什麼是主要重新整理權杖?
主要重新整理令牌 (PRT) 是 Windows 10 或更新版本、Windows Server 2016 和更新版本、iOS 和 Android 裝置上 Microsoft Entra 驗證的主要成品。 這是特別發行給 Microsoft 第一方令牌代理人的 JSON Web 令牌 (JWT),可在這些裝置上使用的應用程式上啟用單一登錄 (SSO)。 在本文中,提供 PRT 如何在 Windows 10 或更新版本裝置上發出、使用及保護的詳細數據。 我們建議使用最新版本的 Windows 10、Windows 11 和 Windows Server 2019+ 來取得最佳的 SSO 體驗。
本文假設您已瞭解 Microsoft Entra ID 中可用的不同裝置狀態,以及單一登錄在 Windows 10 或更新版本中的運作方式。 如需 Microsoft Entra 識別符中裝置的詳細資訊,請參閱什麼是 Microsoft Entra 識別符中的裝置管理?
重要術語和元件
下列 Windows 元件在要求和使用 PRT 時扮演重要角色:
- 雲端驗證提供者 (CloudAP):CloudAP 是 Windows 登入的新式驗證提供者,可驗證使用者登入 Windows 10 或更新版本裝置。 CloudAP 提供身分識別提供者可以建置的外掛程式架構,以使用該身分識別提供者的認證啟用對 Windows 的驗證。
- Web 帳戶管理員 (WAM):WAM 是 Windows 10 或更新裝置上的預設令牌代理程式。 WAM 也提供一個外掛程式架構,讓識別提供者可以建置並啟用 SSO 至依賴該識別提供者的應用程式。
- Microsoft Entra CloudAP 外掛程式: Microsoft Entra 特定外掛程式建置在 CloudAP 架構上,可驗證 Windows 登入期間具有 Microsoft Entra 標識符的用戶認證。
- Microsoft Entra WAM 外掛程式: 建置在 WAM 架構上的 Microsoft Entra 特定外掛程式,可讓 SSO 對依賴 Microsoft Entra ID 的應用程式進行驗證。
- Dsreg: Windows 10 或更新版本上的 Microsoft Entra 特定元件,可處理所有裝置狀態的裝置註冊程式。
- 信賴平臺模組 (TPM):TPM 是內建在裝置中的硬體元件,可為使用者和裝置秘密提供硬體式安全性功能。 如需詳細資訊,請參閱信賴平臺模組技術概觀一文。
PRT 包含什麼?
PRT 包含大部分 Microsoft Entra ID 重新整理令牌中找到的宣告。 此外,PRT 中還包含一些裝置特定的宣告。 這些範本如下:
- 裝置標識碼: PRT 會發給特定裝置上的使用者。 裝置標識碼宣告
deviceID會決定PRT已發給用戶的裝置。 此宣告稍後會發行給透過PRT取得的令牌。 裝置標識碼宣告是用來根據裝置狀態或合規性來判斷條件式存取的授權。 - 會話金鑰: 會話密鑰是由 Microsoft Entra 驗證服務產生的加密對稱密鑰,作為 PRT 的一部分所發出。 當 PRT 用來取得其他應用程式的令牌時,會話金鑰會作為擁有權證明。 如果已超過 30 天,會話密鑰會在 Windows 10 或更新版本的 Microsoft Entra 加入或已加入混合式裝置上推出。
我是否可以查看 PRT 中的內容?
PRT 是從 Microsoft Entra 傳送的不透明 Blob,其內容對任何用戶端元件都不知道。 您無法查看 PRT 內的內容。
如何發出 PRT?
裝置註冊是 Microsoft Entra ID 中裝置型驗證的必要條件。 PRT 只會在已註冊的裝置上對用戶發出。 如需裝置註冊的詳細資訊,請參閱 Windows Hello 企業版 和裝置註冊一文。 在裝置註冊期間,dsreg 元件會產生兩組密碼編譯密鑰組:
- 裝置金鑰 (dkpub/dkpriv)
- 傳輸金鑰(tkpub/tkpriv)
如果裝置具有有效且正常運作的 TPM,則私鑰會系結至裝置的 TPM,而公鑰會在裝置註冊程式期間傳送至 Microsoft Entra 識別符。 這些金鑰可用來在 PRT 要求期間驗證裝置狀態。
在 Windows 10 或更新版本裝置上的使用者驗證期間,會在兩個案例中發出 PRT:
- 已加入 Microsoft Entra 或 Microsoft Entra 混合式聯結:當使用者使用其組織認證登入時,會在 Windows 登入期間發出 PRT。 PRT 會發出所有 Windows 10 或更新版本支援的認證,例如密碼和 Windows Hello 企業版。 在此案例中,Microsoft Entra CloudAP 外掛程式是 PRT 的主要授權單位。
- Microsoft Entra 已註冊的裝置: 當使用者將次要工作帳戶新增至其 Windows 10 或更新版本裝置時,就會發出 PRT。 使用者可以透過兩種不同的方式將帳戶新增至 Windows 10 或更新版本 -
- 透過 [允許我的組織在登入應用程式後管理我的裝置 提示] 新增帳戶 (例如 Outlook)
- 從 設定> Accounts>Access 公司或學校>新增帳戶 連線
在 Microsoft Entra 註冊的裝置案例中,Microsoft Entra WAM 外掛程式是 PRT 的主要授權單位,因為 Windows 登入未發生此 Microsoft Entra 帳戶。
注意
第三方識別提供者必須支援 WS-Trust 通訊協定,才能在 Windows 10 或更新版本裝置上啟用 PRT 發行。 如果沒有 WS 信任,PRT 就無法在已加入 Microsoft Entra 混合式或已加入 Microsoft Entra 的裝置上發出給使用者。 在AD FS上,只需要使用者名稱混合端點。 如果需要 smartcard/certificate 在 Windows 登入 certificatemixed 端點期間使用 AD FS。 adfs/services/trust/2005/windowstransport和 adfs/services/trust/13/windowstransport 都應該只啟用為內部網路對向端點,且不得透過Web應用程式 Proxy公開為外部網路對向端點。
注意
發出PRT時,不會評估 Microsoft Entra 條件式存取原則。
注意
我們不支援第三方認證提供者來發行和更新 Microsoft Entra PRT。
PRT 的存留期為何?
發出之後,PRT 的有效期限為14天,只要用戶主動使用裝置,就會持續更新。
如何使用 PRT?
PRT 由 Windows 中的兩個主要元件使用:
- Microsoft Entra CloudAP 外掛程式: 在 Windows 登入期間,Microsoft Entra CloudAP 外掛程式會使用使用者所提供的認證,向 Microsoft Entra ID 要求 PRT。 它也會快取 PRT,以在使用者無法存取因特網連線時啟用快取登入。
- Microsoft Entra WAM 外掛程式: 當使用者嘗試存取應用程式時,Microsoft Entra WAM 外掛程式會使用 PRT 在 Windows 10 或更新版本上啟用 SSO。 Microsoft Entra WAM 外掛程式會使用 PRT 來要求重新整理和存取令牌的應用程式,而應用程式依賴 WAM 進行令牌要求。 它也會將 PRT 插入瀏覽器要求,以在瀏覽器上啟用 SSO。 Microsoft Edge 支援 Windows 10 或更新版本中的瀏覽器 SSO(原生)、Chrome (透過 Windows 10 帳戶 或 Mozilla Firefox v91+ (Firefox Windows SSO 設定)
注意
在用戶擁有來自相同 Microsoft Entra 租使用者的兩個帳戶登入瀏覽器應用程式的實例中,主要帳戶的 PRT 所提供的裝置驗證也會自動套用至第二個帳戶。 因此,第二個帳戶也會滿足租使用者上任何裝置型條件式存取原則。
PRT 如何更新?
PRT 會以兩種不同的方法更新:
- Microsoft Entra CloudAP 外掛程式每 4 小時: CloudAP 外掛程式會在 Windows 登入期間每隔 4 小時更新 PRT。 如果使用者在此期間沒有因特網連線,CloudAP 外掛程式會在裝置連線到因特網之後更新 PRT。
- Microsoft Entra WAM 外掛程式在應用程式令牌要求期間: WAM 外掛程式會啟用 Windows 10 或更新版本的裝置上的 SSO,方法是啟用應用程式的無訊息令牌要求。 WAM 外掛程式可以透過兩種不同的方式在這些令牌要求期間更新PRT:
- 應用程式會以無訊息方式要求 WAM 存取令牌,但該應用程式沒有可用的重新整理令牌。 在此情況下,WAM 會使用PRT來要求應用程式的令牌,並在回應中傳回新的PRT。
- 應用程式要求 WAM 以取得存取令牌,但 PRT 無效,或 Microsoft Entra 識別碼需要額外的授權(例如 Microsoft Entra 多重要素驗證)。 在此案例中,WAM 會起始互動式登錄,要求使用者重新驗證或提供額外的驗證,並在成功驗證時發出新的 PRT。
在AD FS環境中,不需要直接看到域控制器來更新PRT。 PRT 更新只需要/adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed使用 WS-Trust 通訊協定在 Proxy 上啟用的端點。
只有在密碼變更時,才需要 Windows 傳輸端點進行密碼驗證,而不是 PRT 更新。
注意
更新PRT時,不會評估 Microsoft Entra 條件式存取原則。
主要考量
- 在已加入 Microsoft Entra 和 Microsoft Entra 混合式已加入裝置中,CloudAP 外掛程式是 PRT 的主要授權單位。 如果在WAM型令牌要求期間更新PRT,PRT會傳回CloudAP外掛程式,以 Microsoft Entra ID 驗證 PRT 的有效性,再接受PRT。
Android 平臺:
- PRT 有效期限為 90 天,只要裝置正在使用中,即會持續更新。 不過,只有在裝置未使用時,才有效 14 天。
- PRT 只會在原生應用程式驗證期間發出並更新。 PRT 不會在瀏覽器會話期間更新或發出。
- 不需要裝置註冊 (Workplace Join) 並啟用 SSO,即可取得 PRT。
- 在沒有裝置註冊的情況下取得的PR無法滿足依賴裝置狀態或合規性的條件式存取授權準則。
PRT 如何受到保護?
PRT 會藉由將它系結至使用者已登入的裝置來保護它。 Microsoft Entra ID 和 Windows 10 或更新版本可透過下列方法啟用 PRT 保護:
- 第一次登入期間: 在第一次登入期間,會使用裝置註冊期間產生的裝置密鑰來簽署要求來發出 PRT。 在具有有效且運作正常 TPM 的裝置上,裝置密鑰會受到 TPM 保護,以防止任何惡意存取。 如果無法驗證對應的裝置密鑰簽章,則不會發出PRT。
- 在令牌要求和更新期間: 發出PRT時,Microsoft Entra ID也會對裝置發出加密的會話密鑰。 其會使用產生的公共交通密鑰 (tkpub) 加密,並在裝置註冊時傳送至 Microsoft Entra 識別符。 此工作階段金鑰只能由 TPM 所保護的私人傳輸金鑰 (tkpriv) 解密。 會話金鑰是傳送至 Microsoft Entra 識別碼之任何要求的擁有證明 (POP) 金鑰。 會話金鑰也會受到 TPM 的保護,而且沒有其他 OS 元件可以存取它。 令牌要求或PRT更新要求會透過TT.TPM安全地由此會話密鑰簽署,因此無法竄改。 Microsoft Entra 會使裝置中未由對應會話密鑰簽署的任何要求失效。
透過使用 TPM 保護這些金鑰,我們會從嘗試竊取金鑰或重新執行 PRT 的惡意動作專案增強 PRT 的安全性。 因此,使用 TPM 可大幅增強已加入 Microsoft Entra、已加入 Microsoft Entra 混合式和 Microsoft Entra 註冊裝置的安全性,以防止認證竊取。 為了達到效能和可靠性,TPM 2.0 是 Windows 10 或更新版本上所有 Microsoft Entra 裝置註冊案例的建議版本。 從 Windows 10、1903 更新開始,由於可靠性問題,Microsoft Entra ID 不會針對上述任何密鑰使用 TPM 1.2。
應用程式令牌和瀏覽器 Cookie 如何受到保護?
應用程式令牌:當應用程式透過WAM要求令牌時,Microsoft Entra ID 會發出重新整理令牌和存取令牌。 不過,WAM 只會傳回應用程式的存取令牌,並使用使用者的數據保護應用程式開發介面 (DPAPI) 密鑰來加密它,以保護其快取中的重新整理令牌。 WAM 使用會話密鑰簽署要求,以安全地使用重新整理令牌,以發出進一步的存取令牌。 DPAPI 金鑰是由 Microsoft Entra 本身中的 Microsoft Entra 識別碼型對稱密鑰所保護。 當裝置需要使用 DPAPI 金鑰解密使用者配置檔時,Microsoft Entra ID 會提供會話密鑰所加密的 DPAPI 金鑰,CloudAP 外掛程式會要求 TPM 解密。 這項功能可確保保護重新整理令牌的一致性,並避免應用程式實作自己的保護機制。
瀏覽器 Cookie:在 Windows 10 或更新版本中,Microsoft Entra ID 支援 Internet Explorer 和 Microsoft Edge 原生的瀏覽器 SSO、透過 Windows 10 帳戶延伸模組在 Google Chrome 中,以及透過瀏覽器設定在 Mozilla Firefox v91+ 中。 安全性不僅是為了保護 Cookie,而且是為了保護 Cookie 所傳送的端點。 瀏覽器 Cookie 的保護方式與 PRT 相同,方法是利用會話密鑰來簽署和保護 Cookie。
當使用者起始瀏覽器互動時,瀏覽器(或擴充功能)會叫用 COM 原生用戶端主機。 原生用戶端主機可確保頁面來自其中一個允許的網域。 瀏覽器可以將其他參數傳送至原生用戶端主機,包括 nonce,不過原生用戶端主機保證主機名的驗證。 原生用戶端主機會向 CloudAP 外掛程式要求 PRT-cookie,這會使用受 TPM 保護的會話密鑰來建立並簽署它。 由於PRT-cookie是由會話密鑰簽署,因此很難竄改。 此 PRT-cookie 包含在 Microsoft Entra 識別碼的要求標頭中,以驗證其源自的裝置。 如果使用 Chrome 瀏覽器,則只有原生用戶端主機指令清單中明確定義的擴充功能可以叫用它,以防止任意擴充功能提出這些要求。 一旦 Microsoft Entra ID 驗證 PRT Cookie,它就會向瀏覽器發出會話 Cookie。 此工作階段 Cookie 也包含與 PRT 所發出的相同會話密鑰。 在後續要求期間,會話密鑰會驗證有效地將 Cookie 系結至裝置,並防止從其他地方重新執行。
PRT 何時會取得 MFA 宣告?
PRT 可以在特定案例中取得多重要素驗證宣告。 當 MFA 型 PRT 用來要求應用程式的令牌時,MFA 宣告會傳送至那些應用程式令牌。 此功能可藉由防止每個需要 MFA 的應用程式遇到 MFA 挑戰,為使用者提供順暢的體驗。 PRT 可以透過下列方式取得 MFA 宣告:
- 使用 Windows Hello 企業版 登入:Windows Hello 企業版 取代密碼,並使用密碼編譯密鑰來提供強式雙因素驗證。 Windows Hello 企業版 是裝置上使用者特有的,而且本身需要 MFA 才能佈建。 當使用者使用 Windows Hello 企業版 登入時,使用者的PRT會取得 MFA 宣告。 如果智慧卡驗證從 AD FS 產生 MFA 宣告,此案例也適用於使用智慧卡登入的使用者。
- 當 Windows Hello 企業版 視為多重要素驗證時,MFA 宣告會在PRT本身重新整理時更新,因此當使用者使用 Windows Hello 企業版 登入時,MFA持續時間會持續延長。
- 在 WAM 互動式登錄期間 MFA: 在透過 WAM 的令牌要求期間,如果使用者需要執行 MFA 才能存取應用程式,則此互動期間更新的 PRT 會印有 MFA 宣告。
- 在此情況下,MFA 宣告不會持續更新,因此 MFA 持續時間是以目錄上設定的存留期為基礎。
- 當先前的現有PRT和 RT 用於存取應用程式時,PRT 和 RT 會被視為第一個驗證證明。 需要有第二個證明和印有印記 MFA 宣告的新 RT。 此程式也會發出新的 PRT 和 RT。
Windows 10 或更新版本會針對每個認證維護數據分割的 PRT 清單。 因此,每個 Windows Hello 企業版、密碼或智慧卡都有PRT。 此數據分割可確保 MFA 宣告會根據所使用的認證隔離,而不會在令牌要求期間混合。
注意
使用密碼登入 Windows 10 或更新的 Microsoft Entra 加入或 Microsoft Entra 混合式已加入裝置時,在與 PRT 相關聯的會話密鑰擲回之後,可能需要 MFA。
PRT 如何失效?
在下列案例中,PRT 已失效:
- 無效的使用者: 如果在 Microsoft Entra ID 中刪除或停用使用者,其 PRT 會失效,且無法用來取得應用程式的令牌。 如果已刪除或停用的使用者先前已登入裝置,快取的登入會登入,直到 CloudAP 知道其無效狀態為止。 CloudAP 判斷使用者無效之後,就會封鎖後續的登入。 系統會自動封鎖無效的使用者登入未快取其認證的新裝置。
- 無效的裝置: 如果裝置在 Microsoft Entra ID 中刪除或停用,在該裝置上取得的 PRT 會失效,而且無法用來取得其他應用程式的令牌。 如果用戶已經登入無效的裝置,他們可以繼續這麼做。 但裝置上的所有令牌都會失效,且用戶沒有來自該裝置的任何資源的 SSO。
- 密碼變更: 如果用戶以密碼取得 PRT,當使用者變更其密碼時,PRT 會因 Microsoft Entra ID 而失效。 密碼變更會導致使用者取得新的 PRT。 這種失效可能以兩種不同的方式發生:
- 如果使用者使用新密碼登入 Windows,CloudAP 會捨棄舊的 PRT,並要求 Microsoft Entra ID 使用新的密碼發出新的 PRT。 如果用戶沒有因特網連線,就無法驗證新密碼,Windows 可能會要求使用者輸入其舊密碼。
- 如果使用者已使用舊密碼登入,或在登入 Windows 之後變更其密碼,則舊 PRT 會用於任何以 WAM 為基礎的令牌要求。 在此案例中,系統會提示使用者在WAM令牌要求期間重新驗證,併發出新的PRT。
- TPM 問題: 有時候,裝置的 TPM 可能會動搖或失敗,導致 TPM 保護的密鑰無法存取。 在此情況下,裝置無法取得PRT或使用現有的PRT要求令牌,因為它無法證明擁有密碼編譯密鑰。 因此,任何現有的 PRT 都因 Microsoft Entra ID 而失效。 當 Windows 10 偵測到失敗時,它會起始復原流程,以使用新的密碼編譯密鑰重新註冊裝置。 透過 Microsoft Entra 混合式加入,就像初始註冊一樣,復原會以無訊息方式進行,而不需要使用者輸入。 針對已加入 Microsoft Entra 或 Microsoft Entra 已註冊的裝置,復原必須由具有裝置系統管理員許可權的用戶執行。 在此案例中,復原流程是由 Windows 提示起始,引導使用者成功復原裝置。
詳細流程
下圖說明發出、更新和使用PRT要求應用程式存取令牌的基礎詳細數據。 此外,這些步驟也會說明上述安全性機制在這些互動期間如何套用。
第一次登入期間的PRT發行
注意
在加入 Microsoft Entra 的裝置中,Microsoft Entra PRT 發行 (步驟 A-F) 會在使用者登入 Windows 之前同步發生。 在 Microsoft Entra 混合式已加入裝置中,內部部署的 Active Directory 是主要授權單位。 因此,用戶可以在取得要登入的 TGT 之後登入 Microsoft Entra 混合式加入 Windows,而 PRT 發行會以異步方式執行。 此案例不適用於 Microsoft Entra 註冊的裝置,因為登入不會使用 Microsoft Entra 認證。
注意
在 Microsoft Entra 混合式聯結的 Windows 環境中,PRT 的發行會以異步方式發生。 PRT 的發行可能會因為同盟提供者的問題而失敗。 當使用者嘗試存取雲端資源時,此失敗可能會導致登入問題。 請務必使用同盟提供者針對此案例進行疑難解答。
| 步驟 | 描述 |
|---|---|
| A | 使用者在登入UI中輸入其密碼。 LogonUI 會將驗證緩衝區中的認證傳遞至 LSA,而 LSA 則會在內部將認證傳遞至 CloudAP。 CloudAP 會將此要求轉送至 CloudAP 外掛程式。 |
| B | CloudAP 外掛程式會起始領域探索要求,以識別用戶的識別提供者。 如果使用者的租用戶已設定同盟提供者,Microsoft Entra ID 會傳回同盟提供者的元數據交換端點 (MEX) 端點。 如果沒有,Microsoft Entra ID 會傳回受管理的使用者,指出使用者可以使用 Microsoft Entra 識別符進行驗證。 |
| C | 如果使用者受管理,CloudAP 會從 Microsoft Entra ID 取得 nonce。 如果使用者已同盟,CloudAP 外掛程式會向同盟提供者要求安全性判斷提示標記語言 (SAML) 令牌,並使用用戶的認證。 在 SAML 令牌傳送至 Microsoft Entra ID 之前,會先要求 Nonce。 |
| D | CloudAP 外掛程式會使用使用者的認證、nonce 和訊息代理程式範圍來建構驗證要求、使用裝置密鑰 (dkpriv) 簽署要求,並將其傳送至 Microsoft Entra ID。 在同盟環境中,CloudAP 外掛程式會使用同盟提供者傳回的 SAML 令牌,而不是使用者的認證。 |
| E | Microsoft Entra ID 會驗證使用者認證、nonce 和裝置簽章、確認裝置在租使用者中是否有效,併發出加密的 PRT。 除了 PRT,Microsoft Entra ID 也會發出對稱密鑰,稱為使用傳輸金鑰 (tkpub) 由 Microsoft Entra ID 加密的會話密鑰。 此外,會話金鑰也會內嵌在 PRT 中。 此工作階段金鑰可作為 PRT 後續要求的擁有證明 (PoP) 金鑰。 |
| F | CloudAP 外掛程式會將加密的 PRT 和會話密鑰傳遞至 CloudAP。 CloudAP 要求 TPM 使用傳輸金鑰 (tkpriv) 解密會話密鑰,並使用 TPM 自己的金鑰重新加密。 CloudAP 會將加密的會話密鑰與 PRT 一起儲存在其快取中。 |
後續登入中的PRT更新
| 步驟 | 描述 |
|---|---|
| A | 使用者在登入UI中輸入其密碼。 LogonUI 會將驗證緩衝區中的認證傳遞至 LSA,而 LSA 則會在內部將認證傳遞至 CloudAP。 CloudAP 會將此要求轉送至 CloudAP 外掛程式。 |
| B | 如果使用者先前已登入使用者,Windows 會起始快取登入,並驗證認證以登入使用者。 CloudAP 外掛程式每隔 4 小時會以異步方式起始 PRT 更新。 |
| C | CloudAP 外掛程式會起始領域探索要求,以識別用戶的識別提供者。 如果使用者的租用戶已設定同盟提供者,Microsoft Entra ID 會傳回同盟提供者的元數據交換端點 (MEX) 端點。 如果沒有,Microsoft Entra ID 會傳回受管理的使用者,指出使用者可以使用 Microsoft Entra 識別符進行驗證。 |
| D | 如果使用者已同盟,CloudAP 外掛程式會使用使用者的認證向同盟提供者要求 SAML 令牌。 在 SAML 令牌傳送至 Microsoft Entra ID 之前,會先要求 Nonce。 如果使用者受管理,CloudAP 會直接從 Microsoft Entra 識別碼取得 nonce。 |
| E | CloudAP 外掛程式會使用使用者的認證、nonce 和現有的PRT建構驗證要求、使用會話密鑰簽署要求,並將其傳送至 Microsoft Entra ID。 在同盟環境中,CloudAP 外掛程式會使用同盟提供者傳回的 SAML 令牌,而不是使用者的認證。 |
| F | Microsoft Entra ID 會藉由將會話密鑰簽章與內嵌在 PRT 中的會話密鑰進行比較來驗證會話密鑰簽章、驗證 nonce,並驗證裝置在租使用者中是否有效,併發出新的 PRT。 如先前所見,PRT 再次隨附由傳輸密鑰 (tkpub) 加密的會話密鑰。 |
| G | CloudAP 外掛程式會將加密的 PRT 和會話密鑰傳遞至 CloudAP。 CloudAP 要求 TPM 使用傳輸金鑰 (tkpriv) 解密會話密鑰,並使用 TPM 自己的金鑰重新加密。 CloudAP 會將加密的會話密鑰與 PRT 一起儲存在其快取中。 |
注意
在外部啟用使用者名稱混合端點時,不需要 VPN 連線,即可在外部更新 PRT。
應用程式令牌要求期間的PRT使用量
| 步驟 | 描述 |
|---|---|
| A | 應用程式 (例如 Outlook、OneNote 等等。) 會起始對 WAM 的令牌要求。 WAM 接著會要求 Microsoft Entra WAM 外掛程式服務令牌要求。 |
| B | 如果應用程式的重新整理令牌已可用,Microsoft Entra WAM 外掛程式會使用它來要求存取令牌。 為了提供裝置系結證明,WAM 外掛程式會使用會話密鑰簽署要求。 Microsoft Entra ID 會驗證會話密鑰,併發出存取令牌和應用程式的新重新整理令牌,並由會話密鑰加密。 WAM 外掛程式會要求 CloudAP 外掛程式解密令牌,進而要求 TPM 使用會話密鑰進行解密,導致 WAM 外掛程式取得這兩個令牌。 接下來,WAM 外掛程式只提供應用程式的存取令牌,同時它會使用 DPAPI 重新加密重新整理令牌,並將它儲存在它自己的快取中 |
| C | 如果應用程式的重新整理令牌無法使用,Microsoft Entra WAM 外掛程式會使用PRT來要求存取令牌。 為了提供擁有證明,WAM 外掛程式會使用會話密鑰簽署包含 PRT 的要求。 Microsoft Entra ID 會藉由將會話密鑰簽章與內嵌在 PRT 中的會話密鑰進行比較來驗證會話密鑰簽章,並驗證裝置是否有效,併為應用程式發出存取令牌和重新整理令牌。 此外,Microsoft Entra ID 可以發出新的 PRT(根據重新整理週期),這些標識碼全都由會話密鑰加密。 |
| D | WAM 外掛程式會要求 CloudAP 外掛程式解密令牌,進而要求 TPM 使用會話密鑰進行解密,導致 WAM 外掛程式取得這兩個令牌。 接下來,WAM 外掛程式只提供應用程式的存取令牌,同時它會使用 DPAPI 重新加密重新整理令牌,並將其儲存在自己的快取中。 WAM 外掛程式會使用此應用程式的重新整理令牌。 WAM 外掛程式也會將新的PRT傳回 CloudAP 外掛程式,其會先使用 Microsoft Entra 識別碼驗證 PRT,再將其更新至自己的快取中。 CloudAP 外掛程式會使用新的PRT。 |
| E | WAM 會為 WAM 提供新發行的存取令牌,進而將其提供給呼叫的應用程式 |
使用 PRT 的瀏覽器 SSO
| 步驟 | 描述 |
|---|---|
| A | 使用者使用其認證登入 Windows 以取得 PRT。 一旦使用者開啟瀏覽器,瀏覽器(或擴充功能)就會從登錄載入 URL。 |
| B | 當用戶開啟 Microsoft Entra 登入 URL 時,瀏覽器或延伸模組會使用從登錄取得的 URL 來驗證 URL。 如果相符,瀏覽器會叫用原生用戶端主機以取得令牌。 |
| C | 原生用戶端主機會驗證 URL 是否屬於 Microsoft 識別提供者(Microsoft 帳戶或 Microsoft Entra ID),擷取從 URL 傳送的 nonce,並呼叫 CloudAP 外掛程式以取得 PRT Cookie。 |
| D | CloudAP 外掛程式會建立PRT Cookie、使用TPM系結的會話密鑰登入,並將它傳回原生用戶端主機。 |
| E | 原生用戶端主機會將此 PRT Cookie 傳回至瀏覽器,其中包含它作為稱為 x-ms-RefreshTokenCredential 的要求標頭的一部分,並從 Microsoft Entra ID 要求令牌。 |
| F | Microsoft Entra ID 會驗證 PRT Cookie 上的會話密鑰簽章、驗證 nonce、驗證裝置在租使用者中是否有效,以及發行網頁的標識符令牌和瀏覽器的加密會話 Cookie。 |
注意
上述步驟中所述的瀏覽器 SSO 流程不適用於私人模式的會話,例如 Microsoft Edge 中的 InPrivate、Google Chrome 中的 Incognito (使用 Microsoft 帳戶擴充功能時)或 Mozilla Firefox v91+ 的私人模式
下一步
如需針對 PRT 相關問題進行疑難解答的詳細資訊,請參閱疑難解答 Microsoft Entra 混合式加入 Windows 10 或更新版本和 Windows Server 2016 裝置一文。