運作方式:裝置註冊
裝置註冊是雲端式驗證的必要條件。 一般而言,裝置為 Microsoft Entra 識別碼或已加入 Microsoft Entra 混合式,以完成裝置註冊。 本文提供 Microsoft Entra Join 和 Microsoft Entra 混合式聯結在受管理和同盟環境中運作方式的詳細資料。 如需 Microsoft Entra 驗證在這些裝置上運作方式的詳細資訊,請參閱主要重新整理權杖 一文 。
已加入受控環境中的 Microsoft Entra
| 階段 | 描述 |
|---|---|
| A | Microsoft Entra 加入裝置註冊最常見的方式是在現用體驗 (OOBE) 期間,它會在雲端體驗主機 (CXH) 應用程式中載入 Microsoft Entra join Web 應用程式。 應用程式會將 GET 要求傳送至 Microsoft Entra OpenID 組態端點,以探索授權端點。 Microsoft Entra ID 會將包含授權端點的 OpenID 組態傳回應用程式作為 JSON 檔。 |
| B | 應用程式會建置授權端點的登入要求,並收集使用者認證。 |
| C | 在使用者提供其使用者名稱(以 UPN 格式)之後,應用程式會將 GET 要求傳送給 Microsoft Entra ID,以探索使用者的對應領域資訊。 這項資訊會判斷環境是否受管理或同盟。 Microsoft Entra ID 會傳回 JSON 物件中的資訊。 應用程式會判斷環境受管理(非同盟)。 此階段的最後一個步驟會讓應用程式建立驗證緩衝區,如果在 OOBE 中,請暫時快取它以在 OOBE 結尾自動登入。 應用程式會將認證 POST 到 Microsoft Entra ID 進行驗證。 Microsoft Entra ID 會傳回具有宣告的識別碼權杖。 |
| D | 應用程式會尋找 MDM 使用規定(mdm_tou_url宣告)。 如果存在,應用程式會從宣告的值擷取使用規定、向使用者呈現內容,並等候使用者接受使用規定。 如果宣告不存在,或宣告值是空的,則此步驟是選擇性的,而且略過。 |
| E | 應用程式會將裝置註冊探索要求傳送至 Azure 裝置註冊服務 (ADRS)。 Azure DRS 會傳回探索資料檔案,以傳回租使用者特定的 URI 以完成裝置註冊。 |
| F | 應用程式會建立 TPM 系結(慣用)RSA 2048 位金鑰組,稱為裝置金鑰(dkpub/dkpriv)。 應用程式會使用 dkpub 和公開金鑰建立憑證要求,並使用 dkpriv 簽署憑證要求。 接下來,應用程式會從 TPM 的儲存體根金鑰衍生第二個金鑰組。 此金鑰是傳輸金鑰(tkpub/tkpriv)。 |
| G | 應用程式會將裝置註冊要求傳送至 Azure DRS,其中包含識別碼權杖、憑證要求、tkpub 和證明資料。 Azure DRS 會驗證識別碼權杖、建立裝置識別碼,並根據包含的憑證要求建立憑證。 Azure DRS 接著會在 Microsoft Entra ID 中寫入裝置物件,並將裝置識別碼和裝置憑證傳送至用戶端。 |
| H | 裝置註冊會藉由從 Azure DRS 接收裝置識別碼和裝置憑證來完成。 裝置識別碼會儲存以供日後參考(可從 dsregcmd.exe /status 檢視),且裝置憑證會安裝在電腦的 [個人] 存放區中。 完成裝置註冊後,程式會繼續進行 MDM 註冊。 |
已加入同盟環境中的 Microsoft Entra
| 階段 | 描述 |
|---|---|
| A | Microsoft Entra 加入裝置註冊最常見的方式是在現用體驗 (OOBE) 期間,它會在雲端體驗主機 (CXH) 應用程式中載入 Microsoft Entra join Web 應用程式。 應用程式會將 GET 要求傳送至 Microsoft Entra OpenID 組態端點,以探索授權端點。 Microsoft Entra ID 會將包含授權端點的 OpenID 組態傳回應用程式作為 JSON 檔。 |
| B | 應用程式會建置授權端點的登入要求,並收集使用者認證。 |
| C | 在使用者提供其使用者名稱(以 UPN 格式)之後,應用程式會將 GET 要求傳送給 Microsoft Entra ID,以探索使用者的對應領域資訊。 這項資訊會判斷環境是否受管理或同盟。 Microsoft Entra ID 會傳回 JSON 物件中的資訊。 應用程式會決定環境為同盟。 應用程式會重新導向至所傳回 JSON 領域物件中的 AuthURL 值(內部部署 STS 登入頁面)。 應用程式會透過 STS 網頁收集認證。 |
| D | 應用程式會將認證張貼至內部部署 STS,這可能需要額外的驗證因素。 內部部署 STS 會驗證使用者並傳回權杖。 應用程式會將權杖 POST 到 Microsoft Entra ID 以進行驗證。 Microsoft Entra ID 會驗證權杖,並傳回具有宣告的識別碼權杖。 |
| E | 應用程式會尋找 MDM 使用規定(mdm_tou_url宣告)。 如果存在,應用程式會從宣告的值擷取使用規定、向使用者呈現內容,並等候使用者接受使用規定。 如果宣告不存在,或宣告值是空的,則此步驟是選擇性的,而且略過。 |
| F | 應用程式會將裝置註冊探索要求傳送至 Azure 裝置註冊服務 (ADRS)。 Azure DRS 會傳回探索資料檔案,以傳回租使用者特定的 URI 以完成裝置註冊。 |
| G | 應用程式會建立 TPM 系結(慣用)RSA 2048 位金鑰組,稱為裝置金鑰(dkpub/dkpriv)。 應用程式會使用 dkpub 和公開金鑰建立憑證要求,並使用 dkpriv 簽署憑證要求。 接下來,應用程式會從 TPM 的儲存體根金鑰衍生第二個金鑰組。 此金鑰是傳輸金鑰(tkpub/tkpriv)。 |
| H | 應用程式會將裝置註冊要求傳送至 Azure DRS,其中包含識別碼權杖、憑證要求、tkpub 和證明資料。 Azure DRS 會驗證識別碼權杖、建立裝置識別碼,並根據包含的憑證要求建立憑證。 Azure DRS 接著會在 Microsoft Entra ID 中寫入裝置物件,並將裝置識別碼和裝置憑證傳送至用戶端。 |
| I | 裝置註冊會藉由從 Azure DRS 接收裝置識別碼和裝置憑證來完成。 裝置識別碼會儲存以供日後參考(可從 dsregcmd.exe /status 檢視),且裝置憑證會安裝在電腦的 [個人] 存放區中。 完成裝置註冊後,程式會繼續進行 MDM 註冊。 |
已加入受控環境中的 Microsoft Entra 混合式
| 階段 | 描述 |
|---|---|
| A | 使用者使用網域認證登入已加入網域的 Windows 10 或更新版本電腦。 此認證可以是使用者名稱和密碼或智慧卡驗證。 使用者登入會觸發自動裝置加入工作。 自動裝置加入工作會在加入網域時觸發,每小時重試一次。 它不只取決於使用者登入。 |
| B | 工作會使用 LDAP 通訊協定查詢 Active Directory,以取得儲存在 Active Directory 中組態分割區中之服務連接點上的關鍵字屬性。 CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com 關鍵字屬性中傳回的值會判斷裝置註冊是否導向至 Azure 裝置註冊服務 (ADRS) 或裝載于內部部署的企業裝置註冊服務。 |
| C | 針對受控環境,工作會以自我簽署憑證的形式建立初始驗證認證。 工作會使用 LDAP,將憑證寫入 Active Directory 中電腦物件上的 userCertificate 屬性。 |
| D | 在 Microsoft Entra ID 中建立包含 userCertificate 屬性憑證之電腦的裝置物件之前,電腦無法向 Azure DRS 進行驗證。 Microsoft Entra 連線會偵測屬性變更。 在下一個同步處理週期中,Microsoft Entra 連線會將 userCertificate、物件 GUID 和電腦 SID 傳送至 Azure DRS。 Azure DRS 會使用屬性資訊,在 Microsoft Entra ID 中建立裝置物件。 |
| E | 自動裝置加入工作會觸發每個使用者登入或每小時一次,並嘗試使用 userCertificate 屬性中公開金鑰的對應私密金鑰向 Microsoft Entra 識別碼驗證電腦。 Microsoft Entra 會驗證電腦,並將識別碼權杖發行給電腦。 |
| F | 此工作會建立稱為裝置金鑰 (dkpub/dkpriv) 的 TPM 系結 (慣用) RSA 2048 位金鑰組。 應用程式會使用 dkpub 和公開金鑰建立憑證要求,並使用 dkpriv 簽署憑證要求。 接下來,應用程式會從 TPM 的儲存體根金鑰衍生第二個金鑰組。 此金鑰是傳輸金鑰(tkpub/tkpriv)。 |
| G | 此工作會將裝置註冊要求傳送至 Azure DRS,其中包含識別碼權杖、憑證要求、tkpub 和證明資料。 Azure DRS 會驗證識別碼權杖、建立裝置識別碼,並根據包含的憑證要求建立憑證。 Azure DRS 接著會更新 Microsoft Entra ID 中的裝置物件,並將裝置識別碼和裝置憑證傳送至用戶端。 |
| H | 裝置註冊會藉由從 Azure DRS 接收裝置識別碼和裝置憑證來完成。 裝置識別碼會儲存以供日後參考(可從 dsregcmd.exe /status 檢視),且裝置憑證會安裝在電腦的 [個人] 存放區中。 完成裝置註冊之後,工作就會結束。 |
已加入同盟環境中的 Microsoft Entra 混合式
| 階段 | 描述 |
|---|---|
| A | 使用者使用網域認證登入已加入網域的 Windows 10 或更新版本電腦。 此認證可以是使用者名稱和密碼或智慧卡驗證。 使用者登入會觸發自動裝置加入工作。 自動裝置加入工作會在加入網域時觸發,每小時重試一次。 它不只取決於使用者登入。 |
| B | 工作會使用 LDAP 通訊協定查詢 Active Directory,以取得儲存在 Active Directory 中組態分割區中之服務連接點上的關鍵字屬性。 CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com 關鍵字屬性中傳回的值會判斷裝置註冊是否導向至 Azure 裝置註冊服務 (ADRS) 或裝載于內部部署的企業裝置註冊服務。 |
| C | 針對同盟環境,電腦會使用 Windows 整合式驗證來驗證企業裝置註冊端點。 企業裝置註冊服務會建立並傳回權杖,其中包含物件 GUID、電腦 SID 和已加入網域狀態的宣告。 工作會將權杖和宣告提交至已驗證的 Microsoft Entra 識別碼。 Microsoft Entra ID 會將識別碼權杖傳回執行中工作。 |
| D | 應用程式會建立 TPM 系結(慣用)RSA 2048 位金鑰組,稱為裝置金鑰(dkpub/dkpriv)。 應用程式會使用 dkpub 和公開金鑰建立憑證要求,並使用 dkpriv 簽署憑證要求。 接下來,應用程式會從 TPM 的儲存體根金鑰衍生第二個金鑰組。 此金鑰是傳輸金鑰(tkpub/tkpriv)。 |
| E | 若要為內部部署同盟應用程式提供 SSO,工作會向內部部署 STS 要求企業 PRT。 執行Active Directory 同盟服務角色的 Windows Server 2016 會驗證要求,並傳回執行中的工作。 |
| F | 此工作會將裝置註冊要求傳送至 Azure DRS,其中包含識別碼權杖、憑證要求、tkpub 和證明資料。 Azure DRS 會驗證識別碼權杖、建立裝置識別碼,並根據包含的憑證要求建立憑證。 Azure DRS 接著會在 Microsoft Entra ID 中寫入裝置物件,並將裝置識別碼和裝置憑證傳送至用戶端。 裝置註冊會藉由從 Azure DRS 接收裝置識別碼和裝置憑證來完成。 裝置識別碼會儲存以供日後參考(可從 dsregcmd.exe /status 檢視),且裝置憑證會安裝在電腦的 [個人] 存放區中。 完成裝置註冊之後,工作就會結束。 |
| G | 如果啟用 Microsoft Entra 連線裝置回寫,Microsoft Entra 連線在下一個同步處理週期要求 Microsoft Entra ID 的更新(使用憑證信任的混合式部署需要裝置回寫)。 Microsoft Entra ID 會將裝置物件與相符的同步處理電腦物件相互關聯。 Microsoft Entra 連線會接收包含物件 GUID 和電腦 SID 的裝置物件,並將裝置物件寫入 Active Directory。 |