Condividi tramite


Funzionamento: registrazione del dispositivo

La registrazione del dispositivo è un prerequisito per l'autenticazione basata su cloud. Generalmente, per completare la registrazione del dispositivo, i dispositivi sono aggiunti a Microsoft Entra ID o Microsoft Entra ibrido. Questo articolo fornisce informazioni dettagliate sul funzionamento dell'aggiunta a Microsoft Entra e a Microsoft Entra ibrido in ambienti gestiti e federati. Per altre informazioni sul funzionamento dell'autenticazione di Microsoft Entra in questi dispositivi, vedere l'articolo Token di aggiornamento primari.

Aggiunta a Microsoft Entra in ambienti gestiti

Flusso del dispositivo aggiunto a Microsoft Entra in un ambiente gestito

Fase Descrizione
A Il modo più comune per la registrazione dei dispositivi aggiunti a Microsoft Entra si verifica durante la configurazione guidata (OOBE) quando si carica l'applicazione Web di aggiunta a Microsoft Entra nell'applicazione Cloud Experience Host (CXH). L'applicazione invia una richiesta GET all'endpoint di configurazione di Microsoft Entra OpenID per individuare gli endpoint di autorizzazione. Microsoft Entra ID restituisce all'applicazione la configurazione OpenID, che include gli endpoint di autorizzazione, come documento JSON.
G L'applicazione compila una richiesta di accesso per l'endpoint di autorizzazione e raccoglie le credenziali utente.
A Quando l'utente specifica il nome dell'entità utente (UPN), l'applicazione invia una richiesta GET a Microsoft Entra ID per individuare le informazioni dell'area di autenticazione corrispondenti per l'utente. Tali informazioni determinano se l'ambiente è gestito o federato. Microsoft Entra ID restituisce le informazioni in un oggetto JSON. L'applicazione determina che l'ambiente è gestito (nonfederated).

L'ultimo passaggio di questa fase prevede che l'applicazione crei un buffer di autenticazione e, se si trova nella configurazione guidata, lo memorizza temporaneamente nella cache per l'accesso automatico al termine della configurazione guidata. L'applicazione pubblica le credenziali su Microsoft Entra ID dove vengono convalidate. Microsoft Entra ID restituisce un token ID con attestazioni.
D L'applicazione cerca le condizioni per l'utilizzo della gestione di dispositivi mobili (MDM) (attestazione mdm_tou_url). Se sono presenti, l'applicazione recupera le condizioni per l'utilizzo dal valore dell'attestazione, presenta il contenuto all'utente e attende che accetti le condizioni per l'utilizzo. Questo passaggio è facoltativo e viene ignorato se l'attestazione non è presente o se il valore dell'attestazione è vuoto.
E L'applicazione invia una richiesta di individuazione della registrazione del dispositivo al servizio di Registrazione dispositivi di Azure (DRS). Azure DRS restituisce un documento sui dati di individuazione, che restituisce URI specifici del tenant per completare la registrazione del dispositivo.
F L'applicazione crea una coppia di chiavi RSA a 2048 bit associata a TPM (preferito) nota come chiave del dispositivo (dkpub/dkpriv). L'applicazione crea una richiesta di certificato usando dkpub e la chiave pubblica, quindi firma la richiesta di certificato tramite dkpriv. Successivamente, l'applicazione deriva la seconda coppia di chiavi dalla chiave radice di archiviazione del TPM. Questa chiave è la chiave di trasporto (tkpub/tkpriv).
G L'applicazione invia una richiesta di registrazione del dispositivo ad Azure DRS che include il token ID, la richiesta di certificato, tkpub e i dati dell'attestazione. Azure DRS convalida il token ID, crea un ID dispositivo e un certificato in base alla richiesta di certificato inclusa. A questo punto, Azure DRS scrive un oggetto dispositivo in Microsoft Entra ID e invia al client l'ID dispositivo e il certificato del dispositivo.
H La registrazione del dispositivo viene completata quando Azure DRS riceve l'ID dispositivo e il certificato del dispositivo. L'ID dispositivo viene salvato per riferimento futuro (visualizzabile da dsregcmd.exe /status) e il certificato del dispositivo viene installato nell'archivio personale del computer. Una volta completata la registrazione del dispositivo, il processo continua con la registrazione MDM.

Aggiunta a Microsoft Entra in ambienti federati

Flusso del dispositivo aggiunto a Microsoft Entra in un ambiente federato

Fase Descrizione
A Il modo più comune per la registrazione dei dispositivi aggiunti a Microsoft Entra si verifica durante la configurazione guidata (OOBE) quando si carica l'applicazione Web di aggiunta a Microsoft Entra nell'applicazione Cloud Experience Host (CXH). L'applicazione invia una richiesta GET all'endpoint di configurazione di Microsoft Entra OpenID per individuare gli endpoint di autorizzazione. Microsoft Entra ID restituisce all'applicazione la configurazione OpenID, che include gli endpoint di autorizzazione, come documento JSON.
G L'applicazione compila una richiesta di accesso per l'endpoint di autorizzazione e raccoglie le credenziali utente.
A Quando l'utente specifica il nome utente (in formato UPN), l'applicazione invia una richiesta GET a Microsoft Entra ID per individuare le informazioni dell'area di autenticazione corrispondenti per l'utente. Tali informazioni determinano se l'ambiente è gestito o federato. Microsoft Entra ID restituisce le informazioni in un oggetto JSON. L'applicazione determina che l'ambiente è federato.

Si verifica il reindirizzamento dell'applicazione al valore AuthURL (pagina di accesso STS locale) nell'oggetto dell'area di autenticazione JSON restituito. L'applicazione raccoglie le credenziali tramite la pagina Web STS.
D L'applicazione PUBBLICA le credenziali sul servizio token di sicurezza locale, per il quale potrebbero essere richiesti fattori di autenticazione aggiuntivi. Il servizio token di sicurezza locale autentica l'utente e restituisce un token. L'applicazione PUBBLICA il token su Microsoft Entra ID per l'autenticazione. Microsoft Entra ID convalida il token e restituisce un token ID con attestazioni.
E L'applicazione cerca le condizioni per l'utilizzo della gestione di dispositivi mobili (MDM) (attestazione mdm_tou_url). Se sono presenti, l'applicazione recupera le condizioni per l'utilizzo dal valore dell'attestazione, presenta il contenuto all'utente e attende che accetti le condizioni per l'utilizzo. Questo passaggio è facoltativo e viene ignorato se l'attestazione non è presente o se il valore dell'attestazione è vuoto.
F L'applicazione invia una richiesta di individuazione della registrazione del dispositivo al servizio di Registrazione dispositivi di Azure (DRS). Azure DRS restituisce un documento sui dati di individuazione, che restituisce URI specifici del tenant per completare la registrazione del dispositivo.
G L'applicazione crea una coppia di chiavi RSA a 2048 bit associata a TPM (preferito) nota come chiave del dispositivo (dkpub/dkpriv). L'applicazione crea una richiesta di certificato usando dkpub e la chiave pubblica, quindi firma la richiesta di certificato tramite dkpriv. Successivamente, l'applicazione deriva la seconda coppia di chiavi dalla chiave radice di archiviazione del TPM. Questa chiave è la chiave di trasporto (tkpub/tkpriv).
H L'applicazione invia una richiesta di registrazione del dispositivo ad Azure DRS che include il token ID, la richiesta di certificato, tkpub e i dati dell'attestazione. Azure DRS convalida il token ID, crea un ID dispositivo e un certificato in base alla richiesta di certificato inclusa. A questo punto, Azure DRS scrive un oggetto dispositivo in Microsoft Entra ID e invia al client l'ID dispositivo e il certificato del dispositivo.
I La registrazione del dispositivo viene completata quando Azure DRS riceve l'ID dispositivo e il certificato del dispositivo. L'ID dispositivo viene salvato per riferimento futuro (visualizzabile da dsregcmd.exe /status) e il certificato del dispositivo viene installato nell'archivio personale del computer. Una volta completata la registrazione del dispositivo, il processo continua con la registrazione MDM.

Aggiunta a Microsoft Entra ibrido in ambienti gestiti

Screenshot del flusso del dispositivo aggiunto a Microsoft Entra ibrido in un ambiente gestito.

Fase Descrizione
A L'utente accede a un computer aggiunto a un dominio Windows 10, o più recente, usando le credenziali di dominio. Queste credenziali possono essere il nome utente e la password o l'autenticazione tramite smart card. L'accesso dell'utente attiva l'attività Aggiunta automatica dispositivo. Le attività di Aggiunta automatica dispositivo vengono attivate quando si aggiunge il dominio, con tentativi ogni ora. Ciò non dipende esclusivamente dall'accesso dell'utente.
G L'attività invia una query ad Active Directory usando il protocollo LDAP per l'attributo keywords nel punto di connessione al servizio archiviato nella partizione di configurazione in Active Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). Il valore restituito nell'attributo keywords determina se la registrazione del dispositivo viene indirizzata al servizio Registrazione dispositivo di Azure o al servizio registrazione dispositivo aziendale ospitato in locale.
A Per l'ambiente gestito, l'attività crea credenziali di autenticazione iniziali sotto forma di certificato autofirmato. L'attività scrive il certificato nell'attributo userCertificate nell'account computer in Active Directory tramite LDAP.
D Il computer non può eseguire l'autenticazione in Azure DRS finché non viene creato in Microsoft Entra ID un oggetto dispositivo che rappresenta il computer che include il certificato nell'attributo userCertificate. Microsoft Entra Connect rileva una modifica dell'attributo. Nel ciclo di sincronizzazione successivo, Microsoft Entra Connect invia l'attributo userCertificate, l'oggetto GUID e il SID del computer ad Azure DRS. Azure DRS utilizza le informazioni dell'attributo per creare un oggetto dispositivo in Microsoft Entra ID.
E L'attività Aggiunta automatica di dispositivi viene attivata ad ogni accesso utente, oppure ogni ora, e tenta di autenticare il computer in Microsoft Entra ID usando la chiave privata corrispondente della chiave pubblica nell'attributo userCertificate. Microsoft Entra autentica il computer e invia un token ID al computer.
F L'attività crea una coppia di chiavi RSA a 2048 bit associata a TPM (preferito) nota come chiave del dispositivo (dkpub/dkpriv). L'applicazione crea una richiesta di certificato usando dkpub e la chiave pubblica, quindi firma la richiesta di certificato tramite dkpriv. Successivamente, l'applicazione deriva la seconda coppia di chiavi dalla chiave radice di archiviazione del TPM. Questa chiave è la chiave di trasporto (tkpub/tkpriv).
G L'attività invia una richiesta di registrazione del dispositivo ad Azure DRS che include il token ID, la richiesta di certificato, tkpub e i dati dell'attestazione. Azure DRS convalida il token ID, crea un ID dispositivo e un certificato in base alla richiesta di certificato inclusa. A questo punto, Azure DRS aggiorna l'oggetto dispositivo in Microsoft Entra ID e invia al client l'ID dispositivo e il certificato del dispositivo.
H La registrazione del dispositivo viene completata quando Azure DRS riceve l'ID dispositivo e il certificato del dispositivo. L'ID dispositivo viene salvato per riferimento futuro (visualizzabile da dsregcmd.exe /status) e il certificato del dispositivo viene installato nell'archivio personale del computer. Al termine della registrazione del dispositivo, l'attività viene chiusa.

Aggiunta a Microsoft Entra ibrido in ambienti federati

Flusso del dispositivo aggiunto a Microsoft Entra ibrido in un ambiente gestito

Fase Descrizione
A L'utente accede a un computer aggiunto a un dominio Windows 10, o più recente, usando le credenziali di dominio. Queste credenziali possono essere il nome utente e la password o l'autenticazione tramite smart card. L'accesso dell'utente attiva l'attività Aggiunta automatica dispositivo. Le attività di Aggiunta automatica dispositivo vengono attivate quando si aggiunge il dominio, con tentativi ogni ora. Ciò non dipende esclusivamente dall'accesso dell'utente.
G L'attività invia una query ad Active Directory usando il protocollo LDAP per l'attributo keywords nel punto di connessione al servizio archiviato nella partizione di configurazione in Active Directory (CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com). Il valore restituito nell'attributo keywords determina se la registrazione del dispositivo viene indirizzata al servizio Registrazione dispositivo di Azure o al servizio registrazione dispositivo aziendale ospitato in locale.
A Per gli ambienti federati, il computer autentica l'endpoint di registrazione del dispositivo aziendale usando l'autenticazione integrata di Windows. Il servizio di registrazione del dispositivo aziendale crea e restituisce un token che include attestazioni per il GUID dell'oggetto, il SID del computer e lo stato di aggiunta al dominio. L'attività invia il token e le attestazioni a Microsoft Entra ID, dove vengono convalidati. Microsoft Entra ID restituisce un token ID all'attività in esecuzione.
D L'applicazione crea una coppia di chiavi RSA a 2048 bit associata a TPM (preferito) nota come chiave del dispositivo (dkpub/dkpriv). L'applicazione crea una richiesta di certificato usando dkpub e la chiave pubblica, quindi firma la richiesta di certificato tramite dkpriv. Successivamente, l'applicazione deriva la seconda coppia di chiavi dalla chiave radice di archiviazione del TPM. Questa chiave è la chiave di trasporto (tkpub/tkpriv).
E Per consentire l'accesso Single Sign-On per un'applicazione federata locale, l'attività richiede un token di aggiornamento primario aziendale dal servizio token di sicurezza locale. Windows Server 2016 in esecuzione nel ruolo Active Directory Federation Services (AD FS) convalida la richiesta e la restituisce l'attività in esecuzione.
F L'attività invia una richiesta di registrazione del dispositivo ad Azure DRS che include il token ID, la richiesta di certificato, tkpub e i dati dell'attestazione. Azure DRS convalida il token ID, crea un ID dispositivo e un certificato in base alla richiesta di certificato inclusa. A questo punto, Azure DRS scrive un oggetto dispositivo in Microsoft Entra ID e invia al client l'ID dispositivo e il certificato del dispositivo. La registrazione del dispositivo viene completata quando Azure DRS riceve l'ID dispositivo e il certificato del dispositivo. L'ID dispositivo viene salvato per riferimento futuro (visualizzabile da dsregcmd.exe /status) e il certificato del dispositivo viene installato nell'archivio personale del computer. Al termine della registrazione del dispositivo, l'attività viene chiusa.
G Se il writeback dispositivi di Microsoft Entra Connect è abilitato, Microsoft Entra Connect richiede aggiornamenti a Microsoft Entra ID al successivo ciclo di sincronizzazione (il writeback dispositivi è richiesto per la distribuzione ibrida usando l'attendibilità del certificato). Microsoft Entra ID stabilisce una correlazione tra l'oggetto dispositivo e un oggetto computer sincronizzato corrispondente. Microsoft Entra Connect riceve l'oggetto dispositivo che include il GUID oggetto e il SID del computer, quindi scrive l'oggetto dispositivo in Active Directory.

Passaggi successivi