD-ansluten i hanterade miljöer
| Fas | Beskrivning |
|---|---|
| A | Det vanligaste sättet att registrera Azure AD-anslutna enheter är under OOBE (Out-of-Box Experience) där den läser in Webbprogrammet för Azure AD-anslutning i CXH-programmet (Cloud Experience Host). Programmet skickar en GET-begäran till Azure AD OpenID-konfigurationsslutpunkten för att identifiera auktoriseringsslutpunkter. Azure AD returnerar OpenID-konfigurationen, som innehåller auktoriseringsslutpunkterna, till programmet som JSON-dokument. |
| B | Programmet skapar en inloggningsbegäran för auktoriseringsslutpunkten och samlar in användarautentiseringsuppgifter. |
| C | När användaren anger sitt användarnamn (i UPN-format) skickar programmet en GET-begäran till Azure AD för att identifiera motsvarande sfärinformation för användaren. Den här informationen avgör om miljön hanteras eller federeras. Azure AD returnerar informationen i ett JSON-objekt. Programmet avgör om miljön hanteras (icke-federerad). Det sista steget i den här fasen gör att programmet skapar en autentiseringsbuffert och om det är i OOBE cachelagrar det tillfälligt för automatisk inloggning i slutet av OOBE. Programmet PLACERAR autentiseringsuppgifterna till Azure AD där de verifieras. Azure AD returnerar en ID-token med anspråk. |
| D | Programmet söker efter MDM-användningsvillkor (mdm_tou_url anspråk). Om det finns hämtar programmet användningsvillkoren från anspråkets värde, presenterar innehållet för användaren och väntar på att användaren ska godkänna användningsvillkoren. Det här steget är valfritt och hoppas över om anspråket inte finns eller om anspråksvärdet är tomt. |
| E | Programmet skickar en begäran om identifiering av enhetsregistrering till Azure Device Registration Service (ADRS). Azure DRS returnerar ett identifieringsdatadokument som returnerar klientspecifika URI:er för att slutföra enhetsregistreringen. |
| F | Programmet skapar TPM-bundet (föredraget) RSA 2048-bitars nyckelpar som kallas enhetsnyckeln (dkpub/dkpriv). Programmet skapar en certifikatbegäran med dkpub och den offentliga nyckeln och signerar certifikatbegäran med hjälp av dkpriv. Därefter härleder programmet det andra nyckelparet från TPM:ns lagringsrotnyckel. Den här nyckeln är transportnyckeln (tkpub/tkpriv). |
| G | Programmet skickar en enhetsregistreringsbegäran till Azure DRS som innehåller ID-token, certifikatbegäran, tkpub och attesteringsdata. Azure DRS verifierar ID-token, skapar ett enhets-ID och skapar ett certifikat baserat på den inkluderade certifikatbegäran. Azure DRS skriver sedan ett enhetsobjekt i Azure AD och skickar enhets-ID:t och enhetscertifikatet till klienten. |
| H | Enhetsregistreringen slutförs genom att ta emot enhets-ID:t och enhetscertifikatet från Azure DRS. Enhets-ID:t sparas för framtida bruk (kan visas från dsregcmd.exe /status) och enhetscertifikatet installeras i datorns personliga arkiv. När enhetsregistreringen är klar fortsätter processen med MDM-registreringen. |
Azure AD-ansluten i federerade miljöer
| Fas | Beskrivning |
|---|---|
| A | Det vanligaste sättet att registrera Azure AD-anslutna enheter är under OOBE (Out-of-Box Experience) där den läser in Webbprogrammet för Azure AD-anslutning i CXH-programmet (Cloud Experience Host). Programmet skickar en GET-begäran till Azure AD OpenID-konfigurationsslutpunkten för att identifiera auktoriseringsslutpunkter. Azure AD returnerar OpenID-konfigurationen, som innehåller auktoriseringsslutpunkterna, till programmet som JSON-dokument. |
| B | Programmet skapar en inloggningsbegäran för auktoriseringsslutpunkten och samlar in användarautentiseringsuppgifter. |
| C | När användaren anger sitt användarnamn (i UPN-format) skickar programmet en GET-begäran till Azure AD för att identifiera motsvarande sfärinformation för användaren. Den här informationen avgör om miljön hanteras eller federeras. Azure AD returnerar informationen i ett JSON-objekt. Programmet avgör att miljön är federerad. Programmet omdirigerar till AuthURL-värdet (lokal STS-inloggningssida) i det returnerade JSON-sfärobjektet. Programmet samlar in autentiseringsuppgifter via STS-webbsidan. |
| D | Programmet PUBLICERAR autentiseringsuppgifterna till den lokala STS, vilket kan kräva extra autentiseringsfaktorer. Den lokala STS:en autentiserar användaren och returnerar en token. Programmet POST:ar token till Azure AD för autentisering. Azure AD verifierar token och returnerar en ID-token med anspråk. |
| E | Programmet söker efter MDM-användningsvillkor (mdm_tou_url anspråk). Om det finns hämtar programmet användningsvillkoren från anspråkets värde, presenterar innehållet för användaren och väntar på att användaren ska godkänna användningsvillkoren. Det här steget är valfritt och hoppas över om anspråket inte finns eller om anspråksvärdet är tomt. |
| F | Programmet skickar en begäran om identifiering av enhetsregistrering till Azure Device Registration Service (ADRS). Azure DRS returnerar ett identifieringsdatadokument som returnerar klientspecifika URI:er för att slutföra enhetsregistreringen. |
| G | Programmet skapar TPM-bundet (föredraget) RSA 2048-bitars nyckelpar som kallas enhetsnyckeln (dkpub/dkpriv). Programmet skapar en certifikatbegäran med dkpub och den offentliga nyckeln och signerar certifikatbegäran med hjälp av dkpriv. Därefter härleder programmet det andra nyckelparet från TPM:ns lagringsrotnyckel. Den här nyckeln är transportnyckeln (tkpub/tkpriv). |
| H | Programmet skickar en enhetsregistreringsbegäran till Azure DRS som innehåller ID-token, certifikatbegäran, tkpub och attesteringsdata. Azure DRS verifierar ID-token, skapar ett enhets-ID och skapar ett certifikat baserat på den inkluderade certifikatbegäran. Azure DRS skriver sedan ett enhetsobjekt i Azure AD och skickar enhets-ID:t och enhetscertifikatet till klienten. |
| I | Enhetsregistreringen slutförs genom att ta emot enhets-ID:t och enhetscertifikatet från Azure DRS. Enhets-ID:t sparas för framtida bruk (kan visas från dsregcmd.exe /status) och enhetscertifikatet installeras i datorns personliga arkiv. När enhetsregistreringen är klar fortsätter processen med MDM-registreringen. |
Hybrid Azure AD-ansluten i hanterade miljöer
| Fas | Beskrivning |
|---|---|
| A | Användaren loggar in på en domänansluten Windows 10 eller en nyare dator med domänautentiseringsuppgifter. Den här autentiseringsuppgiften kan vara användarnamn och lösenord eller smartkortautentisering. Användarens inloggning utlöser uppgiften Automatisk enhetsanslutning. Aktiviteterna Automatisk enhetsanslutning utlöses vid domänanslutning och görs ett nytt försök varje timme. Det beror inte bara på användarens inloggning. |
| B | Uppgiften frågar Active Directory med hjälp av LDAP-protokollet för nyckelordsattributet på tjänstanslutningspunkten som lagras i konfigurationspartitionen i Active Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). Värdet som returneras i nyckelordsattributet avgör om enhetsregistreringen dirigeras till Azure Device Registration Service (ADRS) eller den företagsenhetsregistreringstjänst som finns lokalt. |
| C | För den hanterade miljön skapar uppgiften en första autentiseringsautentiseringsuppgift i form av ett självsignerat certifikat. Uppgiften skriver certifikatet till attributet userCertificate på datorobjektet i Active Directory med LDAP. |
| D | Datorn kan inte autentisera till Azure DRS förrän ett enhetsobjekt som representerar datorn som innehåller certifikatet på attributet userCertificate har skapats i Azure AD. Azure AD Anslut identifierar en attributändring. I nästa synkroniseringscykel skickar Azure AD Anslut userCertificate, object GUID och dator-SID till Azure DRS. Azure DRS använder attributinformationen för att skapa ett enhetsobjekt i Azure AD. |
| E | Aktiviteten Automatisk enhetsanslutning utlöses med varje användares inloggning eller varje timme och försöker autentisera datorn till Azure AD med motsvarande privata nyckel för den offentliga nyckeln i attributet userCertificate. Azure AD autentiserar datorn och utfärdar en ID-token till datorn. |
| F | Uppgiften skapar TPM-bundet (föredraget) RSA 2048-bitars nyckelpar som kallas enhetsnyckel (dkpub/dkpriv). Programmet skapar en certifikatbegäran med dkpub och den offentliga nyckeln och signerar certifikatbegäran med hjälp av dkpriv. Därefter härleder programmet det andra nyckelparet från TPM:s lagringsrotnyckel. Den här nyckeln är transportnyckeln (tkpub/tkpriv). |
| G | Uppgiften skickar en begäran om enhetsregistrering till Azure DRS som innehåller ID-token, certifikatbegäran, tkpub och attesteringsdata. Azure DRS validerar ID-token, skapar ett enhets-ID och skapar ett certifikat baserat på den inkluderade certifikatbegäran. Azure DRS uppdaterar sedan enhetsobjektet i Azure AD och skickar enhets-ID:t och enhetscertifikatet till klienten. |
| H | Enhetsregistreringen slutförs genom att ta emot enhets-ID:t och enhetscertifikatet från Azure DRS. Enhets-ID:t sparas för framtida referens (kan visas från dsregcmd.exe /status) och enhetscertifikatet installeras i datorns personliga arkiv. När enhetsregistreringen är klar avslutas uppgiften. |
Azure AD-hybridanslutning i federerade miljöer
| Fas | Beskrivning |
|---|---|
| A | Användaren loggar in på en domänansluten Windows 10 eller nyare dator med domänautentiseringsuppgifter. Den här autentiseringsuppgiften kan vara användarnamn och lösenord eller smartkortautentisering. Användarens inloggning utlöser uppgiften Automatisk enhetsanslutning. Aktiviteterna För automatisk enhetsanslutning utlöses vid domänanslutning och görs ett nytt försök varje timme. Det beror inte bara på användarens inloggning. |
| B | Uppgiften frågar Active Directory med hjälp av LDAP-protokollet för nyckelordsattributet på tjänstanslutningspunkten som lagras i konfigurationspartitionen i Active Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). Värdet som returneras i nyckelordsattributet avgör om enhetsregistrering dirigeras till Azure Device Registration Service (ADRS) eller företagstjänsten för enhetsregistrering lokalt. |
| C | För de federerade miljöerna autentiserar datorn slutpunkten för företagsenhetsregistrering med hjälp av Windows integrerad autentisering. Registreringstjänsten för företagsenheter skapar och returnerar en token som innehåller anspråk för objektets GUID, dator-SID och domänanslutna tillstånd. Uppgiften skickar token och anspråk till Azure AD där de verifieras. Azure AD returnerar en ID-token till den aktivitet som körs. |
| D | Programmet skapar TPM-bundet (föredraget) RSA 2048-bitars nyckelpar som kallas enhetsnyckel (dkpub/dkpriv). Programmet skapar en certifikatbegäran med dkpub och den offentliga nyckeln och signerar certifikatbegäran med hjälp av dkpriv. Därefter härleder programmet det andra nyckelparet från TPM:s lagringsrotnyckel. Den här nyckeln är transportnyckeln (tkpub/tkpriv). |
| E | För att tillhandahålla enkel inloggning för lokalt federerat program begär uppgiften en företags-PRT från den lokala STS. Windows Server 2016 du kör Active Directory Federation Services (AD FS)-rollen verifierar du begäran och returnerar den som körs. |
| F | Uppgiften skickar en begäran om enhetsregistrering till Azure DRS som innehåller ID-token, certifikatbegäran, tkpub och attesteringsdata. Azure DRS validerar ID-token, skapar ett enhets-ID och skapar ett certifikat baserat på den inkluderade certifikatbegäran. Azure DRS skriver sedan ett enhetsobjekt i Azure AD och skickar enhets-ID:t och enhetscertifikatet till klienten. Enhetsregistreringen slutförs genom att ta emot enhets-ID:t och enhetscertifikatet från Azure DRS. Enhets-ID:t sparas för framtida referens (kan visas från dsregcmd.exe /status) och enhetscertifikatet installeras i datorns personliga arkiv. När enhetsregistreringen är klar avslutas uppgiften. |
| G | Om Tillbakaskrivning av Azure AD-Anslut enhet är aktiverat begär Azure AD Anslut uppdateringar från Azure AD vid nästa synkroniseringscykel (tillbakaskrivning av enheter krävs för hybriddistribution med certifikatförtroende). Azure AD korrelerar enhetsobjektet med ett matchande synkroniserat datorobjekt. Azure AD-Anslut tar emot enhetsobjektet som innehåller objektets GUID och dator-SID och skriver enhetsobjektet till Active Directory. |