Nasıl çalışır: Cihaz kaydı
Cihaz Kaydı, bulut tabanlı kimlik doğrulamasının önkoşullarıdır. Cihazlar genellikle Cihaz kaydını tamamlamak için Microsoft Entra Id veya Microsoft Entra karma ile birleştirilir. Bu makalede, Microsoft Entra katılımı ve Microsoft Entra karma katılımının yönetilen ve federasyon ortamlarında nasıl çalıştığına ilişkin ayrıntılar sağlanır. Microsoft Entra kimlik doğrulamasının bu cihazlarda nasıl çalıştığı hakkında daha fazla bilgi için Birincil yenileme belirteçleri makalesine bakın.
Yönetilen ortamlarda katılmış Microsoft Entra
| Aşama | Açıklama |
|---|---|
| A | Microsoft Entra'ya katılmış cihazların kaydedilmesinin en yaygın yolu, Bulut Deneyimi Ana Bilgisayarı (CXH) uygulamasında Microsoft Entra join web uygulamasını yüklediği kullanıma açık deneyim (OOBE) sırasında yapılır. Uygulama, yetkilendirme uç noktalarını bulmak için Microsoft Entra OpenID yapılandırma uç noktasına bir GET isteği gönderir. Microsoft Entra Id, yetkilendirme uç noktalarını içeren OpenID yapılandırmasını JSON belgesi olarak uygulamaya döndürür. |
| K | Uygulama, yetkilendirme bitiş noktası için bir oturum açma isteği oluşturur ve kullanıcı kimlik bilgilerini toplar. |
| C | Kullanıcı kullanıcı adını (UPN biçiminde) sağladıktan sonra uygulama, kullanıcıya karşılık gelen bölge bilgilerini bulmak için Microsoft Entra Id'ye bir GET isteği gönderir. Bu bilgiler, ortamın yönetilip yönetilmediğini veya federasyon olup olmadığını belirler. Microsoft Entra Id, JSON nesnesindeki bilgileri döndürür. Uygulama ortamın yönetildiğini belirler (federasyon dışı). Bu aşamadaki son adım, uygulamanın bir kimlik doğrulama arabelleği oluşturmasını sağlar ve OOBE'deyse, OOBE'nin sonunda otomatik oturum açma için geçici olarak önbelleğe alır. Uygulama kimlik bilgilerini doğrulandıkları Microsoft Entra Id'ye verir. Microsoft Entra Id, talepler içeren bir kimlik belirteci döndürür. |
| D | Uygulama MDM kullanım koşullarını (mdm_tou_url talebi) arar. Varsa, uygulama kullanım koşullarını talebin değerinden alır, içeriği kullanıcıya sunar ve kullanıcının kullanım koşullarını kabul etmesini bekler. Bu adım isteğe bağlıdır ve talep yoksa veya talep değeri boşsa atlanır. |
| E | Uygulama, Azure Cihaz Kayıt Hizmeti'ne (ADRS) bir cihaz kaydı bulma isteği gönderir. Azure DRS, cihaz kaydını tamamlamak için kiracıya özgü URI'leri döndüren bir bulma verileri belgesi döndürür. |
| F | Uygulama, cihaz anahtarı (dkpub/dkpriv) olarak bilinen TPM bağlı (tercih edilen) RSA 2048 bit anahtar çifti oluşturur. Uygulama, dkpub ve ortak anahtarı kullanarak bir sertifika isteği oluşturur ve sertifika isteğini dkpriv kullanarak imzalar. Ardından uygulama, TPM'nin depolama kök anahtarından ikinci anahtar çiftini türetir. Bu anahtar aktarım anahtarıdır (tkpub/tkpriv). |
| G | Uygulama Azure DRS'ye kimlik belirteci, sertifika isteği, tkpub ve kanıtlama verilerini içeren bir cihaz kayıt isteği gönderir. Azure DRS kimlik belirtecini doğrular, bir cihaz kimliği oluşturur ve dahil edilen sertifika isteğine göre bir sertifika oluşturur. Azure DRS daha sonra Microsoft Entra Id'de bir cihaz nesnesi yazar ve cihaz kimliğini ve cihaz sertifikasını istemciye gönderir. |
| H | Cihaz kaydı, Azure DRS'den cihaz kimliğini ve cihaz sertifikasını alarak tamamlar. Cihaz kimliği daha sonra başvurmak üzere kaydedilir (öğesinden dsregcmd.exe /statusgörüntülenebilir) ve cihaz sertifikası bilgisayarın Kişisel deposuna yüklenir. Cihaz kaydı tamamlandıktan sonra işlem MDM kaydıyla devam eder. |
Federasyon ortamlarında katılmış Microsoft Entra
| Aşama | Açıklama |
|---|---|
| A | Microsoft Entra'ya katılmış cihazların kaydedilmesinin en yaygın yolu, Bulut Deneyimi Ana Bilgisayarı (CXH) uygulamasında Microsoft Entra join web uygulamasını yüklediği kullanıma açık deneyim (OOBE) sırasında yapılır. Uygulama, yetkilendirme uç noktalarını bulmak için Microsoft Entra OpenID yapılandırma uç noktasına bir GET isteği gönderir. Microsoft Entra Id, yetkilendirme uç noktalarını içeren OpenID yapılandırmasını JSON belgesi olarak uygulamaya döndürür. |
| K | Uygulama, yetkilendirme bitiş noktası için bir oturum açma isteği oluşturur ve kullanıcı kimlik bilgilerini toplar. |
| C | Kullanıcı kullanıcı adını (UPN biçiminde) sağladıktan sonra uygulama, kullanıcıya karşılık gelen bölge bilgilerini bulmak için Microsoft Entra Id'ye bir GET isteği gönderir. Bu bilgiler, ortamın yönetilip yönetilmediğini veya federasyon olup olmadığını belirler. Microsoft Entra Id, JSON nesnesindeki bilgileri döndürür. Uygulama ortamın federasyon olduğunu belirler. Uygulama, döndürülen JSON bölgesi nesnesindeki AuthURL değerine (şirket içi STS oturum açma sayfası) yeniden yönlendirir. Uygulama, STS web sayfası aracılığıyla kimlik bilgilerini toplar. |
| D | Uygulama POST kimlik bilgilerini şirket içi STS'ye göndererek ek kimlik doğrulaması faktörleri gerektirebilir. Şirket içi STS kullanıcının kimliğini doğrular ve bir belirteç döndürür. Uygulama kimlik doğrulaması için belirteci Microsoft Entra Id'ye posts. Microsoft Entra Id belirteci doğrular ve taleplerle bir kimlik belirteci döndürür. |
| E | Uygulama MDM kullanım koşullarını (mdm_tou_url talebi) arar. Varsa, uygulama kullanım koşullarını talebin değerinden alır, içeriği kullanıcıya sunar ve kullanıcının kullanım koşullarını kabul etmesini bekler. Bu adım isteğe bağlıdır ve talep yoksa veya talep değeri boşsa atlanır. |
| F | Uygulama, Azure Cihaz Kayıt Hizmeti'ne (ADRS) bir cihaz kaydı bulma isteği gönderir. Azure DRS, cihaz kaydını tamamlamak için kiracıya özgü URI'leri döndüren bir bulma verileri belgesi döndürür. |
| G | Uygulama, cihaz anahtarı (dkpub/dkpriv) olarak bilinen TPM bağlı (tercih edilen) RSA 2048 bit anahtar çifti oluşturur. Uygulama, dkpub ve ortak anahtarı kullanarak bir sertifika isteği oluşturur ve sertifika isteğini dkpriv kullanarak imzalar. Ardından uygulama, TPM'nin depolama kök anahtarından ikinci anahtar çiftini türetir. Bu anahtar aktarım anahtarıdır (tkpub/tkpriv). |
| H | Uygulama Azure DRS'ye kimlik belirteci, sertifika isteği, tkpub ve kanıtlama verilerini içeren bir cihaz kayıt isteği gönderir. Azure DRS kimlik belirtecini doğrular, bir cihaz kimliği oluşturur ve dahil edilen sertifika isteğine göre bir sertifika oluşturur. Azure DRS daha sonra Microsoft Entra Id'de bir cihaz nesnesi yazar ve cihaz kimliğini ve cihaz sertifikasını istemciye gönderir. |
| I | Cihaz kaydı, Azure DRS'den cihaz kimliğini ve cihaz sertifikasını alarak tamamlar. Cihaz kimliği daha sonra başvurmak üzere kaydedilir (öğesinden dsregcmd.exe /statusgörüntülenebilir) ve cihaz sertifikası bilgisayarın Kişisel deposuna yüklenir. Cihaz kaydı tamamlandıktan sonra işlem MDM kaydıyla devam eder. |
Yönetilen ortamlarda birleştirilmiş Microsoft Entra karma
| Aşama | Açıklama |
|---|---|
| A | Kullanıcı etki alanına katılmış bir Windows 10 veya daha yeni bir bilgisayarda etki alanı kimlik bilgilerini kullanarak oturum açar. Bu kimlik bilgisi kullanıcı adı ve parola veya akıllı kart kimlik doğrulaması olabilir. Kullanıcı oturum açma işlemi Otomatik Cihaz Katılımı görevini tetikler. Otomatik Cihaz Katılımı görevleri, etki alanına katılımda tetikler ve saatte bir yeniden denener. Yalnızca kullanıcının oturum açmasına bağlı değildir. |
| K | Görev, Active Directory'de (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com) yapılandırma bölümünde depolanan hizmet bağlantı noktasındaki anahtar sözcükler özniteliği için LDAP protokollerini kullanarak Active Directory'yi sorgular. anahtar sözcükler özniteliğinde döndürülen değer, cihaz kaydının Azure Cihaz Kayıt Hizmeti'ne (ADRS) mi yoksa şirket içinde barındırılan kurumsal cihaz kayıt hizmetine mi yönlendirileceğini belirler. |
| C | Yönetilen ortam için görev, otomatik olarak imzalanan sertifika biçiminde bir ilk kimlik doğrulama kimlik bilgisi oluşturur. Görev, sertifikayı LDAP kullanarak Active Directory'deki bilgisayar nesnesindeki userCertificate özniteliğine yazar. |
| D | UserCertificate özniteliğindeki sertifikayı içeren bilgisayarı temsil eden bir cihaz nesnesi Microsoft Entra ID'de oluşturulana kadar bilgisayar Azure DRS'de kimlik doğrulaması yapamaz. Microsoft Entra Bağlan bir öznitelik değişikliği algılar. Sonraki eşitleme döngüsünde Microsoft Entra Bağlan userCertificate, nesne GUID'si ve bilgisayar SID'sini Azure DRS'ye gönderir. Azure DRS, Microsoft Entra Id'de bir cihaz nesnesi oluşturmak için öznitelik bilgilerini kullanır. |
| E | Otomatik Cihaz Katılımı görevi, her kullanıcı oturum açma işlemiyle veya saatte bir tetikler ve userCertificate özniteliğindeki ortak anahtarın ilgili özel anahtarını kullanarak bilgisayarın kimliğini Microsoft Entra Id'de doğrulamaya çalışır. Microsoft Entra, bilgisayarın kimliğini doğrular ve bilgisayara bir kimlik belirteci verir. |
| F | Görev, cihaz anahtarı (dkpub/dkpriv) olarak bilinen TPM bağlı (tercih edilen) RSA 2048 bit anahtar çifti oluşturur. Uygulama, dkpub ve ortak anahtarı kullanarak bir sertifika isteği oluşturur ve sertifika isteğini dkpriv kullanarak imzalar. Ardından uygulama, TPM'nin depolama kök anahtarından ikinci anahtar çiftini türetir. Bu anahtar aktarım anahtarıdır (tkpub/tkpriv). |
| G | Görev, Azure DRS'ye kimlik belirteci, sertifika isteği, tkpub ve kanıtlama verilerini içeren bir cihaz kayıt isteği gönderir. Azure DRS kimlik belirtecini doğrular, bir cihaz kimliği oluşturur ve dahil edilen sertifika isteğine göre bir sertifika oluşturur. Azure DRS daha sonra Microsoft Entra ID'deki cihaz nesnesini güncelleştirir ve cihaz kimliğini ve cihaz sertifikasını istemciye gönderir. |
| H | Cihaz kaydı, Azure DRS'den cihaz kimliğini ve cihaz sertifikasını alarak tamamlar. Cihaz kimliği daha sonra başvurmak üzere kaydedilir (öğesinden dsregcmd.exe /statusgörüntülenebilir) ve cihaz sertifikası bilgisayarın Kişisel deposuna yüklenir. Cihaz kaydı tamamlandıktan sonra görevden çıkar. |
Federasyon ortamlarında birleştirilen Microsoft Entra karma
| Aşama | Açıklama |
|---|---|
| A | Kullanıcı etki alanına katılmış bir Windows 10 veya daha yeni bir bilgisayarda etki alanı kimlik bilgilerini kullanarak oturum açar. Bu kimlik bilgisi kullanıcı adı ve parola veya akıllı kart kimlik doğrulaması olabilir. Kullanıcı oturum açma işlemi Otomatik Cihaz Katılımı görevini tetikler. Otomatik Cihaz Katılımı görevleri, etki alanına katılımda tetikler ve saatte bir yeniden denener. Yalnızca kullanıcının oturum açmasına bağlı değildir. |
| K | Görev, Active Directory'de (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com) yapılandırma bölümünde depolanan hizmet bağlantı noktasındaki anahtar sözcükler özniteliği için LDAP protokollerini kullanarak Active Directory'yi sorgular. anahtar sözcükler özniteliğinde döndürülen değer, cihaz kaydının Azure Cihaz Kayıt Hizmeti'ne (ADRS) mi yoksa şirket içinde barındırılan kurumsal cihaz kayıt hizmetine mi yönlendirileceğini belirler. |
| C | Federasyon ortamları için bilgisayar, Windows Tümleşik Kimlik Doğrulaması kullanarak kurumsal cihaz kayıt uç noktasının kimliğini doğrular. Kurumsal cihaz kayıt hizmeti nesne GUID'si, bilgisayar SID'si ve etki alanına katılmış durum için talepleri içeren bir belirteç oluşturur ve döndürür. Görev, belirteci ve talepleri doğrulandıkları Microsoft Entra Id'ye gönderir. Microsoft Entra Id, çalışan göreve bir kimlik belirteci döndürür. |
| D | Uygulama, cihaz anahtarı (dkpub/dkpriv) olarak bilinen TPM bağlı (tercih edilen) RSA 2048 bit anahtar çifti oluşturur. Uygulama, dkpub ve ortak anahtarı kullanarak bir sertifika isteği oluşturur ve sertifika isteğini dkpriv kullanarak imzalar. Ardından uygulama, TPM'nin depolama kök anahtarından ikinci anahtar çiftini türetir. Bu anahtar aktarım anahtarıdır (tkpub/tkpriv). |
| E | Şirket içi federasyon uygulaması için SSO sağlamak üzere, görev şirket içi STS'den bir kurumsal PRT istemektedir. Active Directory Federasyon Hizmetleri (AD FS) rolünü çalıştıran Windows Server 2016 isteği doğrular ve çalışan görevi döndürür. |
| F | Görev, Azure DRS'ye kimlik belirteci, sertifika isteği, tkpub ve kanıtlama verilerini içeren bir cihaz kayıt isteği gönderir. Azure DRS kimlik belirtecini doğrular, bir cihaz kimliği oluşturur ve dahil edilen sertifika isteğine göre bir sertifika oluşturur. Azure DRS daha sonra Microsoft Entra Id'de bir cihaz nesnesi yazar ve cihaz kimliğini ve cihaz sertifikasını istemciye gönderir. Cihaz kaydı, Azure DRS'den cihaz kimliğini ve cihaz sertifikasını alarak tamamlar. Cihaz kimliği daha sonra başvurmak üzere kaydedilir (öğesinden dsregcmd.exe /statusgörüntülenebilir) ve cihaz sertifikası bilgisayarın Kişisel deposuna yüklenir. Cihaz kaydı tamamlandıktan sonra görevden çıkar. |
| G | Microsoft Entra Bağlan cihaz geri yazma etkinse, Microsoft Entra Bağlan sonraki eşitleme döngüsünde Microsoft Entra Id'den güncelleştirmeler ister (sertifika güveni kullanılarak karma dağıtım için cihaz geri yazma gereklidir). Microsoft Entra Id, cihaz nesnesini eşleşen eşitlenmiş bir bilgisayar nesnesiyle ilişkilendirmektedir. Microsoft Entra Bağlan, nesne GUID'sini ve bilgisayar SID'sini içeren cihaz nesnesini alır ve cihaz nesnesini Active Directory'ye yazar. |