Birincil Yenileme Belirteci nedir?
Birincil Yenileme Belirteci (PRT), Windows 10 veya üzeri, Windows Server 2016 ve sonraki sürümler, iOS ve Android cihazlarda Microsoft Entra kimlik doğrulamasının önemli bir yapıtıdır. Bu, bu cihazlarda kullanılan uygulamalarda çoklu oturum açmayı (SSO) etkinleştirmek için Microsoft birinci taraf belirteç aracılarına özel olarak verilen bir JSON Web Belirtecidir (JWT). Bu makalede, Windows 10 veya daha yeni cihazlarda PRT'nin nasıl verildiğine, kullanıldığına ve korunduğuna ilişkin ayrıntıları sağlayın. En iyi SSO deneyimini elde etmek için Windows 10, Windows 11 ve Windows Server 2019+'ın en son sürümlerini kullanmanızı öneririz.
Bu makalede, Microsoft Entra Id'de kullanılabilen farklı cihaz durumlarını ve Windows 10 veya daha yeni sürümlerde çoklu oturum açmanın nasıl çalıştığını zaten anladığınız varsayılır. Microsoft Entra Id'deki cihazlar hakkında daha fazla bilgi için Microsoft Entra Id'de cihaz yönetimi nedir? makalesine bakın.
Temel terminoloji ve bileşenler
Aşağıdaki Windows bileşenleri PRT isteme ve kullanma konusunda önemli bir rol oynar:
- Bulut Kimlik Doğrulama Sağlayıcısı (CloudAP): CloudAP, Windows 10 veya daha yeni bir cihazda oturum açan kullanıcıları doğrulayan, Windows oturum açma için modern kimlik doğrulama sağlayıcısıdır. CloudAP, kimlik sağlayıcılarının bu kimlik sağlayıcısının kimlik bilgilerini kullanarak Windows'ta kimlik doğrulamasını etkinleştirmek için üzerinde oluşturabileceği bir eklenti çerçevesi sağlar.
- Web Hesabı Yöneticisi (WAM): WAM, Windows 10 veya daha yeni cihazlarda varsayılan belirteç aracısıdır. WAM ayrıca kimlik sağlayıcılarının bu kimlik sağlayıcısını kullanan uygulamalarına SSO oluşturabileceği ve etkinleştirebileceği bir eklenti çerçevesi de sağlar.
- Microsoft Entra CloudAP eklentisi: Windows oturum açma sırasında Microsoft Entra Id ile kullanıcı kimlik bilgilerini doğrulayan CloudAP çerçevesi üzerinde oluşturulmuş bir Microsoft Entra'ya özgü eklenti.
- Microsoft Entra WAM eklentisi: Kimlik doğrulaması için Microsoft Entra Id kullanan uygulamalara SSO'ya olanak tanıyan WAM çerçevesi üzerinde oluşturulmuş bir Microsoft Entra'ya özgü eklenti.
- Dsreg: Tüm cihaz durumları için cihaz kayıt işlemini işleyen Windows 10 veya daha yeni bir sürümdeki Microsoft Entra'ya özgü bir bileşendir.
- Güvenilen Platform Modülü (TPM): TPM, kullanıcı ve cihaz gizli dizileri için donanım tabanlı güvenlik işlevleri sağlayan bir cihazda yerleşik olarak bulunan bir donanım bileşenidir. Daha fazla bilgi için Bkz. Güvenilir Platform Modülü Teknolojisine Genel Bakış.
PRT ne içerir?
PRT, Microsoft Entra Id yenileme belirteçlerinin çoğunda bulunan talepleri içerir. Ayrıca PRT'ye dahil edilen cihaza özgü bazı talepler de vardır. Bunlar aşağıdaki gibidir:
- Cihaz Kimliği: Belirli bir cihazdaki bir kullanıcıya PRT verilir. Cihaz kimliği talebi
deviceID, PRT'nin kullanıcıya verildiği cihazı belirler. Bu talep daha sonra PRT aracılığıyla alınan belirteçlere verilir. Cihaz kimliği talebi, cihaz durumuna veya uyumluluğuna göre Koşullu Erişim yetkilendirmesini belirlemek için kullanılır. - Oturum anahtarı: Oturum anahtarı, PrT'nin bir parçası olarak verilen Microsoft Entra kimlik doğrulama hizmeti tarafından oluşturulan şifrelenmiş bir simetrik anahtardır. Oturum anahtarı, diğer uygulamaların belirteçlerini almak için bir PRT kullanıldığında sahiplik kanıtı işlevi görür. Oturum anahtarı, 30 günden eskiyse Windows 10 veya daha yeni Microsoft Entra'ya katılmış veya Microsoft Entra karma katılmış cihazlarda alınır.
PRT'de ne olduğunu görebilir miyim?
PRT, microsoft Entra'dan gönderilen ve içeriği hiçbir istemci bileşeni tarafından bilinmeyen opak bir blobdur. PRT'nin içinde ne olduğunu göremezsiniz.
PRT nasıl verilir?
Cihaz kaydı, Microsoft Entra Id'de cihaz tabanlı kimlik doğrulaması için bir önkoşuldur. PrT yalnızca kayıtlı cihazlardaki kullanıcılara verilir. Cihaz kaydı hakkında daha ayrıntılı bilgi için İş İçin Windows Hello ve Cihaz Kaydı makalesine bakın. Cihaz kaydı sırasında dsreg bileşeni iki şifreleme anahtar çifti kümesi oluşturur:
- Cihaz anahtarı (dkpub/dkpriv)
- Aktarım anahtarı (tkpub/tkpriv)
Cihazın geçerli ve çalışır durumda bir TPM'si varsa özel anahtarlar cihazın TPM'sine bağlıdır, ortak anahtarlar ise cihaz kayıt işlemi sırasında Microsoft Entra Id'ye gönderilir. Bu anahtarlar PRT istekleri sırasında cihaz durumunu doğrulamak için kullanılır.
PRT, iki senaryoda windows 10 veya daha yeni bir cihazda kullanıcı kimlik doğrulaması sırasında verilir:
- Microsoft Entra'ya katılmış veya Microsoft Entra karmasına katılmış: Kullanıcı kuruluş kimlik bilgileriyle oturum açtığında Windows oturum açma sırasında bir PRT verilir. PrT, parola ve İş İçin Windows Hello gibi tüm Windows 10 veya daha yeni desteklenen kimlik bilgileriyle verilir. Bu senaryoda PrT için birincil yetkili Microsoft Entra CloudAP eklentisidir.
- Microsoft Entra kayıtlı cihaz: Kullanıcı Windows 10 veya daha yeni bir cihazına ikincil iş hesabı eklediğinde prt verilir. Kullanıcılar Windows 10 veya daha yeni bir sürüme iki farklı yolla hesap ekleyebilir:
- Bir uygulamada oturum açtıktan sonra kuruluşumun cihazımı yönetmesine izin ver istemi aracılığıyla hesap ekleme (örneğin, Outlook)
- Ayarlar> Accounts>Access İş veya Okul> hesabı ekleme Bağlan
Microsoft Entra kayıtlı cihaz senaryolarında, Windows oturum açma işlemi bu Microsoft Entra hesabıyla gerçekleşmediğinden Microsoft Entra WAM eklentisi PRT için birincil yetkilidir.
Not
Üçüncü taraf kimlik sağlayıcılarının Windows 10 veya daha yeni cihazlarda PRT verme özelliğini etkinleştirmek için WS-Trust protokolünü desteklemesi gerekir. WS-Trust olmadan PRT, Microsoft Entra karmasına katılmış veya Microsoft Entra'ya katılmış cihazlardaki kullanıcılara verilemez. AD FS'de yalnızca kullanıcı adı karışık uç noktaları gereklidir. AD FS'de certificatemixed Windows oturum açma uç noktaları sırasında kullanılıyorsa smartcard/certificate gereklidir. Hem hem de adfs/services/trust/2005/windowstransportadfs/services/trust/13/windowstransport yalnızca intranet'e yönelik uç noktalar olarak etkinleştirilmelidir ve Web Uygulama Ara Sunucusu aracılığıyla extranet'e yönelik uç noktalar olarak sunulmamalıdır.
Not
PRT'ler verildiğinde Microsoft Entra Koşullu Erişim ilkeleri değerlendirilmez.
Not
Microsoft Entra PRT'lerinin verilmesi ve yenilenmesi için üçüncü taraf kimlik bilgisi sağlayıcılarını desteklemiyoruz.
PRT'nin ömrü nedir?
PrT verildikten sonra 14 gün geçerlidir ve kullanıcı cihazı etkin bir şekilde kullandığı sürece sürekli yenilenir.
PRT nasıl kullanılır?
PRT, Windows'taki iki temel bileşen tarafından kullanılır:
- Microsoft Entra CloudAP eklentisi: Windows oturum açma sırasında Microsoft Entra CloudAP eklentisi, kullanıcı tarafından sağlanan kimlik bilgilerini kullanarak Microsoft Entra ID'den bir PRT istemektedir. Ayrıca kullanıcının İnternet bağlantısına erişimi olmadığında önbelleğe alınmış oturum açmayı etkinleştirmek için PRT'yi önbelleğe alır.
- Microsoft Entra WAM eklentisi: Kullanıcılar uygulamalara erişmeye çalıştığında, Microsoft Entra WAM eklentisi Windows 10 veya daha yeni sürümlerde SSO'yu etkinleştirmek için PRT'yi kullanır. Microsoft Entra WAM eklentisi, belirteç istekleri için WAM kullanan uygulamalar için yenileme ve erişim belirteçleri istemek için PRT'yi kullanır. Ayrıca PRT'yi tarayıcı isteklerine ekleyerek tarayıcılarda SSO'ya da olanak tanır. Windows 10 veya daha yeni sürümlerde tarayıcı SSO'yu Microsoft Edge (yerel olarak), Chrome'da ( Windows 10 Hesapları veya Mozilla Firefox v91+ (Firefox Windows SSO ayarı) destekler
Not
Bir kullanıcının tarayıcı uygulamasında oturum açmış aynı Microsoft Entra kiracısından iki hesabı olduğu durumlarda, birincil hesabın PRT'sinin sağladığı cihaz kimlik doğrulaması ikinci hesaba da otomatik olarak uygulanır. Sonuç olarak, ikinci hesap kiracıdaki tüm cihaz tabanlı Koşullu Erişim ilkesini de karşılar.
PRT nasıl yenilenir?
PRT iki farklı yöntemle yenilenir:
- Microsoft Entra CloudAP eklentisi 4 saatte bir: CloudAP eklentisi, Windows oturum açma sırasında PRT'yi 4 saatte bir yeniler. Kullanıcının bu süre boyunca İnternet bağlantısı yoksa CloudAP eklentisi, cihaz İnternet'e bağlandıktan sonra PRT'yi yeniler.
- Uygulama belirteci istekleri sırasında Microsoft Entra WAM eklentisi: WAM eklentisi, uygulamalar için sessiz belirteç isteklerini etkinleştirerek Windows 10 veya daha yeni cihazlarda SSO'yu etkinleştirir. WAM eklentisi, bu belirteç istekleri sırasında PRT'yi iki farklı yolla yenileyebilir:
- Uygulama, wam'a erişim belirteci için sessizce istekte bulunur ancak bu uygulama için kullanılabilir yenileme belirteci yoktur. Bu durumda WAM, uygulama için belirteç istemek için PRT'yi kullanır ve yanıtta yeni bir PRT alır.
- Bir uygulama erişim belirteci için WAM ister, ancak PRT geçersiz veya Microsoft Entra Kimliği fazladan yetkilendirme gerektirir (örneğin, Microsoft Entra çok faktörlü kimlik doğrulaması). Bu senaryoda WAM, kullanıcının yeniden kimlik doğrulamasını veya ek doğrulama sağlamasını gerektiren etkileşimli bir oturum açma başlatır ve başarılı kimlik doğrulamasında yeni bir PRT verilir.
AD FS ortamında PRT'yi yenilemek için etki alanı denetleyicisine doğrudan görüş hattı gerekmez. PRT yenilemesi için yalnızca /adfs/services/trust/2005/usernamemixed ve /adfs/services/trust/13/usernamemixed uç noktaların WS-Trust protokolü kullanılarak ara sunucuda etkinleştirilmesi gerekir.
Windows aktarım uç noktaları, prt yenilemesi için değil, yalnızca parola değiştirildiğinde parola kimlik doğrulaması için gereklidir.
Not
PRT'ler yenilendiğinde Microsoft Entra Koşullu Erişim ilkeleri değerlendirilmez.
Dikkat edilmesi gereken temel konular
- Microsoft Entra'ya katılmış ve Microsoft Entra karma katılmış cihazlarda CloudAP eklentisi, prt için birincil yetkilidir. PRT, WAM tabanlı belirteç isteği sırasında yenilenirse, PRT cloudAP eklentisine geri gönderilir ve bu eklenti PRT'yi kabul etmeden önce Microsoft Entra Id ile doğrular.
Android Platformu:
- PRT 90 gün boyunca geçerlidir ve cihaz kullanımda olduğu sürece sürekli yenilenir. Ancak cihaz kullanımda değilse yalnızca 14 gün geçerlidir.
- PRT yalnızca yerel uygulama kimlik doğrulaması sırasında verilir ve yenilenir. PrT, tarayıcı oturumu sırasında yenilenmez veya verilmez.
- Cihaz kaydına (Workplace Join) gerek kalmadan bir PRT elde etmek ve SSO'nun etkinleştirilmesini sağlamak mümkündür.
- Cihaz kaydı olmadan alınan PRT'ler, koşullu erişim için cihazın durumuna veya uyumluluğuna bağlı olan yetkilendirme ölçütlerini karşılayamaz.
PRT nasıl korunur?
PRT, kullanıcının oturum açtığı cihaza bağlanarak korunur. Microsoft Entra Id ve Windows 10 veya daha yeni sürümler aşağıdaki yöntemlerle PRT korumasını etkinleştirir:
- İlk oturum açma sırasında: İlk oturum açma sırasında, cihaz kaydı sırasında şifreli olarak oluşturulan cihaz anahtarı kullanılarak isteklerin imzalanarak bir PRT verilir. Geçerli ve çalışır durumdaki TPM'ye sahip bir cihazda, cihaz anahtarı TPM tarafından güvenli hale getirilerek kötü amaçlı erişim engellenir. İlgili cihaz anahtarı imzası doğrulanamıyorsa PRT verilmez.
- Belirteç istekleri ve yenileme sırasında: PrT yayımlandığında, Microsoft Entra Id cihaza şifreli bir oturum anahtarı da verir. Cihaz kaydı kapsamında oluşturulan ve Microsoft Entra Id'ye gönderilen toplu taşıma anahtarı (tkpub) ile şifrelenir. Bu oturum anahtarının şifresi yalnızca TPM tarafından güvenliği sağlanan özel aktarım anahtarı (tkpriv) tarafından çözülebilir. Oturum anahtarı, Microsoft Entra Id'ye gönderilen tüm istekler için SahipLik Kanıtı (POP) anahtarıdır. Oturum anahtarı da TPM tarafından korunur ve başka hiçbir işletim sistemi bileşeni bu anahtara erişemez. Belirteç istekleri veya PRT yenileme istekleri TPM aracılığıyla bu oturum anahtarı tarafından güvenli bir şekilde imzalanır ve bu nedenle üzerinde oynanamaz. Microsoft Entra, cihazdan gelen ve ilgili oturum anahtarı tarafından imzalanmayan tüm istekleri geçersiz kıldığını gösterir.
Bu anahtarları TPM ile güvenli hale getirerek, anahtarları çalmaya veya PRT'yi yeniden yürütmeye çalışan kötü amaçlı aktörlerin PRT güvenliğini artırırız. Bu nedenle, TPM kullanmak Microsoft Entra'ya katılmış, Microsoft Entra karmasına katılmış ve Microsoft Entra kayıtlı cihazların güvenliğini kimlik bilgisi hırsızlığına karşı büyük ölçüde artırır. Performans ve güvenilirlik için TPM 2.0, Windows 10 veya daha yeni sürümlerdeki tüm Microsoft Entra cihaz kayıt senaryoları için önerilen sürümdür. Microsoft Entra ID, Windows 10, 1903 güncelleştirmesi ile başlayarak güvenilirlik sorunları nedeniyle yukarıdaki anahtarlardan herhangi biri için TPM 1.2 kullanmaz.
Uygulama belirteçleri ve tarayıcı tanımlama bilgileri nasıl korunur?
Uygulama belirteçleri: Bir uygulama WAM aracılığıyla belirteç istediğinde, Microsoft Entra Id bir yenileme belirteci ve erişim belirteci verir. Ancak WAM yalnızca uygulamaya erişim belirtecini döndürür ve kullanıcının veri koruma uygulaması programlama arabirimi (DPAPI) anahtarıyla şifreleyerek önbelleğindeki yenileme belirtecinin güvenliğini sağlar. WAM, daha fazla erişim belirteci vermek için oturum anahtarıyla istekleri imzalayarak yenileme belirtecini güvenli bir şekilde kullanır. DPAPI anahtarı, Microsoft Entra Id tabanlı bir simetrik anahtarla Microsoft Entra'nın kendisinde güvenlik altına alınır. Cihazın DPAPI anahtarıyla kullanıcı profilinin şifresini çözmesi gerektiğinde, Microsoft Entra ID oturum anahtarı tarafından şifrelenen DPAPI anahtarını sağlar ve CloudAP eklentisi tpm'nin şifresini çözmesini istemektedir. Bu işlevsellik, yenileme belirteçlerinin güvenliğini sağlama konusunda tutarlılık sağlar ve uygulamaların kendi koruma mekanizmalarını uygulamamasını sağlar.
Tarayıcı tanımlama bilgileri: Windows 10 veya daha yeni sürümlerde Microsoft Entra ID, Internet Explorer ve Microsoft Edge'de tarayıcı SSO'sunu yerel olarak, Google Chrome'da Windows 10 hesapları uzantısı aracılığıyla ve Mozilla Firefox v91+'da tarayıcı ayarını destekler. Güvenlik yalnızca tanımlama bilgilerini korumak için değil, aynı zamanda tanımlama bilgilerinin gönderildiği uç noktaları da korumak için oluşturulur. Tarayıcı tanımlama bilgileri, tanımlama bilgilerini imzalamak ve korumak için oturum anahtarı kullanılarak PRT ile aynı şekilde korunur.
Kullanıcı bir tarayıcı etkileşimi başlattığında, tarayıcı (veya uzantı) bir COM yerel istemci konağı çağırır. Yerel istemci ana bilgisayarı, sayfanın izin verilen etki alanlarından birinden olmasını sağlar. Tarayıcı, yerel istemci konağına bir nonce de dahil olmak üzere başka parametreler gönderebilir, ancak yerel istemci ana bilgisayar ana bilgisayar adının doğrulanması garanti eder. Yerel istemci ana bilgisayarı, CloudAP eklentisinden BIR PRT tanımlama bilgisi ister ve bunu TPM korumalı oturum anahtarıyla oluşturur ve imzalar. PRT tanımlama bilgisi oturum anahtarı tarafından imzalandığından üzerinde oynanmak zordur. Bu PRT tanımlama bilgisi, kaynağı olan cihazı doğrulamak için Microsoft Entra Id'nin istek üst bilgisinde yer alır. Chrome tarayıcısını kullanıyorsanız, yalnızca yerel istemci ana bilgisayarının bildiriminde açıkça tanımlanan uzantı bunu çağırarak rastgele uzantıların bu istekleri yapmasını engelleyebilir. Microsoft Entra Id PRT tanımlama bilgisini doğruladıktan sonra tarayıcıya bir oturum tanımlama bilgisi verir. Bu oturum tanımlama bilgisi, PRT ile verilen oturum anahtarının aynısını da içerir. Sonraki istekler sırasında oturum anahtarı, tanımlama bilgisini cihaza etkili bir şekilde bağlayarak ve başka bir yerden yeniden yürütmeyi önleyerek doğrulanır.
PRT ne zaman MFA talebi alır?
PRT, belirli senaryolarda çok faktörlü kimlik doğrulaması talebi alabilir. Uygulamalar için belirteç istemek için MFA tabanlı prt kullanıldığında, MFA talebi bu uygulama belirteçlerine aktarılır. Bu işlevsellik, bunu gerektiren her uygulama için MFA sınamasını engelleyerek kullanıcılara sorunsuz bir deneyim sağlar. PRT aşağıdaki yollarla bir MFA talebi alabilir:
- İş İçin Windows Hello ile oturum açın: İş İçin Windows Hello parolaların yerini alır ve güçlü iki öğeli kimlik doğrulaması sağlamak için şifreleme anahtarlarını kullanır. İş İçin Windows Hello, cihazdaki bir kullanıcıya özgüdür ve MFA'nın sağlamasını gerektirir. Bir kullanıcı İş İçin Windows Hello ile oturum açtığında, kullanıcının PRT'si bir MFA talebi alır. Bu senaryo, akıllı kart kimlik doğrulaması AD FS'den bir MFA talebi oluşturursa akıllı kartlarla oturum açan kullanıcılar için de geçerlidir.
- İş İçin Windows Hello çok faktörlü kimlik doğrulaması olarak kabul edildiğindeNT'nin kendisi yenilendiğinde MFA talebi güncelleştirilir, bu nedenle kullanıcılar İş İçin Windows Hello ile oturum açtıklarında MFA süresi sürekli olarak güncelleştirilir.
- WAM etkileşimli oturum açma sırasında MFA: WAM aracılığıyla yapılan belirteç isteği sırasında, bir kullanıcının uygulamaya erişmek için MFA yapması gerekiyorsa, bu etkileşim sırasında yenilenen PRT bir MFA talebiyle yazdırılır.
- Bu durumda, MFA talebi sürekli olarak güncelleştirilmez, bu nedenle MFA süresi dizinde ayarlanan yaşam süresini temel alır.
- Bir uygulamaya erişim için önceki bir PRT ve RT kullanıldığında, PRT ve RT ilk kimlik doğrulama kanıtı olarak kabul edilir. İkinci bir kanıt ve yazdırılmış MFA talebiyle yeni bir RT gereklidir. Bu işlem yeni bir PRT ve RT de verir.
Windows 10 veya daha yeni sürümler, her kimlik bilgisi için bölümlenmiş prt listesini tutar. Bu nedenle, İş İçin Windows Hello, parola veya akıllı kartın her biri için bir PRT vardır. Bu bölümleme, MFA taleplerinin kullanılan kimlik bilgilerine göre yalıtılmasını ve belirteç istekleri sırasında karıştırılmamasını sağlar.
Not
Windows 10'da veya daha yeni Microsoft Entra'ya katılmış veya Microsoft Entra hibritine katılmış cihazda oturum açmak için parola kullanırken, PRT ile ilişkili oturum anahtarı alındıktan sonra WAM etkileşimli oturum açma sırasında MFA gerekebilir.
PRT nasıl geçersiz kılındı?
Aşağıdaki senaryolarda PRT geçersiz kılındı:
- Geçersiz kullanıcı: Bir kullanıcı Microsoft Entra Kimliği'nde silinir veya devre dışı bırakılırsa PRT'si geçersiz kılınmış olur ve uygulamalar için belirteçleri almak için kullanılamaz. Silinmiş veya devre dışı bırakılmış bir kullanıcı daha önce bir cihazda oturum açmışsa, CloudAP geçersiz durumunu fark edene kadar önbelleğe alınmış oturum açma işlemi oturum açar. CloudAP kullanıcının geçersiz olduğunu belirledikten sonra sonraki oturum açmaları engeller. Geçersiz bir kullanıcının, kimlik bilgileri önbelleğe alınmamış yeni cihazlarda oturum açması otomatik olarak engellenir.
- Geçersiz cihaz: Bir cihaz Microsoft Entra Id'de silinir veya devre dışı bırakılırsa, bu cihazda elde edilen PRT geçersiz kılınmış olur ve diğer uygulamaların belirteçlerini almak için kullanılamaz. Bir kullanıcı zaten geçersiz bir cihazda oturum açmışsa, bunu yapmaya devam edebilir. Ancak cihazdaki tüm belirteçler geçersiz kılındı ve kullanıcının bu cihazdan herhangi bir kaynakta SSO's yok.
- Parola değişikliği: Kullanıcı PRT'yi parolasıyla aldıysa, kullanıcı parolasını değiştirdiğinde PRT, Microsoft Entra Kimliği tarafından geçersiz kılınmış olur. Parola değişikliği, kullanıcının yeni bir PRT almasına neden olur. Bu geçersizleştirme iki farklı şekilde gerçekleşebilir:
- Kullanıcı yeni parolasıyla Windows'ta oturum açarsa, CloudAP eski PRT'yi atar ve Microsoft Entra Id'nin yeni parolasıyla yeni bir PRT yayınlamasını istemektedir. Kullanıcının İnternet bağlantısı yoksa, yeni parola doğrulanamazsa, Windows kullanıcının eski parolasını girmesini gerektirebilir.
- Bir kullanıcı eski parolasıyla oturum açtıysa veya Windows'ta oturum açtıktan sonra parolasını değiştirdiyse, wam tabanlı belirteç istekleri için eski PRT kullanılır. Bu senaryoda, wam belirteç isteği sırasında kullanıcıdan yeniden kimlik doğrulaması istenir ve yeni bir PRT verilir.
- TPM sorunları: Bazen bir cihazın TPM'si bozulabilir veya başarısız olabilir ve bu da TPM tarafından güvenliği sağlanan anahtarlara erişilememesine neden olur. Bu durumda cihaz, şifreleme anahtarlarına sahip olduğunu kanıtlayamayacak kadar mevcut bir PRT'yi kullanarak PRT alma veya belirteç isteme konusunda yetersizdir. Sonuç olarak, mevcut PRT'ler Microsoft Entra Id tarafından geçersiz kılındı. Windows 10 bir hata algıladığında, cihazı yeni şifreleme anahtarlarıyla yeniden kaydetmek için bir kurtarma akışı başlatır. İlk kayıtta olduğu gibi Microsoft Entra karma katılımı ile kurtarma da kullanıcı girişi olmadan sessiz bir şekilde gerçekleşir. Microsoft Entra'ya katılmış veya Microsoft Entra kayıtlı cihazlarda, kurtarmanın cihazda yönetici ayrıcalıklarına sahip bir kullanıcı tarafından gerçekleştirilmesi gerekir. Bu senaryoda kurtarma akışı, kullanıcıya cihazı başarıyla kurtarması için yol gösteren bir Windows istemi tarafından başlatılır.
Ayrıntılı akışlar
Aşağıdaki diyagramlarda uygulama için erişim belirteci istemek üzere PRT verme, yenileme ve kullanma ile ilgili temel ayrıntılar gösterilmektedir. Ayrıca, bu adımlar yukarıda belirtilen güvenlik mekanizmalarının bu etkileşimler sırasında nasıl uygulandığını da açıklar.
İlk oturum açma sırasında PRT verme
Not
Microsoft Entra'ya katılmış cihazlarda, kullanıcı Windows'ta oturum açabilmesi için Microsoft Entra PRT verme (A-F adımları) zaman uyumlu olarak gerçekleşir. Microsoft Entra hibrite katılmış cihazlarda birincil yetkili şirket içi Active Directory. Bu nedenle, kullanıcı oturum açmak için bir TGT edindikten sonra Microsoft Entra karma katılmış Windows'ta oturum açabilir ve PRT verme işlemi zaman uyumsuz olarak gerçekleşir. Oturum açma işlemi Microsoft Entra kimlik bilgilerini kullanmadığından bu senaryo Microsoft Entra kayıtlı cihazlar için geçerli değildir.
Not
Microsoft Entra karma birleştirilmiş Windows ortamında PRT'nin verilmesi zaman uyumsuz olarak gerçekleşir. PRT'nin verilmesi, federasyon sağlayıcısıyla ilgili sorunlar nedeniyle başarısız olabilir. Bu hata, kullanıcılar bulut kaynaklarına erişmeye çalıştığında oturum açma sorunlarına neden olabilir. Bu senaryoyu federasyon sağlayıcısıyla gidermek önemlidir.
| Adımlar | Açıklama |
|---|---|
| A | Kullanıcı oturum açma kullanıcı arabirimine parolasını girer. LogonUI kimlik bilgilerini bir kimlik doğrulama arabelleğinde LSA'ya geçirir ve bu da kimlik bilgilerini dahili olarak CloudAP'e geçirir. CloudAP bu isteği CloudAP eklentisine iletir. |
| K | CloudAP eklentisi, kullanıcının kimlik sağlayıcısını tanımlamak için bir bölge bulma isteği başlatır. Kullanıcının kiracısının federasyon sağlayıcısı kurulumu varsa, Microsoft Entra Id federasyon sağlayıcısının Meta Veri Değişimi uç noktasını (MEX) döndürür. Aksi takdirde, Microsoft Entra Kimliği, kullanıcının Microsoft Entra Kimliği ile kimlik doğrulaması yapabileceklerini belirten yönetildiğini döndürür. |
| C | Kullanıcı yönetiliyorsa CloudAP, Microsoft Entra Id'den nonce alır. Kullanıcı federasyona bağlıysa, CloudAP eklentisi federasyon sağlayıcısından kullanıcının kimlik bilgileriyle bir Güvenlik Onaylama İşaretleme Dili (SAML) belirteci ister. SAML belirteci Microsoft Entra Kimliği'ne gönderilmeden önce Nonce istenir. |
| D | CloudAP eklentisi kimlik doğrulama isteğini kullanıcının kimlik bilgileri, nonce ve aracı kapsamıyla oluşturur, isteği Cihaz anahtarıyla (dkpriv) imzalar ve Microsoft Entra Id'ye gönderir. Federasyon ortamında CloudAP eklentisi, kullanıcının kimlik bilgileri yerine federasyon sağlayıcısı tarafından döndürülen SAML belirtecini kullanır. |
| E | Microsoft Entra Id kullanıcı kimlik bilgilerini, nonce'ı ve cihaz imzasını doğrular, cihazın kiracıda geçerli olduğunu doğrular ve şifrelenmiş PRT'yi verir. Microsoft Entra ID, PRT ile birlikte Aktarım anahtarı (tkpub) kullanılarak Microsoft Entra Kimliği ile şifrelenen Oturum anahtarı olarak adlandırılan bir simetrik anahtar da verir. Buna ek olarak, Oturum anahtarı PRT'ye de eklenir. Bu Oturum anahtarı, PRT ile sonraki istekler için Sahiplik Kanıtı (PoP) anahtarı işlevi görür. |
| F | CloudAP eklentisi şifrelenmiş PRT ve Oturum anahtarını CloudAP'e geçirir. CloudAP, TPM'nin Aktarım anahtarını (tkpriv) kullanarak Oturum anahtarının şifresini çözmesini ve TPM'nin kendi anahtarını kullanarak yeniden şifrelemesini ister. CloudAP şifrelenmiş Oturum anahtarını PRT ile birlikte önbelleğinde depolar. |
Sonraki oturum açmalarda PRT yenilemesi
| Adımlar | Açıklama |
|---|---|
| A | Kullanıcı oturum açma kullanıcı arabirimine parolasını girer. LogonUI kimlik bilgilerini bir kimlik doğrulama arabelleğinde LSA'ya geçirir ve bu da kimlik bilgilerini dahili olarak CloudAP'e geçirir. CloudAP bu isteği CloudAP eklentisine iletir. |
| K | Kullanıcı daha önce kullanıcıda oturum açtıysa, Windows önbelleğe alınmış oturum açmayı başlatır ve kullanıcının oturum açması için kimlik bilgilerini doğrular. CloudAP eklentisi 4 saatte bir PRT yenilemesini zaman uyumsuz olarak başlatır. |
| C | CloudAP eklentisi, kullanıcının kimlik sağlayıcısını tanımlamak için bir bölge bulma isteği başlatır. Kullanıcının kiracısının federasyon sağlayıcısı kurulumu varsa, Microsoft Entra Id federasyon sağlayıcısının Meta Veri Değişimi uç noktasını (MEX) döndürür. Aksi takdirde, Microsoft Entra Kimliği, kullanıcının Microsoft Entra Kimliği ile kimlik doğrulaması yapabileceklerini belirten yönetildiğini döndürür. |
| D | Kullanıcı federasyona bağlıysa, CloudAP eklentisi federasyon sağlayıcısından kullanıcının kimlik bilgilerini içeren bir SAML belirteci istemektedir. SAML belirteci Microsoft Entra Kimliği'ne gönderilmeden önce Nonce istenir. Kullanıcı yönetiliyorsa, CloudAP doğrudan Microsoft Entra Id'den nonce alır. |
| E | CloudAP eklentisi, kimlik doğrulama isteğini kullanıcının kimlik bilgileri, nonce ve mevcut PRT ile oluşturur, isteği Oturum anahtarıyla imzalar ve Microsoft Entra Kimliği'ne gönderir. Federasyon ortamında CloudAP eklentisi, kullanıcının kimlik bilgileri yerine federasyon sağlayıcısı tarafından döndürülen SAML belirtecini kullanır. |
| F | Microsoft Entra Id, Oturum anahtarı imzasını PRT'ye eklenmiş Oturum anahtarıyla karşılaştırarak doğrular, nonce'ı doğrular ve cihazın kiracıda geçerli olduğunu doğrular ve yeni bir PRT verir. Daha önce görüldüğü gibi PRT'ye yine Aktarım anahtarı (tkpub) ile şifrelenen Oturum anahtarı eşlik etti. |
| G | CloudAP eklentisi şifrelenmiş PRT ve Oturum anahtarını CloudAP'e geçirir. CloudAP, TPM'nin Aktarım anahtarını (tkpriv) kullanarak Oturum anahtarının şifresini çözmesini ve TPM'nin kendi anahtarını kullanarak yeniden şifrelemesini ister. CloudAP şifrelenmiş Oturum anahtarını PRT ile birlikte önbelleğinde depolar. |
Not
Kullanıcı adı karma uç noktaları dışarıdan etkinleştirildiğinde BIR PRT, VPN bağlantısına gerek kalmadan harici olarak yenilenebilir.
Uygulama belirteci istekleri sırasında PRT kullanımı
| Adımlar | Açıklama |
|---|---|
| A | Bir uygulama (örneğin, Outlook, OneNote vb.) WAM'ye bir belirteç isteği başlatır. BUNA karşılık WAM, Microsoft Entra WAM eklentisinden belirteç isteğine hizmet vermesini ister. |
| K | Uygulama için bir Yenileme belirteci zaten varsa, Microsoft Entra WAM eklentisi erişim belirteci istemek için bunu kullanır. Cihaz bağlama kanıtı sağlamak için WAM eklentisi isteği Oturum anahtarıyla imzalar. Microsoft Entra Id, Oturum anahtarını doğrular ve oturum anahtarıyla şifrelenmiş bir erişim belirteci ve uygulama için yeni bir yenileme belirteci verir. WAM eklentisi, CloudAP eklentisinden belirteçlerin şifresini çözmesini istiyor ve bu da TPM'nin Oturum anahtarını kullanarak şifresini çözmesini istiyor ve bu da WAM eklentisinin her iki belirteci de almasına neden oluyor. Ardından WAM eklentisi uygulamaya yalnızca erişim belirteci sağlarken yenileme belirtecini DPAPI ile yeniden şifreler ve kendi önbelleğinde depolar |
| C | Uygulama için Yenileme belirteci kullanılamıyorsa, Microsoft Entra WAM eklentisi erişim belirteci istemek için PRT'yi kullanır. SAHIPlik kanıtı sağlamak için WAM eklentisi PRT'yi içeren isteği Oturum anahtarıyla imzalar. Microsoft Entra Id, Oturum anahtarı imzasını PRT'ye eklenmiş Oturum anahtarıyla karşılaştırarak doğrular, cihazın geçerli olduğunu doğrular ve uygulama için bir erişim belirteci ve yenileme belirteci verir. Buna ek olarak, Microsoft Entra ID yeni bir PRT (yenileme döngüsüne göre) verebilir ve bunların tümü Oturum anahtarıyla şifrelenir. |
| D | WAM eklentisi, CloudAP eklentisinden belirteçlerin şifresini çözmesini istiyor ve bu da TPM'nin Oturum anahtarını kullanarak şifresini çözmesini istiyor ve bu da WAM eklentisinin her iki belirteci de almasına neden oluyor. Ardından WAM eklentisi uygulamaya yalnızca erişim belirteci sağlarken yenileme belirtecini DPAPI ile yeniden şifreler ve kendi önbelleğinde depolar. WAM eklentisi, bu uygulama için ileriye dönük yenileme belirtecini kullanır. WAM eklentisi, kendi önbelleğinde güncelleştirmeden önce PRT'yi Microsoft Entra Id ile doğrulayan cloudAP eklentisine yeni PRT'yi de geri verir. CloudAP eklentisi bundan sonra yeni PRT'yi kullanır. |
| E | WAM, WAM'ye yeni verilen erişim belirtecini sağlar ve bu da bunu çağıran uygulamaya geri sağlar |
PRT kullanarak tarayıcı SSO's
| Adımlar | Açıklama |
|---|---|
| A | Kullanıcı, PRT almak için kimlik bilgileriyle Windows'ta oturum açar. Kullanıcı tarayıcıyı açtıktan sonra tarayıcı (veya uzantı) kayıt defterinden URL'leri yükler. |
| K | Kullanıcı bir Microsoft Entra oturum açma URL'si açtığında, tarayıcı veya uzantı KAYıT defterinden alınanlarla URL'yi doğrular. Eşleşirse, tarayıcı belirteç almak için yerel istemci ana bilgisayarını çağırır. |
| C | Yerel istemci ana bilgisayarı URL'lerin Microsoft kimlik sağlayıcılarına (Microsoft hesabı veya Microsoft Entra Id) ait olduğunu doğrular, URL'den gönderilen bir nonce ayıklar ve PRT tanımlama bilgisi almak için CloudAP eklentisine bir çağrı yapar. |
| D | CloudAP eklentisi PRT tanımlama bilgisini oluşturur, TPM'ye bağlı oturum anahtarıyla oturum açar ve yerel istemci ana bilgisayarına geri gönderir. |
| E | Yerel istemci ana bilgisayarı bu PRT tanımlama bilgisini tarayıcıya döndürür. Bu tanımlama bilgisi, x-ms-RefreshTokenCredential adlı istek üst bilgisinin bir parçası olarak ve Microsoft Entra Id'den belirteç ister. |
| F | Microsoft Entra Id PRT tanımlama bilgisindeki Oturum anahtarı imzasını doğrular, nonce'ı doğrular, cihazın kiracıda geçerli olduğunu doğrular ve web sayfası için bir kimlik belirteci ve tarayıcı için şifrelenmiş oturum tanımlama bilgisi verir. |
Not
Önceki adımlarda açıklanan Tarayıcı SSO akışı, Microsoft Edge'de InPrivate, Google Chrome'da Gizli (Microsoft Hesapları uzantısını kullanırken) veya Mozilla Firefox v91+ uygulamasında özel modda oturumlar için geçerli değildir
Sonraki adımlar
PRT ile ilgili sorunları giderme hakkında daha fazla bilgi için Microsoft Entra karmaya katılmış Windows 10 veya daha yeni ve Windows Server 2016 cihazlarında sorun giderme makalesine bakın.