Birincil Yenileme Belirtecini (PRT) Anlama

Birincil Yenileme Belirteci (PRT), Desteklenen Windows, iOS/macOS, Android ve Linux sürümlerinde Microsoft Entra kimlik doğrulamasının önemli bir yapıtıdır. PRT, bu cihazlarda kullanılan uygulamalarda çoklu oturum açmayı (SSO) etkinleştirmek için Microsoft birinci taraf belirteç aracılarına özel olarak verilen güvenli bir yapıttır. Bu makalede, prt'nin nasıl verildiği, kullanıldığı ve korunduğu, güvenliğinizin nasıl artırıldığı ve uygulamalar arasında çoklu oturum açmanın (SSO) nasıl etkinleştirıldığı açıklanmaktadır.

Bu makalede, Microsoft Entra Id'de kullanılabilen farklı cihaz durumlarını ve windows'da çoklu oturum açmanın nasıl çalıştığını zaten anladığınız varsayılır. Microsoft Entra ID'deki cihazlar hakkında daha fazla bilgi için bkz. Microsoft Entra Id'de cihaz yönetimi nedir?.

Temel terminoloji ve bileşenler

Aşağıdaki Windows bileşenleri, Birincil Yenileme Belirteci (PRT) isteme ve kullanma konusunda önemli bir rol oynar:

Terim	Açıklama
komisyoncu	Kimlik aracısı, kimlik sağlayıcıları (IdPs) ile hizmet sağlayıcıları (SP) arasında aracı görevi gören ve kimlik doğrulamasını ve yetkilendirmeyi basitleştiren bir hizmettir. Web Hesabı Yöneticisi bir kimlik aracısı örneğidir.
Bulut Kimlik Doğrulama Sağlayıcısı (CloudAP)	CloudAP, Windows 10 veya daha yeni bir cihazda oturum açan kullanıcıları doğrulayan Modern Windows oturum açma kimlik doğrulama sağlayıcısıdır. CloudAP, kimlik sağlayıcılarının bu kimlik sağlayıcısının kimlik bilgilerini kullanarak Windows'ta kimlik doğrulamasını etkinleştirmek için üzerinde oluşturabileceği bir eklenti çerçevesi sağlar.
Web Hesabı Yöneticisi (WAM)	WAM, Windows 10 veya daha yeni cihazlarda varsayılan belirteç yöneticisidir. WAM ayrıca kimlik sağlayıcılarının bu kimlik sağlayıcısını kullanan uygulamalarına SSO oluşturabileceği ve etkinleştirebileceği bir eklenti çerçevesi de sağlar.
Microsoft Entra CloudAP eklentisi	CloudAP çerçevesi üzerinde oluşturulan ve Windows oturum açma sırasında Microsoft Entra Id ile kullanıcı kimlik bilgilerini doğrulayan Microsoft Entra'ya özgü eklenti.
Microsoft Entra WAM eklentisi	Microsoft Entra ID'yi kimlik doğrulaması için kullanan uygulamalara SSO imkanı sağlayan WAM çerçevesi üzerine inşa edilmiş, Microsoft Entra'ya özgü bir eklenti.
Dsreg	Tüm cihaz durumları için cihaz kayıt işlemini işleyen Windows 10 veya daha yeni bir sürümdeki Microsoft Entra'ya özgü bileşen.
Güvenilen Platform Modülü (TPM)	TPM, kullanıcı ve cihaz gizli dizileri için donanım tabanlı güvenlik işlevleri sağlayan bir cihazda yerleşik olarak bulunan bir donanım bileşenidir. Daha fazla bilgi için Bkz. Güvenilir Platform Modülü Teknolojisine Genel Bakış.

PRT ne için kullanılır?

• Tek Sign-On (SSO) - Kullanıcı cihazında oturum açtığında PRT, kullanıcının kimlik bilgilerini yeniden girmesine gerek kalmadan Microsoft 365, Azure ve diğer bulut uygulamalarına erişmesine olanak tanır. Office, Microsoft Edge ve Teams gibi uygulamalar kullanıcıların kimliğini sessizce doğrulamak, kullanıcı deneyimini geliştirmek, birden çok oturum açma gereksinimini azaltmak ve üretkenliği artırmak için PRT'yi bir aracı aracılığıyla kullanır.
• Belirteç Alma - PRT, Windows Web Hesabı Yöneticisi (WAM) veya diğer platformlardaki Aracı eklentileri aracılığıyla çeşitli hizmetler (Outlook, Teams, SharePoint vb.) için erişim belirteçleri ve yenileme belirteçleri istemek için kullanılır.
• Koşullu Erişim Uyumluluğu - Koşullu Erişim ilkelerini zorunlu kılmak için Microsoft Entra Id tarafından değerlendirilen cihaz ve kullanıcı taleplerini taşır (örneğin, uyumlu cihazlar gerektirme, MFA vb.).

PRT türleri nelerdir?

Yüksek düzeyde iki farklı PRT yapıt türü vardır.

• Kayıtlı cihaz PRT'leri , ilişkili bir Microsoft Entra kimliğine sahip bir cihaza bağlıdır.
• Kayıtlı olmayan cihaz PRT'leri, istemci tarafından oluşturulan bir cihaz içi şifreleme anahtar çifti ile ilişkilendirilmiş, Microsoft Entra kimliği bulunmayan bir cihaza bağlıdır.

İstemciler mümkün olduğunda her zaman "kayıtlı cihaz PRT'lerini" kullanmaya çalışır. PRT'ler, yalnızca kayıtlı cihazlar için verildiklerinde cihaz kayıt ilkelerini karşılar. Kayıtlı olmayan cihaz PRT'leri, cihazın Microsoft Entra kimliğine sahip olmadığı senaryolarda kullanılır. Örneğin, bir kullanıcı kişisel cihazda bir tarayıcıda oturum açtığında veya bir kullanıcı cihaz kaydını desteklemeyen bir uygulamada oturum açtığında.

PRT'de ne olduğunu görebilir miyim?

PRT, microsoft Entra'dan gönderilen ve içeriği hiçbir istemci bileşeni tarafından bilinmeyen opak bir blobdur. PRT'nin içinde ne olduğunu göremezsiniz.

PRT nasıl verilir?

Kayıtlı cihaz PRT'leri için PRT, kayıtlı cihazlardaki kullanıcılara verilir. Cihaz kaydı hakkında daha ayrıntılı bilgi için İş İçin Windows Hello ve Cihaz Kaydı makalesine bakın. Cihaz kaydı sırasında dsreg bileşeni iki şifreleme anahtar çifti kümesi oluşturur:

• Cihaz anahtarı (dkpub/dkpriv)
• Aktarım anahtarı (tkpub/tkpriv)

PRT yalnızca bir Microsoft Entra ID aracısı mevcut olduğunda yayımlanabilir. Aracı, şu uygulamalarla dağıtılmış bir bileşendir: macOS ve Linux üzerinde Intune Şirket Portalı, iOS'ta Authenticator, Authenticator, Windows bağlantısı ve Android'de Şirket portalı. Mac'te, SSO uzantısı profiliyle birlikte aracıyı etkinleştirmek için Mobil Cihaz Yönetimi (MDM) gereklidir: Apple SSO Eklentisi

Windows

Cihazın geçerli ve çalışır durumda bir TPM/Güvenli Donanım Depolama alanı varsa, özel anahtarlar desteklenen platformlarda cihazın Güvenli Depolama alanına bağlıdır. Ortak anahtarlar, PRT istekleri sırasında cihaz durumunu doğrulamak için cihaz kayıt işlemi sırasında Microsoft Entra Id'ye gönderilir.

PRT, iki senaryoda windows 10 veya daha yeni bir cihazda kullanıcı kimlik doğrulaması sırasında verilir:

• Microsoft Entra'ya katılmış veya Microsoft Entra karmasına katılmış: Bir kullanıcı kuruluş kimlik bilgileriyle oturum açtığında Windows oturum açma sırasında bir PRT verilir. PRT, parola ve Windows Hello for Business gibi tüm Windows 10 veya daha yeni desteklenen kimlik bilgileriyle sağlanır. Bu senaryoda Microsoft Entra CloudAP eklentisi PRT için birincil yetkilidir
• Microsoft Entra kayıtlı cihaz: Kullanıcı Windows 10 veya daha yeni bir cihazına ikincil iş hesabı eklediğinde, PRT oluşturulur. Kullanıcılar Windows 10 veya daha yeni bir sürüme iki farklı yolla hesap ekleyebilir:
  • Bir uygulamada oturum açtıktan sonra kuruluşumun cihazımı yönetmesine izin ver istemi aracılığıyla hesap ekleme (örneğin, Outlook)
  • Ayarlar>Hesaplar>Çalışma veya Okul'a Erişim>Bağlan yollarını izleyerek hesap ekleme

Microsoft Entra kayıtlı cihaz senaryolarında, Windows oturum açma işlemi bu Microsoft Entra hesabıyla gerçekleşmediğinden Microsoft Entra WAM eklentisi PRT için birincil yetkilidir.

macOS

Platform SSO ile macOS

macOS Platform Çoklu Oturum Açma (PSSO), Microsoft'un Kurumsal SSO eklentisi macOS için Platform Kimlik Bilgileri tarafından desteklenen ve kullanıcıların Microsoft Entra ID kimlik bilgilerini kullanarak Mac cihazlarda oturum açmasını sağlayan yeni bir özelliktir.

PSSO Birincil Yenileme Belirteci (PRT) yalnızca Platform SSO kaydını başarıyla tamamlayan Entra-joined macOS cihazlarına verilir. Bu kayıt işlemi sırasında macOS güvenli kapanım destekli şifreleme anahtar çiftleri oluşturur: biri cihaz imzalama için, diğeri de cihaz şifrelemesi için. Ortak anahtar referansları SSO uzantısıyla paylaşılır.

SSO uzantısı, Microsoft Entra ID Cihaz Kayıt Hizmeti ile cihaz kaydını tamamlamak için bu anahtarları kullanır. Ardından Apple'ın loginConfiguration API'sini PRT alımı için gerekli parametrelerle yapılandırıyor.

Platform SSO'suz macOS

macOS, Microsoft Edge için Kayıtlı Olmayan PRT'leri ve cihaz çalışma alanına katıldığında ve aracı mevcut olduğunda Kayıtlı PRT'leri destekler.

Kayıt başarıyla tamamlandıktan sonra macOS, Cihaz İmzalama anahtarıyla imzalanan bir oturum açma isteği başlatır. Microsoft Entra Id isteği, cihaz imzalama anahtarını ve ilişkili parametreleri doğrular ve PRT yanıtı verir.

iOS ve Android

iOS, macOS ve Android, Microsoft Edge için hem Kayıtlı Olmayan PRT'leri hem de aracı mevcut olduğunda Kayıtlı PRT'leri destekler.

Linux

Linux , aracı mevcut olduğunda hem Microsoft Edge için Kaydedilmemiş PRT'leri hem de Kayıtlı PRT'leri destekler.

Tarayıcı davranışı

Tarayıcılar, işletim sistemine bağlı olarak PRT'ye birden çok yolla erişim elde eder:

Windows

Windows - PRT'yi aracıdan aşağıdaki tarayıcılarda tarayıcıya çeker:

• Microsoft Edge

• Firefox

• Krom

Android

Android - Microsoft Edge PRT'yi aracıdan tarayıcıya çeker

iOS ve macOS

iOS ve macOS'ta, tarayıcılar SSO uzantısı profili yüklendiğinde PRT'yi de alabilir ve şunları etkinleştirir:

• macOS'ta Chrome ve Firefox desteği
• Hem iOS hem de macOS'ta Safari desteği
• iOS ve macOS üzerinde Microsoft Edge

Linux

Linux - Microsoft Edge PRT'yi aracıdan tarayıcıya çeker'

Desteklenen tarayıcıların listesine buradan ulaşabilirsiniz: Desteklenen Tarayıcılar

Not

Microsoft dışı Kimlik Sağlayıcılarıyla Entra federasyonuna olanak tanıyan müşterilerin, Windows 10 veya daha yeni cihazlarda PRT verme özelliğini etkinleştirmek için bu Kimlik Sağlayıcılarını WS-Trust protokollerini destekleyecek şekilde yapılandırmaları gerekir. Federasyon durumları için WS-Trust olmadan, Microsoft Entra karma katılmış veya Microsoft Entra katılmış cihazlardaki kullanıcılara PRT düzenlenemez.

Not

ADFS usernamemixed için uç noktalar gereklidir. Windows oturum açma sırasında kullanılıyorsa Smartcard/certificate , certificatemixed uç noktaların ADFS'de yapılandırılması gerekir. windowstransport yalnızca intranet'e yönelik uç noktalar olarak etkinleştirilmelidir ve Web Uygulaması Ara Sunucusu aracılığıyla extranet'e yönelik uç noktalar olarak sunulmamalıdır .

Not

PrT'ler verildiğinde Microsoft Entra Koşullu Erişim ilkeleri değerlendirilmez.

Not

Microsoft Entra PRT'lerinin verilmesi ve yenilenmesi için Microsoft dışı kimlik bilgisi sağlayıcılarını desteklemiyoruz.

PRT nasıl kullanılır?

Windows

PRT, Windows'taki iki temel bileşen tarafından kullanılır:

• Microsoft Entra CloudAP eklentisi: Windows oturum açma sırasında Microsoft Entra CloudAP eklentisi, kullanıcı tarafından sağlanan kimlik bilgilerini kullanarak Microsoft Entra ID'den bir PRT istemektedir. Ayrıca kullanıcının İnternet bağlantısına erişimi olmadığında önbelleğe alınmış oturum açmayı etkinleştirmek için PRT'yi önbelleğe alır.
• Microsoft Entra WAM eklentisi: Kullanıcılar uygulamalara erişmeye çalıştığında, Microsoft Entra WAM eklentisi Windows 10 veya daha yeni sürümlerde SSO'yu etkinleştirmek için PRT'yi kullanır. Microsoft Entra WAM eklentisi, belirteç istekleri için WAM kullanan uygulamalar için yenileme ve erişim belirteçleri istemek için PRT'yi kullanır. Ayrıca PRT'yi tarayıcı isteklerine ekleyerek tarayıcılarda SSO'ya da olanak tanır. Windows 10 veya daha yeni sürümlerdeki tarayıcı SSO'ları Microsoft Edge (yerel olarak), Chrome ( Windows 10 Hesapları uzantısı aracılığıyla) ve Mozilla Firefox v91+ (Firefox Windows SSO ayarı) üzerinde desteklenir.

  Not

  Bir kullanıcının tarayıcı uygulamasında oturum açmış aynı Microsoft Entra kiracısından iki hesabı olduğu durumlarda, birincil hesabın PRT'sinin sağladığı cihaz kimlik doğrulaması ikinci hesaba da otomatik olarak uygulanır. Sonuç olarak, ikinci hesap kiracıdaki tüm cihaz tabanlı Koşullu Erişim ilkesini de karşılar.

macOS

PrT, SSO uzantısı tarafından uygulamalara ve web sitelerine SSO sağlamak için kullanılır. PrT, belirteç istekleri için SSO uzantısını kullanan uygulamalar için yenileme ve erişim belirteçleri istemek için kullanılır. Ayrıca PRT'yi tarayıcı isteklerine ekleyerek tarayıcılarda SSO'ya da olanak tanır.

Tarayıcı SSO'sunu destekleyen tarayıcılar Safari, Firefox, Chrome ve Microsoft Edge'dir.

Ios

iOS için Tarayıcı SSO için yalnızca Microsoft Edge ve Safari desteklenir.

Android

Android için Tarayıcı SSO için yalnızca Microsoft Edge desteklenir.

Linux

Bugün entegre edilen tek yerel uygulamalar Intune ve Microsoft Edge Tarayıcı'dır. Tarayıcı desteği için, yalnızca Microsoft Edge Tarayıcısı cihaza bağlı belirteçler ve Koşullu Erişim zorlaması için korunur.

PRT'nin ömrü nedir?

PrT verildikten sonra 90 gün boyunca geçerlidir ve kullanıcı cihazı etkin bir şekilde kullandığı sürece sürekli yenilenir. Kuruluşlar, oturum açma sıklığı oturum denetimini kullanarak kaynaklara erişmek için kullanıcıların yeniden kimlik doğrulamasını gerektirebilir.

PRT nasıl yenilenir?

Windows

Windows Platformu

PRT iki farklı yolla yenilenir:

• Microsoft Entra CloudAP eklentisi 4 saatte bir: CloudAP eklentisi, Windows oturum açma sırasında PRT'yi 4 saatte bir yeniler. Kullanıcının bu süre boyunca İnternet bağlantısı yoksa, Cihaz İnternet'e bağlandıktan ve yeni bir Windows oturum açma işlemi tamamlandıktan sonra CloudAP eklentisi PRT'yi yeniler.
• Uygulama belirteci istekleri sırasında Microsoft Entra WAM eklentisi: WAM eklentisi, uygulamalar için sessiz belirteç isteklerini etkinleştirerek Windows 10 veya daha yeni cihazlarda SSO'yu etkinleştirir. WAM eklentisi, bu belirteç istekleri sırasında PRT'yi iki farklı yolla yenileyebilir:
  • Bir uygulama, bir erişim belirteci için WAM'dan gizlice istekte bulunur ancak o uygulama için kullanılabilir bir yenileme belirteci yoktur. Bu durumda WAM, uygulama için belirteç istemek için PRT'yi kullanır ve yanıtta yeni bir PRT alır.
  • Bir uygulama erişim belirteci için WAM ister, ancak PRT geçersiz veya Microsoft Entra Kimliği fazladan yetkilendirme gerektirir (örneğin, Microsoft Entra çok faktörlü kimlik doğrulaması). Bu senaryoda WAM, kullanıcının yeniden kimlik doğrulamasını veya ek doğrulama sağlamasını gerektiren etkileşimli bir oturum açma işlemi başlatır ve başarılı kimlik doğrulamasında yeni bir PRT verilir.

BIR ADFS ortamında PRT'yi yenilemek için etki alanı denetleyicisine doğrudan görüş hattı gerekmez. PRT yenilemesi için yalnızca /adfs/services/trust/2005/usernamemixed ve /adfs/services/trust/13/usernamemixed uç noktaların WS-Trust protokolü kullanılarak ara sunucuda etkinleştirilmesi gerekir.

Windows aktarım uç noktaları, prt yenilemesi için değil, yalnızca parola değiştirildiğinde parola kimlik doğrulaması için gereklidir.

Dikkat edilmesi gereken temel konular

• Microsoft Entra'ya katılmış ve Microsoft Entra karma katılmış cihazlarda CloudAP eklentisi, PRT için başlıca otoritedir. PRT, WAM tabanlı belirteç isteği sırasında yenilenirse, PRT cloudAP eklentisine geri gönderilir ve bu eklenti PRT'yi kabul etmeden önce Microsoft Entra Id ile doğrular.

macOS

macOS, PSSO Birincil Yenileme Belirtecini (PRT) 4 saatte bir veya SSO belirteçleri eksikse veya süresi dolmuşsa daha erken yeniler.

Ios

iOS'ta, cihaz şarj olurken ve iOS işletim sistemi tarafından kaynaklar ayrıldığında, iki günde yalnızca bir kez gerçekleşen fırsatçı bir güncelleştirme de vardır. Diğer platformlara benzer şekilde, prt kullanımdaysa 90 gün boyunca geçerlidir.

Linux

PrT 90 gün boyunca geçerlidir ve kullanıcı cihazı etkin bir şekilde kullanıyorsa 4 saatte bir yenilenir.

Android

• PRT 90 gün boyunca geçerlidir ve kullanıcı cihazı etkin olarak kullandığı sürece sürekli yenilenir.
• PRT yalnızca yerel uygulama kimlik doğrulaması sırasında verilir ve yenilenir. PrT, tarayıcı oturumu sırasında yenilenmez veya verilmez.
• Cihaz kaydına (Workplace Join) gerek kalmadan bir PRT elde etmek ve SSO'nun etkinleştirilmesini sağlamak mümkündür.
• Cihaz kaydı olmadan alınan PRT'ler, koşullu erişim için cihazın durumuna veya uyumluluğuna bağlı olan yetkilendirme ölçütlerini karşılayamaz.

Not

PRT'ler yenilendiğinde Microsoft Entra Koşullu Erişim ilkeleri değerlendirilmez.

PRT nasıl korunur?

Windows

PRT, kullanıcının oturum açtığı cihaza sıkıca bağlanarak korunur ve donanım bağlaması mevcut olup desteklendiğinde bu mekanizma kullanılır.

Microsoft Entra Id ve Windows 10 veya daha yeni sürümler aşağıdaki yöntemlerle PRT korumasını etkinleştirir:

• İlk oturum açma sırasında: İlk oturum açma sırasında, cihaz kaydı sırasında şifreli olarak oluşturulan cihaz anahtarı kullanılarak isteklerin imzalanarak bir PRT verilir. Geçerli ve çalışır durumdaki TPM'ye sahip bir cihazda, cihaz anahtarı TPM tarafından güvenli hale getirilerek kötü amaçlı erişim engellenir. İlgili cihaz anahtarı imzası doğrulanamıyorsa PRT verilmez.
• Belirteç istekleri ve yenileme sırasında: PrT yayımlandığında, Microsoft Entra Id cihaza şifreli bir oturum anahtarı da verir. Cihaz kaydı kapsamında oluşturulan ve Microsoft Entra Id'ye gönderilen toplu taşıma anahtarı (tkpub) ile şifrelenir. Bu oturum anahtarının şifresi yalnızca TPM tarafından güvenliği sağlanan özel aktarım anahtarı (tkpriv) tarafından çözülebilir. Oturum anahtarı, Microsoft Entra Id'ye gönderilen tüm istekler için SahipLik Kanıtı (POP) anahtarıdır. Oturum anahtarı da TPM tarafından korunur ve başka hiçbir işletim sistemi bileşeni bu anahtara erişemez. Belirteç istekleri veya PRT yenileme istekleri TPM aracılığıyla bu oturum anahtarı tarafından güvenli bir şekilde imzalanır ve bu nedenle üzerinde oynanamaz. Microsoft Entra, ilgili oturum anahtarı tarafından imzalanmayan cihazdan gelen tüm istekleri geçersiz kılar.

Bu anahtarları TPM ile güvence altına alarak, anahtarları çalmaya veya PRT'yi yeniden yürütmeye çalışan kötü amaçlı aktörlere karşı PRT güvenliğini artırıyoruz. Bu nedenle, TPM kullanmak, Microsoft Entra'ya katılmış, karma katılım yapılmış ve kayıt edilmiş cihazların kimlik bilgisi hırsızlığına karşı güvenliğini büyük ölçüde artırır. Performans ve güvenilirlik için TPM 2.0, Windows 10 veya daha yeni sürümlerdeki tüm Microsoft Entra cihaz kayıt senaryoları için önerilen sürümdür. Windows 10, 1903 güncelleştirmesinin ardından Microsoft Entra ID güvenilirlik sorunları nedeniyle yukarıdaki anahtarlardan herhangi biri için TPM 1.2 kullanmaz.

macOS

Birincil Yenileme Belirteci (PRT), kullanıcının oturum açtığı cihaza güvenli bir şekilde bağlıdır. Microsoft Entra ID ve macOS, bu korumayı çeşitli mekanizmalar aracılığıyla uygular:

PRT, yalnızca cihaz kaydı sırasında şifreli olarak oluşturulan güvenli bir kapanım destekli Cihaz İmzalama Anahtarı kullanılarak bir istek imzalandıktan sonra verilir. Bu anahtardaki imza doğrulanamıyorsa PRT verilmez.

Platform SSO'nun kullanıldığı macOS için varsayılan olarak donanım bağlamayı kullanır.

iOS ve Mac'te donanım bağlamayı etkinleştirmek için Apple SSO Eklentisi'nin yönergelerini izleyin

Diğer işletim sistemleri

Android, iOS ve Linux, PRT'ler için donanım bağlamayı desteklemez.

iOS ve Mac'te donanım bağlamayı etkinleştirmek için Apple SSO Eklentisi'nin yönergelerini izleyin

Uygulama Belirteçleri nasıl korunur?

Belirteçlerin genel olarak nasıl korunduğuna genel bir bakış için bkz. Microsoft Entra Id'de belirteçleri koruma

Windows

• Bir uygulama WAM aracılığıyla belirteç istediğinde, Microsoft Entra ID bir erişim belirteci ve bazı istek türlerinde yenileme belirteci verir. Ancak WAM yalnızca uygulamaya erişim belirtecini döndürür ve yenileme belirtecinin güvenliğini sağlar:
  • Bu bir SSO kullanıcısı için yenileme belirteciyse, bu yenileme belirteci bir oturum anahtarı (PRT ile aynı) veya cihaz anahtarıyla cihaza bağlıdır.
  • Bu, SSO olmayan bir kullanıcı için yenileme belirteciyse, bu yenileme belirteci cihaza bağlı değildir.
• Tüm yenileme belirteçleri DPAPI tarafından şifrelenir.

macOS ve iOS

• iOS yönetilmeyen: MDM SSO uzantısı profili olmayan cihazlarda, aracı yazılım hem erişim belirtecini hem de yenileme belirtecini çağıran uygulamaya döndürür. Çağıran uygulama, sonraki yenilemeler için yenileme belirtecini kullanır ve bu yenileme belirteci korunmaz.
• macOS/iOS tarafından yönetilen: MDM SSO uzantısı profiline sahip cihazlarda aracı, çağrı yapan uygulamaya yalnızca erişim belirtecini döndürür. Broker, sonraki tüm belirteç yenilemeleri için PRT kullanır ve korumasız bir yenileme belirteci kullanmaz. Müşterilerin sağladığı ek koruma nedeniyle yönetilmeyen yapılandırma üzerinden bu yapılandırmayı kullanmalarını öneririz.

Android

• Aracı, erişim belirtecini yalnızca çağıran uygulamaya döndürür ve uygulama yenileme belirtecini hem yönetilen hem de yönetilmeyen cihazlar için yerel olarak depolar.

Linux

• Linux'ta aracı yalnızca çağrı uygulamasına erişim belirtecini döndürür ve hem yönetilen hem de yönetilmeyen cihazlar için yenileme belirteçlerini yerel olarak depolar.
• Yerel olarak depolanan yenileme belirteçleri, UNIX Kullanıcısının oturum açma anahtarında depolanan bir şifreleme anahtarıyla şifrelenir.

Tarayıcı tanımlama bilgileri nasıl korunur?

Windows

• Windows 10 veya daha yeni sürümlerde, Microsoft Entra ID yerel olarak Microsoft Edge'de, yerel destek veya uzantı aracılığıyla Google Chrome'da ve tarayıcı ayarı aracılığıyla Mozilla Firefox v91+'da tarayıcı SSO'yu destekler.

• Kullanıcı bir tarayıcı etkileşimi başlattığında, tarayıcı (veya uzantı) bir platform API'sini çağırır. Uzantı, bu API'yi yerel bir mesajlaşma konağı aracılığıyla çağırır. API, sayfanın izin verilen etki alanlarından birinden olmasını sağlar. Tarayıcı, bir nonce içeren tam sorgu dizisi gönderir. Platform API'si, TPM korumalı anahtarlarla imzalanan bir PRT ve cihaz üst bilgisi oluşturur. PRT üst bilgisi oturum anahtarı, cihaz üst bilgisi ise cihaz anahtarıyla imzalandığından kurcalamak zordur. Bu üst bilgiler, kaynağı olan cihazı ve kullanıcıyı doğrulamak için Microsoft Entra Id'ye yönelik tüm isteklere eklenir. Microsoft Entra ID bu üst bilgileri doğruladıktan sonra tarayıcıya bir oturum çerezi verir. Bu oturum tanımlama bilgisi, isteği imzalamak için kullanılan oturum veya cihaz anahtarını da içerir. Sonraki talep gönderimi sırasında oturum anahtarı, çerezleri cihaza başarılı bir şekilde bağlayarak ve başka bir yerden yeniden yürütmeyi önleyerek doğrulanarak etkinleştirilir.

iOS ve Mac

SSO uzantısı profiline sahip Safari ve Microsoft Edge'de, PRT oturum anahtarıyla korunan çerezler bulunur. Microsoft Edge, kullanıcının Microsoft Edge profilinde oturum açmasını gerektirir. Tanımlama bilgileri, SSO uzantısı profili olmadan korunmaz.

Android

Etkileşimli oturum açma işlemleri sırasında tarayıcı SSO tanımlama bilgisi oluşturulur (Android hesabıyla yönetilen depolama alanında bulunan PRT ve oturum anahtarı kullanılarak). Yalnızca Microsoft Edge tarayıcısında geçerlidir ve kullanıcı oturum açmış olmalıdır.

Linux

Linux üzerinde Microsoft Edge, Microsoft Edge'de SSO'yu etkinleştirmek için bir tarayıcı SSO çerezi sağlamak üzere brokerdan istekte bulunabilir. Aracı, oluşturulan tanımlama bilgisini Microsoft Edge'e döndürmek için sırasıyla kullanıcı ve cihaz aracısı bağlamında depolanan PRT ve Oturum Anahtarı'nı kullanarak SSO tanımlama bilgisini oluşturur. Microsoft Edge, kullanıcının profilde oturum açmasını gerektirir. Teorik olarak, Linux platformunda uygulama kimliği olmadığından Microsoft Edge dışındaki uygulamalar da Broker'dan bu tanımlama bilgisini isteyebilir. İşletim sistemi güvenlik sınırı UNIX kullanıcısının çevresindedir ve yalnızca aynı kullanıcı bağlamındaki uygulamalar bu bağlamdaki bir kullanıcı için SSO tanımlama bilgisi edinebilir.

PRT ne zaman MFA talebi alır?

PRT, belirli senaryolarda çok faktörlü kimlik doğrulaması talebi alabilir. Uygulamalar için belirteç istemek amacıyla MFA tabanlı bir PRT kullanıldığında, MFA talebi bu uygulama belirteçlerine aktarılır. Bu işlevsellik, bunu gerektiren her uygulama için MFA sınamasını engelleyerek kullanıcılara sorunsuz bir deneyim sağlar. PRT aşağıdaki yollarla bir MFA talebi alabilir:

Windows

• İş İçin Windows Hello ile oturum açın: İş İçin Windows Hello parolaların yerini alır ve güçlü iki öğeli kimlik doğrulaması sağlamak için şifreleme anahtarlarını kullanır. İş İçin Windows Hello, bir cihazdaki bir kullanıcıya özgüdür ve kurulum için MFA gerektirir. Bir kullanıcı İş İçin Windows Hello ile oturum açtığında, kullanıcının PRT'si bir MFA talebi alır. Bu senaryo, Smartcard kimlik doğrulaması ADFS'den bir MFA talebi oluşturursa akıllı kartlarla oturum açan kullanıcılar için de geçerlidir.
  • İş İçin Windows Hello çok faktörlü kimlik doğrulama olarak kabul edilmesiyle, PRT'nin kendisi yenilendiğinde MFA talebi güncelleştirilir, bu nedenle kullanıcılar İş İçin Windows Hello ile oturum açtıklarında MFA süresi sürekli olarak uzatılacaktır.
• WAM etkileşimli oturum açma sırasında MFA: WAM aracılığıyla yapılan belirteç isteği sırasında, bir kullanıcının uygulamaya erişmek için MFA yapması gerekiyorsa, bu etkileşim sırasında yenilenen PRT bir MFA talebiyle yazdırılır.
  • Bu durumda, MFA talebi sürekli olarak güncelleştirilmez, bu nedenle MFA süresi dizinde ayarlanan yaşam süresini temel alır.
  • Bir uygulamaya erişim için önceki bir PRT ve RT kullanıldığında, PRT ve RT ilk kimlik doğrulama kanıtı olarak kabul edilir. İkinci bir doğrulama ve yazdırılmış MFA talebi ile yeni bir RT gereklidir. Bu işlem ayrıca yeni bir PRT ve RT verir.
• Windows 10 veya daha yeni sürümler, her kimlik bilgisi için bölümlenmiş prt listesini tutar. Bu nedenle, İş İçin Windows Hello, parola veya akıllı kartın her biri için birer PRT bulunmaktadır. Bu bölümleme, MFA taleplerinin kullanılan kimlik bilgilerine göre yalıtılmasını ve belirteç istekleri sırasında karıştırılmamasını sağlar.

Not

Windows 10 veya daha yeni sürümlerde bir Microsoft Entra'ya katılmış veya Microsoft Entra hibritine katılmış cihazda oturum açmak için parola kullanırken, oturum sırasında kullanıcının 2FA (İki Faktörlü Kimlik Doğrulama) sürecini geçip geçmediğine bağlı olarak, PRT ile ilişkili oturum anahtarı yenilendiğinde WAM etkileşimli oturum açma sırasında MFA (Çok Faktörlü Kimlik Doğrulama) gerekebilir.

iOS/Mac/Android/Linux

CA ilkeleri yönetici tarafından ayarlandıysa, kullanıcının MFA yapması gerekir. Böyle durumlarda PRT yükseltilir ve bir MFA talebi alır. Talep süresi, dizin üzerinde belirlenen ömürü temel alır.

PRT nasıl geçersiz kılındı?

Aşağıdaki senaryolarda PRT geçersiz kılındı:

• Geçersiz kullanıcı: Bir kullanıcı Microsoft Entra Kimliği'nde silinir veya devre dışı bırakılırsa PRT'si geçersiz kılınmış olur ve uygulamalar için belirteçleri almak için kullanılamaz. Önceden bir cihazda oturum açmış olan bir kullanıcı silinmiş veya devre dışı bırakılmışsa, CloudAP geçersiz durumlarını fark edene kadar önbelleğe alınmış kimlik doğrulaması, onların otomatik olarak oturum açmasını sağlar. CloudAP kullanıcının geçersiz olduğunu belirledikten sonra sonraki oturum açmaları engeller. Geçersiz bir kullanıcının, kimlik bilgileri önbelleğe alınmamış yeni cihazlarda oturum açması otomatik olarak engellenir.
• Geçersiz cihaz: Bir cihaz Microsoft Entra Id'de silinir veya devre dışı bırakılırsa, bu cihazda elde edilen PRT geçersiz kılınmış olur ve diğer uygulamaların belirteçlerini almak için kullanılamaz. Bir kullanıcı zaten geçersiz bir cihazda oturum açmışsa, bunu yapmaya devam edebilir. Ancak cihazdaki tüm jetonlar geçersiz kılındı ve kullanıcının bu cihazdan kaynaklara erişim için SSO'su (Tek Oturum Açma) yok.
• Parola değişikliği: Kullanıcı PRT'yi parolasıyla aldıysa, kullanıcı parolasını değiştirdiğinde PRT, Microsoft Entra Kimliği tarafından geçersiz kılınmış olur. Parola değişikliği, kullanıcının yeni bir PRT almasına neden olur. Bu geçersizleştirme iki farklı şekilde gerçekleşebilir:
  • Kullanıcı yeni parolasıyla Windows'ta oturum açarsa, CloudAP eski PRT'yi atar ve Microsoft Entra Id'nin yeni parolasıyla yeni bir PRT yayınlamasını istemektedir. Kullanıcının İnternet bağlantısı yoksa, yeni parola doğrulanamazsa, Windows kullanıcının eski parolasını girmesini gerektirebilir.
  • Bir kullanıcı eski parolasıyla oturum açtıysa veya Windows'ta oturum açtıktan sonra parolasını değiştirdiyse, wam tabanlı belirteç istekleri için eski PRT kullanılır. Bu senaryoda, wam belirteç isteği sırasında kullanıcıdan yeniden kimlik doğrulaması istenir ve yeni bir PRT verilir.
• TPM sorunları: Bazen bir cihazın TPM'si bozulabilir veya başarısız olabilir ve bu da TPM tarafından güvenliği sağlanan anahtarlara erişilememesine neden olur. Bu durumda, cihaz, şifreleme anahtarlarına sahip olduğunu kanıtlayamadığından, PRT alma veya mevcut bir PRT kullanarak jeton talep etme konusunda yetersizdir. Sonuç olarak, mevcut PRT'ler Microsoft Entra Id tarafından geçersiz kılındı. Windows 10 bir hata algıladığında, cihazı yeni şifreleme anahtarlarıyla yeniden kaydetmek için bir kurtarma akışı başlatır. İlk kayıtta olduğu gibi Microsoft Entra karma katılımı ile kurtarma da kullanıcı girişi olmadan sessiz bir şekilde gerçekleşir. Microsoft Entra'ya katılmış veya Microsoft Entra kayıtlı cihazlarda, kurtarmanın cihazda yönetici ayrıcalıklarına sahip bir kullanıcı tarafından gerçekleştirilmesi gerekir. Bu senaryoda kurtarma akışı, kullanıcıya cihazı başarıyla kurtarması için yol gösteren bir Windows istemi tarafından başlatılır.

Ayrıntılı akışlar

Aşağıdaki diyagramlarda uygulama için erişim belirteci istemek üzere PRT verme, yenileme ve kullanma ile ilgili temel ayrıntılar gösterilmektedir. Ayrıca, bu adımlar daha önce bahsedilen güvenlik mekanizmalarının bu etkileşimler sırasında nasıl uygulandığını da açıklar.

Aşağıda Windows işletim sistemine özgü ayrıntılı akışlar yer almaktadır.

İlk oturum açma sırasında PRT verme (Windows)

Not

Microsoft Entra'ya katılmış cihazlarda, kullanıcı oturum açmadan önce Microsoft Entra PRT'nin eşzamanlı olarak oluşturulması (A-F adımları) gerçekleşir. Microsoft Entra hibrit katılım sağlanan cihazlarda, birincil yetkili yerel Active Directory'dir. Bu nedenle, kullanıcı oturum açmak için bir TGT edindikten sonra Microsoft Entra karma katılmış Windows'ta oturum açabilir ve PRT verme işlemi zaman uyumsuz olarak gerçekleşir. Oturum açma microsoft Entra kimlik bilgilerini kullanmadığından bu senaryo Microsoft Entra kayıtlı cihazlar için geçerli değildir.

Not

Microsoft Entra hibrit birleştirilmiş Windows ortamında PRT'nin verilmesi eşzamansız olarak gerçekleşir. PRT'nin, federasyon hizmet sağlayıcısıyla ilgili sorunlar nedeniyle verilmesi başarısız olabilir. Bu hata, kullanıcılar bulut kaynaklarına erişmeye çalıştığında oturum açma sorunlarına neden olabilir. Bu senaryoyu federasyon sağlayıcısıyla gidermek önemlidir.

Adımlar	Açıklama
A	Kullanıcı oturum açma kullanıcı arabirimine parolasını girer. LogonUI kimlik bilgilerini bir kimlik doğrulama arabelleğinde LSA'ya geçirir, ardından bu kimlik bilgilerini dahili olarak CloudAP'e iletir. CloudAP bu isteği CloudAP eklentisine iletir.
B	CloudAP eklentisi, kullanıcının kimlik sağlayıcısını tanımlamak için bir bölge bulma isteği başlatır. Kullanıcının kiracısının federasyon sağlayıcısı kurulumu varsa, Microsoft Entra ID federasyon sağlayıcısının Metadata Exchange (MEX) uç noktasını döndürür. Aksi takdirde, Microsoft Entra Kimliği, kullanıcının yönetildiğini ve Microsoft Entra Kimliği ile kimlik doğrulaması yapabileceğini belirtir.
C	Kullanıcı yönetiliyorsa CloudAP, Microsoft Entra ID'den nonce alır. Kullanıcı federasyona bağlıysa, CloudAP eklentisi federasyon sağlayıcısından kullanıcının kimlik bilgileriyle bir Güvenlik Onaylama İşaretleme Dili (SAML) belirteci ister. Microsoft Entra Kimliği'ne SAML belirteci gönderilmeden önce Nonce istenir.
D	CloudAP eklentisi kimlik doğrulama isteğini kullanıcının kimlik bilgileri, nonce ve aracı kapsamıyla oluşturur, isteği Cihaz anahtarıyla (dkpriv) imzalar ve Microsoft Entra Id'ye gönderir. Federasyon ortamında CloudAP eklentisi, kullanıcının kimlik bilgileri yerine federasyon sağlayıcısı tarafından döndürülen SAML belirtecini kullanır.
E	Microsoft Entra Id kullanıcı kimlik bilgilerini, nonce'ı ve cihaz imzasını doğrular, cihazın kiracıda geçerli olduğunu doğrular ve şifrelenmiş PRT'yi verir. Microsoft Entra ID, PRT ile birlikte Aktarım anahtarı (tkpub) kullanılarak Microsoft Entra Kimliği ile şifrelenen Oturum anahtarı olarak adlandırılan bir simetrik anahtar da verir. Buna ek olarak, Oturum anahtarı PRT'ye de eklenir. Bu Oturum anahtarı, PRT ile sonraki istekler için Sahiplik Kanıtı (PoP) anahtarı işlevi görür.
F	CloudAP eklentisi şifrelenmiş PRT ve Oturum anahtarını CloudAP'e geçirir. CloudAP, TPM'nin Aktarım anahtarını (tkpriv) kullanarak Oturum anahtarının şifresini çözmesini ve TPM'nin kendi anahtarını kullanarak yeniden şifrelemesini ister. CloudAP şifrelenmiş Oturum anahtarını PRT ile birlikte önbelleğinde depolar.

Sonraki oturum açma işlemlerinde PRT yenilemesi (Windows)

Adımlar	Açıklama
A	Kullanıcı oturum açma kullanıcı arabirimine parolasını girer. LogonUI kimlik bilgilerini bir kimlik doğrulama arabelleğinde LSA'ya geçirir, ardından bu kimlik bilgilerini dahili olarak CloudAP'e iletir. CloudAP bu isteği CloudAP eklentisine iletir.
B	Kullanıcı daha önce oturum açmışsa, Windows önbelleğe alınmış oturum açmayı başlatır ve kullanıcının oturum açması için kimlik bilgilerini doğrular. CloudAP eklentisi 4 saatte bir PRT yenilemesini zaman uyumsuz olarak başlatır.
C	CloudAP eklentisi, kullanıcının kimlik sağlayıcısını tanımlamak için bir bölge bulma isteği başlatır. Kullanıcının kiracısının federasyon sağlayıcısı kurulumu varsa, Microsoft Entra ID federasyon sağlayıcısının Meta Veri Değişimi (MEX) uç noktasını döndürür. Aksi takdirde, Microsoft Entra Kimliği, kullanıcının yönetildiğini ve Microsoft Entra Kimliği ile kimlik doğrulaması yapabileceğini belirtir.
D	Kullanıcı federasyona bağlıysa, CloudAP eklentisi federasyon sağlayıcısından kullanıcının kimlik bilgilerini içeren bir SAML belirteci istemektedir. Microsoft Entra Kimliği'ne SAML belirteci gönderilmeden önce Nonce istenir. Kullanıcı yönetiliyorsa, CloudAP nonce'u doğrudan Microsoft Entra ID'den alır.
E	CloudAP eklentisi, kimlik doğrulama isteğini kullanıcının kimlik bilgileri, nonce ve mevcut PRT ile oluşturur, isteği Oturum anahtarıyla imzalar ve Microsoft Entra Kimliği'ne gönderir. Federasyon ortamında CloudAP eklentisi, kullanıcının kimlik bilgileri yerine federasyon sağlayıcısı tarafından döndürülen SAML belirtecini kullanır.
F	Microsoft Entra ID, Oturum anahtarı imzasını PRT'ye eklenmiş Oturum anahtarıyla karşılaştırarak doğrular, ardından nonce'u doğrular ve cihazın kiracıda geçerli olduğunu doğruladıktan sonra yeni bir PRT verir. Daha önce görüldüğü gibi PRT'ye yine Aktarım anahtarı (tkpub) ile şifrelenen Oturum anahtarı eşlik etti.
G	CloudAP eklentisi şifrelenmiş PRT ve Oturum anahtarını CloudAP'e geçirir. CloudAP, TPM'nin Aktarım anahtarını (tkpriv) kullanarak Oturum anahtarının şifresini çözmesini ve TPM'nin kendi anahtarını kullanarak yeniden şifrelemesini ister. CloudAP şifrelenmiş Oturum anahtarını PRT ile birlikte önbelleğinde depolar.

Not

Uç noktalar harici olarak etkinleştirildiğinde usernamemixed BIR PRT, VPN bağlantısına gerek kalmadan harici olarak yenilenebilir.

Uygulama belirteci istekleri sırasında PRT kullanımı (Windows)

Adımlar	Açıklama
A	Microsoft Outlook gibi bir uygulama WAM'ye belirteç isteği başlatır. BUNA karşılık WAM, Microsoft Entra WAM eklentisinden belirteç isteğine hizmet vermesini ister.
B	Uygulama için bir Yenileme belirteci zaten varsa, Microsoft Entra WAM eklentisi erişim belirteci istemek için bunu kullanır. Cihaz bağlama kanıtı sağlamak için WAM eklentisi isteği Oturum anahtarıyla imzalar. Microsoft Entra Id, Oturum anahtarını doğrular ve oturum anahtarıyla şifrelenmiş bir erişim belirteci ve uygulama için yeni bir yenileme belirteci verir. WAM eklentisi, CloudAP eklentisinden belirteçlerin şifresini çözmesini istiyor ve bu da TPM'nin Oturum anahtarını kullanarak şifresini çözmesini istiyor ve bu da WAM eklentisinin her iki belirteci de almasına neden oluyor. Ardından WAM eklentisi uygulamaya yalnızca erişim belirteci sağlarken yenileme belirtecini DPAPI ile yeniden şifreler ve kendi önbelleğinde depolar
C	Uygulama için yenileme belirteci kullanılamıyorsa, Microsoft Entra WAM eklentisi erişim belirteci istemek için PRT'yi kullanır. SAHIPlik kanıtı sağlamak için WAM eklentisi PRT'yi içeren isteği Oturum anahtarıyla imzalar. Microsoft Entra Id, Oturum anahtarı imzasını PRT'ye eklenmiş Oturum anahtarıyla karşılaştırarak doğrular, cihazın geçerli olduğunu doğrular ve uygulama için bir erişim belirteci ve yenileme belirteci verir. Ayrıca, Microsoft Entra ID yeni bir PRT (yenileme döngüsüne göre) verebilir ve bunların tümü Oturum anahtarıyla şifrelenir.
D	WAM eklentisi, CloudAP eklentisinden belirteçlerin şifresini çözmesini istiyor ve bu da TPM'nin Oturum anahtarını kullanarak şifresini çözmesini istiyor ve bu da WAM eklentisinin her iki belirteci de almasına neden oluyor. Ardından WAM eklentisi uygulamaya yalnızca erişim belirteci sağlarken yenileme belirtecini DPAPI ile yeniden şifreler ve kendi önbelleğinde depolar. WAM eklentisi, bu uygulama için ileriye dönük yenileme belirtecini kullanır. WAM eklentisi, kendi önbelleğinde güncelleştirmeden önce PRT'yi Microsoft Entra Id ile doğrulayan cloudAP eklentisine yeni PRT'yi de geri verir. CloudAP eklentisi bundan sonra yeni PRT'yi kullanır.
E	WAM, çağıran uygulamaya yeni verilen erişim belirtecini sağlar.

PRT kullanarak tarayıcı SSO'su (Windows)

Adımlar	Açıklama
A	Kullanıcı, PRT almak için kimlik bilgileriyle Windows'ta oturum açar. Kullanıcı tarayıcıyı açtıktan sonra tarayıcı (veya uzantı) kayıt defterinden URL'leri yükler.
B	Kullanıcı bir Microsoft Entra oturum açma URL'sini açtığında, tarayıcı veya tarayıcı uzantısı bu URL'yi kayıt defterinden alınan URL'lerle karşılaştırır. Eşleşirse, tarayıcı bir jeton almak için yerel istemci ana bilgisayarını çağırır.
C	Yerel istemci uygulaması, URL'lerin Microsoft kimlik sağlayıcılarına (Microsoft hesabı veya Microsoft Entra ID) ait olduğunu doğrular, URL'den gönderilen bir nonce ayıklar ve PRT çerezi almak için CloudAP eklentisine bir çağrı yapar.
D	CloudAP eklentisi PRT tanımlama bilgisi (cookie) oluşturur, TPM'ye bağlı oturum anahtarıyla imzalar ve yerel istemci ana bilgisayarına geri gönderir.
E	Yerel istemci ana bilgisayarı bu PRT tanımlama bilgisini tarayıcıya döndürür. Tarayıcı, bu tanımlama bilgisini x-ms-RefreshTokenCredential adlı istek üst bilgisinin bir parçası olarak ekler ve Microsoft Entra ID'den belirteç ister.
F	Microsoft Entra ID, PRT tanımlama bilgisindeki Oturum Anahtarı İmzası'nı doğrular, nonce'ı doğrular, cihazın kiracıda geçerli olduğunu doğrular ve web sayfası için bir kimlik belirteci ile tarayıcı için şifrelenmiş bir oturum tanımlama bilgisi verir.

Not

Önceki adımlarda açıklanan Tarayıcı SSO akışı, Microsoft Edge'de InPrivate, Google Chrome'da Gizli (Microsoft Hesapları uzantısını kullanırken) veya Mozilla Firefox v91+ uygulamasında özel modda oturumlar için geçerli değildir

Sonraki adımlar

PRT ile ilgili sorunları giderme hakkında daha fazla bilgi için Microsoft Entra karmaya katılmış Windows 10 veya daha yeni ve Windows Server 2016 cihazlarında sorun giderme makalesine bakın.