運作方式:裝置註冊
裝置註冊是雲端式驗證的必要條件。 一般而言,裝置為 Microsoft Entra 識別碼或已加入 Microsoft Entra 混合式,以完成裝置註冊。 本文提供 Microsoft Entra Join 和 Microsoft Entra 混合式聯結在受管理和同盟環境中運作方式的詳細數據。 如需 Microsoft Entra 驗證在這些裝置上運作方式的詳細資訊,請參閱主要重新整理令牌一文。
已加入受控環境中的 Microsoft Entra
| 階段 | 描述 |
|---|---|
| A | Microsoft Entra 加入裝置註冊最常見的方式是在現用體驗 (OOBE) 期間,它會在雲端體驗主機 (CXH) 應用程式中載入 Microsoft Entra join Web 應用程式。 應用程式會將 GET 要求傳送至 Microsoft Entra OpenID 組態端點,以探索授權端點。 Microsoft Entra ID 會將包含授權端點的 OpenID 組態傳回應用程式作為 JSON 檔。 |
| B | 應用程式會建置授權端點的登入要求,並收集用戶認證。 |
| C | 在使用者提供其用戶主體名稱 (UPN) 之後,應用程式會將 GET 要求傳送至 Microsoft Entra ID,以探索使用者的對應領域資訊。 這項信息會判斷環境是否受管理或同盟。 Microsoft Entra ID 會傳回 JSON 物件中的資訊。 應用程式會判斷環境是受控的(不敗)。 此階段的最後一個步驟會讓應用程式建立驗證緩衝區,如果在 OOBE 中,請暫時快取它以在 OOBE 結尾自動登入。 應用程式會將認證 POST 到 Microsoft Entra ID 進行驗證。 Microsoft Entra ID 會傳回具有宣告的標識碼令牌。 |
| D | 應用程式會尋找行動裝置管理(MDM)使用規定(mdm_tou_url宣告)。 如果存在,應用程式會從宣告的值擷取使用規定、向使用者呈現內容,並等候使用者接受使用規定。 如果宣告不存在,或宣告值是空的,則此步驟是選擇性的,而且略過。 |
| E | 應用程式會將裝置註冊探索要求傳送至 Azure 裝置註冊服務 (DRS)。 Azure DRS 會傳回探索數據檔,以傳回租使用者特定的 URI 以完成裝置註冊。 |
| F | 應用程式會建立 TPM 系結(慣用)RSA 2048 位密鑰組,稱為裝置密鑰(dkpub/dkpriv)。 應用程式會使用 dkpub 和公鑰建立憑證要求,並使用 dkpriv 簽署憑證要求。 接下來,應用程式會從 TPM 的記憶體根金鑰衍生第二個金鑰組。 此金鑰是傳輸金鑰(tkpub/tkpriv)。 |
| G | 應用程式會將裝置註冊要求傳送至 Azure DRS,其中包含標識碼令牌、憑證要求、tkpub 和證明數據。 Azure DRS 會驗證標識符令牌、建立裝置標識碼,並根據包含的憑證要求建立憑證。 Azure DRS 接著會在 Microsoft Entra ID 中寫入裝置物件,並將裝置標識碼和裝置憑證傳送至用戶端。 |
| H | 裝置註冊會藉由從 Azure DRS 接收裝置識別碼和裝置憑證來完成。 裝置標識符會儲存以供日後參考(可從 dsregcmd.exe /status檢視),且裝置憑證會安裝在計算機的 [個人] 存放區中。 完成裝置註冊后,程式會繼續進行 MDM 註冊。 |
已加入同盟環境中的 Microsoft Entra
| 階段 | 描述 |
|---|---|
| A | Microsoft Entra 加入裝置註冊最常見的方式是在現用體驗 (OOBE) 期間,它會在雲端體驗主機 (CXH) 應用程式中載入 Microsoft Entra join Web 應用程式。 應用程式會將 GET 要求傳送至 Microsoft Entra OpenID 組態端點,以探索授權端點。 Microsoft Entra ID 會將包含授權端點的 OpenID 組態傳回應用程式作為 JSON 檔。 |
| B | 應用程式會建置授權端點的登入要求,並收集用戶認證。 |
| C | 在使用者提供其用戶名稱(以 UPN 格式)之後,應用程式會將 GET 要求傳送給 Microsoft Entra ID,以探索使用者的對應領域資訊。 這項信息會判斷環境是否受管理或同盟。 Microsoft Entra ID 會傳回 JSON 物件中的資訊。 應用程式會決定環境為同盟。 應用程式會重新導向至所傳回 JSON 領域物件中的 AuthURL 值(內部部署 STS 登入頁面)。 應用程式會透過 STS 網頁收集認證。 |
| D | 應用程式會將認證張貼到內部部署 STS,這可能需要額外的驗證因素。 內部部署 STS 會驗證用戶並傳回令牌。 應用程式會將令牌 POST 到 Microsoft Entra ID 以進行驗證。 Microsoft Entra ID 會驗證令牌,並傳回具有宣告的標識碼令牌。 |
| E | 應用程式會尋找 MDM 使用規定(mdm_tou_url宣告)。 如果存在,應用程式會從宣告的值擷取使用規定、向使用者呈現內容,並等候使用者接受使用規定。 如果宣告不存在,或宣告值是空的,則此步驟是選擇性的,而且略過。 |
| F | 應用程式會將裝置註冊探索要求傳送至 Azure 裝置註冊服務 (DRS)。 Azure DRS 會傳回探索數據檔,以傳回租使用者特定的 URI 以完成裝置註冊。 |
| G | 應用程式會建立 TPM 系結(慣用)RSA 2048 位密鑰組,稱為裝置密鑰(dkpub/dkpriv)。 應用程式會使用 dkpub 和公鑰建立憑證要求,並使用 dkpriv 簽署憑證要求。 接下來,應用程式會從 TPM 的記憶體根金鑰衍生第二個金鑰組。 此金鑰是傳輸金鑰(tkpub/tkpriv)。 |
| H | 應用程式會將裝置註冊要求傳送至 Azure DRS,其中包含標識碼令牌、憑證要求、tkpub 和證明數據。 Azure DRS 會驗證標識符令牌、建立裝置標識碼,並根據包含的憑證要求建立憑證。 Azure DRS 接著會在 Microsoft Entra ID 中寫入裝置物件,並將裝置標識碼和裝置憑證傳送至用戶端。 |
| I | 裝置註冊會藉由從 Azure DRS 接收裝置識別碼和裝置憑證來完成。 裝置標識符會儲存以供日後參考(可從 dsregcmd.exe /status檢視),且裝置憑證會安裝在計算機的 [個人] 存放區中。 完成裝置註冊后,程式會繼續進行 MDM 註冊。 |
已加入受控環境中的 Microsoft Entra 混合式
| 階段 | 描述 |
|---|---|
| A | 使用者使用網域認證登入已加入網域的 Windows 10 或更新版本電腦。 此認證可以是使用者名稱和密碼或智慧卡驗證。 使用者登入會觸發自動裝置加入工作。 自動裝置加入工作會在加入網域時觸發,每小時重試一次。 它不只取決於使用者登入。 |
| B | 工作會使用LDAP通訊協定查詢Active Directory,以取得儲存在Active Directory 中組態分割區中之服務連接點上的關鍵詞屬性。CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com 關鍵詞屬性中傳回的值會判斷裝置註冊是否導向至 Azure 裝置註冊服務 (DRS) 或裝載於內部部署的企業裝置註冊服務。 |
| C | 針對受控環境,工作會以自我簽署憑證的形式建立初始驗證認證。 工作會使用LDAP,將憑證寫入Active Directory 中計算機物件上的userCertificate屬性。 |
| D | 在 Microsoft Entra ID 中建立包含 userCertificate 屬性憑證之電腦的裝置物件之前,計算機無法向 Azure DRS 進行驗證。 Microsoft Entra 連線 會偵測屬性變更。 在下一個同步處理週期中,Microsoft Entra 連線 會將 userCertificate、物件 GUID 和電腦 SID 傳送至 Azure DRS。 Azure DRS 會使用屬性資訊,在 Microsoft Entra ID 中建立裝置物件。 |
| E | 自動裝置加入工作會觸發每個使用者登入或每小時一次,並嘗試使用userCertificate屬性中公鑰的對應私鑰向 Microsoft Entra 識別符驗證電腦。 Microsoft Entra 會驗證計算機,並將標識符令牌發行給計算機。 |
| F | 此工作會建立稱為裝置密鑰 (dkpub/dkpriv) 的 TPM 系結 (慣用) RSA 2048 位金鑰組。 應用程式會使用 dkpub 和公鑰建立憑證要求,並使用 dkpriv 簽署憑證要求。 接下來,應用程式會從 TPM 的記憶體根金鑰衍生第二個金鑰組。 此金鑰是傳輸金鑰(tkpub/tkpriv)。 |
| G | 此工作會將裝置註冊要求傳送至 Azure DRS,其中包含標識碼令牌、憑證要求、tkpub 和證明數據。 Azure DRS 會驗證標識符令牌、建立裝置標識碼,並根據包含的憑證要求建立憑證。 Azure DRS 接著會更新 Microsoft Entra ID 中的裝置物件,並將裝置標識碼和裝置憑證傳送至用戶端。 |
| H | 裝置註冊會藉由從 Azure DRS 接收裝置識別碼和裝置憑證來完成。 裝置標識符會儲存以供日後參考(可從 dsregcmd.exe /status檢視),且裝置憑證會安裝在計算機的 [個人] 存放區中。 完成裝置註冊之後,工作就會結束。 |
已加入同盟環境中的 Microsoft Entra 混合式
| 階段 | 描述 |
|---|---|
| A | 使用者使用網域認證登入已加入網域的 Windows 10 或更新版本電腦。 此認證可以是使用者名稱和密碼或智慧卡驗證。 使用者登入會觸發自動裝置加入工作。 自動裝置加入工作會在加入網域時觸發,每小時重試一次。 它不只取決於使用者登入。 |
| B | 工作會使用LDAP通訊協定查詢Active Directory,以取得儲存在Active Directory 中組態分割區中之服務連接點上的關鍵詞屬性。CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com 關鍵詞屬性中傳回的值會判斷裝置註冊是否導向至 Azure 裝置註冊服務 (DRS) 或裝載於內部部署的企業裝置註冊服務。 |
| C | 針對同盟環境,計算機會使用 Windows 整合式驗證來驗證企業裝置註冊端點。 企業裝置註冊服務會建立並傳回令牌,其中包含物件 GUID、計算機 SID 和已加入網域狀態的宣告。 工作會將令牌和宣告提交至已驗證的 Microsoft Entra 識別碼。 Microsoft Entra ID 會將標識碼令牌傳回執行中工作。 |
| D | 應用程式會建立 TPM 系結(慣用)RSA 2048 位密鑰組,稱為裝置密鑰(dkpub/dkpriv)。 應用程式會使用 dkpub 和公鑰建立憑證要求,並使用 dkpriv 簽署憑證要求。 接下來,應用程式會從 TPM 的記憶體根金鑰衍生第二個金鑰組。 此金鑰是傳輸金鑰(tkpub/tkpriv)。 |
| E | 若要為內部部署同盟應用程式提供 SSO,工作會向內部部署 STS 要求企業 PRT。 執行 Active Directory 同盟服務 角色的 Windows Server 2016 會驗證要求,並傳回執行中的工作。 |
| F | 此工作會將裝置註冊要求傳送至 Azure DRS,其中包含標識碼令牌、憑證要求、tkpub 和證明數據。 Azure DRS 會驗證標識符令牌、建立裝置標識碼,並根據包含的憑證要求建立憑證。 Azure DRS 接著會在 Microsoft Entra ID 中寫入裝置物件,並將裝置標識碼和裝置憑證傳送至用戶端。 裝置註冊會藉由從 Azure DRS 接收裝置識別碼和裝置憑證來完成。 裝置標識符會儲存以供日後參考(可從 dsregcmd.exe /status檢視),且裝置憑證會安裝在計算機的 [個人] 存放區中。 完成裝置註冊之後,工作就會結束。 |
| G | 如果啟用 Microsoft Entra 連線 裝置回寫,Microsoft Entra 連線 在下一個同步處理週期要求來自 Microsoft Entra ID 的更新(使用憑證信任的混合式部署需要裝置回寫)。 Microsoft Entra ID 會將裝置物件與相符的同步處理計算機物件相互關聯。 Microsoft Entra 連線 會接收包含物件 GUID 和計算機 SID 的裝置物件,並將裝置物件寫入 Active Directory。 |
下一步
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: