Condividi tramite

Informazioni sul Primary Refresh Token (PRT)

  • Articolo

Un token di aggiornamento primario (PRT) è un artefatto chiave dell'autenticazione di Microsoft Entra nelle versioni supportate di Windows, iOS e Android. Questo articolo illustra come viene rilasciato, usato e protetto un token di aggiornamento primario nei dispositivi Windows 10 o versioni successive, migliorando la sicurezza e abilitando l'accesso Single Sign-On (SSO) tra le applicazioni.

Questo articolo presuppone che tu abbia già compreso i diversi stati del dispositivo disponibili in Microsoft Entra ID e come funziona l'accesso Single Sign-On in Windows. Per altre informazioni sui dispositivi in Microsoft Entra ID, vedere Che cos'è la gestione dei dispositivi in Microsoft Entra ID?.

Terminologia e componenti chiave

I componenti di Windows seguenti svolgono un ruolo chiave nella richiesta e nell'uso di un token di aggiornamento primario:

  • Cloud Authentication Provider (CloudAP):CloudAP è il provider di autenticazione moderno per l'accesso a Windows che verifica l'accesso degli utenti a un dispositivo Windows 10, o versioni successive. CloudAP offre un framework di plug-in che i provider di identità possono usare per consentire l'autenticazione in Windows tramite le credenziali dello stesso provider di identità.
  • Web Account Manager (WAM): WAM è il broker di token predefinito nei dispositivi Windows 10, o versioni successive. WAM fornisce anche un framework di plug-in che i provider di identità possono usare per abilitare l'accesso SSO alle loro applicazioni tramite il provider di identità stesso.
  • Plug-in Microsoft Entra CloudAP: un plug-in specifico di Microsoft Entra, basato sul framework CloudAP, che verifica le credenziali utente con Microsoft Entra ID durante l'accesso a Windows.
  • Plug-in Microsoft WAM: plug-in specifico di Microsoft Entra, basato sul framework WAM, che consente l'accesso SSO alle applicazioni che usano Microsoft Entra ID per l'autenticazione.
  • Dsreg: componente specifico di Microsoft Entra in Windows 10, o versioni successive, che gestisce il processo di registrazione dei dispositivi per tutti i loro stati.
  • Trusted Platform Module (TPM): un TPM è un componente hardware, integrato in un dispositivo, che fornisce funzioni di sicurezza basate su hardware per i segreti di utenti e dispositivi. Per maggiori informazioni, vedere l'articolo Panoramica della tecnologia Trusted Platform Module.

Che cosa contiene il PRT?

Un PRT contiene attestazioni presenti nella maggior parte dei token di aggiornamento di Microsoft Entra ID. Inoltre, nel PRT sono incluse alcune attestazioni specifiche per il dispositivo. Questi sono:

  • ID dispositivo: un PRT viene rilasciato a un utente su un dispositivo specifico. L'attestazione dell'ID dispositivo deviceID determina il dispositivo in cui è stato rilasciato il token di aggiornamento primario per l'utente. Questa attestazione viene successivamente rilasciata ai token ottenuti tramite il Token di Aggiornamento Primario. L'attestazione dell'ID dispositivo viene usata per determinare l'autorizzazione per l'accesso condizionale in base allo stato o alla conformità del dispositivo.
  • Chiave della sessione: la chiave della sessione è una chiave simmetrica crittografata, generata dal servizio di autenticazione di Microsoft Entra e rilasciata come parte del token di aggiornamento primario (PRT). La chiave della sessione funge da dimostrazione del possesso quando viene usato un token di aggiornamento primario per ottenere token per altre applicazioni. La chiave della sessione viene implementata nei dispositivi aggiunti a Windows 10, o versioni successive, o nei dispositivi ibridi aggiunti a Microsoft Entra, se è precedente a 30 giorni.

Posso vedere cosa c'è in un PRT?

Un PRT è un BLOB opaco inviato da Microsoft Entra, il cui contenuto non è noto ad alcun componente client. Non è possibile vedere all'interno di un sistema PRT.

Come viene emesso un PRT?

La registrazione del dispositivo è un prerequisito per l'autenticazione basata su dispositivo in Microsoft Entra ID. Un PRT viene rilasciato agli utenti solo su dispositivi registrati. Per informazioni più dettagliate sulla registrazione dei dispositivi, vedere l'articolo Windows Hello for Business e registrazione dei dispositivi. Durante la registrazione del dispositivo, il componente dsreg genera due set di coppie di chiavi crittografiche:

  • Chiave del dispositivo (dkpub/dkpriv)
  • Chiave di trasporto (tkpub/tkpriv)

Le chiavi private sono associate al TPM del dispositivo se esso dispone di un TPM valido e funzionante, mentre le chiavi pubbliche vengono inviate a Microsoft Entra ID durante il processo di registrazione del dispositivo. Queste chiavi vengono usate per convalidare lo stato del dispositivo durante le richieste PRT (Primary Refresh Token).

Il token di aggiornamento primario viene rilasciato durante l'autenticazione utente in un dispositivo Windows 10, o versioni successive, in due scenari:

  • Aggiunto a Microsoft Entra o Aggiunto a Microsoft Entra ibrido: un PRT viene generato durante l'accesso a Windows quando l'utente accede con le credenziali dell'organizzazione. Un PRT viene rilasciato con tutte le credenziali supportate su Windows 10 o versioni successive, come ad esempio password e Windows Hello for Business. In questo scenario il plug-in CloudAP di Microsoft Entra è l'autorità primaria per il PRT.
  • Dispositivo registrato Microsoft Entra: viene rilasciato un PRT (Primary Refresh Token) quando un utente aggiunge un account aziendale secondario al dispositivo Windows 10 o versione successiva. Gli utenti possono aggiungere un account a Windows 10 o versioni successive in due modi:
    • Aggiungere un account tramite il prompt Consenti alla mia organizzazione di gestire il mio dispositivo, dopo l'accesso a un'app (ad esempio, Outlook)
    • Da Impostazioni>Account>Accedi al lavoro o alla scuola>Connetti

Negli scenari con dispositivi registrati di Microsoft Entra, il plug-in Microsoft Entra WAM è l'autorità primaria per il PRT poiché l'accesso a Windows non avviene con questo account Microsoft Entra.

Nota

I provider di identità non Microsoft devono supportare il protocollo WS-Trust per abilitare il rilascio del PRT sui dispositivi con Windows 10 o versioni successive. Senza WS-Trust, non è possibile rilasciare un PRT agli utenti su dispositivi Microsoft Entra ibridi o registrati a Microsoft Entra. In AD FS sono richiesti solo endpoint di tipo usernamemixed. In AD FS se smartcard/certificate viene utilizzato durante l'accesso a Windows, sono richiesti endpoint certificatemixed. Sia adfs/services/trust/2005/windowstransport, sia adfs/services/trust/13/windowstransport devono essere abilitati solo come endpoint per Intranet e NON devono essere esposti come endpoint per Extranet tramite il Proxy applicazione Web.

Nota

Le policy di accesso condizionale di Microsoft Entra non vengono valutate quando vengono emessi i PRT.

Nota

Non supportiamo provider di credenziali non Microsoft per il rilascio e il rinnovo dei PRT di Microsoft Entra.

Qual è la durata di un PRT?

Una volta rilasciato, un token di aggiornamento primario è valido per 14 giorni e viene rinnovato continuamente fino a quando l'utente usa attivamente il dispositivo.

Come viene utilizzato un PRT (Primary Refresh Token)?

Un Primary Refresh Token (PRT) viene utilizzato da due componenti chiave in Windows.

  • Plug-in Microsoft Entra CloudAP: Durante l'accesso a Windows, il plug-in Microsoft Entra CloudAP richiede un PRT da Microsoft Entra ID usando le credenziali fornite dall'utente. Il token di aggiornamento primario viene anche memorizzato nella cache per consentire l'accesso dalla cache quando l'utente non dispone di una connessione Internet.
  • Plug-in Microsoft Entra WAM: Quando gli utenti tentano di accedere alle applicazioni, il plug-in Microsoft Entra WAM utilizza il PRT per abilitare l'accesso SSO su Windows 10 o versioni successive. Il plug-in WAM di Microsoft Entra usa il PRT (Primary Refresh Token) per richiedere token di aggiornamento e di accesso per le applicazioni che si basano su WAM per le richieste di token. Viene inoltre abilitato il Single Sign-On (SSO) nei browser iniettando il token di aggiornamento primario (PRT) nelle richieste del browser. Il browser SSO in Windows 10, o versioni successive, è supportato in Microsoft Edge (in modo nativo), Chrome (tramite gli account Windows 10 o Mozilla Firefox v91+ (impostazione SSO Windows Firefox)

    Nota

    Nei casi in cui l'utente dispone di due account dello stesso tenant Microsoft Entra connesso a un'applicazione browser, l'autenticazione del dispositivo fornita dal PRT dell'account primario viene applicata automaticamente anche al secondo account. Di conseguenza, anche il secondo account soddisfa i criteri di accesso condizionale basati su dispositivo nel tenant.

Come viene rinnovato un token di aggiornamento primario?

Un PRT viene rinnovato in due modi diversi:

  • Plug-in Microsoft Entra CloudAP ogni 4 ore: il plug-in CloudAP rinnova il PRT (token di aggiornamento primario) ogni 4 ore durante l'accesso a Windows. Se l'utente non ha una connessione Internet durante tale periodo, il plug-in CloudAP rinnova il token di aggiornamento primario dopo che il dispositivo è connesso a Internet e viene eseguito un nuovo accesso a Windows.
  • Plug-in Microsoft Entra WAM durante le richieste di token dell'app: il plug-in WAM abilita l'accesso SSO sui dispositivi Windows 10 o versioni successive, consentendo richieste di token silenziose per le applicazioni. Il plug-in WAM può rinnovare il PRT durante queste richieste di token in due modi diversi:
    • Un'app richiede a WAM un token di accesso in modo invisibile all'utente, tuttavia non è disponibile alcun token di aggiornamento per tale app. In questo caso, WAM utilizza il PRT per richiedere un token per l'app e ottiene un nuovo PRT nella risposta.
    • Un'app richiede a WAM un token di accesso, ma il PRT non è valido o Microsoft Entra ID richiede autorizzazioni extra (ad esempio, l'autenticazione a più fattori Microsoft Entra). In questo scenario, WAM avvia un accesso interattivo che richiede all'utente di eseguire nuovamente l'autenticazione o di fornire una verifica aggiuntiva, al completamento dell'autenticazione viene rilasciato un nuovo token di aggiornamento primario.

In un ambiente AD FS, la comunicazione diretta con il controller di dominio non è richiesta per rinnovare il PRT. Il rinnovo del PRT richiede soltanto che gli endpoint /adfs/services/trust/2005/usernamemixed e /adfs/services/trust/13/usernamemixed siano abilitati nel proxy tramite il protocollo WS-Trust.

Gli endpoint di trasporto di Windows sono necessari per l'autenticazione della password solo quando si modifica una password, non per il rinnovo del PRT (Primary Refresh Token).

Nota

Le politiche di accesso condizionale di Microsoft Entra non vengono valutate quando i token di aggiornamento primario vengono rinnovati.

Considerazioni essenziali

  • Nei dispositivi associati a Microsoft Entra e a Microsoft Entra ibrido, il plug-in CloudAP è l'autorità principale per un PRT (Primary Refresh Token). Se un PRT viene rinnovato durante una richiesta di token basata su WAM, il PRT viene restituito al plug-in CloudAP, che ne verifica la validità con Microsoft Entra ID prima dell'accettazione.

Piattaforma Android:

  • Un token di aggiornamento primario è valido per 90 giorni e viene rinnovato continuamente finché il dispositivo è in uso. Tuttavia, se il dispositivo non viene utilizzato è valido solo per 14 giorni.
  • Un token di aggiornamento primario (PRT) viene rilasciato e rinnovato solo durante l'autenticazione dell'applicazione nativa. Un PRT non viene rinnovato o emesso durante una sessione del browser.
  • È possibile ottenere un PRT senza dover registrare il dispositivo (Workplace Join) e abilitare l'accesso SSO.
  • I PRT ottenuti senza registrazione del dispositivo non possono soddisfare i criteri di autorizzazione per l'accesso condizionale che si basa sullo stato o sulla conformità del dispositivo.

Come viene protetto il PRT?

Un token di aggiornamento primario (PRT) viene protetto mediante l'associazione al dispositivo su cui l'utente ha effettuato l'accesso. Microsoft Entra ID e Windows 10, o versioni successive, abilitano la protezione del token di aggiornamento primario tramite i metodi riportati di seguito:

  • Durante il primo accesso: nel corso del primo accesso viene rilasciato un PRT firmando le richieste tramite la chiave del dispositivo generata crittograficamente durante la registrazione del dispositivo. In un dispositivo con un TPM valido e funzionante, la chiave del dispositivo è protetta dal TPM che impedisce l'accesso da parte di utenti malintenzionati. Il PRT non viene rilasciato se non è possibile convalidare la firma della chiave del dispositivo corrispondente.
  • Durante le richieste di token e il rinnovo: quando viene rilasciato un PRT, anche Microsoft Entra ID rilascia una chiave di sessione crittografata per il dispositivo. La crittografia viene eseguita con la chiave di trasporto pubblica (tkpub) generata e inviata a Microsoft Entra ID come parte della registrazione del dispositivo. Questa chiave della sessione può essere decrittografata solo tramite la chiave di trasporto privata (tkpriv) protetta dal TPM. La chiave della sessione è la chiave di verifica del possesso (POP, Proof-of-Possession) per tutte le richieste inviate a Microsoft Entra ID. Anche la chiave della sessione è protetta dal TPM e nessun altro componente del sistema operativo può accedervi. Le richieste di token o le richieste di rinnovo PRT sono firmate in modo sicuro da questa chiave della sessione tramite il TPM, pertanto non possono essere manomesse. Microsoft Entra invalida le richieste dal dispositivo che non sono firmate dalla chiave della sessione corrispondente.

Proteggendo queste chiavi con il TPM, miglioriamo la sicurezza del PRT da attori malintenzionati che cercano di rubare le chiavi o riprodurre il PRT. L'uso di un TPM migliora notevolmente la sicurezza dei dispositivi uniti a Microsoft Entra, uniti a Microsoft Entra ibrido e registrati in Microsoft Entra contro il furto di credenziali. Al fine di garantire prestazioni e affidabilità, si consiglia la versione TPM 2.0 per tutti gli scenari di registrazione di dispositivi Microsoft Entra in Windows 10, o versioni successive. Dopo l'aggiornamento di Windows 10, 1903, Microsoft Entra ID non usa TPM 1.2 per una delle chiavi precedenti a causa di problemi di affidabilità.

Come vengono protetti i token delle app e i cookie del browser?

Token dell'app: quando un'app richiede un token tramite WAM, Microsoft Entra ID rilascia un token di aggiornamento e un token di accesso. Tuttavia, WAM restituisce all'app solo il token di accesso e protegge il token di aggiornamento nella cache crittografandolo con la chiave DPAPI (Data Protection API) dell'utente. WAM usa in modo sicuro il token di aggiornamento firmando le richieste con la chiave della sessione per rilasciare ulteriori token di accesso. La chiave DPAPI è protetta da una chiave simmetrica basata su Microsoft Entra ID che si trova in Microsoft Entra. Quando il dispositivo deve decrittografare il profilo utente con la chiave DPAPI, Microsoft Entra ID fornisce la chiave DPAPI crittografata dalla chiave della sessione che il plug-in CloudAP richiede al TPM di decrittografare. Questa funzionalità garantisce la coerenza nella protezione dei token di aggiornamento ed evita che le applicazioni implementino meccanismi di protezione individuali.

Cookie del browser: in Windows 10, o versioni successive, Microsoft Entra ID supporta l'accesso SSO del browser in Internet Explorer e Microsoft Edge in modo nativo, in Google Chrome tramite l'estensione degli account di Windows 10 e in Mozilla Firefox v91+ tramite un'impostazione del browser. La sicurezza è integrata non solo per proteggere i cookie, ma anche gli endpoint a cui i cookie vengono inviati. I cookie del browser sono protetti nello stesso modo di un token di aggiornamento primario (PRT), utilizzando la chiave della sessione per firmare e proteggere i cookie.

Quando un utente avvia un'interazione nel browser, il browser (o l'estensione) richiama un host client nativo COM. L'host client nativo verifica che la pagina provenga da uno dei domini consentiti. Il browser può inviare altri parametri all'host client nativo, come un nonce, tuttavia l'host client nativo garantisce la convalida del nome host. L'host client nativo richiede un PRT-cookie al plug-in CloudAP, che lo crea e lo firma con la chiave di sessione protetta dal TPM. Poiché il cookie del PRT è firmato dalla chiave della sessione è difficile manometterlo. Il cookie del PRT è incluso nell'intestazione della richiesta per consentire a Microsoft Entra ID di convalidare il dispositivo da cui proviene. Se si usa il browser Chrome, solo l'estensione definita in modo esplicito nel manifesto dell'host client nativo può eseguire la chiamata, impedendo così alle estensioni arbitrarie di effettuare tali richieste. Quando Microsoft Entra ID convalida il PRT cookie, rilascia un cookie di sessione per il browser. Questo cookie di sessione contiene anche la stessa chiave di sessione rilasciata con un PRT. Durante le richieste successive, la chiave della sessione viene convalidata in modo efficace, associando il cookie al dispositivo e impedendo le riproduzioni da altre fonti.

Quando un PRT ottiene una richiesta MFA?

Un token di aggiornamento primario può ottenere un'attestazione di autenticazione a più fattori (MFA) in scenari specifici. Quando si utilizza un PRT basato su MFA per richiedere token per le applicazioni, la dichiarazione MFA viene trasferita a questi token delle applicazioni. Questa funzionalità offre un'esperienza uniforme agli utenti, evitando le richieste di autenticazione MFA per ogni app che la richiede. Un PRT può ottenere una richiesta di autenticazione MFA nei modi seguenti:

  • Accesso con Windows Hello for Business: Windows Hello for Business sostituisce le password e si avvale di chiavi crittografiche per fornire un'autenticazione a due fattori avanzata. Windows Hello for Business è specifico per un utente su un dispositivo e richiede esso stesso l'MFA per essere configurato. Se un utente accede con Windows Hello for Business, il suo PRT ottiene un'attestazione MFA. Questo scenario si applica anche agli utenti che accedono con smart card se l'autenticazione tramite smart card genera un'attestazione MFA da AD FS.
    • Poiché Windows Hello for Business è considerato un tipo di autenticazione a più fattori, l'attestazione MFA viene aggiornata quando viene aggiornato il PRT stesso, pertanto la durata dell'autenticazione a più fattori viene estesa continuamente quando gli utenti eseguono l'accesso con Windows Hello for Business.
  • MFA durante una richiesta di accesso interattivo tramite WAM: nel corso di una richiesta di token tramite WAM, se un utente deve eseguire l'autenticazione a più fattori per accedere all'app, il PRT rinnovato durante questa interazione viene contrassegnato con un'attestazione MFA.
    • In questo caso, la dichiarazione MFA non viene aggiornata continuamente, quindi la durata della MFA si basa sulla durata configurata nella directory.
    • Se si utilizzano un PRT e un RT esistenti per accedere a un'app, questi vengono considerati come prima prova di autenticazione. Sarà necessario un nuovo RT con una seconda prova e un'attestazione MFA contrassegnata. Questo processo emette anche un nuovo token PRT e un token RT.

Windows 10, o versioni successive, mantiene un elenco partizionato di PRT (Primary Refresh Tokens) per ogni credenziale. Quindi, esiste un token di aggiornamento primario per ciascuna credenziale di tipo Windows Hello for Business, password o smart card. Questo partizionamento garantisce che le attestazioni MFA siano isolate in base alle credenziali usate e non siano confuse durante le richieste di token.

Nota

Se si utilizza una password per accedere a Windows 10 o a versioni successive su un dispositivo collegato a Microsoft Entra o Microsoft Entra ibrido, potrebbe essere richiesta l'autenticazione a più fattori durante l'accesso interattivo WAM dopo il rinnovo della chiave di sessione associata al PRT.

Come viene invalidato un PRT?

Il PRT viene invalidato nei seguenti scenari:

  • Utente non valido: se un utente viene eliminato o disabilitato in Microsoft Entra ID, il PRT viene invalidato e non può essere usato per ottenere i token per le applicazioni. Se un utente eliminato o disabilitato ha già effettuato l'accesso a un dispositivo in precedenza, l'accesso memorizzato nella cache consentirà loro di connettersi fino a quando CloudAP non rileva il loro stato non valido. Quando CloudAP determina che l'utente non è valido, blocca gli accessi successivi. A un utente non valido viene automaticamente impedito l'accesso ai nuovi dispositivi che non dispongono di credenziali memorizzate nella cache.
  • Dispositivo non valido: se un dispositivo viene eliminato o disabilitato in Microsoft Entra ID, il token di aggiornamento primario ottenuto nel dispositivo viene invalidato e non può essere usato per ottenere token per altre applicazioni. Se un utente ha già eseguito l'accesso a un dispositivo non valido, può continuare a farlo. Tuttavia, tutti i token nel dispositivo vengono invalidati e l'utente non potrà eseguire l'accesso SSO a nessuna risorsa da questo dispositivo.
  • Modifica della password: Un utente ottiene il PRT con la password; tale PRT viene invalidato da Microsoft Entra ID quando l'utente modifica la password. In seguito alla modifica della password, l'utente ottiene un nuovo PRT (Primary Refresh Token). Questo invalidamento può avvenire in due modi diversi:
    • Se l'utente accede a Windows con la nuova password, CloudAP rimuove il PRT precedente e richiede a Microsoft Entra ID di rilasciare un nuovo PRT con la nuova password. Se l'utente non dispone di una connessione Internet, la nuova password non può essere convalidata e Windows può richiedere all'utente di immettere la vecchia password.
    • Se un utente ha eseguito l'accesso con la password precedente o ha modificato la password dopo l'accesso a Windows, il PRT precedente viene usato per tutte le richieste di token basate su WAM. In questo scenario, l'utente è invitato a effettuare nuovamente l'autenticazione durante la richiesta di token WAM e viene rilasciato un nuovo PRT.
  • Problemi relativi al TPM: talvolta si può verificare un errore o un problema del TPM di un dispositivo che impedisce l'accesso alle chiavi protette dal TPM. In questo caso, il dispositivo non è in grado di ottenere un PRT o di richiedere token tramite un PRT esistente poiché non può dimostrare il possesso delle chiavi crittografiche. Di conseguenza, qualsiasi PRT esistente viene invalidato da Microsoft Entra ID. Se Windows 10 rileva un errore, avvia un flusso di ripristino per registrare il dispositivo con nuove chiavi crittografiche. Con l'adesione ibrida a Microsoft Entra, così come nella registrazione iniziale, il ripristino avviene silenziosamente senza intervento dell'utente. Per i dispositivi aggiunti a Microsoft Entra o registrati in Microsoft Entra, il ripristino deve essere eseguito da un utente con privilegi di amministratore per il dispositivo. In questo scenario, il flusso di ripristino viene avviato da un prompt di Windows che guida l'utente nel ripristino del dispositivo.

Flussi dettagliati

I diagrammi seguenti illustrano i dettagli fondamentali relativi all'emissione, rinnovo e utilizzo di un PRT per richiedere un token di accesso per un'applicazione. Inoltre, questi passaggi descrivono anche come vengono applicati i meccanismi di sicurezza menzionati in precedenza durante queste interazioni.

Rilascio del token di aggiornamento primario durante il primo accesso

Flusso dettagliato di rilascio del PRT durante il primo accesso

Nota

Nei dispositivi aggiunti a Microsoft Entra, il rilascio di PRT Microsoft Entra (passaggi A-F) viene eseguito in modo sincrono prima che l'utente possa accedere a Windows. Nei dispositivi uniti ibridi a Microsoft Entra, Active Directory locale è l'autorità principale. Pertanto, l'utente è in grado di accedere a un sistema Windows ibrido unito a Microsoft Entra dopo aver acquisito un TGT, mentre il rilascio del PRT avviene in modo asincrono. Questo scenario non si applica ai dispositivi registrati di Microsoft Entra perché l'accesso non usa le credenziali di Microsoft Entra.

Nota

In un ambiente Windows unito ibrido con Microsoft Entra, il rilascio del PRT avviene in modo asincrono. Il rilascio del PRT potrebbe non riuscire a causa di problemi con il provider federativo. Tale errore può causare problemi di accesso quando gli utenti tentano di accedere alle risorse cloud. È importante risolvere questo scenario con il provider federativo.

Passo Descrizione
A L'utente immette la sua password nell'interfaccia utente di accesso. L'interfaccia utente di accesso passa le credenziali in un buffer di autenticazione a LSA, che a sua volta le passa internamente a CloudAP. CloudAP inoltra la richiesta al plug-in CloudAP.
B Il plug-in CloudAP avvia una richiesta di individuazione del dominio per identificare il provider di identità per l'utente. Se il tenant dell'utente dispone di una configurazione del provider di federazione, Microsoft Entra ID restituisce l'endpoint MEX (Metadata Exchange) del provider di federazione. In caso contrario, Microsoft Entra ID indica che l'utente è gestito specificando che l'utente può eseguire l'autenticazione con Microsoft Entra ID.
C Se l'utente è gestito, CloudAP ottiene il nonce da Microsoft Entra ID. Se l'utente è federato, il plug-in CloudAP richiede un token Security Assertion Markup Language (SAML) al provider di servizi di federazione con le credenziali dell'utente. Il nonce viene richiesto prima dell'invio del token SAML a Microsoft Entra ID.
D Il plug-in CloudAP crea la richiesta di autenticazione con le credenziali dell'utente, il nonce e un ambito del broker, firma la richiesta con la chiave del dispositivo (dkpriv) e la invia a Microsoft Entra ID. In un ambiente federato, il plug-in CloudAP usa il token SAML restituito dal provider di servizi di federazione anziché le credenziali dell'utente.
E Microsoft Entra ID convalida le credenziali dell'utente, il nonce e la firma del dispositivo, verifica che il dispositivo sia valido nel tenant e rilascia il token di aggiornamento primario crittografato. Insieme al PRT, Microsoft Entra ID rilascia anche una chiave simmetrica, denominata chiave della sessione, crittografata da Microsoft Entra ID tramite la chiave di trasporto (tkpub). La chiave della sessione è anche incorporata nel token di aggiornamento primario. La chiave della sessione funge da chiave di dimostrazione del possesso (PoP, Proof-of-Possession) per le successive richieste con il PRT.
F Il plug-in CloudAP passa il PRT crittografato e la chiave della sessione a CloudAP. CloudAP richiede al TPM di decrittografare la chiave della sessione tramite la chiave di trasporto (tkpriv) e di crittografarla nuovamente usando la chiave del TPM stesso. CloudAP archivia la chiave della sessione crittografata nella cache insieme al PRT.

Rinnovo del PRT nei successivi accessi

Rinnovo del token PRT agli accessi successivi

Passo Descrizione
A L'utente immette la sua password nell'interfaccia utente di accesso. L'interfaccia utente di accesso passa le credenziali in un buffer di autenticazione a LSA, che a sua volta le passa internamente a CloudAP. CloudAP inoltra la richiesta al plug-in CloudAP.
B Se l'utente ha già eseguito l'accesso alla sessione in precedenza, Windows avvia l'accesso dalla cache e convalida le credenziali per consentire l'accesso all'utente. Ogni 4 ore, il plug-in CloudAP avvia il rinnovo del PRT in modo asincrono.
C Il plug-in CloudAP avvia una richiesta di individuazione del dominio per identificare il fornitore di identità per l'utente. Se il tenant dell'utente dispone di una configurazione del provider di federazione, Microsoft Entra ID restituisce l'endpoint MEX (Metadata Exchange) del provider di federazione. In caso contrario, Microsoft Entra ID indica che l'utente è gestito specificando che l'utente può eseguire l'autenticazione con Microsoft Entra ID.
D Se l'utente è federato, il plug-in CloudAP richiede un token SAML al provider di servizi di federazione con le credenziali dell'utente. Il nonce viene richiesto prima dell'invio del token SAML a Microsoft Entra ID. Se l'utente è gestito, CloudAP ottiene direttamente il nonce da Microsoft Entra ID.
E Il plug-in CloudAP crea la richiesta di autenticazione con le credenziali dell'utente, il nonce e il PRT esistente, firma la richiesta con la chiave della sessione e la invia a Microsoft Entra ID. In un ambiente federato, il plug-in CloudAP usa il token SAML restituito dal provider di servizi di federazione anziché le credenziali dell'utente.
F Microsoft Entra ID convalida la firma della chiave della sessione confrontandola con la chiave della sessione integrata nel PRT, verifica il nonce, controlla che il dispositivo sia valido nel tenant e rilascia un nuovo PRT. Come visto in precedenza, il token PRT è nuovamente accompagnato dalla chiave della sessione crittografata dalla chiave di trasporto (tkpub).
G Il plug-in CloudAP passa la PRT crittografata e la chiave della sessione a CloudAP. CloudAP richiede al TPM di decrittografare la chiave della sessione tramite la chiave di trasporto (tkpriv) e di crittografarla nuovamente usando la chiave del TPM stesso. CloudAP archivia la chiave della sessione crittografata nella cache insieme al PRT.

Nota

Un PRT può essere rinnovato esternamente senza una connessione VPN se gli endpoint di tipo usernamemixed sono abilitati esternamente.

Uso di PRT durante le richieste di token dell'app

Uso del PRT durante le richieste di token dell'app

Passo Descrizione
A Un'applicazione, come Microsoft Outlook, avvia una richiesta di token a WAM. WAM, a sua volta, chiede al plug-in WAM di Microsoft Entra di gestire la richiesta di token.
B Se è già disponibile un token di aggiornamento per l'applicazione, il plug-in WAM di Microsoft Entra lo usa per richiedere un token di accesso. Per fornire la prova dell'associazione del dispositivo, il plug-in WAM firma la richiesta con la chiave della sessione. Microsoft Entra ID convalida la chiave della sessione e rilascia un token di accesso e un nuovo token di aggiornamento per l'app, crittografati dalla chiave della sessione. Il plug-in WAM richiede al plug-in CloudAP di decrittografare i token che, a sua volta, richiede al TPM di eseguire la decrittografia usando la chiave della sessione. Di conseguenza, il plug-in WAM ottiene entrambi i token. Successivamente, il plug-in WAM fornisce all'applicazione solo il token di accesso, mentre crittografa nuovamente il token di aggiornamento con DPAPI e lo archivia nella propria cache
C Se un refresh token per l'applicazione non è disponibile, il plugin WAM di Microsoft Entra utilizza il Primary Refresh Token (PRT) per richiedere un token di accesso. Per fornire prova di possesso, il plug-in WAM firma la richiesta contenente il PRT con la chiave della sessione. Microsoft Entra ID convalida la firma della chiave della sessione confrontandola con la chiave della sessione integrata nel PRT, verifica che il dispositivo sia valido e rilascia un token di accesso e un token di aggiornamento per l'applicazione. Inoltre, Microsoft Entra ID può rilasciare un nuovo PRT (Primary Refresh Token) (in base al ciclo di aggiornamento), tutti crittografati dalla chiave di sessione.
D Il plug-in WAM richiede al plug-in CloudAP di decrittografare i token che, a sua volta, richiede al TPM di eseguire la decrittografia usando la chiave della sessione. Di conseguenza, il plug-in WAM ottiene entrambi i token. Successivamente, il plug-in WAM fornisce solo il token di accesso all'applicazione, mentre crittografa nuovamente il token di aggiornamento con DPAPI e lo archivia nella propria cache. D'ora in avanti, il plug-in WAM userà il token di aggiornamento automatico per questa applicazione. Inoltre, il plug-in WAM restituisce il nuovo PRT al plug-in CloudAP, che convalida il PRT con Microsoft Entra ID prima di aggiornarlo nella propria cache. D'ora in poi, il plug-in CloudAP utilizzerà il nuovo PRT.
E WAM fornisce il nuovo token di accesso rilasciato a WAM, che a sua volta lo restituisce all'applicazione chiamante.

Accesso SSO del browser con PRT

SSO del browser utilizzando il PRT

Passo Descrizione
A L'utente accede a Windows con le proprie credenziali per ottenere un token di aggiornamento primario. Quando l'utente apre il browser, il browser o l'estensione carica gli URL dal registro.
B Quando un utente apre un URL di accesso di Microsoft Entra, il browser o l'estensione convalida l'URL confrontandolo con quelli ottenuti dal registro. Se corrispondono, il browser richiama l'host client nativo per ottenere un token.
C L'host client nativo verifica che gli URL appartengano ai provider di identità Microsoft (account Microsoft o Microsoft Entra ID), estrae un nonce inviato dall'URL ed effettua una chiamata al plug-in CloudAP per ottenere un cookie PRT.
D Il plug-in CloudAP crea il cookie PRT, si autentica utilizzando la chiave di sessione vincolata al TPM e lo rinvia all'host client nativo.
E L'host client nativo restituisce questo cookie PRT al browser, che lo include come parte dell'intestazione della richiesta denominata x-ms-RefreshTokenCredential e richiede token da Microsoft Entra ID.
F Microsoft Entra ID convalida la firma della chiave della sessione nel cookie del PRT, convalida il nonce, verifica che il dispositivo sia valido nel tenant e rilascia un token ID per la pagina Web e un cookie di sessione crittografato per il browser.

Nota

Il flusso SSO del browser descritto nei passaggi precedenti non si applica alle sessioni in modalità private, ad esempio InPrivate in Microsoft Edge, Incognito in Google Chrome (quando si usa l'estensione di Account Microsoft) o in modalità privata in Mozilla Firefox v91+

Passaggi successivi

Per ulteriori informazioni sulla risoluzione dei problemi correlati a PRT, consulta l'articolo Risoluzione dei problemi relativi ai dispositivi Windows 10 o versioni successive e Windows Server 2016 uniti a Microsoft Entra in modalità ibrida.